どのように DoS の TCP SYN クッキーアラームがアクティブに分類し、最大速度をトリガするかどうかを確認する

概要

このドキュメントでは、構成された DoS 分類の TCP SYN クッキーアラームがアクティブになるかどうかを判断する方法について説明し、正しいしきい値で最大レートをトリガします。

このような syn 洪水に対する保護のための PAN-OS は、syn クッキーとランダム早期ドロップ (赤) をサポートしています。SYN 洪水や洪水は、ホストまたは不完全な TCP 接続を持つネットワークです。攻撃者は最終的に、メモリバッファをいっぱいにするか、または被害者デバイスの CPU 使用率をスパイクします。バッファがいっぱいになったり、CPU が圧倒されたりすると、ホストは新しい TCP 接続要求を処理できません。洪水で被害者のオペレーティングシステムも損傷するかもしれない いずれにせよ、攻撃は、被害者と通常の操作を無効にします。

SYN クッキーは、近くのステートレス SYN プロキシ メカニズムです。syn のセグメントが受信されると、従来の syn プロキシのメカニズムとは異なり、syn クッキーは、セッションを設定したり、ポリシーやルートのルックアップを行うことはありません。また、接続要求キューは維持されません。これにより、パロアルトネットワークファイアウォールは、最適な CPU 負荷を維持し、パケットバッファの枯渇を防ぐことができます。SYN クッキーを使用すると、ファイアウォールは、TCP ハンドシェイクのための中間の人間として機能します。

トポロジ：

クライアント------------------------(Untrust) PA (DMZ)---------------------------サーバー

手順

1. DoS 保護プロファイルを構成します。
   
2. [ポリシー] > [dos 保護] で dos ポリシーを構成します。
   
3. クライアントの TCP SYN 攻撃の速度のしきい値をアクティブにシミュレートする DoS 攻撃ツールを実行します。
   
4. クライアント上のパケットをキャプチャします。
   
5. Wireshark を介してパケットキャプチャを分析します。SYN クッキーは、6のアクティブ化しきい値に達したときにアクティブになります。SYN クッキーのウィンドウサイズは0です。
   注意: Wireshark フィルタを使用するには、syn = = 1 と入力し、フィールド window_size を持つ "計算されたウィンドウサイズ" の列に含めます。
   
6. 設定されたアラームレートのしきい値で TCP SYN 攻撃をシミュレートするクライアント上で DoS 攻撃ツールを実行します。
   
   WebGUI から、監視 > ログ > 脅威に移動し、1秒あたりのパケット数が次の例のようなログを作成するログをチェックします。これは、アラームレートのトリガーです。
   
7. 最大レートのしきい値で TCP SYN 攻撃をシミュレートするクライアント上で DoS 攻撃ツールを実行します。
   
   CLI コマンドを発行する> カウンタグローバルを表示 | dos と一致します。これが最大レートトリガです。
   

所有者: jlunario