Wie behebe ich spoofed ip auf Palo Alto Networks firewall ?
24303
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:52 PM
Objective
Der Zweck dieses Dokuments besteht darin, die Schritte zur Fehlerbehebung durch spoofed ip im Bedrohungsprotokoll bereitzustellen.
Environment
- PANOS Versionen: 8.1.x, 9.0x, 9.1.x und 10.0.x.
- Palo Alto Firewall .
- Zonenschutz: Paketbasierter Angriffsschutz konfiguriert.
- Spoofed IP Adressnachrichten, die im Bedrohungsprotokoll angezeigt werden.
Procedure
- Überprüfen Sie das Datenverkehrsprotokoll und das Bedrohungsprotokoll.Suchen Sie nach IP Quelladresse, IP Zieladresse, Quellzone, Zielzone, Eingangsschnittstelle und der Egressschnittstelle:
Verkehrsprotokoll
Bedrohungsprotokoll:
Hinweis: Das Verkehrsprotokoll und das Bedrohungsprotokoll zeigen den Datenverkehr an, der aus verschiedenen Zonen und Schnittstellen stammt
- Konfigurieren sie die Paketerfassung entsprechend der Quell- und IP Zieladresse in Logs (Filter und Capture):
- Über die Eingabeaufforderung "Befehlszeilenschnittstelle "Geben Sie denglobalen Filter-Paketfilter "Globaler Filterfilter ja Delta ja" an und suchen Sie mit dem Absendeschweregrad nach flow_dos_pf_ipspoof Zähler:
admin@PaloAlto> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 1.132 seconds
name value rate severity category aspect description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof 1 0 drop flow dos Packets dropped: Zone protection option 'discard-ip-spoof
- Überprüfen Sie das Übertragungspaket:
- Überprüfen Sie das Empfangspaket:
Hinweis: MAC Die Adresse der Quelle wird vom Gerät des Peers IP geändert.
- Untersuchen Sie das Peer-Gerät mit der MAC Adresse, die im Empfangspaket angezeigt wird, um das Problem zu beheben. Bei einem Spoofed-Paket unterscheidet sich die MAC Adress-/Adresskombination IP von der tatsächlichen / MAC IP .
Additional Information
Erste Schritte - Paketerfassung