Résolue

Saturation CPU par scan de ports intensif NMap

Posée par Xavier r il y a 12 mois mise à jour il y a 4 mois

Bonjour à tous,

Afin de tester notre nouveau couple d'appliance cluster HA de 2 FAST360, j'ai tenté de réaliser un scan intensif de tous les ports liés à l'interface externe virtuelle via le logiciel NMap. "Juste pour voir"

Résultat:

NMap a fait augmenter assez rapidement la charge CPU à 50%, puis a augmenté progressivement cette charge à des valeurs très hautes (avec pics à 100% parfois).

Ma question est la suivante:

Connaissez-vous un moyen qui pourrait permettre à l'appliance de détecter une ou plusieurs IPs capables de la solliciter plus que de raison, et de les bloquer?

Merci par avance

Expert

Réponse sélectionnée

Publié il y a 12 mois 3 jours par Nicolas H. - Arkoon

Bonjour,

Ce comportement peut être traité sur 2 angles différents.

- Une première réponse est détaillée sur le post suivant : http://open.arkoon.net/aoc/blocage-ip-suite-a-attaque-100156

Il y est indiqué comment la détection de port scan peut être paramétrée pour entrainer moins de charge système. Il est aussi possible de limiter le nombre de tcp syn sur une interface pour se prémunir d'attaque DoS (le scan intensif peut s'y apparenter).

- Une deuxième solution serait de traiter la charge liée aux logs de scan de port. Dans la version 5.2, une nouvelle fonctionnalité d'antiflooding de logs IP est implémentée, limitant l'impact de l'émission d'un grand nombre de logs sur l'appliance FAST360. Cette version va être disponible très prochainement.

Les deux solutions peuvent être mise en œuvre dans ce cas de portscan.

Nicolas