TCP SYN Cookieの設定
概要
SYN CookieはステートレスSYNプロキシメカニズムであり、SYNフラッド攻撃に対する他の防御手段と組み合わせて使用できます。この例では、TCP SYN Cookie の設定方法を示しています。
設定
送信元および/または宛先のTCPプロトコルにSYN Cookieを設定するには、以下のタスクを実行します。
送信元TCPプロトコルに使用する最大セグメントサイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64送信元TCPプロトコルのthreshold-rateの値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100送信元TCPプロトコルのthreshold-numの値を設定します
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100宛先TCPプロトコルに使用する最大セグメントサイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200宛先TCPプロトコルのthreshold-rateの値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100宛先TCPプロトコルのthreshold-numの値を設定します
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
結果
設定モードから、show services screenコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}