Stellen Sie sicher, dass die Hostmaschinen Ihrer VMware-Appliance IPv4-TCP Syncookies verwenden.

Warum und wann dieser Vorgang ausgeführt wird

Ein TCP SYN-Flutangriff führt möglicherweise zu einem Denial-of-Service, indem die TCP-Verbindungstabelle eines Systems mit Verbindungen im SYN_RCVD-Status aufgefüllt wird. Syncookies verhindern das Nachverfolgen einer Verbindung bis zum Erhalt einer nachfolgenden Quittierung und stellen sicher, dass der Initiator eine gültige Verbindung herstellt und keine Flutquelle ist. Dieses Verfahren funktioniert nicht in einer vollständigen Übereinstimmung mit den Standards. Es wird daher nur während einer Flutbedingung eingesetzt und ermöglicht die Absicherung des Systems bei fortwährender Verarbeitung von Anforderungen.

Prozedur

  1. Führen Sie den # cat /proc/sys/net/ipv4/tcp_syncookies-Befehl auf den Hostmaschinen der VMware-Appliances aus, um sicherzustellen, dass IPv4-TCP Syncookies verwendet werden.

    Wenn die Hostmaschinen zum Ablehnen der IPv4-Weiterleitung konfiguriert sind, gibt dieser Befehl einen Wert von 1 für /proc/sys/net/ipv4/tcp_syncookies zurück. Wenn die virtuellen Maschinen ordnungsgemäß konfiguriert sind, ist keine weitere Aktion erforderlich.

  2. Wenn Sie eine virtuelle Appliance zur Verwendung von IPv4-TCP Syncookies konfigurieren müssen, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Suchen Sie nach dem Eintrag net.ipv4.tcp_syncookies=1.

    Wenn der Wert für diesen Eintrag aktuell nicht auf 1 festgelegt oder nicht vorhanden ist, fügen Sie den Eintrag hinzu oder aktualisieren Sie den vorhandenen Eintrag entsprechend.

  4. Speichern Sie alle von Ihnen vorgenommenen Änderungen und schließen Sie die Datei.