Павел, добрый день!
Запустили FNM в режиме Mirroring - сливаем на него трафик с одного из наших BGP-аплинков.
В первую очередь, FNM планируем использовать для предотвращения UDP-атак, поскольку в целом TCP от интернета закрыт в целом.
В качестве тестирования настроили параметры для "бана" - 5 Мбит / протокол UDP
Тем не менее наблюдаем интересную картину:
- в бан может попасть и tcp
- по наблюдениям, если случается бан - то в какой-то короткий промежуток времени (1-2 минуты) генерится сразу еще несколько банов. То есть единичный бан вообще отсутствует, если случается бан - то сразу несколько.
Так же есть вопрос по поводу ассиметричной маршутизации - у нас имеется пара бордеров, каждый со своим набором BGP-аплинков. Соответственно входящий и исходящий трафик может идти разными путями.
Будет ли в этом случае FNM считать трафик подходящим под условия для бана? Сейчас мы мониторинг только incoming.
Насколько я понимаю, FNM способен отслеживать потоки, к примеру поток голосового (RTP) трафика, тем самым понимает, что входящий UDP - это не трафик атаки, а "нормальный" трафик.
Спасибо
root@fcli> show hostgroup global
ban_for_bandwidth: disabled
ban_for_flows: disabled
ban_for_icmp_bandwidth: disabled
ban_for_icmp_pps: disabled
ban_for_pps: disabled
ban_for_tcp_bandwidth: disabled
ban_for_tcp_pps: disabled
ban_for_udp_bandwidth: enabled
ban_for_udp_pps: disabled
description:
enable_ban: enabled
name: global
networks:
threshold_flows: 0
threshold_icmp_mbps: 0
threshold_icmp_pps: 0
threshold_mbps: 0
threshold_pps: 100
threshold_tcp_mbps: 0
threshold_tcp_pps: 0
threshold_udp_mbps: 5
threshold_udp_pps: 1000
fnm_log.txt