Detección de ataque para rechazo de servicio

Esta característica sólo está disponible para el componente Dispatcher.

Dispatcher proporciona la capacidad de detectar ataques para "rechazo de servicio" (DoS) potenciales y notifica a los administradores mediante una alerta. Dispatcher lo lleva a cabo analizando las solicitudes entrantes para una cantidad llamativa de conexiones TCP medio abiertas en servidores, un rasgo común de los ataques simples para rechazo de servicio (DoS). En un ataque para rechazo de servicio (DoS), un sitio recibe una gran cantidad de paquetes SYN fabricados procedentes de un gran número de direcciones IP de origen y números de puerto de origen, pero el sitio no recibe paquetes posteriores para estas conexiones TCP. Esto resulta en un gran número de conexiones TCP medio abiertas en los servidores y, con el tiempo, los servidores pueden funcionar muy lentamente y no aceptar nuevas conexiones entrantes.

Nota:
Debe haber tráfico entrante a través del clúster y del puerto a los que se ataca para que Dispatcher pueda determinar el fin del ataque para rechazo de servicio (DoS). Dispatcher no puede detectar que el ataque se ha detenido hasta que el tráfico empieza a circular de nuevo.

Load Balancer proporciona salidas de usuario que desencadenan scripts que se pueden personalizar y que avisan al administrador de un posible ataque de rechazo de servicio. Dispatcher proporciona archivos script de ejemplo en el directorio siguiente:

Están disponibles los siguientes scripts:

Para ejecutar los archivos, debe ponerlos en el directorio siguiente y eliminar la extensión de archivo ".sample":

Para implementar la detección del ataque DoS, establezca el parámetro maxhalfopen en el mandato dscontrol port tal como se indica a continuación:

dscontrol port set 127.40.56.1:80 maxhalfopen 1000

En el ejemplo anterior, Dispatcher comparará el número total actual de conexiones medio abiertas (para todos los servidores que residen en el clúster 127.40.56.1 en el puerto 80) con el valor de umbral 1000 (especificado por el parámetro maxhalfopen). Si el número de conexiones medio abiertas actuales excede el umbral, se realiza una llamada al script de alerta (halfOpenAlert). Cuando el número de conexiones medio abiertas es inferior al umbral, se realiza una llamada a otro script de alerta (halfOpenAlertDone) para indicar que el ataque ha terminado.

Para determinar cómo establecer el valor maxhalfopen: ejecute periódicamente (quizás cada 10 minutos) un informe de conexiones medio abiertas (dscontrol port halfopenaddressreport clúster:puerto) cuando la cantidad de tráfico del sitio oscile de normal a elevada. El informe de conexiones medio abiertas devolverá el "total de conexiones medio abiertas recibidas" actuales. Debe establecer maxhalfopen en un valor entre un 50 y un 200% mayor que el número más alto de conexiones medio abiertas que se producen en el sitio.

Además de los datos estadísticos reportados, halfopenaddressreport también genera entradas en las anotaciones cronológicas (..ibm/edge/lb/servers/logs/dispatcher/halfOpen.log) para todas las direcciones de cliente (hasta aproximadamente 8000 pares de direcciones) que han accedido a servidores que han resultado en conexiones medio abiertas.

Nota:
Existe una condición de excepción SNMP correspondiente a los scripts halfOpenAlert y halfOpenAlertDone. Si el subagente SNMP está configurado y en ejecución, las correspondientes condiciones de excepción se envían en las mismas condiciones que desencadenaron los scripts. Si desea más información sobre el subagente SNMP, consulte el apartado Utilización de Simple Network Management Protocol con el componente Dispatcher.

Para proporcionar protección adicional de los ataques para rechazo de servicio (DoS) para servidores de programas de fondo, puede configurar puertos y clústeres comodín. En concreto, añada un puerto comodín sin servidores bajo cada clúster configurado. Añada también un clúster comodín con un puerto comodín y sin servidores. Esto provocará que se descarten todos los paquetes que no se dirijan a un clúster y puerto que no sea comodín. Para obtener información sobre los clústeres comodín y los puertos comodín, consulte Utilizar un clúster comodín para combinar configuraciones de servidor y Utilizar puerto comodín para dirigir tráfico de puerto no configurado.