Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 412 views
  • Users 0 members are here
Options
Suggested

Feature Request: Sessoin Count limiting

techedge
Please consider adding either a limit or alarm for session counts.  This feature is highly valuable for finding virus infected nodes on a network and preventing DOS from the inside from killing the firewall.  P4-3ghz machines frequently open 6000 sessions, four to five will kill many firewalls. Some brands like NetScreen have a limit by source, destination for each interface.  
So you get an alarm and protect from DOS.  Go to three nodes, unplug and remediate  - network stays up.  This is a GREAT support feature for Network admins.

Just a thought....
  • 0
    Does the port scan detection detect anything in these cases?

    Barry
  • 0 in reply to BarryG
    sometimes it does sometimes not.  For example if you have a port 135 probe then the FW will  detect the scan but since the problem may be internal as well as external your firewall ends up protecting the outside from your local user's node.  And if the event is a smtp internal send outbound for 6000 sessions this may just go out w/o notice.  A sesssion limit both stops the resource consumption and shows you the bad guy on your network which network admins LOVE.
  • 0 in reply to techedge
    Hi there, 

    you can achieve exactly this by using the new DoS/Flood protection,
    which has been integrated in ASL V6.

    You can find it under WebAdmin > Intrusion Protection > Dos/Flood Protection.

    Just enabled the Limter for the different protocols.

    Per default we allow:
    -  200 new tcp sessions per sec per source
    -  300 new tcp sessions per sec per destination
    -  200 udp packets per sec per source
    -  300 udp packets per sec per destination
    -  5 icmp packets per sec per source
    -  5 icmp packets per sec per destination.

    this number are estimations for medium sized neworks, 
    please adjust them depending on your setup.

    thanks and regards
    Gert
  • 0 in reply to Gert Hansen
    Good thought but these are rate limits not absolute limits. I'm sure this is helpful in this problem but if an sick node bumps into the limits (rate limits) a few time and then settles on a node CPU limited rate of 6000 sessions you will still have a ton of bandwidth and firewall resources used up and may not "see" the offending party or parties.

    But, this is quite helpful too.

    Thanks for thinking about it.
Cookie Information Banner