F5在防范攻击上的措施

www.net130.com     日期:2009-11-7    浏览次数:
出处:mycisco.cn

针对SYN FLOOD

1。使用SYN CHECK来阻击SYN FLOOD,使用COOKIES,不用SYN-received表来保存等待SYN/ACK的连接,避免了该表被填满

2.万一连接数超过限制,将启动连接回收(reap) 以释放无用连接

针对ICMP FLOOD (Smurf)

ICMP FLOOD,是攻击者冒充一个主机向某网段的广播地址发ICMP回显请求,导致大量主机向被攻击者回显数据,F5一方面限制应答回显请求的速率,一方面不对广播地址回显请求做响应。

UDP flood

一种DDOS,F5应对方法基本同SYN FLOOD,可以调小UDP空闲时间以加快回收速度

UDP碎片

让服务器重组巨大数量的UDP数据,而导致服务器资源耗尽。F5检查初始包,正常则放行,不正常则丢弃整个流。

LAND 攻击

源地址源端口和目标地址目标端口相同的一种SYN攻击,F5对这种包不予放行,自动丢弃

 

 

常见手段:

调小TCP\UDP空闲时间,但是容易将正常连接破坏,需要谨慎

使用速率限制rate class

使用VS连接限制,一般公式RAM KB*0.8  例如内存是256M 那么256000 * 0.8 就是一般建议的连接限制数

 

分享道
相关新闻