Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 9963 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DDoS attack shutting down external interfaces

Axeface
Hello,

I am having a horrible issue with the Astaro Gateway 7.405 software.

We are experiencing a DDoS attack currerntly and for the last few days.  The attack according to the Astaro is an ICMP flood orginating from a rotating list of about 30 IP addresses.  

The problem is that even though it isn't even really consuming our bandwidth, it is making the External Interfaces on the Astaro no longer route traffic in or out.

All I have to do is go to Network/Interfaces and hit the red right on all external interfaces and then wait a moment and then hit the green light and then all is well for an unknown period of time.  Maybe 10 minutes it will happen again, maybe 4 hours.  Sometimes the interfaces will start working on their own hours later.

This is incredibly frustrating and destroying our faith in the Astaro.  Even a cheap gateway router is handling the attacks far better.

If anyone knows what can be done to correct this, please let me know.  I think it is a serious bug in the Astaro software.  Currently I can't even log into our network remotely because the Astaro's external ports need reset again.


This thread was automatically locked due to age.
Parents
  • 0
    Make sure your ICMP settings are correct in packet filter --> ICMP section. I would suspect that your problem is not the firewall getting overwhelmed by the attack but the IPS itself. Is your hardware capable of running under these attack conditions with IPS actively blocking attacks? How is you cpu/ram usage?

    You probably can do 2 things. Uncheck notify on icmp in IPS till the attack is over since its cosuming more resources or just uncheck ICMP section of the IPS all together. The way IPS is setup, it only looks for traffic that has already penetrated the firewall. If you are actively blocking all ICMP, the IPS shouldn't see any of this anyways. 

    Keep us informed and if it gets worst, you might have to contact your ISP to make appropriate changes in the routing algorithms.
Reply
  • 0
    Make sure your ICMP settings are correct in packet filter --> ICMP section. I would suspect that your problem is not the firewall getting overwhelmed by the attack but the IPS itself. Is your hardware capable of running under these attack conditions with IPS actively blocking attacks? How is you cpu/ram usage?

    You probably can do 2 things. Uncheck notify on icmp in IPS till the attack is over since its cosuming more resources or just uncheck ICMP section of the IPS all together. The way IPS is setup, it only looks for traffic that has already penetrated the firewall. If you are actively blocking all ICMP, the IPS shouldn't see any of this anyways. 

    Keep us informed and if it gets worst, you might have to contact your ISP to make appropriate changes in the routing algorithms.
Children
  • 0 in reply to Billybob
    Make sure your ICMP settings are correct in packet filter --> ICMP section. 


    I've opened a thread regarding the DOS issue and how to prevent it
  • 0 in reply to wingman
    Thanks for the suggestions.

    I checked the settings in ICMP and they look right, everything is turned off except ping from server and traceroute from server.

    Ping visible was turned on however, I turned that off just in case.

    Here is an example of what the IPS log tells me:

    name="ICMP flood detected" action="ICMP flood" fwrule="60014" seq="0" initf="eth2" outitf="eth2" dstmac="00:17:9a:b9:bc:1f" srcmac="00:00:00:00:00:00" srcip="129.250.28.194" dstip="*my IP*" proto="1" length="56" tos="0x00" prec="0x00" ttl="243" type="11" code="0" 

    I had the ICMP unchecked for a day and the Astaro went down less frequently, but I don't know if it was because the attacks were lessening.