NetScreen セッション制限
BINDの脆弱性が頻繁に見つかっており、DNSへの攻撃が盛んになってきた。
そこで何が起きたかというと、FW(NetScreen)のセッションを食いつぶされてしまって、他の通信に影響が出てしまった。
当初は攻撃元のIPをNetScreenのポリシーで拒否していたのだけど、四方八方からくるので、ポリシーに追加し続けるのは面倒。
今度はNetScreenのCLI画面にログインし、BINDへのセッションをクリアしていたけど、必要なクエリまで削除されてしまう懸念点がある。
いろいろ調べるうちに送信元から送信先(DNSサーバ)へのセッションを制限しようと考えた。
送信元ベースのセッション制限
特定のサーバからのセッションを128同時セッションに制限します。
Screening => Screen => (Zone: Untrust): 「Source IP Based Session Limit」にチェックを付ける Threshold 128 Sessions ※128同時セッションにする
ログには以下の様に表示されます。
Src IP session limit! From XXX.XXX.XXX.XXX:1832 to XXX.XXX.XXX.XXX:53, proto UDP (zone Untrust, int ethernet3). Occurred 45 times.
ちなみに、送信先へのセッション制限は以下となります。
送信先ベースのセッション制限
特定のサーバに対するセッションを128同時セッションに制限します。
Screening => Screen => (Zone: Untrust): 「Destination IP Based Session Limit」にチェックを付ける Threshold 128 Sessions ※128同時セッションにする
ログには以下の様に表示されます。
Dst IP session limit! From XXX.XXX.XXX.XXX:56476 to XXX.XXX.XXX.XXX:53, proto UDP (zone Untrust, int ethernet3). Occurred 1 times.