どのように DoS の TCP SYN クッキーアラームがアクティブに分類し、最大速度をトリガするかどうかを確認する
どのように DoS の TCP SYN クッキーアラームがアクティブに分類し、最大速度をトリガするかどうかを確認する
35332
Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM
Resolution
概要
このドキュメントでは、構成された DoS 分類の TCP SYN クッキーアラームがアクティブになるかどうかを判断する方法について説明し、正しいしきい値で最大レートをトリガします。
このような syn 洪水に対する保護のための PAN-OS は、syn クッキーとランダム早期ドロップ (赤) をサポートしています。SYN 洪水や洪水は、ホストまたは不完全な TCP 接続を持つネットワークです。攻撃者は最終的に、メモリバッファをいっぱいにするか、または被害者デバイスの CPU 使用率をスパイクします。バッファがいっぱいになったり、CPU が圧倒されたりすると、ホストは新しい TCP 接続要求を処理できません。洪水で被害者のオペレーティングシステムも損傷するかもしれない いずれにせよ、攻撃は、被害者と通常の操作を無効にします。
SYN クッキーは、近くのステートレス SYN プロキシ メカニズムです。syn のセグメントが受信されると、従来の syn プロキシのメカニズムとは異なり、syn クッキーは、セッションを設定したり、ポリシーやルートのルックアップを行うことはありません。また、接続要求キューは維持されません。これにより、パロアルトネットワークファイアウォールは、最適な CPU 負荷を維持し、パケットバッファの枯渇を防ぐことができます。SYN クッキーを使用すると、ファイアウォールは、TCP ハンドシェイクのための中間の人間として機能します。
トポロジ:
クライアント------------------------(Untrust) PA (DMZ)---------------------------サーバー
手順
DoS 保護プロファイルを構成します。
[ポリシー] > [dos 保護] で dos ポリシーを構成します。
クライアントの TCP SYN 攻撃の速度のしきい値をアクティブにシミュレートする DoS 攻撃ツールを実行します。