Настройка ADP для исключения UDP флудинга

follet

Добрый день. Столкнулся с проблемой проседания скорости интернета. Обратил внимание что ЦП и активные сессии на файерволе под 99%.

Model Name: ZyWALL USG 100

Firmware Version: 3.30(AQQ.7)

Ранее такое наблюдалось, но это была краткосрочная загрузка на которую я не обратил особого внимания, сейчас эта атака длится 4й день.



Для решения вопроса я по рекомендации отключил логирование событий и уменьшил значение трешхолда в разделе ADP:



К сожалению загрузка ЦП не уменьшилась, как и список активныхх сессий.

Я понимаю что роутер не поддерживается, но ведь 20тыс сессий это не мало, при этом если рассмотреть другие более производительные альтернативы, то стек из 150 или 600 тыс активных сессий также от похожей атаки заполняться быстро...

Какие ещё можно внести настройки, измененияз, рекомендации, чтобы оптимизировать работу роутера?

p.s. на англоязычном форуме порекомендовали терпеть, сказали что с этим ничего нельзя поделать.

follet

Вопрос решен!

От флуда никуда не деться, я обратил внимание, что галочка "Файерволл" не была установлена, после того, как я её установил, 53-й порт автоматически закрылся, пул активных сессий и загрузка ЦП теперь составляет около 20%!

Zyxel_Andrew

Здравствуйте.
Попросите вашего провайдера закрыть 53 порт в вашу сторону. Полагаю, это будет лучшим решением в данном случае.

follet

2 из 2х провайдеров мне сообщили, что они не могут закрыть 53 порт, может есть ещё какие-то рекомендации?

Zyxel_Andrew

попробуйте еще уменьшить порог срабатывания ADP для UDP flood и, возможно, уменьшить таймаут UDP сессии. Так же можно попробовать заблокировать 53 udp порт на файрволе шлюза. Проверьте, работает ли вашем шлюзе команда show conn iface fastpath, если работает, то пришлите ее вывод в текстовом файле.

follet

Да, я создал отдельную тему по этому поводу т.к. в файерволе у меня правило уже такое есть: