Comment dépanner ip usurpé sur Palo Alto firewall Networks?

• PANOS versions: 8.1.x, 9.0x, 9.1.x et 10.0.x.
• Palo Alto Firewall .
• Protection de zone : Protection d’attaque basée sur des paquets configurée.
• Messages d’adresse IP usurpés vus dans le journal des menaces.

1. Examinez le journal de trafic et le journal des menaces.Recherchez l’adresse IP source, l’adresse IP de destination, la zone source, la zone de destination, l’interface d’entrée et l’interface d’évacuation :

2. Configurer la capture de paquets correspondant à la source et IP à l’adresse de destination vues dans les journaux (filtre et capture) :

3. À partir de l’invite d’interface de lignede commande, numéro « afficher le compteur global filtrepacket-filter oui delta oui » commande plusieurs fois et recherchez un compteur flow_dos_pf_ipspoof avec la sévérité de chute :

admin@PaloAlto> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 1.132 seconds

name                    value     rate severity  category  aspect    description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof     1        0 drop      flow      dos       Packets dropped: Zone protection option 'discard-ip-spoof

4. Passez en revue le paquet de transmission :

5. Passez en revue le paquet de recevoir :

6. Pour résoudre le problème, étudiez l’appareil pair avec MAC l’adresse qui s’affiche dans le paquet de recevoir. Sur un paquet usurpé, la combinaison MAC IP adresse/adresse est différente de la réelle / MAC IP .