配置 TCP SYN Cookie
概述
SYN cookie 是一种无状态的 SYN 代理机制,您可以将其与其他针对 SYN 洪水攻击的防御措施结合使用。此示例说明如何配置 TCP SYN cookie。
配置
要为源和/或目标的 TCP 协议配置 SYN Cookie,请执行以下作:
设置要用于源 TCP 协议的最大分段大小 (MSS) 值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64为源 TCP 协议设置阈值速率值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100为源 TCP 协议设置阈值
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100设置要用于目标 TCP 协议的最大分段大小 (MSS) 值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200设置目标 TCP 协议的阈值速率值。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100为目标 TCP 协议设置阈值
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
结果
在配置模式下,输入 show services screen 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}