Erkennung von hohem Bandbreitenverbrauch durch einen Pod/eine Gruppe (DDoS)

SUSE® Security Benutzer können die Bandbreiten- oder Sitzungsratenverletzungsüberwachung auf Gruppenebene basierend auf vordefinierten Schwellenwerten einstellen. Diese Einstellungen gelten für erlernte oder benutzererstellte Gruppen, jedoch nicht für reservierte Gruppen.

Ein Timer mit einer Minute wird erstellt, um regelmäßig den Schwellenwert für Gruppenmetriken auf Verstöße zu überprüfen. Sobald ein Verstoß erkannt wird, wird ein Group.Metric.Violation Ereignis generiert und eine Nachricht wird ausgegeben, um das Ereignis zu beschreiben.

Sie können die folgenden Metrikschwellenwerte für jede Gruppe konfigurieren:

  • Mon_metric: Aktiviert oder deaktiviert die Metriküberwachung für die Gruppe.

  • Grp_sess_rate: Schwellenwert für die Sitzungsrate, gemessen in Verbindungen pro Sekunde (cps). Der Standardwert ist 0, was die Erkennung deaktiviert.

  • Grp_band_width: Schwellenwert für den Durchsatz, gemessen in Megabit pro Sekunde (Mbps). Der Standardwert ist 0, was die Erkennung deaktiviert.

  • Grp_cur_sess: Schwellenwert für die Anzahl aktiver Sitzungen.

Konfigurieren Sie die Metrikschwellenwerte der Gruppe

Sie können die Metrikschwellenwerte der Gruppe entweder über die SUSE® Security Kommandozeilenschnittstelle oder die Web-UI konfigurieren.

Konfigurieren Sie Schwellenwerte über die Kommandozeilenschnittstelle

Um die verfügbaren Metrikoptionen für Gruppen anzuzeigen, führen Sie den folgenden Befehl aus:

set group <group-name> setting -h

Beispielausgabe:

--monitor_metric [enable|disable]   Monitor metric status
--cur_sess INTEGER                  Active session threshold
--sess_rate INTEGER                 Session rate threshold (cps)
--bandwidth INTEGER                 Throughput threshold (Mbps)

Konfigurieren Sie Schwellenwerte über die Web-UI

Sie können die Metrikschwellenwerte der Gruppe beim Erstellen oder Bearbeiten einer Gruppe aktivieren oder deaktivieren.

  • Verwenden Sie die Add Group Ansicht, um Schwellenwerte für eine neue Gruppe zu konfigurieren.

    Add Group

  • Verwenden Sie die Edit Group Ansicht, um die Schwellenwerte für eine vorhandene Gruppe zu aktualisieren.

    Edit Group

Beispielworkflow

Das folgende Beispiel zeigt, wie die Schwellenwertüberwachung für Gruppen funktioniert.

  1. Fügen Sie einer gelernten oder benutzererstellten Gruppe Metrikschwellenwerte hinzu.

    Add Group

  2. Generieren Sie Verkehr zur Gruppe, bis die Anzahl der aktiven Sitzungen den konfigurierten Schwellenwert erreicht.

    Add Group

  3. Wenn ein Schwellenwert überschritten wird, SUSE® Security generiert ein Group.Metric.Violation Ereignis.

    Add Group

  • SUSE® Security bewertet den durchschnittlichen Verkehr der letzten 60 Sekunden, um festzustellen, ob ein Schwellenwert überschritten wurde.

  • Der Schutzmodus bietet die genauesten Messungen, da der Durchsetzer inline im Datenpfad arbeitet.

  • In Multi-Cluster-Umgebungen müssen sowohl der primäre als auch die verwalteten Cluster Version 5.4 oder höher verwenden, um federierte Gruppenmetrik-Schwellenwerte zu unterstützen.

  • Wenn verwaltete Cluster Versionen vor 5.4 ausführen, werden federierte Schwellenwerteinstellungen ignoriert, bis diese Cluster aktualisiert werden.

  • Nach der Aktualisierung der verwalteten Cluster auf Version 5.4 oder höher synchronisieren Sie die Cluster manuell, um die DDoS-Überwachung für federierte Gruppen zu aktivieren.