none
TMG 2010 Std обнаруживает возможную SYN-атаку и блокирует сеть RRS feed

  • Вопрос

  • Добрый день.

    Как обнаружить источник возможных SYN-атак? TMG всё чаще и чаще выдает в логе сообщение:

    "Forefront TMG обнаружил возможную SYN-атаку и обеспечит соответствующую защиту сети."

    затем надолго блокирует все новые подключения. При этом в логах нету абсолютно никакой информации для диагностики проблемы.

    TMG обслуживает довольно большую корпоративную сеть, и такое поведение совсем неприемлемо: нужно что-то делать.

     

    Максимальное количество одновременных ТСР-соединений на один адрес: 500/6000 (в исключениях контроллеры домена, они же днс-серверы, почтовый шлюз в дмз).

     

    Пробовал смотреть вывод команды "netstat -n -a -b -p tcp" в момент блокировки: состояний соединений "SYN-RECIEVED" нет, либо 1-2 соединения всего.

Ответы

  • Спустя почти 1 год проблема решена с помощью привлечения внешних специалистов ИТ-фирмы по продуктам Microsoft по отдельному договору.

    Решение:

    1) внесены изменения в реестр:

    «HKLM\System\CurrentControlSet\Services\fweng\parameters\SynAttackHalfOpenEnable» значение изменено с 1000 до 2000.

    «HKLM\System\CurrentControlSet\Services\fweng\parameters\SynAttackHalfOpenDisable» значение изменено с 200 до 400.

    2) выполнен скрипт-исправление в соответствии с http://support.microsoft.com/kb/891244
    3) самое первое запрещающее правило, содержащее в себе "Domain name sets and URL sets", откорректировано: вместо "весь исходящий трафик" установлено ограничение по протоколам HTTP, HTTPS.

    Также выяснилось, что TMG реагирует обнаружением возможной SYN-атаки практически на всё подряд, что связано с сетевыми проблемами, которые "забивают" свободные каналы пересылки. Но администратору это без спецсредств и особых навыков и умений никак не продиагностировать.


    • Помечено в качестве ответа Dymkov Vasily 13 апреля 2012 г. 5:19
    • Изменено Dymkov Vasily 14 апреля 2012 г. 9:06
    13 апреля 2012 г. 5:19

Все ответы

  • попробуйте задействовать network monitor, он более детальную информацию показывает, чем netstat

    пример в этой статье http://blogs.technet.com/b/isablog/archive/2009/01/12/isa-server-2006-stops-answering-requests.aspx

    почтовый шлюз какие днс-серверы использует? 

     


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Почтовый шлюз использует локальные днс-серверы во внутренней сети.

    network monitor скачал, установил, попробую что-нить захватить с его помощью...

  • Итак, что было сделано:

    1) 20 мая 2011 г. почтовый шлюз был выведен из ДМЗ для чистоты эксперимента. Сейчас почтовый шлюз никак не связан с ТМЖ, работает отдельно "на границе".

    2) 23 мая 2011 г., после очередного обнаружения возможной SYN-атаки пришлось перезагрузить ТМЖ, т.к. не отвисал долгое время. После перезагрузки сразу же включил захват пакетов утилитой "Microsoft Network Monitor 3.4". Несколько минут спустя снова ТМЖ обнаружил SYN-атаку, после чего я остановил захват пакетов, сохранил всё в файл, заархивировал, выложил (130 Мб):

    http://62.231.20.189/debug/2011-05-23_capture2.7z

    3) Не смог понять каким образом анализировать такой объем информации?

  • у вас маршрут во все сети прописаны? потому что много сетей 10.*.*.*
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Да, маршруты прописаны все.
  • вдруг поможет

    http://www.sklyaroff.ru/x13.php

    sergeykp Медали пользователяМедали пользователя, благодарю. Пока разбираемся с Microsoft Network Monitor. А с программой "tcpdump" я уже знаком, применял её в этой смежной теме:

    http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/bb94144f-40ba-4e56-b8e4-33972312123d

  • Спустя почти 1 год проблема решена с помощью привлечения внешних специалистов ИТ-фирмы по продуктам Microsoft по отдельному договору.

    Решение:

    1) внесены изменения в реестр:

    «HKLM\System\CurrentControlSet\Services\fweng\parameters\SynAttackHalfOpenEnable» значение изменено с 1000 до 2000.

    «HKLM\System\CurrentControlSet\Services\fweng\parameters\SynAttackHalfOpenDisable» значение изменено с 200 до 400.

    2) выполнен скрипт-исправление в соответствии с http://support.microsoft.com/kb/891244
    3) самое первое запрещающее правило, содержащее в себе "Domain name sets and URL sets", откорректировано: вместо "весь исходящий трафик" установлено ограничение по протоколам HTTP, HTTPS.

    Также выяснилось, что TMG реагирует обнаружением возможной SYN-атаки практически на всё подряд, что связано с сетевыми проблемами, которые "забивают" свободные каналы пересылки. Но администратору это без спецсредств и особых навыков и умений никак не продиагностировать.


    • Помечено в качестве ответа Dymkov Vasily 13 апреля 2012 г. 5:19
    • Изменено Dymkov Vasily 14 апреля 2012 г. 9:06
    13 апреля 2012 г. 5:19