IPv4 TCP SYN Cookie を使用するためのホストシステムの構成

セキュリティ上のベストプラクティスとして、ホストシステムで IPv4 Transmission Control Protocol (TCP) SYN Cookie を使用していることを確認します。TCP SYN フラッディング攻撃は、システムの TCP 接続テーブルを SYN_RCVD 状態の接続で満たすことにより、サービス妨害を引き起こす可能性があります。SYN Cookie は、後続の ACK を受信してイニシエータが有効な接続を試みておりフラッディングソースではないことが確認されるまで、接続の追跡を行わないようにする手法です。

この手法は、標準準拠の方法では完全には動作しませんが、フラッディング条件の検出時にのみ有効化され、有効な要求の処理を継続しながらシステムを保護できます。

手順

# cat /proc/sys/net/ipv4/tcp_syncookies コマンドを実行して、ホストシステムで IPv4 TCP SYN Cookie を使用しているかどうかを確認します。
IPv4 TCP SYN Cookie を使用するためのホストシステムの構成
1. /etc/sysctl.conf を開いて、ホストシステムを構成します。
2. 値が 1 に設定されていない場合は、次のエントリをファイルに追加するか、同じように既存のエントリを更新します。値を 1 に設定します。
```
net.ipv4.tcp_syncookies=1 
```
3. 変更内容を保存し、ファイルを閉じます。
4. # sysctl -p を実行して、構成を適用します。