Руководство По Устранению Ошибки для Cisco Cisco Packet Data Gateway (PDG)

 

▄  Cisco ASR 5000 Series Command Line Interface Reference 

This command configures TCP SYN intercept parameters for protection against TCP SYN flooding attacks. 

 In StarOS 8.0, this configuration is available in the ACS Configuration Mode. In StarOS 8.1, for 

Rulebase-based Stateful Firewall configuration, this configuration is available in the Rulebase Configuration Mode. In 
StarOS 8.3, this configuration is available in the Rulebase Configuration Mode. 

 

FW 

 

Security Administrator, Administrator 

 

Configures the default settings for SYN Flood DoS protection. 

Specifies the TCP SYN flood intercept mode: 

 

: Disables the TCP SYN Flood Intercept feature. 

 

: Configures TCP SYN flood intercept feature in watch mode. The Stateful Firewall passively 

watches to see if TCP connections become established within a configurable interval. If connections 
are not established within the timeout period, the Stateful Firewall clears the half-open connections 
by sending RST to TCP client and server. The default watch-timeout for connection establishment is 
30 seconds. 

 

: Configures TCP SYN flood Intercept or Watch feature for aggressive behavior. Each 

new connection request causes the oldest incomplete connection to be deleted. When operating in 
watch mode, the watch timeout is reduced by half. If the watch-timeout is 30 seconds, under 
aggressive conditions it becomes 15 seconds. When operating in intercept mode, the retransmit 
timeout is reduced by half (i.e. if the timeout is 60 seconds, it is reduced to 30 seconds). Thus the 
amount of time waiting for connections to be established is reduced by half (i.e. it is reduced to 150 
seconds from 300 seconds under aggressive conditions). 

Default: 

 

Specifies the TCP intercept watch timeout, in seconds. 

 must be an integer from 5 through 30. 

Default: 30