Citrix ADC

レイヤ 3-4 SYN サービス拒否保護

システムソフトウェアバージョン8.1以降を搭載したCitrix ADCアプライアンスは、SYN DoS攻撃に対する保護を自動的に提供します。

このような攻撃をマウントするために、ハッカーは多数の TCP 接続を開始しますが、被害を受けたサーバから送信された SYN-ACK メッセージには応答しません。サーバが受信した SYN メッセージの送信元 IP アドレスは、通常、スプーフィングされます。以前の SYN メッセージによって開始されたハーフオープン接続がタイムアウトする前に新しい SYN メッセージが到着するため、新しい接続を受け入れるのに十分なメモリがサーバでなくなるまで、このような接続の数が増えます。極端な場合は、システムメモリスタックがオーバーフローする可能性があります。

Citrix ADCアプライアンスは、システムメモリスタックでハーフオープン接続を維持するのではなく、SYN Cookieを使用してSYNフラッド攻撃を防御します。アプライアンスは、TCP接続を要求する各クライアントにCookieを送信しますが、ハーフオープン接続の状態は維持されません。代わりに、アプライアンスは、最終的な ACK パケットを受信したときにのみ、または HTTP トラフィックの場合は HTTP 要求を受信したときにのみ、接続にシステムメモリを割り当てます。これにより、SYN 攻撃が防止され、正規のクライアントとの通常の TCP 通信が中断されずに継続されます。

Citrix ADCアプライアンスでのSYN DoS保護により、次のことが保証されます。

  • Citrix ADC のメモリは、誤った SYN パケットで無駄になることはありません。代わりに、正当なクライアントにサービスを提供するためにメモリが使用されます。
  • 正当なクライアントとの通常の TCP 通信は、Web サイトが SYN フラッド攻撃を受けている場合でも、中断されずに続行されます。

また、Citrix ADCアプライアンスは、HTTP要求を受信した後にのみHTTP接続状態にメモリを割り当てるため、アイドル接続攻撃からWebサイトを保護します。

Citrix ADCアプライアンスのSYN DoS保護では、外部構成は必要ありません。このオプションは、デフォルトで有効になっています。

SYN クッキーを無効にする

SYN攻撃を防ぐため、Citrix ADCアプライアンスではSYNクッキーがデフォルトで有効になっています。サーバーが開始するデータ接続や、最初のパケットがドロップまたは順序変更されるために接続が確立されない場合など、展開で SYN Cookie を無効にする必要がある場合は、次のいずれかの方法を使用して SYN Cookie を無効にします。

CLI を使用して SYN クッキーを無効にする

コマンドプロンプトで、次のように入力します。

set nstcpprofile nstcp_default_profile -synCookie DISABLED

引数:

synCookie

クライアントとの TCP ハンドシェイクの SYNCOOKIE メカニズムを有効または無効にします。SYNCOOKIEを無効にすると、Citrix ADCアプライアンスでのSYN攻撃保護が防止されます。

設定可能な値:ENABLED, DISABLED

デフォルト:ENABLED

GUI を使用して SYN クッキーを無効にする

  1. [システム] > [プロファイル] > [TCP プロファイル] に移動します。
  2. プロファイルを選択し、[編集] をクリックします。
  3. [TCP SYN クッキー] チェックボックスをオフにします。
  4. [OK] をクリックします。

レイヤ 3-4 SYN サービス拒否保護