Syn 数据有效载荷保护
43381
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
PAN-OS 8.0 引入的新功能或功能
Syn 数据有效载荷保护增强功能将为管理员提供启用或禁用 SYN 区域保护配置文件中的数据有效载荷检查的选项。 在三方握手期间,将对有效载荷 SYN 和 SYN-ACK 数据包进行扫描。 此外,该功能还将为快速开放标准的有效载荷扫描提供支持 TCP 。
Environment
- PAN-OS 8.0
Resolution
- Syn 和 Syn-Ack 数据检查将在创建区域保护配置文件时默认启用。
- TCP默认情况下,允许使用快速打开选项的 Syn 和 Syn-Ack。 启用" TCP 快速打开选项""条" TFO 选项,以及两个数据有效载荷 SYN 和 SynAck 数据包
- 如果 Syn Cookie 已启用并激活, TCP 且未检查快速选项,帕洛阿尔托设备仍将剥离数据有效载荷,以及 TFO 保留 Syn Cookie 行为的选项。
TCP使用数据有效载荷处理 Syn/SynAck 数据包
- 删除 Syn 数据包
- 丢弃 SynAck 数据包
处理 TFO 数据包
- 用 TCP "TCP_OPT_NOP"(0x01)覆盖快速选项字段"金长度数据"
- 用选项覆盖的数据包 NOP
剥离数据负载包括以下内容:
- 修改 IP /IPv6数据包以反映零L4段长度
- 重新计算 IP /IPv6 TCP 检查
功能与曲奇的交互 TCP SYN
- SYN 和 SYN-ACK 数据有效载荷的包,但缺乏 TFO 将被丢弃,无论 TCP SYN 饼干配置
- TCP TFO启用的数据包 PANOS 将执行段长重写,并重新计算检查如下:
- TCP SYN 饼干已禁用
- TCP SYN 已启用cookie,但尚未由区域配置文件阈值激活
- SYN如果按阈值启用并触发,则返回到现有 Cookie 行为
配置
CLI 命令
- 显示区域保护区 v1 不信任
> show zone-protection zone v1-untrust ------------------------------------------------------------------------------------------ Number of zones with protection profile: 1 ------------------------------------------------------------------------------------------ Zone v1-untrust, vsys vsys1, profile Zone_Protection ------------------------------------------------------------------------------------------ tcp-syn SYN cookie enabled: yes DP alarm rate: 10000 cps, activate rate: 0 cps, maximal rate: 1000000 cps current: 0 packets dropped: 0 packets ------------------------------------------------------------------------------------------ IPv(4/6) Filter: discard-ip-spoof: enabled: yes, packet dropped: 0 discard-ip-frag: enabled: yes, packet dropped: 0 tcp-reject-non-syn: enabled: yes, (global), packet dropped: 0 tcp-timestamp: enabled: yes, packets modified: 0 discard-tcp-syn-with-data: enabled: yes, packet dropped: 0 discard-tcp-synack-with-data: enabled: yes, packet dropped: 0 IPv4 packet filter: ....
- 显示计数器全球|匹配同步
admin@PA-5020> show counter global | match syn flow_dos_pf_tcpsyndata 126367 489 drop flow dos Packets dropped: Zone protection option 'discard-tcp-syn-with-data' flow_dos_pf_tcpsynackdata 1000 3 drop flow dos Packets dropped: Zone protection option 'discard-tcp-synack-with-data'
show counter global | match tfo
admin@PA-5020> show counter global | match tfo flow_dos_pm_tcptfodata 21868 1217 info flow dos Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'
.
Additional Information
要了解有关此主题的更多内容或 PAN-OS 一般情况,请查看技术文档 PAN-OS 着陆页面