NetScreen セッション制限

2013年8月26日

BINDの脆弱性が頻繁に見つかっており、DNSへの攻撃が盛んになってきた。
そこで何が起きたかというと、FW(NetScreen)のセッションを食いつぶされてしまって、他の通信に影響が出てしまった。
当初は攻撃元のIPをNetScreenのポリシーで拒否していたのだけど、四方八方からくるので、ポリシーに追加し続けるのは面倒。
今度はNetScreenのCLI画面にログインし、BINDへのセッションをクリアしていたけど、必要なクエリまで削除されてしまう懸念点がある。

いろいろ調べるうちに送信元から送信先(DNSサーバ)へのセッションを制限しようと考えた。

送信元ベースのセッション制限

特定のサーバからのセッションを128同時セッションに制限します。

Screening => Screen => (Zone: Untrust):
「Source IP Based Session Limit」にチェックを付ける
 Threshold 128 Sessions ※128同時セッションにする

ログには以下の様に表示されます。

Src IP session limit! From XXX.XXX.XXX.XXX:1832 to XXX.XXX.XXX.XXX:53, proto UDP (zone Untrust, int ethernet3). Occurred 45 times.

 

ちなみに、送信先へのセッション制限は以下となります。

送信先ベースのセッション制限

特定のサーバに対するセッションを128同時セッションに制限します。

Screening => Screen => (Zone: Untrust):
「Destination IP Based Session Limit」にチェックを付ける
 Threshold 128 Sessions ※128同時セッションにする

ログには以下の様に表示されます。

Dst IP session limit! From XXX.XXX.XXX.XXX:56476 to XXX.XXX.XXX.XXX:53, proto UDP (zone Untrust, int ethernet3). Occurred 1 times.