TCP SYN 쿠키 구성
개요
SYN 쿠키는 상태 비저장 SYN 프록시 메커니즘으로, SYN 플러드 공격에 대한 다른 방어 수단과 함께 사용할 수 있습니다. 이 예에서는 TCP SYN 쿠키를 구성하는 방법을 보여 줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
- MX480 및 MX-SPC3이 포함된 MX960
- Junos OS 릴리스 21.2R1
구성
소스 및/또는 대상에 대한 TCP 프로토콜에 대한 SYN 쿠키를 구성하려면 다음 작업을 수행합니다.
소스 TCP 프로토콜에 사용할 최대 세그먼트 크기(MSS) 값을 설정합니다.
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64소스 TCP 프로토콜의 임계값을 설정합니다.
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100소스 TCP 프로토콜에 대한 threshold-num 값을 설정합니다
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100대상 TCP 프로토콜에 사용할 최대 세그먼트 크기(MSS) 값을 설정합니다.
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200대상 TCP 프로토콜의 임계값을 설정합니다.
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100대상 TCP 프로토콜에 대한 threshold-num 값을 설정합니다
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
결과
구성 모드에서 명령을 입력하여 구성을 show services screen 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}