2 частично открытые сеансы, Tcp и времени блокирования – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

228

Глава 14 Настройка межсетевого экрана

Если в свете любого из этих факторов ваша сеть оказывается медленнее, чем
среднестатистическая (особенно если имеются серверы с малой производительностью
или высокой загруженностью), то значения по умолчанию следует уменьшить.

Прежде чем продолжить настройку правил межсетевого экрана, необходимо завершить
изменения пороговых значений.

14.8.2 Частично открытые сеансы

Необычно высокое число частично открытых сеансов (как абсолютное число, так и
частота поступления) может говорить об имеющей место атаке с целью спровоцировать
отказ в обслуживании. Для TCP, понятие “частично открытый” означает, что сеанс не
достиг установленного состояния – трехэтапное установление соединения TCP еще не
было завершено (см.

рис. 99 на стр. 201

). Для UDP частично открытыми сеансами

считаются те, в которых межсетевой экран не обнаружил встречного трафика.

P-2602 измеряет как общее число частично открытых сеансов в данный момент
времени, так и частоту попыток установления сеанса. Для обоих протоколов
отслеживается общее число и частота возникновения частично открытых сеансов.
Измерения производятся раз в минуту.

Когда число существующих частично открытых сеансов превышает порог (max-
incomplete high ), P-2602 начинает удалять частично открытые сеансы, освобождая
ресурсы для новых запросов на соединение. P-2602 продолжает удалять частично
открытые сеансы, пока это необходимо, т.е. пока число существующих частично
открытых сеансов не опустится ниже другого порога (max-incomplete low).

Когда частота накопления частично открытых сеансов превышает порог (one-minute
high), P-2602 начинает удалять частично открытые сеансы, освобождая ресурсы для
новых запросов на соединение. P-2602 продолжает удалять частично открытые сеансы,
пока это необходимо, т.е. пока частота накопления частично открытых сеансов не
опустится ниже другого порога (one-minute low). Частота – это число новых попыток,
выявленных в последнем одноминутном периоде измерений.

14.8.2.1 Задание верхнего порога частично открытых сеансов TCP и времени
блокирования

Необычно высокое число частично открытых сеансов с одним и тем же адресатом
может говорить об имеющей место атаке с целью спровоцировать отказ в
обслуживании.

Когда число существующих частично открытых сеансов превышает порог (TCP
Maximum Incomplete), P-2602 начинает удалять частично открытые сеансы,
руководствуясь одним из следующих методов.

• Если величина Blocking Time равна 0 (значение по умолчанию), P-2602 при каждом

новом запросе на подключение к хосту будет удалять самый старый из частично
открытых сеансов. Это позволяет гарантировать, что число частично открытых
сеансов с конкретным хостом никогда не превысит порог.