Data ONTAP: prevenir Ping Flood y denegación de servicio

Data ONTAP (Netapp) permite configurar el número máximo de paquetes ICMP que se aceptan por segundo. En el momento que se supere este límite los paquetes serán descartados para evitar ping flood y ataques de denegación de servicio.

La opción es la siguiente, por defecto acepta 150 paquetes como máximo por segundo:

options ip.ping_throttle.drop_level 150

Para modificar este valor, simplemente cambiamos el nº de paquetes, si quisiéramos cambiarlo a 1000:

filer> options ip.ping_throttle.drop_level 1000

Podéis comprobar si estos cambios surten efecto lanzando un ping flood contra la IP de la NetAPP:

ping -A XX.XX.XX.XX

Hay otras opciones como options ip.ping_throttle.alarm_interval, que especifica cuán a menudo los pings descartados son registrados en el audit log. Esto pretende prevenid que se haga flood al log de auditoría.

Por defecto está a 5:

options ip.ping_throttle.alarm_interval 5

También podemos deshabiltar los icmp redirects:

ip.icmp_ignore_redirect.enable off

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *