Cómo determinar si dos clasificados TCP SYN cookie alarma activa y desencadena la tasa máxima

Cómo determinar si dos clasificados TCP SYN cookie alarma activa y desencadena la tasa máxima

35336
Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM


Resolution


Resumen

Este documento describe cómo determinar si la alarma de cookies TCP SYN configurada se activa y, a continuación, desencadena la velocidad máxima en el umbral correcto.

 

PAN-os soporta la cookie SYN y la caída temprana aleatoria (roja) para la protección contra tales inundaciones SYN. Las inundaciones o inundaciones SYN son un host o una red con conexiones TCP incompletas. El atacante eventualmente rellena los buffers de memoria o utiliza la CPU de SPIKES del dispositivo de la víctima. Cuando los búferes están llenos o la CPU está abrumada, el host no puede procesar nuevas solicitudes de conexión TCP. La inundación podría incluso dañar el sistema operativo de la víctima. De cualquier manera, el ataque desactiva la víctima y las operaciones normales.

 

SYN cookies es un apátrida cerca SYN proxy mecanismo. A diferencia de los mecanismos de proxy syn tradicionales, cuando se recibe un segmento SYN, SYN cookie no configura una sesión ni realiza búsquedas de directivas o rutas. Tampoco mantiene una cola de solicitud de conexión. Esto permite que el cortafuegos de Palo Alto Networks Mantenga las cargas de CPU óptimas y evite el agotamiento de los búferes de paquetes. Con la cookie SYN, el cortafuegos actúa como un hombre en el medio para el protocolo de enlace TCP.

 

Topología:

Servidor de---------------------------de------------------------de cliente (desconfianza) PA (DMZ)

 

Pasos

  1. Configure el perfil de protección dos.
    Screen Shot 2014-03-16 en 7.39.10 PM. png
  2. Configurar directiva de DoS en directivas > protección de DoS.
    Screen Shot 2014-03-16 en 7.08.59 PM. png
  3. Ejecute la herramienta de ataque dos en el cliente simulando ataque SYN TCP al umbral de velocidad de activación.
    Screen Shot 2014-03-16 en 7.05.49 PM. png
  4. Capture paquetes en el cliente.
    Screen Shot 2014-03-16 en 7.11.14 PM. png
  5. Analizar la captura de paquetes a través de Wireshark. La cookie SYN se activa cuando se alcanza el umbral de activación de 6. La cookie SYN tiene un tamaño de ventana de 0.
    Nota: para utilizar Wireshark Filter TCP. Flags. SYN = = 1 e incluir en la columna "tamaño de ventana calculado" con el campo TCP. window_size.
    Screen Shot 2014-03-16 en 7.16.12 PM. png
  6. Ejecute la herramienta de ataque de dos en el cliente que simula el ataque SYN TCP al umbral de la tasa de alarma configurada.
    Screen Shot 2014-03-16 en 7.34.02 PM. png
    Desde el webgui, vaya al monitor > log > amenaza, registros de cheques donde la tasa de paquetes por segundo crea un registro como el siguiente ejemplo. Este es el gatillo de la velocidad de alarma:
    Screen Shot 2014-03-12 en 10.14.29 AM. png
  7. Ejecute la herramienta de ataque dos en el cliente simulando ataque SYN TCP al umbral de la tasa máxima.
    Screen Shot 2014-03-16 en 7.40.10 PM. png
    Emitir el comando CLI > Mostrar contador global | coincidencia de dos. Este es el gatillo de máxima velocidad.
    Screen Shot 2014-03-16 en 7.47.27 PM. png

Propietario: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKNCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language