Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》DoS進階設定 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》DoS進階設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG繼承自Cyberoam有提供簡單的DoS防護設定。



這簡單的DoS防護分為SYN/UDP/TCP/ICMP四大類的flood閥值設定,
只要超出設定值,多餘的封包就會被丟棄。
而被丟棄的封包數量則會出現在第一個頁面的DoS Attacks統計表中。



不過這個WebUI的DoS防護其實相當陽春,則了選擇來源端或目的端的啟用與否與閥值外,
無法做到其它諸如某個介面或Zone到另一個區域的細項設定。

在上了Sophos XG的Architect課程後,發現原來DoS功能有其它進階細項設定,
只不過這些細項設定必需在Console Mode下透過指令來下達。


Sophos XG DoS的進階設定包含兩個主要成員DoS Policy與DoS Rule。
就如同其它防火牆規則一樣,先在DoS Policy定義好要過濾的Protocol與閥值,
然後在DoS Rule中定義好要套用的DoS Policy與來源/目的區域,這樣就完成了∼

DoS Policy指令如下。

System dos-config add dos-policy policy-name <name> [SYN-Flood <limit> pps <per-src|per-dst|global>] [UDP-Flood <limit> pps <per-src|per-dst|global>] [ICMP-Flood <limit> pps <per-src|per-dst|global>] [IP-Flood <limit> pps <per-src|per-dst|global>]


Dos Rule指令如下。
system dos-config add dos-rule rule-name <name> [options] [rule-position <position>] dos-policy <policy-name>


舉例來說,若我們想設定每秒不能超過100個UDP封包的DoS Policy,
然後套用在LAN to DMZ的方向上,對每個來源端做限制,
其指令如下。(DMZ網段為10.1.1.0/24)
system dos-config add dos-policy policy-name UDP-Test UDP-Flood 100 pps per-src
system dos-config add dos-rule rule-name LAN-to-DMZ-UDP src-zone LAN dstip 10.1.1.0 netmask 255.255.255.0 protocol udp dos-policy UDP-Test




當套用完設定,從LAN端打出大量UDP封包到DMZ端時,大於100 pps的封包就會被XG給攔下,而顯示在DoS Attacks統計頁面中。





參考資料
順子用來打大量封包的工具是LOIC,可在 下載。




♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-03-20, 11:24 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》更新補充引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

上文範例為LAN to DMZ的UDP flood設定,
如果是要防護來自WAN to DMZ的TCP flood又該如何設定呢?

由於來自WAN端的外部IP是無法直接連到位在XG內部的Server,
這類連線需求必需透過XG的business application rule進行DNAT轉址後才能辦到,
因此設定WAN to DMZ的flood防護時,雖然最終目的是內部Server的虛擬IP,
但在設定時,還是要把目標IP設定為XG上mapping給內部Server的外部IP。

例如XG上的WAN配置了一個外部IP 123.123.123.1,
並把這個IP的TCP 8080 port導向內部web server 172.16.16.1。
那我們要對這台web server進行TCP flood防護時,
就該進行如下的配置。

system dos-config add dos-policy policy-name SYN-Flood_over_200 SYN-Flood 200 pps per-src
system dos-config add dos-rule rule-name W2D_TCP_8080 src-zone WAN dstip 123.123.123.1 netmask 255.255.255.255 protocol tcp dport 8080 dos-policy SYN-Flood_over_200


以上指令在參照上述的說明後,目標IP的選擇沒有太大問題,
比較有問題的會是,為什麼我們要擋的明明就是TCP的flood,但在dos-policy中的設定卻是SYN-Flood?

這是XG上比較吊詭的地方...
在 dos-config 中的flood參數只有SYN-Flood,沒有TCP-Flood;
而在 dos-rule 卻反過來,protocol的參數只有tcp,沒有syn!?
所以在TCP flood的防護上,只能使用這樣的配搭配設定了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-09-11, 12:07 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR