Flood mitigation settings
 

Здравствуйте.

Может ли кто-нибудь подсказать, как рассчитать значения для настроек Flood mitigation settings в ISA server? Сеть около 550 ПК + веб сайт. С приходом безлимитного интернета (в организации довольно много человек имеют неограниченный доступ в интернет и активно пользуются BitTorrent) начались проблемы. Шлюз просто отваливается и все. Периодичности в сбоях нет, но это происходит сейчас по много раз в день.
Если это не связано с моей проблемой, то наведите на правильный путь.

Спасибо.

Вот такие Alerts у меня:

1. Description: The number of concurrent TCP connections from the source IP address x.x.x.x exceeded the configured limit. As a result, ISA Server will not allow the creation of new TCP connections from this source IP.
This IP address probably belongs to an attacker or an infected host.

2. Description: The number of TCP connections per minute from the source IP address x.x.x.y exceeded the configured limit. ISA Server will not allow the creation of new TCP connections from this source IP address during a system-defined time period. By default, this time period is 1 min.

3. Description: ISA Server disconnected a non-TCP connection from x.x.x.z because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.

Возможно вирусня, но на компах стоят антивирус с обновленными базами.

Ошибки как раз наводят на использование торрентов. Т.к. специфика торрентов - куча соединений, то выход можно найти такой: установить, например, Bandwidth Splitter, и им нарезать шейпинг, в котором можно задать количество разрешенных соединений на клиента.

Delirium, спасибо. Я в принципе так и думал. Bandwidth Splitter уже стоит, правда free trial на 10 человек. Буду говорить начальству о покупке.

Еще буду проводить некоторый анализ. Как решу проблему - отпишусь.

Как вариант - увеличить кол-во соединений TCP в настройках ISA.

Делал для некоторых самых активных узлов.
А вот вопрос: ISA server блокирует соединения, превышающее кол-во в настройках, может ли такая сетевая активность некоторых хостов стать причиной того, что ISA зависает и не отвечает некоторое время вообще (порой не пингуется)?
Если честно, сам я в это не верю.

Может, само название тебе об этом говорит: ;)

Я уточню. Имеется ввиду, другие узлы будут ли блокироваться? Т.е. не те, которые уже заблокированы.
Иначе зачем там тогда вообще имеются настройки по установке одновременных соединений (и т.д.) для отдельных объектов.
Может быть, я ошибаюсь.

Какие другие узлы!? О чём вы, молодой человек? Блокируются не узлы, а создание новых соединений с исой!
Почитайте пожалуйста от какого типа атаки вводятся такие ограничения, а потом уж задайте наводящие вопросы.

К примеру вот это из help к ISA:
Вот и спрашиваю, влияет ли повышенная cетевая активность отдельных клиентов на временный отказ в работе ISA server? Сервер довольно мощный в плане производительности (HP Proliant DL 380 4Gb RAM).
Пока теряюсь в догадках, что же все таки случилось. Не исключен фактор кривизны рук.

menpavel,

Ну всё верно, блокируются новые попытки соединения с исой.
Да повышенная сетевая активность отдельных клиентов влияет на временную недоступность этих же клиентов к исе.

Если жалуешься на кривизну рук, можешь кинуть мне backup исы, погляжу на досуге что к чему...

Спасибо за предложение, Anton04. Попробую разобраться сам. Найду решение - обязательно отпишусь.