我有一个 Cisco ASA 5510(ASA 版本 8.3(2)),在过去的几天里,它每天都会受到一次同步洪水攻击(或者更准确地说是通过它 - 以它后面的主机为目标)。互联网连接本身是不错的,它似乎并没有使线路完全饱和,但似乎正在发生的事情是 CPU 达到 100%,几乎所有有效流量都被丢弃。
这些攻击似乎使用了随机的欺骗 IP——源地址根本不重复。
我已按照此处的说明启用连接最大值和初始连接的最大值。使用的确切命令是:
fw1(config)# class CONNS
fw1(config-cmap)# match any
fw1(config)# policy-map CONNS
fw1(config-pmap)# class CONNS
fw1(config-pmap-c)# set connection timeout embryonic 0:0:5
fw1(config)#service-policy CONNS global
(理论上,最大连接数会触发 ASA 的任何威胁响应 - 或至少阻止 CPU 旋转并锁定设备。较低的连接超时当然应该使其更早停止跟踪虚假 tcp 连接并希望减少它需要跟踪的数量。)
然而,下一次攻击来临时,这似乎并没有什么不同。总体上连接仍然最大(CPU 仍然是 100%):
fw1# show conn count
130000 in use, 130001 most used
所以我用我拥有的服务器设置了一个测试,并且能够得到这个测试场景:
Linux 测试攻击者:
(iptables configured to drop anything back from ASA)
# sudo hping2 -i u2000 -S -p 80 RE.DA.CT.ED
作为一个:
fw1# show threat-detection statistics host RE.DA.CT.ED
Current monitored hosts:11991 Total not monitored hosts:28657651
Average(eps) Current(eps) Trigger Total events
Host:RE.DA.CT.ED: tot-ses:2993977 act-ses:6493 fw-drop:0 insp-drop:0 null-ses:2979635 bad-acc:0
20-min Recv attack: 1227 492 43 1473050
1-hour Sent byte: 6281 260 0 22611776
1-hour Sent pkts: 142 5 0 513064
1-hour Recv byte: 33377 11439 0 120159833
1-hour Recv pkts: 834 285 0 3002986
当我运行 hping2 命令时,它会增加 act-ses:6493 部分。show conn count 还显示总连接数增加。
在 ASA 日志中经过一段时间后,我确实收到了如下消息:
[ RE.DA.CT.ED] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 10; Current average rate is 84 per second, max configured rate is 5; Cumulative total count is 101750
TCP Intercept SYN flood attack detected to RE.DA.CT.ED/80 (RE.DA.CT.ED/80). Burst rate of 820 SYNs/sec exceeded the threshold of 400.
然而,据我所知,总连接数一直在增加——即使在它检测到同步洪水之后也是如此。我还注意到威胁检测统计数据的 fw-drop 计数始终为零。
尽管如此,我的具体问题是:
1) 有没有办法确定启用了 ASA 所支持的任何“syn cookie”(对于特定的目标 IP 或全局或任何有用的上下文)?
2) 如果 syn cookie 被激活 - 它不应该再根据该 IP 的 act-ses 计数或整体连接计数来计算这些 syn 数据包,对吗?
3) 我上面的配置中是否有任何明显的错误或我似乎缺少的关键内容?
编辑:3天后,仍然不知道。任何输入表示赞赏。