Comment dépanner ip usurpé sur Palo Alto firewall Networks?
24311
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:50 PM
Objective
Le but de ce document est de fournir les étapes pour dépanner ip usurpé montrant dans le journal des menaces.
Environment
- PANOS versions: 8.1.x, 9.0x, 9.1.x et 10.0.x.
- Palo Alto Firewall .
- Protection de zone : Protection d’attaque basée sur des paquets configurée.
- Messages d’adresse IP usurpés vus dans le journal des menaces.
Procedure
- Examinez le journal de trafic et le journal des menaces.Recherchez l’adresse IP source, l’adresse IP de destination, la zone source, la zone de destination, l’interface d’entrée et l’interface d’évacuation :
Journal de trafic
Journal des menaces :
Remarque: Le journal de trafic et le journal des menaces affichent que le trafic provient de différentes zones et interfaces
- Configurer la capture de paquets correspondant à la source et IP à l’adresse de destination vues dans les journaux (filtre et capture) :
- À partir de l’invite d’interface de lignede commande, numéro « afficher le compteur global filtrepacket-filter oui delta oui » commande plusieurs fois et recherchez un compteur flow_dos_pf_ipspoof avec la sévérité de chute :
admin@PaloAlto> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 1.132 seconds
name value rate severity category aspect description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof 1 0 drop flow dos Packets dropped: Zone protection option 'discard-ip-spoof
- Passez en revue le paquet de transmission :
- Passez en revue le paquet de recevoir :
Remarque: MAC IP l’adresse de source est modifiée par l’appareil de peer.
- Pour résoudre le problème, étudiez l’appareil pair avec MAC l’adresse qui s’affiche dans le paquet de recevoir. Sur un paquet usurpé, la combinaison MAC IP adresse/adresse est différente de la réelle / MAC IP .
Additional Information
Commencer - Capture de paquets