针对SYN FLOOD
1。使用SYN CHECK来阻击SYN FLOOD,使用COOKIES,不用SYN-received表来保存等待SYN/ACK的连接,避免了该表被填满
2.万一连接数超过限制,将启动连接回收(reap) 以释放无用连接
针对ICMP FLOOD (Smurf)
ICMP FLOOD,是攻击者冒充一个主机向某网段的广播地址发ICMP回显请求,导致大量主机向被攻击者回显数据,F5一方面限制应答回显请求的速率,一方面不对广播地址回显请求做响应。
UDP flood
一种DDOS,F5应对方法基本同SYN FLOOD,可以调小UDP空闲时间以加快回收速度
UDP碎片
让服务器重组巨大数量的UDP数据,而导致服务器资源耗尽。F5检查初始包,正常则放行,不正常则丢弃整个流。
LAND 攻击
源地址源端口和目标地址目标端口相同的一种SYN攻击,F5对这种包不予放行,自动丢弃
常见手段:
调小TCP\UDP空闲时间,但是容易将正常连接破坏,需要谨慎
使用速率限制rate class
使用VS连接限制,一般公式RAM KB*0.8 例如内存是256M 那么256000 * 0.8 就是一般建议的连接限制数
文章评论