TCP SYN Cookieの設定
概要
SYN Cookie はステートレス SYN プロキシー メカニズムであり、SYN フラッド攻撃に対するその他の防御策と組み合わせて使用できます。この例では、TCP SYN Cookieを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
- MX480、MX960、MX-SPC3搭載
- Junos OS リリース 21.2R1
構成
送信元および/または宛先のTCPプロトコルのSYN Cookieを設定するには、以下のタスクを実行します。
送信元TCPプロトコルに使用する最大セグメントサイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie mss 64送信元 TCP プロトコルのしきい値値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-rate 100送信元 TCP プロトコルの threshold-num の値を設定する
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-source by-protocol tcp syn-cookie threshold-num 100宛先 TCP プロトコルに使用する最大セグメント サイズ(MSS)の値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie mss 200宛先 TCP プロトコルのしきい値値を設定します。
[edit]user@host#
set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-rate 100宛先 TCP プロトコルの threshold-num の値を設定します。
[edit]user@host#
# set services screen ids-option ids-option-in limit-session by-dest by-protocol tcp syn-cookie threshold-num 100
結果
設定モードから、show services screen コマンドを入力して設定を確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show services screen
ids-option ids-option-in {
match-direction input-output;
limit-session {
by-source {
by-protocol {
tcp {
syn-cookie {
mss 64;
threshold-rate 100;
threshold-num 100;
}
}
}
}
by-destination {
maximum-sessions 5000;
session-rate 5000;
by-protocol {
tcp {
syn-cookie {
mss 200;
threshold-rate 100;
threshold-num 100;
}