TCP paquets ont chuté en raison Firewall de l’option Timestamp invalide

TCP paquets ont chuté en raison Firewall de l’option Timestamp invalide

47298
Created On 11/19/19 02:09 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • TCP SYN et TCP SYN / ACK paquets ne sont pas abandonnés par firewall le et sont transmis comme prévu
  • Firewallgouttes aléatoires paquets et compteur global « tcp_invalid_ts_option » incréments.

      > montrer compteur filtre global packet-filter oui delta oui

Compteurs mondiaux :

Temps écoulé depuis le dernier échantillonnage : 3,298 secondes

description de l’aspect de la catégorie de gravité de la valeur nominale

--------------------------------------------------------------------------------

tcp_drop_packet 10 avertir les paquets pktproc tcp abandonnés en raison d’une défaillance dans le remontage tcp

tcp_invalid_ts_option 10 paquets pktproc tcp info tcp avec option timestamp invalide >>>>>> Increment en compteur

  • Veuillez consulter le document ci-dessous qui explique comment vérifier le compteur global pour un trafic spécifique :
             Comment vérifier les compteurs mondiaux pour une source et une adresse de destination IP spécifiques

Environment


 
  • TCP l’option timestamp est échangée entre le client et le serveur
  • « Check Timestamp option » est activé sur firewall

Cause


  • Firewall laisse tomber tous les paquets, à l’exception des paquets syn et syn-ack TCP où la valeur TSVal (Valeur timestamp) est nulle.
  • Pour consulter le TSVal dans un TCP paquet, référez la capture d’écran ci-dessous :
       Image ajoutée par l'utilisateur
  • Par défaut, l’option « Check Timestamp » est activée. Par firewall conséquent, le va laisser tomber ce paquet. Nous pouvons vérifier le paramètre en exécutant la commande ci-dessous dans CLI

      > spectacle en cours d’exécution état tcp

session avec voie asymétrique : inspection de contournement

Contournement si OO la limite de file d’attente est atteinte : non

Favoriser les nouvelles données seg : non

Données urgentes : claires

Baisse si zéro après drapeau clair urgent : oui

Vérifiez l’option Timestamp : -----> cette option est définie sur Oui par défaut

Autoriser Défi Ack : oui

Supprimer MPTCP l’option : oui

Resolution


  • Selon la conception actuelle, le firewall va laisser tomber les paquets avec TSVal réglé à 0.
  • S’il s’agit d’un trafic légitime et que vous souhaitez autoriser, vous pouvez désactiver le « Timestamp Check ».
 Note: Selon les meilleures pratiques sur Firewall , il est recommandé d’activer cette option. Meilleures pratiques pour sécuriser votre réseau contre les évasions de la couche 4 et de la couche 7
            Si vous ne souhaitez pas modifier cette option s’il vous plaît vérifier sur le serveur ou sur le client pour voir pourquoi il envoie une valeur timestamp nulle.
  • De CLI :

      >
configurer # set deviceconfig réglage tcp check-timestamp-option no
# commit
 

  • De GUI :
Sélectionnez l’appareil --> setup --> session

       Image ajoutée par l'utilisateur

Sélectionnez l’option Modifier dans " TCP Paramètres »

       Image ajoutée par l'utilisateur

Annuler l’option « Drop segments avec option timestamp nulle » et cliquez sur OK

       Image ajoutée par l'utilisateur
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNXpCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language