Итак, я прочитал ряд официальных документов Juniper, содержащих некоторые стратегии предотвращения DOS. Я не стремлюсь предотвратить что-то конкретное, а просто обеспечиваю максимальную защиту сети.
Но я не склонен копировать + вставлять конфиги, которые я нашел в Интернете, без полного понимания последствий.
У меня есть EX4200, подключенный к Интернету с несколькими общедоступными подсетями, все в своих собственных VLAN с RVI каждая.
Это один из примеров, которые я нашел ...
term tcp-dos-protect-1 {
from {
protocol tcp;
tcp-flags "syn&!ack";
}
then policer tcp-dos-policer;
}
term tcp-dos-protect-2 {
from {
protocol tcp;
tcp-flags "fin|rst";
}
then policer tcp-dos-policer;
}
...
policer tcp-dos-policer {
filter-specific;
if-exceeding {
bandwidth-limit 500k;
burst-size-limit 15k;
}
then discard;
}
Теперь, повлияет ли это конкретное правило на настоящий трафик? В тяжелых условиях сети - он просто начнет отбрасывать настоящий трафик или действительно блокирует только «плохой» трафик?
Если вы не знаете, сколько данных обслуживает ваша среда, этот фильтр не должен вызывать никаких проблем. Он устанавливает жесткое ограничение для tcp-инициализаций и флагов завершения / сброса на уровне 500 Кбит / с. Чтобы достичь этого предела, вам нужно будет обслуживать несколько миллионов новых TCP-запросов в секунду. Даже если некоторые хорошие пакеты действительно достигают этого жесткого предела, они просто отбрасываются, а затем повторяют попытку через несколько секунд.
Это также (к сожалению) верно для людей, пытающихся атаковать ваши серверы. Если бы один хост мог инициировать несколько тысяч подключений к одному из ваших серверов каждую секунду, у вас все равно были бы проблемы.
В отношении этих фильтров следует отметить то, что это очень грубый способ ограничения трафика; другими словами, это ограничено, но эффективный. Это хорошо для того, чтобы убедиться, что через вашу сеть не проходит ненужный трафик, но технологии веб-сервера (например, mod_security, mod_evasiveи т. д.) всегда будет умный работа по управлению нагрузкой на сервер и выяснению того, с чем он должен и чего не должен работать.
В приведенном выше примере человек, пытающийся повторить подключение на этих уровнях, будет заблокирован на заданный период времени. Максимум, что вы потеряете, - это минимальная пропускная способность и достаточная обработка, чтобы закрыть соединение.