Tấn công DOS và DDOS được xem là những tấn công nguy hiểm nhất hiện nay. Kẻ tấn công gửi số lượng lớn packet tới victim (DOS) hay ra lệnh cho nhiều máy cùng lúc gửi tới victim, số lượng lớn packet gửi tới vượt quá khả năng đáp ứng của hệ thống. Hệ thống trở nên trì trệ và mất khả năng phục vụ dưới các cuộc tấn công. Sử dụng chức năng Anti-DoS trên DU-series có thể nhận dạng các cuộc tấn công sau: SYN Flood, UDP Flood ,ICMP Flood , Land Attack , Ping of Death, WinNuke , Replay Attack ,Smurf , IP Fragment Attack (Tear Drop, Bonk, Boink, Nestea, Newtear, Syndrop, Jolt2, OShare , Saihyousen, 1234)
Thủ tục cấu hình chức năng Anti-DoS:
Bước 1: Bật tính năng Anti-Dos:
Vào Anti-Dos >> Rule Setting
Các thông số cần quan tâm:
- Global Setting:
- Anti-DoS Mode: bật hay tắt tính năng Anti-DoS cho firewall
- Anti-DoS : bật/ tắt tính năng tạo log ghi lại tấn công, số lượng log mà chức năng này tạo trên 1s
- Other DoS Attack:
- SYN Cookie: bật tính năng chống SYN cookie. Always on: thể hiện luôn luôn dùng chức năng này, Intelligent Defense: SYN cookie chỉ bật khi có dấu hiệu của tấn công, được thiết lập trong Anti-Dos >> Profile Setting.
- Abnormal Package Attack: lựa chọn các dạng tấn công khác muốn firewall ngăn chặn.
Như vậy với cấu hình trên, tính năng Anti-DoS đã được kích hoạt và bảo hệ hệ thống mạng. Các bước tiếp theo là cấu hình tùy chọ để giới hạn session, tạo cho firewall phát hiện và ngăn chặn tấn công tốt hơn.
Bước 2: cấu hình profile cho Anti-DoS:
Vào Anti-Dos >> Profile Setting để cấu hình profile:
Các thông số cần quan tâm:
- Name: tên bất kỳ
- Discription: mô tả rule này.
- Schedule: thiết lập Schedule trong Object >> Schedule >>Schedule để thiết lập thời gian active rule này.
- Limitation: thiết lập các tham số giới hạn về session number, session/second, packets/second cho 1 rule hay cho từng IP theo default hay cho schedule.
- SYN Cookie: thiết lập ngưỡng cao nhất và thấp nhất packets/second cho tính năng anti SYN attack Intelligent Defense bên trên.
Sau khi thiết lập xong tại Profile Setting, quay trở lại chức năng Rule Setting thực hiện add profile vừa tạo vào rule.
Lựa chọn source/ destination của traffic và services cần kiểm soát. Add profile vừa tạo và lựa chọn mode ( Monitor: Traffic được theo dõi và phát hiện, tạo log và thống kê cảnh báo mà không ngăn chặn tấn công. Defesen: bao gồm chức năng của Monitor và chặn tấn công khi bị phát hiện)
Bước 3: Thiết lập luồng traffic là Back/ White List.
Vào Anti-DoS >> Black or White
Khi gặp danh sách này, chức năng Anti-DoS sẽ thực hiện trực tiếp cho qua hay chặn traffic mà không cần phải phân tích. Lựa chọn nguồn của traffic xuất phát từ một IP hay subnet hay bất kỳ………và thời gian để danh sách này không có hiệu lực (Expire Time)
Bướ 4: Theo dõi tấn công qua log.
Xem log các dấu hiệu tấn công DoS tại : Log >> Log Record >>> Security Log
Vào Reporter >> Anti-DOS để xem các báo cáo theo: session number, session rate, packet rate, Top N, Source IP Statistics
