Capa 3-4 SYN Protección de denegación de servicio

Cualquier dispositivo Citrix ADC con software del sistema versión 8.1 o posterior proporciona automáticamente protección contra ataques SYN DoS.

Para montar tal ataque, un hacker inicia un gran número de conexiones TCP pero no responde a los mensajes SYN-ACK enviados por el servidor victimizado. Normalmente, las direcciones IP de origen en los mensajes SYN recibidos por el servidor se suplantan. Debido a que los nuevos mensajes SYN llegan antes de que las conexiones semiabiertas iniciadas por mensajes SYN anteriores agoten el tiempo de espera, el número de dichas conexiones aumenta hasta que el servidor ya no tenga suficiente memoria disponible para aceptar nuevas conexiones. En casos extremos, la pila de memoria del sistema puede desbordarse.

Un dispositivo Citrix ADC se defiende contra ataques de inundación SYN mediante el uso de cookies SYN en lugar de mantener conexiones semiabiertas en la pila de memoria del sistema. El dispositivo envía una cookie a cada cliente que solicita una conexión TCP, pero no mantiene los estados de conexiones semiabiertas. En su lugar, el dispositivo asigna memoria del sistema para una conexión solo al recibir el paquete ACK final o, para el tráfico HTTP, al recibir una solicitud HTTP. Esto evita los ataques SYN y permite que las comunicaciones TCP normales con clientes legítimos continúen ininterrumpidas.

La protección SYN DoS en el dispositivo Citrix ADC garantiza lo siguiente:

  • La memoria del Citrix ADC no se desperdicia en paquetes SYN falsos. En su lugar, la memoria se usa para servir a clientes legítimos.
  • Las comunicaciones TCP normales con clientes legítimos continúan ininterrumpidas, incluso cuando el sitio web está bajo ataque de inundación SYN.

Además, dado que el dispositivo Citrix ADC asigna memoria para el estado de conexión HTTP solo después de recibir una solicitud HTTP, protege los sitios web de ataques de conexión inactiva.

La protección SYN DoS en su dispositivo Citrix ADC no requiere configuración externa. Está habilitada de forma predeterminada.

Inhabilitar las cookies SYN

Las cookies SYN se habilitan de forma predeterminada en un dispositivo Citrix ADC para evitar ataques SYN. Si su implementación requiere que inhabilite las cookies SYN, por ejemplo, para conexiones de datos iniciadas por el servidor o en casos en los que no se establece una conexión porque el primer paquete se quita o se reordena, utilice uno de los métodos siguientes para inhabilitar las cookies SYN.

Inhabilitar las cookies SYN mediante la CLI

En el símbolo del sistema, escriba:

set nstcpprofile nstcp_default_profile -synCookie DISABLED

Cliente:

synCookie

Habilite o inhabilite el mecanismo SYNCOOKIE para el enlace TCP con los clientes. Al inhabilitar SYNCOOKIE se evita la protección contra ataques SYN en el dispositivo Citrix ADC.

Valores posibles: ENABLED, DISABLED

Predeterminado: ENABLED

Inhabilitar las cookies SYN mediante el uso de la GUI

  1. Vaya a Sistema > Perfiles > Perfiles TCP.
  2. Seleccione un perfil y haga clic en Modificar.
  3. Desactive la casilla de verificación Cookie TCP SYN.
  4. Haga clic en Aceptar.

Capa 3-4 SYN Protección de denegación de servicio