TCP SYN Cookie の構成
概要
SYN Cookie はステートレスな SYN プロキシ メカニズムであり、SYN フラッド攻撃に対する他の防御と組み合わせて使用できます。この例では、TCP SYN Cookie を構成する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
- MX-SPC3を搭載したMX480、およびMX960
- Junos OS リリース 21.2R1
構成
送信元/宛先の TCP プロトコルの SYN Cookie を設定するには、以下のタスクを実行します。
送信元TCPプロトコルに使用する最大セグメントサイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64送信元 TCP プロトコルの threshold-rate の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100送信元 TCP プロトコルの threshold-num の値を設定します
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100宛先TCPプロトコルに使用する最大セグメントサイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200宛先TCPプロトコルのthreshold-rateの値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100宛先TCPプロトコルのthreshold-numの値を設定します
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
業績
設定モードから、show services screen コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}