Wie kann man FestStellen, ob DoS-klassifizierter TCP SYN Cookie-Alarm aktiviert und die maximale Rate

Wie kann man FestStellen, ob DoS-klassifizierter TCP SYN Cookie-Alarm aktiviert und die maximale Rate

35326
Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM


Resolution


Übersicht

Dieses Dokument beschreibt, wie man feststellen kann, ob der konfigurierte DoS-klassifizierte TCP SYN-Cookie-Alarm aktiviert wird, und löst dann die maximale Rate an der richtigen

 

PAN-OS unterstützt SYN-Cookie und zufälligen frühen Tropfen (rot) zum Schutz vor solchen SYN-Überschwemmungen. SYN Überschwemmungen oder Überschwemmungen sind ein Wirt oder ein Netzwerk mit unvollständigen TCP-Verbindungen. Der Angreifer füllt schließlich die Speicherpuffer aus oder Spikes die CPU-Auslastung des Opfer Geräts. Wenn die Puffer voll sind oder die CPU überfordert ist, kann der Host keine neuen TCP-Verbindungsanfragen verarbeiten. Die Flut könnte sogar das Betriebssystem des Opfers beschädigen. So oder so deaktiviert der Angriff das Opfer und den normalen Betrieb.

 

SYN-Cookie ist ein in der Nähe von staatenlosen SYN Proxy-Mechanismus. Im Gegensatz zu herkömmlichen SYN-Proxy-Mechanismen, wenn ein SYN-Segment empfangen wird, richtet SYN-Cookie keine Session ein oder macht keine Richtlinien oder Routen-Lookups. Es unterhält auch keine Verbindungsanfrage-Warteschlange. Dies ermöglicht es der Palo Alto Networks Firewall, optimale CPU-Belastungen zu erhalten und eine Erschöpfung der Paket Puffer zu verhindern. Mit SYN-Cookie fungiert die Firewall als man-in-the-Middle für den TCP-Handshake.

 

Topologie:

Client------------------------(Untrust) PA (DMZ)---------------------------Server

 

Schritte

  1. DoS-SchutzProfil konfigurieren.
    Screenshot 2014-03-16 um 7.39.10 Uhr. png
  2. Konfigurieren Sie DoS-Richtlinien unter RichtLinien > DoS-Schutz.
    Screenshot 2014-03-16 um 7.08.59 Uhr. png
  3. Führen Sie DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der Aktivierungs Rate-Schwelle simuliert.
    Screenshot 2014-03-16 um 7.05.49 Uhr. png
  4. Erfassen Sie Pakete auf dem Client.
    Screenshot 2014-03-16 um 7.11.14 Uhr. png
  5. Analyse der Paket Erfassung durch wireshark. Das SYN-Cookie wird aktiviert, wenn die aktivierungsschwelle von 6 erreicht ist. Das SYN-Cookie hat eine Fenstergröße von 0.
    Hinweis: um wireshark Filter TCP. Flags. SYN = = 1 zu verwenden und in die Spalte "berechnete Fenstergröße" mit Feld TCP. window_size.
    Screenshot 2014-03-16 um 7.16.12 Uhr. png
  6. Führen Sie das DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der konfigurierten Alarm Rate-Schwelle simuliert.
    Screenshot 2014-03-16 um 7.34.02 Uhr. png
    Von der WebGui, gehen Sie zu Monitor > Log > Bedrohung, überprüfen Sie Protokolle, in denen Pakete-pro-Sekunde-Rate ein Protokoll wie das folgende Beispiel erstellt. Das ist der Alarmpreis Auslöser:
    Screenshot 2014-03-12 um 10.14.29 Uhr. png
  7. Führen Sie DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der maximalen Rate-Schwelle simuliert.
    Screenshot 2014-03-16 um 7.40.10 Uhr. png
    Geben Sie den CLI-Befehl > Counter Global | Match DOS. Dies ist der maximale Rate-Trigger.
    Screenshot 2014-03-16 um 7.47.27 Uhr. png

Besitzer: Jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKNCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language