Syn 数据有效载荷保护

Syn 数据有效载荷保护

37290
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM


Symptom


PAN-OS 8.0 引入的新功能或功能

Syn 数据有效载荷保护增强功能将为管理员提供启用或禁用 SYN 区域保护配置文件中的数据有效载荷检查的选项。 在三方握手期间,将对有效载荷 SYN 和 SYN-ACK 数据包进行扫描。 此外,该功能还将为快速开放标准的有效载荷扫描提供支持 TCP 。

Environment


  • PAN-OS 8.0

Resolution


 
  • Syn 和 Syn-Ack 数据检查将在创建区域保护配置文件时默认启用。
  • TCP默认情况下,允许使用快速打开选项的 Syn 和 Syn-Ack。 启用" TCP 快速打开选项""条" TFO 选项,以及两个数据有效载荷 SYN 和 SynAck 数据包
  • 如果 Syn Cookie 已启用并激活, TCP 且未检查快速选项,帕洛阿尔托设备仍将剥离数据有效载荷,以及 TFO 保留 Syn Cookie 行为的选项。


TCP使用数据有效载荷处理 Syn/SynAck 数据包

  • 删除 Syn 数据包
  • 丢弃 SynAck 数据包


处理 TFO 数据包

  • 用 TCP "TCP_OPT_NOP"(0x01)覆盖快速选项字段"金长度数据"

syn 数据有效负载 packetcapture. png
 

  • 用选项覆盖的数据包 NOP

条例. png
 

剥离数据负载包括以下内容:

  • 修改 IP /IPv6数据包以反映零L4段长度
  • 重新计算 IP /IPv6 TCP 检查

tfo2. pngtfo3. png


功能与曲奇的交互 TCP SYN

  1. SYN 和 SYN-ACK 数据有效载荷的包,但缺乏 TFO 将被丢弃,无论 TCP SYN 饼干配置
  2. TCP TFO启用的数据包 PANOS 将执行段长重写,并重新计算检查如下:
  • TCP SYN 饼干已禁用
  • TCP SYN 已启用cookie,但尚未由区域配置文件阈值激活
  • SYN如果按阈值启用并触发,则返回到现有 Cookie 行为


配置

带保护 profile.png

 

CLI 命令

  • 显示区域保护区 v1 不信任
> show zone-protection zone v1-untrust 

------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone v1-untrust, vsys vsys1, profile Zone_Protection
------------------------------------------------------------------------------------------
  tcp-syn              SYN cookie enabled: yes
    DP alarm rate:       10000 cps, activate rate:       0 cps, maximal rate: 1000000 cps
    current:                 0 packets
    dropped:                 0 packets
------------------------------------------------------------------------------------------
IPv(4/6) Filter:
  discard-ip-spoof:                           enabled: yes, packet dropped: 0
  discard-ip-frag:                            enabled: yes, packet dropped: 0
  tcp-reject-non-syn:                         enabled: yes, (global), packet dropped: 0
  tcp-timestamp:                              enabled: yes, packets modified: 0
  discard-tcp-syn-with-data:                  enabled: yes, packet dropped: 0
  discard-tcp-synack-with-data:               enabled: yes, packet dropped: 0
IPv4 packet filter:
 ....
 
  • 显示计数器全球|匹配同步
admin@PA-5020> show counter global | match syn
flow_dos_pf_tcpsyndata                126367      489 drop      flow      dos       Packets dropped: Zone protection option 'discard-tcp-syn-with-data'
flow_dos_pf_tcpsynackdata               1000        3 drop      flow      dos       Packets dropped: Zone protection option 'discard-tcp-synack-with-data'
 
  • show counter global | match tfo

admin@PA-5020> show counter global | match tfo
flow_dos_pm_tcptfodata                 21868     1217 info      flow      dos       Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'
 

.

Additional Information


要了解有关此主题的更多内容或 PAN-OS 一般情况,请查看技术文档 PAN-OS 着陆页面
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClT5CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language