Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 9962 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DDoS attack shutting down external interfaces

Axeface
Hello,

I am having a horrible issue with the Astaro Gateway 7.405 software.

We are experiencing a DDoS attack currerntly and for the last few days.  The attack according to the Astaro is an ICMP flood orginating from a rotating list of about 30 IP addresses.  

The problem is that even though it isn't even really consuming our bandwidth, it is making the External Interfaces on the Astaro no longer route traffic in or out.

All I have to do is go to Network/Interfaces and hit the red right on all external interfaces and then wait a moment and then hit the green light and then all is well for an unknown period of time.  Maybe 10 minutes it will happen again, maybe 4 hours.  Sometimes the interfaces will start working on their own hours later.

This is incredibly frustrating and destroying our faith in the Astaro.  Even a cheap gateway router is handling the attacks far better.

If anyone knows what can be done to correct this, please let me know.  I think it is a serious bug in the Astaro software.  Currently I can't even log into our network remotely because the Astaro's external ports need reset again.


This thread was automatically locked due to age.
  • 0
    Make sure your ICMP settings are correct in packet filter --> ICMP section. I would suspect that your problem is not the firewall getting overwhelmed by the attack but the IPS itself. Is your hardware capable of running under these attack conditions with IPS actively blocking attacks? How is you cpu/ram usage?

    You probably can do 2 things. Uncheck notify on icmp in IPS till the attack is over since its cosuming more resources or just uncheck ICMP section of the IPS all together. The way IPS is setup, it only looks for traffic that has already penetrated the firewall. If you are actively blocking all ICMP, the IPS shouldn't see any of this anyways. 

    Keep us informed and if it gets worst, you might have to contact your ISP to make appropriate changes in the routing algorithms.
  • 0 in reply to Billybob
    Make sure your ICMP settings are correct in packet filter --> ICMP section. 


    I've opened a thread regarding the DOS issue and how to prevent it
  • 0 in reply to wingman
    Thanks for the suggestions.

    I checked the settings in ICMP and they look right, everything is turned off except ping from server and traceroute from server.

    Ping visible was turned on however, I turned that off just in case.

    Here is an example of what the IPS log tells me:

    name="ICMP flood detected" action="ICMP flood" fwrule="60014" seq="0" initf="eth2" outitf="eth2" dstmac="00:17:9a:b9:bc:1f" srcmac="00:00:00:00:00:00" srcip="129.250.28.194" dstip="*my IP*" proto="1" length="56" tos="0x00" prec="0x00" ttl="243" type="11" code="0" 

    I had the ICMP unchecked for a day and the Astaro went down less frequently, but I don't know if it was because the attacks were lessening.
  • 0
    hi Axeface, 

    Did you enable the DoS/Flood protection feature in the IPS system?

    GoTo WebAdmin > Network Security > Intrusion Prevention > Anti-DoS/Flooding.

    Enable the ICMP Flooding filter, set the Mode to "Destination Address only", Logging to "off" and set the "Source packet rate" to 8 pckts/sec.

    By doing so you enable a very fast and effective filter prior all other filters. This will help you to reduce pkt/sec rate which currently overloads your interface.

    I hope that helps, 

    regards
    Gert
  • 0
    In order to protect yourself from IP spoofing you should enable the spoofing filter, go to WebAdmin > Network Security > Packet Filter > Advanced and set the Spoof Protection to Normal or even "strict".

    regards
    Gert
  • 0 in reply to Gert Hansen
    If you have support, I suggest that you open a case so they can investigate the issue; my guess is that there is some sort of configuration issue... I've "smashed" some test installs before, and they held up well.
  • 0
    Hi Axeface,
    You are not alone.  Yesterday at 10:30 AM Eastern and again today before noon we were experiencing the same symptoms.  Same scenario... same symptom.  We are going to try the suggestions that BillyBob, Wingman and Gert mentioned tonight and see what happens tomorrow. 

    Best regards,
    John