¿Cómo solucionar problemas de ip suplantada en Palo Alto firewall Networks?
24315
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:51 PM
Objective
El propósito de este documento es proporcionar los pasos para resolver problemas el IP suplantado que se muestra en el registro de amenazas.
Environment
- PANOS versiones: 8.1.x, 9.0x, 9.1.x y 10.0.x.
- Palo Alto Firewall .
- Protección de zona: Protección contra ataques basada en paquetes configurada.
- Mensajes de dirección falsos IP vistos en el registro de amenazas.
Procedure
- Revise el registro de tráfico y el registro de amenazas.Busque la dirección de IP origen, la dirección de IP destino, la zona de origen, la zona de destino, la interfaz de entrada y la interfaz de salida:
Registro de tráfico
Registro de amenazas:
Nota: El registro de tráfico y el registro de amenazas muestran el tráfico originado de diversas zonas e interfaces
- Configure la captura de paquetes que coincida con la dirección de origen y destino IP vista en los registros (filtro y captura):
- Del prompt de la interfaz de la línea de comandos,publique el comando show counter globalpacket-filter yes delta yes" varias veces y busque flow_dos_pf_ipspoof contador con la gravedad de la caída:
admin@PaloAlto> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 1.132 seconds
name value rate severity category aspect description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof 1 0 drop flow dos Packets dropped: Zone protection option 'discard-ip-spoof
- Revise el paquete de transmisión:
- Revise el paquete de recepción:
Nota: La MAC dirección de origen está siendo modificada por el dispositivo del IP par.
- Para resolver el problema, investigue el dispositivo del par con la MAC dirección que se muestra en el paquete de recepción. En un paquete suplantado, la MAC combinación de dirección / dirección es diferente de la real / IP MAC IP .
Additional Information
Introducción - Captura de paquetes