Comment faire pour déterminer si le dos classifié TCP SYN l'alarme de cookie active et déclenche le taux maximal

Comment faire pour déterminer si le dos classifié TCP SYN l'alarme de cookie active et déclenche le taux maximal

35330
Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM


Resolution


Vue d’ensemble

Ce document décrit comment déterminer si l'alarme de cookie TCP SYN classifiée sous DOS configurée est activée, puis déclenche le taux maximal au seuil correct.

 

Pan-OS prend en charge les cookies syn et les premières gouttes aléatoires (rouges) pour la protection contre ces inondations syn. Les inondations ou les inondations SYN sont un hôte ou un réseau avec des connexions TCP incomplètes. L'attaquant finit par remplir les mémoires tampons ou les pics d'utilisation CPU de l'appareil victime. Lorsque les mémoires tampons sont saturées ou que l'uc est submergée, l'hôte ne peut pas traiter les nouvelles demandes de connexion TCP. L'inondation pourrait même endommager le système d'exploitation de la victime. De toute façon, l'attaque désactive la victime et les opéra tions normales.

 

SYN Cookie est un mécanisme proche de proxy SYN apatride. Contrairement aux mécanismes de proxy syn traditionnels, Lorsqu'un segment SYN est reçu, le cookie syn ne configure pas de session ou ne fait pas de recherche de stratégie ou d'itinéraire. Il ne maintient également pas une file d'attente de demande de connexion. Cela permet au pare-feu de Palo Alto Networks de maintenir des charges CPU optimales et d'empêcher l'épuisement des mémoires tampons de paquets. Avec le cookie syn, le pare-feu agit en tant qu'homme-dans-le-milieu pour la poignée de main TCP.

 

Topologie:

Client------------------------(Untrust) PA (DMZ)---------------------------serveur

 

Étapes

  1. Configurer le profil de protection DoS.
    Screen Shot 2014-03-16 à 7.39.10 PM. png
  2. Configurer la stratégie DoS sous stratégies > Protection DoS.
    Screen Shot 2014-03-16 à 7.08.59 PM. png
  3. Exécutez l'outil d'attaque dos sur le client simulant l'attaque TCP SYN au seuil de taux d'activation.
    Screen Shot 2014-03-16 à 7.05.49 PM. png
  4. Capturer des paquets sur le client.
    Screen Shot 2014-03-16 à 7.11.14 PM. png
  5. Analyser la capture de paquets via Wireshark. Le cookie SYN est activé lorsque le seuil d'activation de 6 est atteint. Le cookie SYN a une taille de fenêtre de 0.
    Remarque: pour utiliser le filtre Wireshark TCP. Flags. syn = = 1 et inclure dans la colonne "taille de fenêtre calculée" avec le champ TCP. window_size.
    Screen Shot 2014-03-16 à 7.16.12 PM. png
  6. Exécutez l'outil d'attaque dos sur le client simulant l'attaque TCP SYN au seuil de fréquence d'alarme configuré.
    Screen Shot 2014-03-16 à 7.34.02 PM. png
    À partir du WebGUI, allez à Monitor > log > menace, vérifiez les journaux où les paquets par seconde taux crée un journal comme L'exemple suivant. C'est le déclencheur du taux d'alarme:
    Screen Shot 2014-03-12 à 10.14.29 AM. png
  7. Exécutez l'outil d'attaque dos sur le client simulant l'attaque TCP SYN au seuil de taux maximal.
    Screen Shot 2014-03-16 à 7.40.10 PM. png
    Émettez la commande CLI > Show Counter global | match dos. C'est le déclencheur de vitesse maximal.
    Screen Shot 2014-03-16 à 7.47.27 PM. png

propriétaire : jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKNCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language