Invalid SYN flood
Kasıtlı bozuk TCP başlıklı SYN paketleri (invalid_flag preset). Edge cihazların anomalileri düşürüp düşürmediğini veya derin incelemede CPU harcayıp harcamadığını test eder.
Nasıl çalışır?
- Normal flood ile aynı SYN flag, ancak başlık alanları/checksum beklentiyi ihlal eder.
- Bazı stack'ler sessizce düşürür; bazıları yavaş yola iletir veya state'i yanlış takip eder.
- Engarde preset: Invalid SYN Flood (TCP / S, invalid_flag=true).
- Aynı portta standart SYN flood ile karşılaştırarak farklı mitigasyon tetikleyicilerini görün.
Paket akışı (örnek)
Engarde node Hedef
→TCP flags: F+P+UXmas
→ALL flags setnon-RFC
Parser / IPS path stress
Örnek akış — canlı PCAP değildir.
Engarde preset Invalid SYN Flood
Flag S + invalid_flag
Katman L4 parse
Engarde'de ne izlenmeli?
- Geçerli SYN testine göre drop sayaçları vs. SYN cookie devreye girmesi.
- Malformed TCP veya checksum hataları için firewall logları.
- Paketler kabul edilirse yarım açık tablo büyümesi.
Bu simülasyonu çalıştırma
Engarde DDoS'ta predefined attacks listesinden Invalid SYN Flood seçin. Production öncesi staging firewall VIP'de kısa patlama çalıştırın.
Mitigasyon perspektifi
Perimeter'da malformed TCP için default-drop; scrubbing sağlayıcının invalid_flag trafiğini politikanıza uygun işlediğini doğrulayın.