如何确定 DoS 分类的 TCP SYN Cookie 报警激活和触发最大速率

概述

本文档介绍如何确定配置的 DoS 分类的 TCP SYN cookie 警报是否激活, 然后在正确的阈值下触发最大速率。

PAN OS 支持 syn cookie 和随机早期下降 (红色), 以防止这种 SYN 洪水。SYN 洪水或洪水是一个主机或网络, TCP 连接不完整。攻击者最终填满内存缓冲区或峰值 CPU 利用率的受害者设备。当缓冲区已满或 CPU 被淹没时, 主机无法处理新的 TCP 连接请求。洪水甚至可能损害受害者的操作系统。无论哪种方式, 攻击都将禁用受害者和正常操作。

SYN Cookie 是附近的无国籍 SYN 代理机制。与传统的 syn 代理机制不同, 当接收到 syn 段时, syn cookie 不会设置会话或执行策略或路由查找。它也不维护连接请求队列。这使帕洛阿尔托网络防火墙能够保持最佳的 CPU 负载, 并防止数据包缓冲区耗尽。使用 SYN Cookie, 防火墙在 TCP 握手时充当中间人。

拓扑：

客户端------------------------(不信任) PA (DMZ)---------------------------服务器

步骤

1. 配置 DoS 保护配置文件。
   
2. 在策略下配置 dos 策略 > dos 保护。
   
3. 在客户端上运行 DoS 攻击工具, 模拟 TCP SYN 攻击的激活速率阈值。
   
4. 在客户端上捕获数据包。
   
5. 通过 Wireshark 分析数据包捕获。当达到激活阈值6时, 将激活 SYN cookie。SYN cookie 的窗口大小为0。
   注意: 要使用 Wireshark 筛选器 tcp.flags.syn = 1, 并在列 "计算窗口大小" 中包含字段 tcp. window_size.
   
6. 在客户端上运行 DoS 攻击工具, 在配置的警报速率阈值模拟 TCP SYN 攻击。
   
   从 WebGUI, 转到监视器 >> 日志 > 威胁, 检查每秒数据包的日志, 如下面的示例创建日志. 这是警报率触发器:
   
7. 在客户端上运行 DoS 攻击工具, 以最大速率阈值模拟 TCP SYN 攻击。
   
   发出 CLI 命令> 显示计数器全局匹配 dos. 这是最大速率触发。
   

所有者： jlunario