Opération de Cookie SYN

Un SYN flood est une forme d’attaque par déni de service dans lequel un utilisateur malveillant envoie une succession de requêtes syn au système de la cible. SYN Cookies sont l’élément clé d’une technique utilisée pour se prémunir contre les attaques par saturation. L’utilisation de SYN Cookies permet à un serveur éviter de supprimer des connexions lorsque la file d’attente SYN se remplit. Au lieu de cela, le serveur se comporte comme si la file d’attente SYN avait été agrandie. Le serveur renvoie la réponse appropriée de SYN + ACK au client mais ignore l’entrée de file d’attente SYN. Si le serveur reçoit alors une réponse ACK ultérieure du client, le serveur est capable de reconstruire l’entrée de file d’attente SYN à l’aide des informations codées dans le numéro de séquence TCP.

Le dispositif de Palo Alto Networks maintiendra la traduction de session pour concilier les numéros de séquence entre la source et le serveur comme suit :

• Chaque fois que le dataplane démarre la graine pour coder le cookie est généré par le générateur de nombres aléatoires.
• Connexions TCP transformées par cookies SYN aura des compteurs globaux sous la forme de flow_dos_syncookie_xxxx, qui enregistrent des hits dans chaque cas.
• Si un paquet ACK reçu ne correspond pas de cookie d’encodage, il revient à un paquet non - SYN TCP et peut être jeté en fonction du paramètre.
• Une session qui passe le processus de cookies SYN est sous réserve de TCP séquence numéro traduction comme la poignée de main est un proxy 3 voies PAN. Ces session sera marquée avec traduction destination activée.

propriétaire : panagent