パケット バッファの構成ミスを特定する方法
26756
Created On 03/20/20 21:25 PM - Last Modified 03/26/21 18:12 PM
Symptom
- 脅威ログは脅威 8507 で洪水イベントを示しています ID
- 脅威ログには、一致するセキュリティが表示されません policy 。
- パケットが 1 つのゾーンまたはすべてのゾーンでドロップしています。
Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
- パケット バッファ保護が構成されました。
Cause
パケット バッファの設定されたアクティベーション レートが低すぎるか、パケット バッファ攻撃が仕掛中です。
Resolution
トラブルシューティングの手順
PBPデバイス > セットアップ>セッション設定] で、アクティブ化と警告の速度についてグローバル (パケット バッファ保護) 構成を確認します。 アクティベーション率が非常に低い場合、または「アラートレート」よりも低い場合は、アクティベーションレートを高く移動します。
デフォルトのアクティブ化率は 50% ですが、60%または70%まで高く移動できます。
ゾーン レベルで PBP ゾーン レベルの構成が有効になっていることを確認 GUI します:ネットワーク >ゾーン
ゾーン レベルの DoS 保護と プロトコルを確認 TCP UDP ICMP し、アクティベーションとアラームレートを確認します。 場合によっては、クッキーでアクティベーションレートがゼロに設定されます SYN 。 これにより、 Firewall すべてのセッションに対して Cookie が送信されます SYN TCP 。
現在のバッファ レートと問題の原因となっているセッションを特定します。
- CLI次のコマンドを発行し、パケット バッファ (平均) とパケット バッファ (最大) を確認し、デバイス >セットアップ >セッション設定s で、その平均値を "グローバル構成値" と比較します。
show running resource-monitor
- トップ セッションと最大バッファを識別します。 ここに CLI コマンドがあり、より多くの情報はこちら
show running resource-monitor ingress-backlogs
- CLI次のコマンドを発行し、パケット バッファ (平均) とパケット バッファ (最大) を確認し、デバイス >セットアップ >セッション設定s で、その平均値を "グローバル構成値" と比較します。