Chciałbym ograniczyć wpływ ataków SYN Flood na Cisco ASA. Wprowadziłem poniższą konfigurację:
access-list embryonic_conn_test permit tcp any host X.X.X.X eq 443 class-map SYN_FLOOD_class match access-list embryonic_conn_test policy-map outside_policy class SYN_FLOOD_class set connection conn-max 5000 set connection embyronic-conn-max 1000 set connection per-client-max 150 set connection per-client-embryonic-max 100 set connection timeout embryonic 00:00:10 service-policy outside_policy interface outside_global.
Na interfejsie jest jeszcze zapięta ACL-ka, która ten ruch przepuszcza. Podczas ataku SYN FLOOD, procesor urządzenia podskakuje do 100% i praktycznie uniemożliwia nam pracę, aż do momentu ustania ataku. Po ataku wykonano komendę:
asa(config)# show service-policy Interface outside_global: Service-policy: outside_policy Class-map: SYN_FLOOD_class Set connection policy: conn-max 1000 embryonic-conn-max 250 per-client-max 150 per-client-embryonic-max 100 current embryonic conns 0, current conns 7, drop 0 Set connection timeout policy: embryonic 0:00:10 DCD: disabled, retry-interval 0:00:15, max-retries 5 DCD: client-probe 0, server-probe 0, conn-expiration 0.
I niestety nie wykazało to żadnych połączeń (powinno je trzymać przez 10s zgodnie z wprowadzoną konfiguracją). Czy taka konfiguracja nie zapewnia dostępności urządzenia poprzez ograniczenie pół otwartych połączeń? Czy czegoś brakuje, aby to wszystko zadziałało? Konfiguracja testowana na asa5510 z softem 8.3(1).