FAQ-为什么defend syn-flood不生效

发布时间:  2014-07-02 浏览次数:  233 下载次数:  0
问题描述
客户需要部署攻击防范功能,在部署以前对syn-flood防范功能进行测试,配置如下:

firewall defend syn-flood enable
firewall defend syn-flood interface g0/0/1 alert-rate 100 tcp-proxy on

g0/0/1端口连接被保护服务器,当syn攻击报文大于100pps后,进行阻断。

通过测试仪发包模拟syn-flood攻击,发包频率150pps,防火墙并未对该攻击阻断。
告警信息
处理过程
测试方式调整:在测试仪上将源ip地址固定即可。
根因
测试中发现,调整发包频率到1000pps后,防范生效,被保护服务器不会收到攻击报文,且防火墙产生相关日志。

测试防火墙配置了4块SPU板,每块板卡有4个cpu,由于测试仪在发包的时候,源IP地址是随机递增的,当攻击报文通过防火墙的时候,攻击流平均分配到了16个CPU上。当仅发送100pps时,其实每个cpu上只有5到10个包,而配置是100pps才会进行防范,所以前期测试不生效。
建议与总结
产品文档中,对该功能的描述中,对alert-rate参数并没有明确是基于单cpu,后续建议改进。

END