Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6941 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reasonable settings for TCP SYN Flood Protection

szo850
Hello,
We're experiencing major TCP SYN attacks lately, aimed at a public webserver that we host with a DNAT. The IIS is really taking a beating, although we have the TCP SYN Flood Protection setting (source address) as low as 5pps! We've also turned out country blocking and only alowing traffic from Skandinavia and the US.

Is there anything else we can do out of the UTM point of view so secure the webserver? I'm tried setting it up with WAF, but some functionality is lost and must be solved first. Would WAF "solve" the problem with TCP SYN or just pass it down to the IIS anyways?

Any help would be much appreciated.

Best Regards,
szo850


This thread was automatically locked due to age.
  • 0
    Hi,

    If the attacker is ONLY sending SYN packets, then the WAF should absorb them without passing them to the webserver.

    Are the attacks coming from a small group of IPs, or a LOT of IPs?
    If it's a large and dynamic group, it's hard for a flood protection system to filter them.

    You could look at a DDOS protection service such as Prolexic, but they are expensive.

    Barry
  • 0 in reply to BarryG
    Hi,

    If the attacker is ONLY sending SYN packets, then the WAF should absorb them without passing them to the webserver.

    Are the attacks coming from a small group of IPs, or a LOT of IPs?
    If it's a large and dynamic group, it's hard for a flood protection system to filter them.

    You could look at a DDOS protection service such as Prolexic, but they are expensive.

    Barry

    Hey,
    Thanks. Ok, sounds like I should give WAF a try. Yeah we are also getting 60Gbps of UDP floods but luckily we have an ISP that helps us with that one. The TCP SYN is a bit more tricky.

    I did actually "publish" another webserver with WAF yesterday but today I suddenly get a 403 forbidden error. Before I got this to work at all, I had to reboot the UTM. It seems a bit shaky to me. Any knows issues with WAF? [:S]
  • 0
    Some of the WAF rules have false positives with some (many?) web sites; you'll need to look at the WAF logs...

    Barry
  • 0 in reply to BarryG
    Some of the WAF rules have false positives with some (many?) web sites; you'll need to look at the WAF logs...

    Barry

    Ok, I'll do that. Thank you.
  • 0 in reply to BarryG
    Some of the WAF rules have false positives with some (many?) web sites; you'll need to look at the WAF logs...

    Barry
    Yes, that SQL injection filter did a number on me, it's working much better now [:)]