IPAのDoS攻撃一覧には他の攻撃も載っているが、今回はSyn floodについて。
SYN flood攻撃
- インターネットにおけるDoS攻撃(サービス拒否攻撃)のひとつ。インターネット上に公開されているウェブサーバなどの負荷を増大させ、対象となるサイトを一時的に利用不能に陥らせてしまう効果がある。
防御としてはSYN cookiesというものがあります。
Linuxで防御
syn_cookie有効化
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
上記の設定によって,蓄積キュー(SYN)があふれた場合には送信元にsyncookieが送信される。
ただし,この機能によって一般的なソケット蓄積の概念が放棄されるため,正常なアクセスによってサーバが過負荷になった場合でも,アクセス側に正常なエラーメッセージが送信されない可能性があるのだ。
Ciscoルータで防御
ip tcp intercept list【ACL】
ip tcp intercept mode【intercept/watch】
Fortinet製品で防御
ingress/egress filtering
SYN flood 攻撃の送信元アドレス偽装への対策