TCP RST-SYN flood
RST ve SYN birlikte (RS preset) — oturum takibi ve teardown mantığını karıştıran çelişkili sinyaller.
Nasıl çalışır?
- Engarde preset: RST-SYN Flood — flag RS, invalid_flag true.
- Yüksek PPS'te çelişkili flag geldiğinde state temizliğini test etmek için uygundur.
- İlgili preset'ler: RSF (RST-SYN-FIN), ARS (ACK slightly different order in name).
Paket akışı (örnek)
Engarde node Hedef
→PSH + ACKseq/ack set
→PSH-ACK segment× N
Örnek akış — canlı PCAP değildir.
Flag RS
Engarde RST-SYN Flood
Katman L4 state
Engarde'de ne izlenmeli?
- Oturum tablosu churn oranı.
- State kirlenirse RS flood sırasında meşru SYN drop.
Bu simülasyonu çalıştırma
Firewall lab'de RS preset; Testi sonlandır sonrası toparlanmayı SYN-only baz ile karşılaştırın.
Mitigasyon perspektifi
Stateful cihazlar RS combo'larını erken drop etmeli; Engarde rapor zaman damgaları ile doğrulayın.