3-4 层 SYN 拒绝服务保护

任何具有系统软件 8.1 或更高版本的 Citrix ADC 设备都会自动提供针对 SYN DoS 攻击的保护。

要安装此类攻击,黑客会启动大量 TCP 连接,但不响应受害服务器发送的 SYN-ACK 消息。服务器接收的 SYN 邮件中的源 IP 地址通常是欺骗性的。由于新 SYN 消息在以前的 SYN 消息启动的半打开连接超时之前到达,因此此类连接的数量会增加,直到服务器不再具有足够的可用内存来接受新连接。在极端情况下,系统内存堆栈可能会溢出。

Citrix ADC 设备通过使用 SYN Cookie 而不是在系统内存堆栈上保持半开连接来防御 SYN 洪水攻击。设备向请求 TCP 连接的每个客户端发送 cookie,但它不会保持半打开连接的状态。相反,设备仅在接收最终 ACK 数据包时为连接分配系统内存,或者在接收 HTTP 请求时为 HTTP 流量分配系统内存。这可以防止 SYN 攻击,并允许与合法客户端的正常 TCP 通信继续不间断。

Citrix ADC 设备上的 SYN DoS 保护可确保以下内容:

  • Citrix ADC 的内存不会浪费在假 SYN 数据包上。相反,内存用于为合法客户端提供服务。
  • 与合法客户端的正常 TCP 通信继续不间断,即使网站遭到 SYN 洪水攻击也是如此。

此外,由于 Citrix ADC 设备仅在收到 HTTP 请求后才会为 HTTP 连接状态分配内存,因此它可以保护网站免受空闲连接攻击。

Citrix ADC 设备上的 SYN DoS 保护无需外部配置。默认启用此功能。

默认情况下,Citrix ADC 设备上启用 SYN Cookie,以防止 SYN 攻击。如果您的部署要求您禁用 SYN Cookie(例如,用于服务器启动的数据连接),或者由于第一个数据包被丢弃或重新排序而未建立连接的情况下,请使用以下方法之一禁用 SYN Cookie。

在命令提示窗口中,键入:

set nstcpprofile nstcp_default_profile -synCookie DISABLED

参数:

synCookie

启用或禁用用于 TCP 与客户端握手的 SYNCOOKIE 机制。禁用 SYNCOOKIE 可防止 Citrix ADC 设备上的 SYN 攻击保护。

可能的值:ENABLED, DISABLED

默认值:ENABLED

  1. 导航到系统 > 配置文件 > TCP 配置文件
  2. 选择一个配置文件,然后单击编辑
  3. 清除 TCP SYN Cookie 复选框。
  4. 单击确定

3-4 层 SYN 拒绝服务保护