TCP paquetes caídos Firewall debido a la opción de marca de tiempo no válida

TCP paquetes caídos Firewall debido a la opción de marca de tiempo no válida

47486
Created On 11/19/19 02:09 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • TCP SYN y TCP SYN / los paquetes no son ACK caídos por el y se firewall remiten como se esperaba
  • Firewallcae aleatoriamente paquetes y incrementos de "tcp_invalid_ts_option" del contador global.

      > mostrar contador global filtro de filtro filtro sí delta sí

Contadores globales:

Tiempo transcurrido desde el último muestreo: 3.298 segundos

nombre de la categoría de gravedad de la tasa de valor descripción del aspecto

--------------------------------------------------------------------------------

tcp_drop_packet 1 0 advertir paquetes tcp pktproc caídos debido a un error en el reensamblaje tcp

tcp_invalid_ts_option 1 0 info tcp pktproc tcp paquetes con opción de marca de tiempo no válida >>>>>> incremento en contador

  • Refiera por favor el documento abajo que explica cómo marcar el contador global para un tráfico específico:
             Cómo comprobar los contadores globales para una dirección de origen y destino específica IP

Environment


 
  • TCP la opción de marca de tiempo se intercambia entre el cliente y el servidor
  • La opción "Comprobar marca de tiempo" está activada firewall

Cause


  • Firewall caerá todos los paquetes, excepto los paquetes syn y syn-ack TCP donde el TSVal (Valor de marca de tiempo) es cero.
  • Para marcar el TSVal en un TCP paquete, refiera la captura de pantalla a continuación:
       Imagen de usuario añadido
  • De forma predeterminada, la opción "Comprobar marca de tiempo" está habilitada. Por lo tanto, el firewall caerá este paquete. Podemos comprobar la configuración ejecutando el siguiente comando en CLI

      > mostrar el estado tcp en ejecución

sesión con trayectoria asimétrica : inspección de derivación

Omitir si OO se alcanza el límite de cola: no

Favorezca nuevos datos de seg : no

Datos urgentes : claros

Soltar si cero después de la bandera urgente clara : sí

Marque la opción de marca de tiempo : sí -----> Esta opción está establecida en Sí de forma predeterminada

Permitir desafío Ack : sí

Eliminar MPTCP opción : sí

Resolution


  • Según el diseño actual, el firewall caerá los paquetes con TSVal fijado a 0.
  • Si se trata de tráfico legítimo y desea permitir, puede desactivar el "Comprobación de marca de tiempo".
 Nota: Según las prácticas recomendadas Firewall activadas, se recomienda habilitar esta opción. Mejores prácticas para proteger su red de las evasiones de capa 4 y capa 7
            Si no desea cambiar esta opción, compruebe en el servidor o en el cliente para ver por qué está enviando un valor de marca de tiempo nulo.
  • Desde CLI :

      > configurar
# establecer la configuración de deviceconfig tcp check-timestamp-option no #
commit
 

  • Desde GUI :
Seleccione Dispositivo --> Configuración --> Sesión

       Imagen de usuario añadido

Seleccione la opción Editar en TCP "Configuración"

       Imagen de usuario añadido

Desmarque la opción "Soltar segmentos con la opción de marca de tiempo nula" y haga clic en OK

       Imagen de usuario añadido
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNXpCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language