LINUX.ORG.RU
ФорумAdmin

Juniper SRX падает от icmp-флуда

 , ,


0

2

Сегодня обнаружил веселый баг железок juniper srx240h- они падают от icmp-флуда. Причем падают от предельно простого однострочника:

for i in {1..200}; do ping -c 30000 -i 0 -s 32 -q $IP & done
Причем даже блокировка ICMP не помогает. Прочитал статейку https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-n..., сделал как написано и ничего. Канал у джуна широкий, около 600 мбит между ДЦ, но падает он при нагрузке в ~120 мбит от флуда. Рядом стоит шлюз на лине и ему вообще пофик, пытался завалить его с двух ДЦ - тщетно, а джун ложится от одной виртуалки. Кто сталкивался с таким? Как можно пофиксить?

Ответ на: комментарий от router

junos

но решение я нашел:

show security screen                                                              
ids-option icmp-flood-protection {
    icmp {
        ip-sweep threshold 1000;
        fragment;
        large;
        flood threshold 1000;
        ping-death;
    }
}

после чего нужно добавить на нужную зону

Sherman ()
Последнее исправление: Sherman (всего исправлений: 1)