J'ai un Cisco ASA 5510 (ASA Version 8.3 (2)) qui a obtenu une attaque de synthèse synchronisée sur celle-ci (ou plus précisément à IT - ciblage Un hôte derrière elle) Quelques fois par jour depuis quelques jours. La connexion Internet elle-même est décente et elle ne semble pas complètement saturer la ligne, mais plutôt ce qui semble se produire est que la CPU passe à 100% et presque tout le trafic valide est supprimé.
Les attaques semblent utiliser des adresses IPs spoofées aléatoires - les adresses source ne se répètent pas du tout.
J'ai suivi les instructions ici Pour obtenir une connexion Max et un Max pour les connexions embryonnaires. Les commandes exactes utilisées étaient:
fw1(config)# class CONNS
fw1(config-cmap)# match any
fw1(config)# policy-map CONNS
fw1(config-pmap)# class CONNS
fw1(config-pmap-c)# set connection timeout embryonic 0:0:5
fw1(config)#service-policy CONNS global
(La théorie étant que les connexions max déclencheraient quelle que soit la réponse de la menace que l'ASA a - ou au moins empêcher le CPU de tourner et de verrouiller le dispositif jusqu'à ce que le délai de connexion inférieur doit bien faire arrêter de garder la trace des connexions TCP bogus TCP plus tôt. et espérons-le abaisser le nombre de ce qu'il faut garder une trace de.)
Cependant, cela semblait ne faire aucune différence lorsque la prochaine attaque est venue. Les connexions toujours max sur l'ensemble (et la CPU toujours 100%):
fw1# show conn count
130000 in use, 130001 most used
J'ai donc mis en place un test avec un serveur que j'ai et j'ai pu obtenir ce scénario de test:
Attaqueur de test Linux:
(iptables configured to drop anything back from ASA)
# Sudo hping2 -i u2000 -S -p 80 RE.DA.CT.ED
COMME UN:
fw1# show threat-detection statistics Host RE.DA.CT.ED
Current monitored hosts:11991 Total not monitored hosts:28657651
Average(eps) Current(eps) Trigger Total events
Host:RE.DA.CT.ED: tot-ses:2993977 act-ses:6493 fw-drop:0 insp-drop:0 null-ses:2979635 bad-acc:0
20-min Recv attack: 1227 492 43 1473050
1-hour Sent byte: 6281 260 0 22611776
1-hour Sent pkts: 142 5 0 513064
1-hour Recv byte: 33377 11439 0 120159833
1-hour Recv pkts: 834 285 0 3002986
Lorsque j'exécute la commande HPHP2, il incrémente la pièce SES: 6493. Show Count Compte montre également que le nombre de connexion global augmente.
Après un peu dans le journal ASA, je reçois des messages comme celui-ci:
[ RE.DA.CT.ED] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 10; Current average rate is 84 per second, max configured rate is 5; Cumulative total count is 101750
TCP Intercept SYN flood attack detected to RE.DA.CT.ED/80 (RE.DA.CT.ED/80). Burst rate of 820 SYNs/sec exceeded the threshold of 400.
Cependant, d'après ce que je peux dire que le nombre total de connexion continue à augmenter - même après qu'il détecte la synthèse synchronisée. Je remarque également que le nombre de gouttes FW sur les statistiques de détection de menace est toujours zéro.
Avec tout cela, mes questions spécifiques sont:
1) Existe-t-il un moyen de savoir avec certitude que quel que soit le support "Syn Cookie", l'ASA a été activé (pour une adresse IP cible spécifique ou globalement ou tout contexte qui serait utile)?
2) Si Syn Cookies est activé - il ne doit plus compter ces paquets SYN par rapport au nombre d'actes-SES pour cette adresse IP ou contre le nombre de connexion global, correct?
3) Y a-t-il une erreur évidente dans ma configuration ci-dessus ou la principale chose qui me semble manquante?
EDIT: 3 jours plus tard, toujours aucune idée. Toute entrée appréciée.
Je me demande si vous auriez pu expérimenter cela - - https://tools.cisco.com/security/center/content/ciscosecurityAndrisory/cisco-sa-20180418-asa2 (Je réalise la différence de délai Cependant, il y a eu beaucoup de ces types d'avis au fil des ans) espérons que cela vous aidera ...