ich habe an einem 1711+ gerade ein Problem mit einer DOS Attacke.
Aus irgend einem Grund greift die DOS-Erkennung nicht.
Es handelt sich um einen Standort in einem RZ, 100MBit-Anbindung, Routbares Netz.
Diverse Allows und zwei Deny-All-Regeln:
Eine Regel ist für den ausgehenden Verkehr und eine für den eingehenden.
Die für den eingehenden Verkehr dropt die Verbindungen und sendet SNMP an den Lanmonitor, sowie Syslog an meinen Syslogserver.
Das ganze sieht dann so aus:
Code: Alles auswählen
12-28-2013 18:56:24 Local3.Alert PACKET_ALERT: Dst: 192.168.4.202:80, Src: 199.83.134.93(unresolved):39528 (TCP): port filter
12-28-2013 18:56:24 Local3.Alert PACKET_ALERT: Dst: 192.168.4.202:80, Src: 199.83.134.93(unresolved):14305 (TCP): port filter
Von den Meldungen bekomme ich tausende in der Minute, die DOS-Protection müsste also anspringen.
Was kann das Problem sein?
Dadurch, dass ich mir die Meldungen an den Syslog und Lanmonitor sende geht die CPU auf 100% und es findet kein Routing mehr statt.
Ich habe mir jetzt beholfen indem ich mit einer Regel "deny-ideots" und Prio 100 die Absenderadresse dauerhaft sperre und mir darüber keine Meldungen geben lasse. Anschließend hab ich die IPs vom RZ-Betreiber sperren lassen.
Wäre für ein paar Tips dankbar.
Viele Grüße,
Andreas
btw, bisher nerven mich die IPs: 198.245.50.112 und 199.83.134.93