セキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 Transmission Control Protocol (TCP) Syncookies を使用していることを確認します。TCP SYN フラッディング攻撃は、システムの TCP 接続テーブルを SYN_RCVD 状態の接続で満たすことにより、サービス妨害を引き起こす可能性があります。Syncookies は、後続の ACK を受信してイニシエータが有効な接続を試みておりフラッディング ソースではないことが確認されるまで、接続の追跡を行わないようにする手法です。

このタスクについて

この手法は、標準準拠の方法では完全には動作しませんが、フラッディング条件の検出時にのみ有効化され、有効な要求の処理を継続しながらシステムを保護できます。

手順

  1. # cat /proc/sys/net/ipv4/tcp_syncookies コマンドを実行して、ホスト システムで IPv4 TCP Syncookies を使用しているかどうかを確認します。
  2. IPv4 TCP syncookies を使用するようにホスト システムを構成します。
    1. /etc/sysctl.conf を開いて、ホスト システムを構成します。
    2. 値が 1 に設定されていない場合は、次のエントリをファイルに追加するか、同じように既存のエントリを更新します。値を 1 に設定します。
      net.ipv4.tcp_syncookies=1 
    3. 変更内容を保存し、ファイルを閉じます。