パロアルトネットワークスでスプーフィングされたIPをトラブルシューティングする方法 firewall ?
24313
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:51 PM
Objective
このドキュメントの目的は、脅威ログに表示 されるスプーフィングされた IP のトラブルシューティング手順を提供することです。
Environment
- PANOS バージョン: 8.1.x, 9.0x, 9.1.x および 10.0.x.
- パロ アルト Firewall .
- ゾーン保護: パケットベースの攻撃保護が構成されています。
- 脅威ログに表示されるスプーフィング IP されたアドレス メッセージ。
Procedure
- トラフィック ログと脅威ログを確認します。送信元 IP アドレス、宛先 IP アドレス、送信元ゾーン、宛先ゾーン、入力インターフェイス、および出力インターフェイスを探します。
トラフィックログ
脅威ログ:
注: トラフィック ログと脅威ログは、異なるゾーンとインターフェイスから発信されたトラフィックを示しています。
- IPログ (フィルターとキャプチャ) で見られる送信元と宛先アドレスに一致するパケット キャプチャを設定します。
- コマンド ライン インターフェイス プロンプトから、"カウンタ グローバル フィルタ パケット フィルタはい delta yes" コマンドを複数回表示し、ドロップ重大度 flow_dos_pf_ipspoofカウンタを 探します。
admin@PaloAlto> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 1.132 seconds
name value rate severity category aspect description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof 1 0 drop flow dos Packets dropped: Zone protection option 'discard-ip-spoof
- 送信パケットを確認します。
- 受信パケットを確認します。
注: MAC 送信元のアドレス IP はピアのデバイスによって変更されています。
- この問題を解決するには、 MAC 受信パケットに表示されているアドレスを使用してピア デバイスを調査します。 スプーフィングされたパケットでは、 MAC アドレス/ IP アドレスの組み合わせは実際の / とは異なります MAC IP 。
Additional Information
はじめに - パケット キャプチャ