ヒントとコツ: TCP スプリットハンドシェイクドロップ
Resolution
ほとんどのネットワークエンジニアは、米国-CERT によって説明されている TCP 3 ウェイハンドシェイクに精通しており、以下に示します。
| 3ウェイハンドシェイク |
1。 a-> B の SYN 2。 A<-- B SYN/ACK b=""></-- B SYN/ACK> 3。 a--> B ACK |
要するに: TCP セッションは通常、クライアントが同期パケット (SYN) をサーバーに送信することから始まります。 応答として、サーバはクライアントに SYN/ACK を送り返します。3ウェイハンドシェイクを完了するための3番目と最後のステップは、クライアントがサーバーに最終的な ACK を送信することです。
そうは言っても、TCP 接続を構築する他の有効な方法を知っている人は少なく、スプリットハンドシェイクと同時オープンハンドシェイクと呼ばれています。次の表は、その動作を示しています。
| 4ウェイスプリットハンドシェイク | 4ウェイスプリットハンドシェイク | 同時オープン | 5ウェイスプリットハンドシェイク |
1。 a-> B の SYN 2。 A<-- B ACK b=""></-- B ACK> 3。 A<-- B SYN b=""></-- B SYN> 4. a--> B ACK | 1。 a-> B の SYN 2。 A<-- B SYN b=""></-- B SYN> 3。 a--> B SYN/ACK 4. A<-- B ACK b=""></-- B ACK> | 1。 a-> B の SYN 2。 A<-- B SYN b=""></-- B SYN> 3。 a--> B SYN/ACK 4. A<-- B SYN/ACK b=""></-- B SYN/ACK> | 1。 a-> B の SYN 2。 A<-- B ACK b=""></-- B ACK> 3。 A<-- B SYN b=""></-- B SYN> 4. a--> B SYN/ACK 5。 A<-- B ACK b=""></-- B ACK> |
tcp 握手を有効にしている間、一部のネットワークセキュリティデバイスを混同して tcp フローを正しく処理できないことがあります。
ちょうど物事を明確にする: 注意してくださいパロアルトネットワーク次世代ファイアウォールが正しく分割握手と同時オープンセッションとすべての層を処理する7この種のハンドシェイクを使用してプロセス!
この機能を追加することで、ゾーン保護プロファイルに TCP スプリットハンドシェイク (サーバー SYN) を単にドロップする可能性を追加しました。 この設定をゾーンで有効にすると、サーバーからの SYN パケットはすべて削除されます。これは、上記の4または5ウェイ握手のいずれかを使用して完全なハンドシェイクを防ぐことができます。
この設定は既定では有効になっていません。
3方向以外の TCP ハンドシェイク動作を回避したい場合は、ゾーン保護プロファイルでこの設定を有効にして、目的のゾーンに割り当てることができます。
この機能は、PAN-OS 7.0 で追加されました。 下位の PAN-OS バージョンからアップグレードする場合、設定は既定では有効になりません。 パン OS 7.0 からダウングレードすると、オプションは単純に削除されます。
この機能を有効にすると、十分に簡単です。 [ネットワーク] > [ネットワークプロファイル] > [ゾーンプロテクション] > [パケットベースの攻撃保護] の下にある [スプリットハンドシェイク] チェックボックスをオンにして、[ TCP ドロップ] タブを選択します。
スプリットハンドシェイク
このゾーン保護プロファイルを目的のゾーンに割り当てることを忘れずに、この構成は何も行いません。
パノラマでは、次のスクリーンショットに示すように、デバイステンプレートでオプションを使用できます。 また、以前のバージョンの PAN-OS にプッシュすると、オプションが削除されることに注意してください。
パノラマデバイステンプレート
TCP スプリットハンドシェイクのトラブルシューティングを行うために確認できるグローバルカウンタは2つあります。
- tcp_split_handshake: このカウンタはスプリットハンドシェイクを検出します。このカウンタは、以前のバージョンの PAN-OS でも使用できることに注意してください。TCP スプリットハンドシェイクのみを検出します。
- flow_dos_pf_tcpsplithandshake: これは、PAN-OS 7.0 で追加された実際のドロップカウンタです。 だから、この1つを見ることができる前に、最初の機能を有効にする必要があります。
使用方法がわからない場合は、グローバルカウンタに関する以下の記事を読むことができます。
ハウツー-トラブルシューティング-使用-カウンタ-CLI 経由
また、次の CLI コマンドは、機能を有効にしてゾーンに構成し、この機能を使用してパケットが削除された場合に表示されます。
> ゾーンを表示-保護ゾーンラボ-200
---------------------------------------------------------
保護プロファイルを持つゾーンの数: 1
---------------------------------------------------------
ゾーン lan-200、vsys vsys1、プロファイル保護-
---------------------------------------------------------
IPv (4/6) フィルタ:
tcp-拒否-非 syn: 有効: はい、(グローバル)、パケットが削除されました: 0
IPv4 パケットフィルタ:
破棄-tcp-スプリットハンドシェイク: 有効: はい、パケットが削除されました: 0
IPv6 パケットフィルタ:
乾杯 !
-キム