TCP SYN 쿠키 구성
개요
SYN 쿠키는 상태 비저장 SYN 프록시 메커니즘으로, SYN 플러드 공격에 대한 다른 방어 수단과 함께 사용할 수 있습니다. 이 예에서는 TCP SYN 쿠키를 구성하는 방법을 보여 줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
- MX480 및 MX-SPC3이 포함된 MX960
- Junos OS 릴리스 21.2R1
구성
소스 및/또는 대상에 대한 TCP 프로토콜에 대한 SYN 쿠키를 구성하려면 다음 작업을 수행합니다.
소스 TCP 프로토콜에 사용할 최대 세그먼트 크기(MSS) 값을 설정합니다.
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64
소스 TCP 프로토콜의 임계값을 설정합니다.
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100
소스 TCP 프로토콜에 대한 threshold-num 값을 설정합니다
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100
대상 TCP 프로토콜에 사용할 최대 세그먼트 크기(MSS) 값을 설정합니다.
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200
대상 TCP 프로토콜의 임계값을 설정합니다.
[edit]
user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100
대상 TCP 프로토콜에 대한 threshold-num 값을 설정합니다
[edit]
user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
결과
구성 모드에서 명령을 입력하여 구성을 show services screen 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show services screen
ids-option ids-option-in { match-direction input-output; limit-session { by-source { by-protocol { tcp { syn-cookie { mss 64; threshold-rate 100; threshold-num 100; } } } } by-destination { maximum-sessions 5000; session-rate 5000; by-protocol { tcp { syn-cookie { mss 200; threshold-rate 100; threshold-num 100; }