所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FAQ-为什么defend syn-flood不生效

发布时间:  2014-07-02 浏览次数:  313 下载次数:  0
问题描述
客户需要部署攻击防范功能,在部署以前对syn-flood防范功能进行测试,配置如下:

firewall defend syn-flood enable
firewall defend syn-flood interface g0/0/1 alert-rate 100 tcp-proxy on

g0/0/1端口连接被保护服务器,当syn攻击报文大于100pps后,进行阻断。

通过测试仪发包模拟syn-flood攻击,发包频率150pps,防火墙并未对该攻击阻断。
告警信息
处理过程
测试方式调整:在测试仪上将源ip地址固定即可。
根因
测试中发现,调整发包频率到1000pps后,防范生效,被保护服务器不会收到攻击报文,且防火墙产生相关日志。

测试防火墙配置了4块SPU板,每块板卡有4个cpu,由于测试仪在发包的时候,源IP地址是随机递增的,当攻击报文通过防火墙的时候,攻击流平均分配到了16个CPU上。当仅发送100pps时,其实每个cpu上只有5到10个包,而配置是100pps才会进行防范,所以前期测试不生效。
建议与总结
产品文档中,对该功能的描述中,对alert-rate参数并没有明确是基于单cpu,后续建议改进。

END