Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   Flood mitigation settings (http://forum.oszone.net/showthread.php?t=166814)

menpavel 09-02-2010 13:29 1342962

Flood mitigation settings
 
Здравствуйте.

Может ли кто-нибудь подсказать, как рассчитать значения для настроек Flood mitigation settings в ISA server? Сеть около 550 ПК + веб сайт. С приходом безлимитного интернета (в организации довольно много человек имеют неограниченный доступ в интернет и активно пользуются BitTorrent) начались проблемы. Шлюз просто отваливается и все. Периодичности в сбоях нет, но это происходит сейчас по много раз в день.
Если это не связано с моей проблемой, то наведите на правильный путь.

Спасибо.

Вот такие Alerts у меня:

1. Description: The number of concurrent TCP connections from the source IP address x.x.x.x exceeded the configured limit. As a result, ISA Server will not allow the creation of new TCP connections from this source IP.
This IP address probably belongs to an attacker or an infected host.

2. Description: The number of TCP connections per minute from the source IP address x.x.x.y exceeded the configured limit. ISA Server will not allow the creation of new TCP connections from this source IP address during a system-defined time period. By default, this time period is 1 min.

3. Description: ISA Server disconnected a non-TCP connection from x.x.x.z because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.

Возможно вирусня, но на компах стоят антивирус с обновленными базами.

Delirium 10-02-2010 01:14 1343518

Ошибки как раз наводят на использование торрентов. Т.к. специфика торрентов - куча соединений, то выход можно найти такой: установить, например, Bandwidth Splitter, и им нарезать шейпинг, в котором можно задать количество разрешенных соединений на клиента.

menpavel 10-02-2010 05:05 1343589

Delirium, спасибо. Я в принципе так и думал. Bandwidth Splitter уже стоит, правда free trial на 10 человек. Буду говорить начальству о покупке.

Еще буду проводить некоторый анализ. Как решу проблему - отпишусь.

Delirium 10-02-2010 05:52 1343598

menpavel, для спасибо есть отдельная кнопочка с рукой под каждым сообщением :)

Dimas_83 12-02-2010 23:54 1345871

Как вариант - увеличить кол-во соединений TCP в настройках ISA.

menpavel 17-02-2010 11:54 1349268

Цитата:

Цитата Dimas_83
Как вариант - увеличить кол-во соединений TCP в настройках ISA. »

Делал для некоторых самых активных узлов.
А вот вопрос: ISA server блокирует соединения, превышающее кол-во в настройках, может ли такая сетевая активность некоторых хостов стать причиной того, что ISA зависает и не отвечает некоторое время вообще (порой не пингуется)?
Если честно, сам я в это не верю.

Anton04 17-02-2010 13:24 1349346

Цитата:

Цитата menpavel
А вот вопрос: ISA server блокирует соединения, превышающее кол-во в настройках, может ли такая сетевая активность некоторых хостов стать причиной того, что ISA зависает и не отвечает некоторое время вообще (порой не пингуется)? »

Может, само название тебе об этом говорит:
Цитата:

Цитата menpavel
блокирует соединения, превышающее кол-во в настройках »

;)

menpavel 18-02-2010 05:21 1350016

Цитата:

Цитата Anton04
блокирует соединения, превышающее кол-во в настройках »

Я уточню. Имеется ввиду, другие узлы будут ли блокироваться? Т.е. не те, которые уже заблокированы.
Иначе зачем там тогда вообще имеются настройки по установке одновременных соединений (и т.д.) для отдельных объектов.
Может быть, я ошибаюсь.

Anton04 18-02-2010 10:22 1350143

Цитата:

Цитата menpavel
Имеется ввиду, другие узлы будут ли блокироваться? »

Какие другие узлы!? О чём вы, молодой человек? Блокируются не узлы, а создание новых соединений с исой!
Почитайте пожалуйста от какого типа атаки вводятся такие ограничения, а потом уж задайте наводящие вопросы.

menpavel 19-02-2010 06:57 1350829

К примеру вот это из help к ISA:
Цитата:

ISA Server has the ability to identify and block clients that generate excessive traffic, protecting ISA Server from possible performance effects caused by the continual denial of connection requests that can be caused by flooding.
Вот и спрашиваю, влияет ли повышенная cетевая активность отдельных клиентов на временный отказ в работе ISA server? Сервер довольно мощный в плане производительности (HP Proliant DL 380 4Gb RAM).
Пока теряюсь в догадках, что же все таки случилось. Не исключен фактор кривизны рук.

Anton04 20-02-2010 22:54 1352239

menpavel,

Ну всё верно, блокируются новые попытки соединения с исой.
Да повышенная сетевая активность отдельных клиентов влияет на временную недоступность этих же клиентов к исе.

Если жалуешься на кривизну рук, можешь кинуть мне backup исы, погляжу на досуге что к чему...

menpavel 26-02-2010 07:35 1356225

Спасибо за предложение, Anton04. Попробую разобраться сам. Найду решение - обязательно отпишусь.


Время: 02:32.

Время: 02:32.
© OSzone.net 2001-