很不错的文档,林夏同学所写,非常棒!
如何获得下载密码,请微信关注 F5技术 订阅号后,回复downloadpwd
或微信扫描立刻关注
微信公众号
[wpdm_file id=4 title="true" desc="true" template="facebook drop-shadow raised" ]
[wpdm_file id=5 title="true" desc="true" template="bluebox drop-shadow lifted" ]
说明一点:对于一个普通的DNS 反射攻击,即 A到B上解析, 但让B将response直接发给F5,这种攻击,F5原生的设计结构就可直接阻挡,无需特殊设置。
若dns 请求本身是一些畸形包,例如刻意将request里的answer设置为1,这样的包F5处理,并可能会透传给后端,对于这样的畸形包,一方面考虑使用dns dos profile来设置报警,另一方面使用dns protocol security功能进行过滤,如果还不能过滤掉,则可以考虑根据特征编写irule进行阻挡,比如request请求包中的answer=1这样的包触发不了dns_request事件,可以利用这个特征,在server connected事件中进行包丢弃。
