Verificare che le macchine host dell'appliance VMware utilizzino i SYN cookie TCP IPv4.

Un attacco flood SYN TCP può causare un Denial of Service riempiendo la tabella delle connessioni TCP di un sistema con connessioni nello stato SYN_RCVD. I SYN cookie impediscono il monitoraggio di una connessione finché non si riceve un ACK successivo, assicurandosi in tal modo che l'iniziatore stia tentando una connessione valida e non si tratti dell'origine di un attacco flood. Questa tecnica non funziona in modo pienamente conforme agli standard, ma viene attivata solo durante una condizione di flood e permette di difendere il sistema continuando a rispondere alle richieste valide.

Procedura

  1. Eseguire il comando # cat /proc/sys/net/ipv4/tcp_syncookies nelle macchine host dell'appliance VMware per verificare che utilizzino i SYN cookie TCP IPv4.

    Se le macchine host sono configurate per negare l'inoltro IPv4, il comando restituisce il valore 1 per /proc/sys/net/ipv4/tcp_syncookies. Se le macchine virtuali sono configurate correttamente, non è necessario eseguire ulteriori operazioni.

  2. Se è necessario configurare un'appliance virtuale per l'utilizzo dei SYN cookie TCP IPv4, aprire il file /etc/sysctl.conf in un editor di testo.
  3. Individuare la voce net.ipv4.tcp_syncookies=1.

    Se il valore di questa voce non è attualmente impostato su uno o se la voce non esiste, aggiungere la voce o aggiornare quella esistente di conseguenza.

  4. Salvare le modifiche apportate e chiudere il file.