Pourquoi les journaux de menaces affichent-ils les adresses source et destination IP sous le nom de 0.0.0.0 pour les attaques d’inondation détectées et TCP bloquées

Pourquoi les journaux de menaces affichent-ils les adresses source et destination IP sous le nom de 0.0.0.0 pour les attaques d’inondation détectées et TCP bloquées

67023
Created On 07/24/19 19:31 PM - Last Modified 07/29/25 22:11 PM


Question


Pourquoi les journaux de menaces affichent-ils les adresses source et destination IP sous le nom de 0.0.0.0 pour les attaques d’inondation détectées et TCP bloquées ?

Image ajoutée par l'utilisateur

Environment


  • Tout PAN-OS .
  • Palo Alto Firewall .

 

Answer


TCP les attaques d’inondation proviennent généralement de diverses adresses sources IP et sont destinées à diverses adresses de IP destination.
Si TCP l’attaque d’inondation est bloquée par un profil de protection de zone, les journaux de menace s’affichent aux adresses source et destination IP sous le nom de 0.0.0.0.

Afin d’identifier l’adresse de IP l’attaquant, configurez un profil de protection DoS.

Des informations sur la configuration du profil DoS Protection peuvent être trouvées ici.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMRqCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language