TCP Pakete, die Firewall aufgrund der Option Ungültiger Zeitstempel verworfen wurden

TCP Pakete, die Firewall aufgrund der Option Ungültiger Zeitstempel verworfen wurden

47296
Created On 11/19/19 02:09 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • TCP SYN und TCP SYN / Pakete werden nicht von der fallen gelassen und wie erwartet ACK firewall weitergeleitet
  • FirewallDrops nach dem Zufallsprinzip Pakete und globale Leistungsindikator"-Tcp_invalid_ts_option-Inkremente.

      > zeigen Zähler globalen Filter Paket-Filter ja Delta ja

Globale Zähler:

Verstrichene Zeit seit der letzten Probenahme: 3.298 Sekunden

Beschreibung des Namenswerts des Schweregrads der Kategorie

--------------------------------------------------------------------------------

tcp_drop_packet 1 0 warnen tcp pktproc-Pakete, die aufgrund eines Fehlers in tcp reassembly gelöscht wurden

tcp_invalid_ts_option 1 0 info tcp pktproc tcp-Pakete mit ungültiger Zeitstempeloption >>>>>> Increment in Counter

  • Im folgenden Dokument wird erläutert, wie Sie den globalen Zähler auf einen bestimmten Datenverkehr überprüfen:
             Überprüfen globaler Leistungsindikatoren für eine bestimmte Quell- und IP Zieladresse

Environment


 
  • TCP Timestamp-Option wird zwischen Client und Server ausgetauscht
  • "Check Timestamp option" ist aktiviert auf firewall

Cause


  • Firewall löscht alle Pakete, mit Ausnahme von Syn- und TCP Syn-ack-Paketen, bei denen der TSVal (Timestamp Value) Null ist.
  • Um das TSVal in einem Paket zu TCP überprüfen, lesen Sie den Screenshot unten:
       Benutzeriertes Bild
  • Standardmäßig ist die Option "Zeitstempel prüfen" aktiviert. Daher firewall wird das Paket fallen. Wir können die Einstellung überprüfen, indem Wir den folgenden Befehl in CLI

      > zeigen den tcp-Status

Sitzung mit asymmetrischem Pfad : Bypass-Inspektion

Umgehen, wenn OO das Warteschlangenlimit erreicht ist: nein

Neue Seg-Daten bevorzugen : nein

Dringende Daten : klar

Drop, wenn Null nach klare dringende Flagge : ja

Option Timestamp aktivieren : ja -----> Diese Option ist standardmäßig auf Ja gesetzt

Challenge Ack zulassen : ja

Entfernen MPTCP Option : ja

Resolution


  • Gemäß dem aktuellen Entwurf firewall werden die Pakete mit TSVal auf 0 gesetzt.
  • Wenn dies legitimer Datenverkehr ist und Sie zulassen möchten, können Sie die "Timestamp-Prüfung" deaktivieren.
 Hinweis: Gemäß den Best Practices am Firewall wird empfohlen, diese Option zu aktivieren. Bewährte Methoden zum Sichern Ihres Netzwerks vor Layer 4- und Layer 7-Evasionn
            Wenn Sie diese Option nicht ändern möchten, überprüfen Sie bitte auf dem Server oder auf dem Client, warum er einen Null-Zeitstempelwert sendet.
  • CLIVon:

      > konfigurieren
Sie die Einstellung "deviceconfig" tcp check-timestamp-option no

 

  • GUIVon:
Geräte --> Setup --> Sitzung auswählen

       Benutzeriertes Bild

Wählen Sie Option Bearbeiten in TCP "Einstellungen"

       Benutzeriertes Bild

Deaktivieren Sie die Option "Segmente mit Null-Zeitstempel-Option" und klicken Sie auf OK

       Benutzeriertes Bild
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNXpCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language