AFM模块可用于抵抗很多种类型的DOS攻击,在系统中对各个攻击类型的检测设置一般如上图所示,包含三个配项,其含义如下:
Detection Threshold PPS, 每秒包数,系统会自动采样最近1分钟内每秒包数(profile结果中的stats 1m),若统计值大于设置值,则系统认为攻击发生。攻击发生后,系统每秒采样一次值,若值依旧大于设定阀值则攻击在持续,低于该值,系统认为攻击停止。
Detection Threshold percent,这是相对值,系统将最近1分钟(stats 1m)的值与最近1小时(stats 1h)进行比较,若stats 1m的值/stats 1h的值大于设定阀值,则认为攻击发生。攻击发生后,系统每秒采样一次值,若值依旧大于设定阀值则攻击在持续,低于该值,系统认为攻击停止。需要注意的是,系统在进行相对判断时候,需要具备以下前提条件1.系统运行时间大于3小时,即stats 1h samples的值大于3*3600s。 且每小时的最低包值要大于dos.onehourminrate的设置值(缺省100)。
Default internal Rate limit 是让系统将每秒超过该值(PPS)的包都丢弃,例如设置丢弃125阀值,从下图可以看出,每秒总包数减去每秒丢弃的都等于125:
丢弃的设置仅针对那些合法包所进行的flood攻击,若包本身是不正确的,则全部丢弃。
由于avr统计具有一定延迟,因此security界面下的event以及report界面所显示的总包数一般都小于实际发包数量,如想看较为准确的统计,可通过实时观察tmsh show security dos device-config输出
注:上述设置的阀值数量是针对每个TMM而言,不是系统级别。各个TMM处理包的数量可能未必那么平均需注意,任意一个tmm触发阀值,都将在系统中报告攻击发生。
tmsh show security dos device-config:
Statistics Type Count
Attack Detected 0
Attack Count 0
Stats 1h Samples 0 《《《《1h采样机制的总采样时间
Stats 4222 《《《《《《《《有统计以来总值
Stats Rate 292 《《《《《实时每秒的速率
Stats 1m 62 《《《《《最近1分钟采样速率
Stats 1h 0 《《《《《《最新1h采样速率
Drops 4222
Drops Rate 292
Drops 1m 62
Drops 1h 0
Int Drops 0
Int Drops Rate 0
Int Drops 1m 0
Int Drops 1h 0
WhiteList Hits 0
