如何识别数据包缓冲区配置错误
26762
Created On 03/20/20 21:25 PM - Last Modified 03/26/21 18:12 PM
Symptom
- 威胁日志显示带有威胁 ID 8507 的洪水事件
- 威胁日志不显示任何匹配的安全 policy 性。
- 数据包在一个区域或所有区域中丢弃。
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- 已配置数据包缓冲区保护。
Cause
数据包缓冲区上配置的激活速率太低或数据包缓冲区攻击正在处理中。
Resolution
故障排除步骤
检查 PBP 设备>设置>激活和警报速率的全局(包缓冲区保护)配置。 如果激活率非常低或低于"警报速率",则将激活率移得更高。
默认激活率为 50%,但是,它可以移动更高高达 60% 或 70%。
检查 PBP 区域级别配置在区域级别启用 GUI :网络>分区
检查区域级别 DoS 保护 TCP UDP ,并 ICMP 进行协议并检查激活和报警速率。 有时,激活率与 Cookie 设置为零 SYN 。 这将 Firewall 迫使所有 SYN TCP 会话发送Cookie。
确定当前缓冲区速率以及导致问题的会话。
- 从 CLI 发布以下命令开始,检查数据包缓冲区(平均值)和数据包缓冲区(最大值),并将设备>设置>塞塞斯设置)的平均值与"全球配置值"进行比较。
show running resource-monitor
- 标识顶部会话和最大缓冲区。 这里是 CLI 命令和更多的信息可以在这里找到
show running resource-monitor ingress-backlogs
- 从 CLI 发布以下命令开始,检查数据包缓冲区(平均值)和数据包缓冲区(最大值),并将设备>设置>塞塞斯设置)的平均值与"全球配置值"进行比较。