Détecter l’utilisation de bande passante élevée par un pod/groupe (DDoS)

SUSE® SecurityLes utilisateurs peuvent définir la détection de violation de bande passante ou de taux de session au niveau du groupe en fonction des paramètres de seuil préconfigurés. Ces paramètres fonctionnent pour les groupes appris ou créés par l’utilisateur, mais pas pour les groupes réservés.

Un chronomètre d’une minute est créé pour vérifier périodiquement le seuil de métrique du groupe pour les violations. Une fois qu’une violation est détectée, un Group.Metric.Violation événement est généré et un message est imprimé pour décrire l’événement.

Vous pouvez configurer les seuils de métriques suivants pour chaque groupe :

  • Mon_metric : Active ou désactive la surveillance des métriques pour le groupe.

  • Grp_sess_rate : Seuil de taux de session, mesuré en connexions par seconde (cps). La valeur par défaut est 0, ce qui désactive la détection.

  • Grp_band_width : Seuil de débit, mesuré en mégabits par seconde (Mbps). La valeur par défaut est 0, ce qui désactive la détection.

  • Grp_cur_sess : Seuil du nombre de sessions actives.

Configurer les seuils de métriques du groupe

Vous pouvez configurer les seuils de métriques du groupe en utilisant soit SUSE® Security le CLI, soit l’interface web.

Configurer les seuils en utilisant le CLI

Pour voir les options de métriques de groupe disponibles, exécutez la commande suivante :

set group <group-name> setting -h

Exemple de sortie :

--monitor_metric [enable|disable]   Monitor metric status
--cur_sess INTEGER                  Active session threshold
--sess_rate INTEGER                 Session rate threshold (cps)
--bandwidth INTEGER                 Throughput threshold (Mbps)

Configurer les seuils en utilisant l’interface web

Vous pouvez activer ou désactiver les seuils de métriques du groupe lors de la création ou de la modification d’un groupe.

  • Utilisez la vue Add Group pour configurer les seuils d’un nouveau groupe.

    Add Group

  • Utilisez la vue Modifier le groupe pour mettre à jour les seuils d’un groupe existant.

    Modifier le groupe

Exemple de workflow

L’exemple suivant montre comment fonctionne la détection des seuils de métriques de groupe.

  1. Ajoutez des seuils de métriques à un groupe appris ou créé par l’utilisateur.

    Add Group

  2. Générez du trafic vers le groupe jusqu’à ce que le nombre de sessions actives atteigne le seuil configuré.

    Add Group

  3. Lorsqu’un seuil est dépassé, SUSE® Security génère un Group.Metric.Violation événement.

    Add Group

  • SUSE® Security évalue le trafic moyen des 60 secondes précédentes pour déterminer si un seuil a été dépassé.

  • Le mode de protection fournit les mesures les plus précises, car l’enforcer fonctionne en ligne sur le chemin des données.

  • Dans les environnements multi-clusters, les clusters principaux et gérés doivent tous deux exécuter la version 5.4 ou ultérieure pour prendre en charge les seuils de métriques de groupe fédérés.

  • Si les clusters gérés exécutent des versions antérieures à 5.4, les paramètres de seuils fédérés sont ignorés jusqu’à ce que ces clusters soient mis à niveau.

  • Après avoir mis à niveau les clusters gérés vers la version 5.4 ou ultérieure, resynchronisez manuellement les clusters pour activer la surveillance DDoS pour les groupes fédérés.