Created On 09/25/18 17:50 PM - Last Modified 06/09/23 03:14 AM
Resolution
概述
本文档介绍如何确定配置的 DoS 分类的 TCP SYN cookie 警报是否激活, 然后在正确的阈值下触发最大速率。
PAN OS 支持 syn cookie 和随机早期下降 (红色), 以防止这种 SYN 洪水。SYN 洪水或洪水是一个主机或网络, TCP 连接不完整。攻击者最终填满内存缓冲区或峰值 CPU 利用率的受害者设备。当缓冲区已满或 CPU 被淹没时, 主机无法处理新的 TCP 连接请求。洪水甚至可能损害受害者的操作系统。无论哪种方式, 攻击都将禁用受害者和正常操作。
SYN Cookie 是附近的无国籍 SYN 代理机制。与传统的 syn 代理机制不同, 当接收到 syn 段时, syn cookie 不会设置会话或执行策略或路由查找。它也不维护连接请求队列。这使帕洛阿尔托网络防火墙能够保持最佳的 CPU 负载, 并防止数据包缓冲区耗尽。使用 SYN Cookie, 防火墙在 TCP 握手时充当中间人。
拓扑:
客户端------------------------(不信任) PA (DMZ)---------------------------服务器