NetScreen, NS-5GT

 TCP Syn-Check

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-4/syn_flooding_attacks.html \\

○NetScreenでのTCPのsyn-checkの設定手順の詳細

1.Telnetでnetscreenにログオン。
(ユーザ、パスワードはWebコンソールのログオンで使用しているもの)

2.ログオン後、以下コマンドを入力しEnterを押下。
有効にする場合
set flow tcp-syn-check

無効にする場合(現在はこの状態です。)
unset flow tcp-syn-check

3.2を実行後、設定を保存するために以下コマンドを入力しEnterを押下。
save

以上でtcpのsyn‐checkの設定を有効、無効に設定できます。
※この設定はWebコンソールからでは設定できませんので、
 ご注意ください。

○NetScreen上のセッションテーブルの情報を確認する場合

以下コマンドを入力すると確認できます。
get session

NetScreen上のセッションテーブルの情報を削除する場合は、
以下コマンドを入力すると確認できます。
clear session
 

> -—————————————————--
> 通常TCPのセッションはSYN->SYN-ACK->ACKというフローで生成されます。
> SYN Check機能が有効な場合は、このフローに則ってSYN始まりでない新
> 規セッションは不正なものとみなし破棄します。
> このため、SYNでないものを不正に送りつけるようなアタックやネットワ
> ーク構成上の問題等に対するセキュリティとして有効です。
>
> NetScreenに関していうと、古いバージョンではデフォルト無効となって
> ましたが、OS5.1よりデフォルト有効となりました。
> 但し、無効の状態からアップグレードした場合は既存の設定が引き継が
> れます。
>
> 現状、FWとしてはデフォルト有効な機器が多いかと思いますが、一般的
> なルータではデフォルト無効かと思います。
> -—————————————————--
>

Juniperの技術情報
http://kb.juniper.net/index?page=content&id=KB4444&actp=LIST