配置 TCP SYN Cookie
概述
SYN Cookie 是一种无状态的 SYN 代理机制,您可以将其与其他防御 SYN 洪水攻击的防御措施结合使用。此示例说明如何配置 TCP SYN cookie。
要求
此示例使用以下硬件和软件组件:
- MX480 和 MX960 与 MX-SPC3
- Junos OS 21.2R1 版
配置
要为源和/或目标的 TCP 协议配置 SYN cookie,请执行以下任务:
设置用于源 TCP 协议的最大分段大小 (MSS) 的值。
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64
为源 TCP 协议的阈值设置一个值。
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100
为源 TCP 协议设置 threshold-num 的值
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100
设置用于目标 TCP 协议的最大分段大小 (MSS) 值。
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200
为目标 TCP 协议的阈值设置一个值。
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100
为目标 TCP 协议的 threshold-num 设置值
[edit]
user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
结果
在配置模式下,输入 show services screen 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show services screen
ids-option ids-option-in { match-direction input-output; limit-session { by-source { by-protocol { tcp { syn-cookie { mss 64; threshold-rate 100; threshold-num 100; } } } } by-destination { maximum-sessions 5000; session-rate 5000; by-protocol { tcp { syn-cookie { mss 200; threshold-rate 100; threshold-num 100; }