вторник, 19 апреля 2011 г.

Acme Packet - это просто. Дополнение к Части II.

При эксплуатации системы была обнаружена особенность при работе системы защиты от DDoS. Если уровень доверия выставлен в LOW, то уровень контроля может упасть до denied, при поступлении сообщений, которые отвергаются сервером или игнорируются по причине отсутствия ответа от сервера. Для изменения уровня контроля необходимо, чтобы было получено от сервера регистрации сообщение 200OK(Register), но есть особенность, при получении первого 200OK уровень изменяется на untrusted, и только при получении второго 200OK уровень изменяется на trusted. Это значит, что если произошел сбой на сервере регистраций и абонент был заблокирован, то для перехода на уровень trusted должно быть получено два сообщения 200OK. Т.к. второе сообщение генерируется по истечении таймера перерегистрации, а абонент может уже набрать номер и установить разговор после первого сообщения, то возникает ситуация, что IP адрес абонента опять превысит порог untrusted-signal-threshold и попадет в denied список. При малом пороге untrusted-signal-threshold может возникнуть ситуация, когда многопортовый шлюз не сможет перейти в trusted, т.к. для перехода в trusted два сообщения 200OK должны быть получены от одной учетной записи, а для перехода в denied достаточно любого сообщения с этого IP адреса, соответственно сообщения Register от соседних портов будут переводить весь шлюз на уровень denied. Для исключения этой ситуации изменим метод расчета untrusted-signal-threshold.

Учтем, что для успешной регистрации каждой учетной записи необходимо 2 сообщения Register, а также предусмотрим 10 сообщений для установления одного успешного разговора.

untrusted-signal-threshold = Количество портов * 2 +10

Комментариев нет:

Отправить комментарий