Защита от SYN flood атаки [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    dpi:dpi_options:opt_ddos:ddos_dos:ddos_dos_synflood [2023/09/01 13:29] elena.krasnobryzhdpi:dpi_options:opt_ddos:ddos_dos:ddos_dos_synflood [2024/09/26 15:29] (текущий) – внешнее изменение 127.0.0.1
    Строка 1: Строка 1:
    -======ddos_dos_synflood======+====== Защита от SYN flood атаки ====== 
     +{{indexmenu_n>2}} 
     + 
     +<note tip>Услугу можно настроить через GUI. [[dpi:dpi_components:dpiui:user_guide:ssg_control_section:services#защита_от_ddos|Инструкция]]</note> 
     + 
     +Атака SYN flood вызывает повышенный расход ресурсов атакуемой системы, 
     +так как на каждый входящий SYN пакет система должна зарезервировать 
     +определенные ресурсы в памяти, либо сгенерировать специальный SYN+ACK ответ, содержащий 
     +криптографическую cookie, осуществлять поиск в таблицах сессий и т.п., т.е. затратить 
     +существенные процессорные ресурсы. В обоих случаях отказ в обслуживании наступает  
     +при потоке SYN-flood 100000-500000 пакетов в секунду. В то же время даже гигабитный канал  
     +позволит злоумышленнику направить на атакуемый сайт поток до 1,5 миллиона пакетов в секунду. 
     + 
     +СКАТ осуществляет защиту от SYN flood следующим образом: 
     +  - обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN запросов 
     +  - самостоятельно, вместо защищаемого сайта отвечает на SYN запросы (механизм SYN PROXY) 
     +  - организует TCP сессию с защищаемым сайтом после подтверждения запроса клиентом 
     + 
     +**Настройки параметров защиты:** 
     + 
     +Активировать режим защиты (по умолчанию 0)\\  
     +Допустимые значения:\\  
     +0 - защита выключена\\  
     +1 - активируется автоматически\\  
     +2 - включена всегда\\  
     +<code>syncf_protection=1</code> 
     + 
     +Процент неподтвержденных запросов со стороны клиента, при котором защита автоматически активируется  
     +(по умолчанию 5, можно менять online)  
     +<code>syncf_unconfirmed_percent=30</code> 
     + 
     +Порог количества syn в секунду (без подтверждения), когда считаем, что все нормально (по умолчанию 50):  
     +<code>syncf_threshold=50</code>  
     + 
     +Логирование срабатывания защиты (по умолчанию 0)\\ 
     +Допустимые значения:\\  
     +0 - нет\\   
     +1 - переключения срабатывания защиты on/off\\  
     +<code>syncf_trace=1</code> 
     + 
     +Интервал в миллисекундах проверки количества syn и подтвержденных syn (по умолчанию 100) 
     +<code>syncf_check_tmout=100</code>  
     + 
     +Интервал времени в секундах мониторинга ответа на syn+ack, сформированного скат (по умолчанию 60) 
     +<code>syncf_tracking_packs_time=60</code> 
     + 
     + 
     + 
     +В основном конфигурационном файле ///etc/dpi/fastdpi.conf// указываются защищаемые номера портов (по умолчанию 80, можно менять online) 
     +<code>syncf_ports=80:443</code> 
     +Эта настройка является общей для всех защищаемых сайтов.