tcp-sweep
構文
tcp-sweep { threshold number; }
階層レベル
[edit security screen ids-option screen-name tcp]
説明
TCPスイープ攻撃を検出して防止するようにデバイスを設定します。TCPスイープ攻撃では、攻撃者はTCPハンドシェイクの一部としてTCP SYNパケットをターゲットデバイスに送信します。デバイスがこれらのパケットに応答すると、攻撃者はターゲットデバイスのポートが開いていることを示すため、ポートが攻撃に対して脆弱になります。リモートホストが0.005秒(5000マイクロ秒)以内にTCPパケットを10個のアドレスに送信すると、デバイスはこれをTCPスイープ攻撃としてフラグ付けします。
alarm-without-drop
オプションが設定されていない場合、デバイスは指定されたしきい値期間の残りの期間、そのホストからの 11 番目とそれ以降のすべての TCP パケットを拒否します。
オプション
threshold
number
- 同じホストからデバイスに最大 10 個の TCP SYN パケットが許可される最大マイクロ秒数。この期間中にホストから 10 件を超える要求があった場合、残りの時間にルーターで TCP スイープ攻撃応答がトリガーされます。
範囲: 1000 から 1,000,000 マイクロ秒
デフォルト: 5000 マイクロ秒
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース10.2で導入されたステートメント。