En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte utilise des Syncookies TCP (Transmission Control Protocol) IPv4. Une attaque SYN flood TCP peut provoquer un déni de service en remplissant le tableau des connexions TCP d'un système avec des connexions à l'état SYN_RCVD. Les Syncookies sont utilisés de manière à ne pas rechercher de connexion jusqu'à la réception d'un ACK, de manière à vérifier que l'initiateur tente d'établir une connexion valide et n'est pas une source d'attaque flood.

Pourquoi et quand exécuter cette tâche

Cette technique ne fonctionne pas d'une manière totalement conforme aux normes, mais est uniquement activée lorsqu'une condition de flood est détectée et permet de défendre le système tout en continuant à prendre en charge les requêtes valides.

Procédure

  1. Exécutez la commande # cat /proc/sys/net/ipv4/tcp_syncookies pour vérifier que le système hôte utilise des Syncookies TCP IPv4.
  2. Configurez le système hôte pour utiliser des Syncookies TCP IPv4.
    1. Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
    2. Si la valeur n'est pas définie sur 1, ajoutez l'entrée suivante au fichier ou mettez à jour l'entrée existante en conséquence. Définissez la valeur sur 1.
      net.ipv4.tcp_syncookies=1 
    3. Enregistrez les modifications et fermez le fichier.