配置 TCP SYN Cookie
概述
SYN Cookie 是一种无状态的 SYN 代理机制,您可以将其与其他防御 SYN 洪水攻击的防御措施结合使用。此示例说明如何配置 TCP SYN cookie。
要求
此示例使用以下硬件和软件组件:
- MX480 和 MX960 与 MX-SPC3
- Junos OS 21.2R1 版
配置
要为源和/或目标的 TCP 协议配置 SYN cookie,请执行以下任务:
设置用于源 TCP 协议的最大分段大小 (MSS) 的值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64为源 TCP 协议的阈值设置一个值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100为源 TCP 协议设置 threshold-num 的值
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100设置用于目标 TCP 协议的最大分段大小 (MSS) 值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200为目标 TCP 协议的阈值设置一个值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100为目标 TCP 协议的 threshold-num 设置值
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
结果
在配置模式下,输入 show services screen 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}