На работе имеется вот такой зверь dfl-860e. в мануала написано что в нем есть защита от ddos. Но как она настраивается??? Очень нужна помощь с её настройкой (желательно с подробным описанием (я новичок)). Так же буде очень признателен и весьма благодарен за советы по настройке других параметров безопасности.
P.S. Пытался загуглить настройки защиты от ddos но ничего не нашел. ПОЖАЛУЙСТА не кидайте в беде, помогите!!!!

Зверь замечательный!

Какая версия прошивки на устройстве?
Сколько компов в локалке? Какая ширина канала интернета? Насколько загружен?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Версия текущего аппаратного обеспечения: 2.27.05.32-16775
В сети 30 компов.
Канал 10 Мб/с
В нормальном режиме работы канал практически не загружен.
Кроме рабочих компов в сети весит машина с сайтом.

viewtopic.php?f=3&t=147902
чем не мануал ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Активируете "Intrusion Detection & Prevention", далее, совместно с изложенным в Главе 6 (особенно разделы 6.5 и 6.6) вышеуказанного мануала, совместно вот с этим мануалом и описанием сигнатур аккуратно и бережно закручиваете гайки.

Не забываем про бэкапы!!! И обязательно протоколируйте, какие сигнатуры Вы включили.

Да, и еще - вкручивайте сигнатуры без фанатизма, поскольку юзверям все это не понравится.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

спс большое буду пробовать!

Народ, вроде начал разбираться, но...
Сейчас пытаюсь разобраться с сигнатурами. И вот тут не пойму, по мануалу вижу:

Атаки Ping of Death и Jolt регистрируются в журналах NetDefendOS «Ping of Death» как отброшенные пакеты с указанием на правило «LogOversizedPackets»

Если я правильно понимаю, то, создаю правило IDP, добавляю действие правила и уже там я должен найти сигнатуру «LogOversizedPackets», или имеется ввиду что надо сделать правило с названием «LogOversizedPackets», но тогда какие сигнатуры туда поместить??? Те которые я вижу (если правильно понял мануал) идут для запретов различных программ сайтов месенжеров и т.д. но ничего связанного с пакетами я не нашел блин.
Подскажите правильно ли я думаю если нет то подскажите куда копать

добавил сигнатуру
1 Audit IPS_WEB_PACKAGES
2 Protect IPS_WEB_PACKAGES

правильно ли я понял что эта сигнатура следить за входящими пакетами? и где поставить лимит на количество пакетов?

На какой трафик вы наложили эти сигнатуры?
И опять же, - либо действие Audit, либо Protect. Грубо говоря, - либо проводить взглядом, либо дать пинка.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

на IDP http наложил эти правила, аудит щас убрал

Чисто умозрительно: что будет, если например некий злоумышленник вставит любую картинку с этого сайта себе в подпись на каком-нить активно посещаемом ресурсе и отпишется в десятке активных тем? -)

(полагаю что совершенно легитимными запросами-ответами этой картинки 10мбит канал забьется намертво)

по каким причинам забьется?
я вижу две
1) размер картинки такой,что если ее постоянно скачивать, то канал забьется
2) забьется из-за количества одновременных подключений, если даже картинка не большая, то скачивая с нескольких IP сразу по 100 и более соединениям, канал забьется

диагностика
1) не знаю чем диагностировать, наверно надо делать алг на входящие, кстати насущный вопрос - анализ трафика от внутреннего веб сервера
2) диагностируется пороговыми правилами в режиме аудита, и syslog сборщиком (добавляем на вкладке Message Exceptions строчку 53 (THRESHOLD))

лечение
1) х.з., оно конечно в алг прописать, можно размер картинки уменьшить
2) вычисляем по сборщику IP, создаем для них группу, и врубаем для них пороговое правило в режиме протект, и при превышении кидаем в бан на несколько секунд, при этом ест галка, чтоб остальные соединения с этой сети не рубить (чтоб злодей не понял что происходит и проверки у него проходили)

блин так и не найду где поставить порог по кол-ву пакетов, дабы потом в черный список бросало.

блин так и не найду где поставить порог по кол-ву пакетов, дабы потом в черный список бросало.

Threshold Action
добавить надо
в документации все нормально описано