Tengo un Cisco ASA 5510 (ASA versión 8.3 (2)) que ha estado recibiendo un ataque de flujo de sincronización (o, más precisamente, a través de , que apunta a un host detrás de él) un par de veces al día durante los últimos días. La conexión a Internet en sí es decente y no parece saturar completamente la línea, pero en cambio, lo que parece estar sucediendo es que la CPU llega al 100% y casi todo el tráfico válido se cae.
Los ataques parecen estar utilizando direcciones IP falsificadas aleatorias; las direcciones de origen no se repiten en absoluto.
He seguido las instrucciones here para habilitar una conexión max y max para conexiones embrionarias. Los comandos exactos utilizados fueron:
fw1(config)# class CONNS
fw1(config-cmap)# match any
fw1(config)# policy-map CONNS
fw1(config-pmap)# class CONNS
fw1(config-pmap-c)# set connection timeout embryonic 0:0:5
fw1(config)#service-policy CONNS global
(La teoría es que las conexiones máximas desencadenarán cualquier respuesta de amenaza que tenga el ASA, o al menos evitarán que la CPU gire y bloquee el dispositivo. Y el menor tiempo de espera de la conexión debería, por supuesto, hacer que deje de rastrear el falso tcp las conexiones anteriores y, con suerte, reducir el recuento de lo que necesita hacer un seguimiento de.)
Sin embargo, esto pareció no hacer ninguna diferencia cuando se produjo el siguiente ataque. Las conexiones siguen siendo máximas en general (y la CPU también es 100%):
fw1# show conn count
130000 in use, 130001 most used
Así que configuré una prueba con un servidor que tengo y pude obtener este escenario de prueba:
atacante de prueba de Linux:
(iptables configured to drop anything back from ASA)
# sudo hping2 -i u2000 -S -p 80 RE.DA.CT.ED
ASA:
fw1# show threat-detection statistics host RE.DA.CT.ED
Current monitored hosts:11991 Total not monitored hosts:28657651
Average(eps) Current(eps) Trigger Total events
Host:RE.DA.CT.ED: tot-ses:2993977 act-ses:6493 fw-drop:0 insp-drop:0 null-ses:2979635 bad-acc:0
20-min Recv attack: 1227 492 43 1473050
1-hour Sent byte: 6281 260 0 22611776
1-hour Sent pkts: 142 5 0 513064
1-hour Recv byte: 33377 11439 0 120159833
1-hour Recv pkts: 834 285 0 3002986
Cuando ejecuto el comando hping2, incrementa la parte act-ses: 6493. show conn count también muestra un aumento en el recuento global de conexiones.
Después de un poco en el registro ASA recibo mensajes como este:
[ RE.DA.CT.ED] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 10; Current average rate is 84 per second, max configured rate is 5; Cumulative total count is 101750
TCP Intercept SYN flood attack detected to RE.DA.CT.ED/80 (RE.DA.CT.ED/80). Burst rate of 820 SYNs/sec exceeded the threshold of 400.
Sin embargo, por lo que puedo decir, el recuento total de conexiones sigue aumentando, incluso después de que detecta el flujo de sincronización. También me doy cuenta de que el recuento de fw-drop en las estadísticas de detección de amenazas siempre es cero.
Con todo eso, mis preguntas específicas son:
1) ¿Hay alguna manera de saber con certeza que cualquier soporte de "cookie de sincronización" que tenga el ASA está habilitado (para un IP objetivo específico o global o cualquier contexto que sea útil)?
2) Si las cookies de sincronización están activadas, ya no debería contar estos paquetes de sincronización con el recuento de act-ses para esa IP o contra el recuento de conexión general, ¿correcto?
3) ¿Hay algún error obvio en mi configuración anterior o algo clave que me parece que falta?
EDITAR: 3 días después, todavía no tengo idea. Cualquier entrada apreciada.