SYN-Cookie-Betrieb
Resolution
Ein SYN-Flood ist eine Form von Denial-of-Service-Angriff ein Angreifer eine Abfolge von Syn Anfragen an ein Zielsystem sendet. SYN-Cookies sind das zentrale Element einer Technik verwendet, um gegen die Flood-Attacken zu schützen. Die Verwendung von SYN-Cookies kann einen Server nicht Verbindungen fallen, wenn die SYN-Warteschlange voll ist. Stattdessen verhält sich der Server wie die SYN-Warteschlange erweitert hatte. Der Server sendet die entsprechende SYN + ACK-Antwort an den Client zurück aber verwirft den SYN-Warteschlange-Eintrag. Wenn der Server dann eine spätere ACK Antwort vom Client empfängt, ist der Server den SYN-Warteschlange-Eintrag mit Informationen codiert in die TCP-Sequenznummer zu rekonstruieren.
Palo Alto Networks-Gerät bleibt die Sitzung Übersetzung um die Sequenznummern zwischen der Quelle und dem Server wie folgt in Einklang zu bringen:
- Jedes Mal, wenn das Saatgut, das Cookie zu kodieren die Dataplane hochfährt wird über den Zufallszahlengenerator erzeugt.
- TCP-Verbindungen von SYN Cookies verarbeitet haben globale Zähler in Form von Flow_dos_syncookie_xxxx die Hits in jedem Fall zu erfassen.
- Wenn eine ACK-Paket empfangen Cookie Codierung nicht übereinstimmen, fällt zurück auf ein SYN-TCP-Paket und kann je nach der Einstellung verworfen werden.
- Eine Sitzung, die die SYN-Cookies-Prozess übergibt unterliegt TCP-Sequenz Nummer Übersetzung als PAN ist ein Proxy-3-Wege-Handshake. Diese Sitzung wird mit Ziel Übersetzung aktivieren markiert.
Besitzer: Panagent