À propos des Attaques Flood

Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). Lors d'une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un système, l'empêchant ainsi de l'examiner et d'autoriser le trafic réseau légitime. Par exemple, une attaque ICMP Flood se produit lorsqu'un système reçoit un nombre trop important de commandes ping ICMP et il est obligé d'utiliser toutes ses ressources pour envoyer des commandes de réponse.

Le Firebox offre une protection contre les types d'attaques Flood suivants :

• IPSec
• IKE
• ICMP
• SYN
• UDP

Dans la configuration par défaut, le Firebox bloque les attaques Flood.

À Propos des Seuils d'Attaques Flood

Afin d'éviter les attaques flood, sur la page Gestion des Paquets Par Défaut, vous pouvez spécifier des seuils pour le nombre de paquets autorisés par seconde pour différents types de trafic. Lorsque le nombre de paquets reçus sur une interface dépasse le seuil choisi, le périphérique commence à abandonner le trafic de ce type sur l'interface.

Par exemple, si vous définissez le seuil Abandonner Attaque Flood UDP à 1 000, le périphérique commence à abandonner des paquets UDP si une interface reçoit plus de 1 000 paquets UDP par seconde. Le périphérique n'abandonne pas les autres types de trafic ni le trafic reçu sur les autres interfaces.

Le Firebox génère jusqu'à trois messages de journal par minute lorsque le débit des paquets reçus sur une interface dépasse un seuil spécifié.

Le Firebox n'abandonne pas immédiatement chaque paquet reçu dépassant le seuil spécifié. Le tableau suivant indique quand le périphérique abandonne un paquet, en fonction du débit de paquets de ce type reçus sur une interface :

Débit de paquets reçus	Paquets abandonnés
Inférieur au seuil	Pas de paquet
Entre une et deux fois le seuil	25 % des paquets de ce type
Plus de deux fois le seuil	Tous les paquets de ce type

Lorsque le débit de paquets reçus sur l'interface retombe sous le seuil, le périphérique cesse d'abandonner les paquets de ce type.

Par exemple, admettons que vous définissiez le seuil Abandonner Attaque Flood UDP à 1 800 paquets par seconde. Lorsque l'interface d'un périphérique reçoit 2 000 paquets UDP par seconde, il abandonne environ 500 paquets UDP (25 % de 2000 = 500). Lorsque l'interface du périphérique reçoit plus de 3 600 paquets UDP par seconde, le périphérique abandonne tous les paquets UDP de l'interface.

Le nombre exact de paquets abandonnés peut fluctuer quand l'interface vient de recevoir du trafic ou que le trafic augmente ou diminue.

Les Exceptions aux Sites Bloqués contournent toutes les vérifications de Gestion des Paquets par Défaut, à l'exception des attaques par usurpation et par route de l'IP source. Le périphérique n'abandonne pas le trafic provenant d'un site figurant sur la liste Exceptions aux Sites Bloqués, même si le trafic dépasse le seuil d'Attaque Flood spécifié. Dans Fireware v12.5.6/12.6.3 ou les versions ultérieures, le trafic qui serait normalement bloqué par la protection contre les Attaques Flood apparaît dans les journaux de trafic comme une attaque flood à partir d'un site d'exception.

Configurer les Seuils d'Attaques Flood

Vous pouvez activer ou désactiver la protection contre différents types d'attaques flood, et configurer les seuils relatifs au nombre de paquets autorisés par seconde.

Nous vous recommandons de modifier les valeurs par défaut de chaque seuil d'attaque flood en fonction de la quantité de trafic réseau attendue pour chaque type. Par exemple, si votre configuration comprend un réseau privé Branch Office VPN ou Mobile VPN, il peut s'avérer utile d'augmenter les seuils d'attaques flood IPSec et IKE en prévision du trafic VPN.

Voir Également

À propos des options de Gestion des paquets par défaut