TCPは、信頼性の高い順序でパケットを配信するトランスポート層プロトコルであり、エラーの検出や、データが正しく完全に受信されるまで再送信をトリガーする失われたデータも可能です。クライアントは、データを送信する前に、サーバに同期(SYN)パケットを使用した接続を要求して、接続を開始します。次に、サーバはクライアントにSYNパケットと確認応答(ACK)パケットを送信し、クライアントはサーバ応答を確認するACKパケットを送信します。クライアントとサーバ間のこの3ウェイハンドシェイク接続の後、データを送信できます。
SYNフラッド攻撃は、このTCP 3ウェイハンドシェイクが中断されると発生します。悪意のあるクライアントはSYNパケットでサーバをフラッディングし、サーバはすべての悪意のあるクライアント要求に対してSYNおよびACKパケットで応答しますが、悪意のあるクライアントはACKパケットを返信しません。サーバは、単に到着しないACKパケットを待ち、正当なユーザのサーバのリソースを消費し、最終的にネットワークをダウンさせます。SYNフィルタリングは、これらの攻撃を防止します。この記事では、300シリーズマネージドスイッチでSYNフィルタリングを設定する方法について説明します。
・ SF/SG 300シリーズマネージドスイッチ
・ v1.2.7.76
SYNフィルタリングを適用するには、最初に、スイッチが正しいDenial of Service(DoS;サービス拒否)レベルの防止であることを確認する必要があります。このセクションでは、300シリーズマネージドスイッチで適切な防御レベルを有効にする方法について説明します。
ステップ1:Web構成ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [Security Suite Settings]を選択します。「セキュリティ・スイートの設定」ページが開きます。
ステップ2:[DoS Prevention(DoS防御)]フィールドには、3つのレベルの防御があります。[System-Level and Interface-Level Prevention]をクリックします。このレベルでは、SYNフィルタリングを設定できます。
ステップ3:[Apply]をクリックして設定を保存します。
このセクションでは、300シリーズマネージドスイッチでSYNフィルタリングを設定する方法について説明します。
ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [SYN Filtering]を選択します。[SYN Filtering]ページが開きます。
ステップ2:[Add]をクリックします。[Add SYN Filtering]ウィンドウが表示されます。
ステップ3:[Interface]フィールドで、使用可能なインターフェイスオプションの1つのオプションボタンをクリックします。
・ Port — Portドロップダウンリストから、SYNパケットをフィルタリングするポートを選択できます。
・ LAG:[Link Aggregation Group (LAG)]ドロップダウンリストから、SYNパケットをフィルタリングするLAGを選択できます。LAGは、複数のポートを1つの論理ポートにグループ化します。
ステップ4:[IPv4 Address(IPv4アドレス)]フィールドで、使用可能なオプションの1つのオプションボタンをクリックして、SYNパケットをフィルタリングするIPv4アドレス/アドレスを定義します。
・ User Defined — SYNパケットフィルタを定義するIPv4アドレスを入力できます。
・ All addresses:このオプションは、SYNパケットのすべてのIPv4アドレスをフィルタリングします。
ステップ5 [Network Mask]フィールドで、使用可能なオプションの1つのオプションボタンをクリックし、ステップ4で設定したIPアドレスのネットワークマスクを入力します。
・ Mask:このオプションでは、IPアドレスのサブネットマスクを入力できます。
・ Prefix Length:このオプションでは、サブネットマスクIPアドレスをプレフィクス形式で入力できます。
ステップ5:[TCPポート(TCP Port)]フィールドで、使用可能なオプションのいずれかをクリックして、フィルタリングするTCPポートを決定します。
・ Known Ports:このオプションでは、[Known Ports]ドロップダウンリストからポートを選択できます。たとえば、HTTPは80、TELNETは23です。
・ユーザー定義:このオプションでは、フィルタリングするTCPポート番号を入力できます。
・ All ports:すべてのTCPポートをフィルタリングします。
ステップ6:[Apply]をクリックして設定を保存します。SYNフィルタリングテーブルが変更されます。
ステップ7:(オプション)SYNフィルタを削除するには、SYNフィルタリングテーブルで、削除するSYNフィルタのチェックボックスをオンにします。次に、[削除]をクリックします。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
13-Dec-2018 |
初版 |