Wie kann man FestStellen, ob DoS-klassifizierter TCP SYN Cookie-Alarm aktiviert und die maximale Rate
Wie kann man FestStellen, ob DoS-klassifizierter TCP SYN Cookie-Alarm aktiviert und die maximale Rate
35326
Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM
Resolution
Übersicht
Dieses Dokument beschreibt, wie man feststellen kann, ob der konfigurierte DoS-klassifizierte TCP SYN-Cookie-Alarm aktiviert wird, und löst dann die maximale Rate an der richtigen
PAN-OS unterstützt SYN-Cookie und zufälligen frühen Tropfen (rot) zum Schutz vor solchen SYN-Überschwemmungen. SYN Überschwemmungen oder Überschwemmungen sind ein Wirt oder ein Netzwerk mit unvollständigen TCP-Verbindungen. Der Angreifer füllt schließlich die Speicherpuffer aus oder Spikes die CPU-Auslastung des Opfer Geräts. Wenn die Puffer voll sind oder die CPU überfordert ist, kann der Host keine neuen TCP-Verbindungsanfragen verarbeiten. Die Flut könnte sogar das Betriebssystem des Opfers beschädigen. So oder so deaktiviert der Angriff das Opfer und den normalen Betrieb.
SYN-Cookie ist ein in der Nähe von staatenlosen SYN Proxy-Mechanismus. Im Gegensatz zu herkömmlichen SYN-Proxy-Mechanismen, wenn ein SYN-Segment empfangen wird, richtet SYN-Cookie keine Session ein oder macht keine Richtlinien oder Routen-Lookups. Es unterhält auch keine Verbindungsanfrage-Warteschlange. Dies ermöglicht es der Palo Alto Networks Firewall, optimale CPU-Belastungen zu erhalten und eine Erschöpfung der Paket Puffer zu verhindern. Mit SYN-Cookie fungiert die Firewall als man-in-the-Middle für den TCP-Handshake.
Topologie:
Client------------------------(Untrust) PA (DMZ)---------------------------Server
Schritte
DoS-SchutzProfil konfigurieren.
Konfigurieren Sie DoS-Richtlinien unter RichtLinien > DoS-Schutz.
Führen Sie DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der Aktivierungs Rate-Schwelle simuliert.
Erfassen Sie Pakete auf dem Client.
Analyse der Paket Erfassung durch wireshark. Das SYN-Cookie wird aktiviert, wenn die aktivierungsschwelle von 6 erreicht ist. Das SYN-Cookie hat eine Fenstergröße von 0. Hinweis: um wireshark Filter TCP. Flags. SYN = = 1 zu verwenden und in die Spalte "berechnete Fenstergröße" mit Feld TCP. window_size.
Führen Sie das DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der konfigurierten Alarm Rate-Schwelle simuliert.
Von der WebGui, gehen Sie zu Monitor > Log > Bedrohung, überprüfen Sie Protokolle, in denen Pakete-pro-Sekunde-Rate ein Protokoll wie das folgende Beispiel erstellt. Das ist der Alarmpreis Auslöser:
Führen Sie DoS-Angriffs Werkzeug auf Client, das TCP SYN-Angriff an der maximalen Rate-Schwelle simuliert.
Geben Sie den CLI-Befehl > Counter Global | Match DOS. Dies ist der maximale Rate-Trigger.