パロアルトネットワークスでスプーフィングされたIPをトラブルシューティングする方法 firewall ?

パロアルトネットワークスでスプーフィングされたIPをトラブルシューティングする方法 firewall ?

24313
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:51 PM


Objective


このドキュメントの目的は、脅威ログに表示 されるスプーフィングされた IP のトラブルシューティング手順を提供することです。

Environment


  • PANOS バージョン: 8.1.x, 9.0x, 9.1.x および 10.0.x.
  • パロ アルト Firewall .
  • ゾーン保護: パケットベースの攻撃保護が構成されています。
  • 脅威ログに表示されるスプーフィング IP されたアドレス メッセージ。

Procedure


  1. トラフィック ログと脅威ログを確認します。送信元 IP アドレス、宛先 IP アドレス、送信元ゾーン、宛先ゾーン、入力インターフェイス、および出力インターフェイスを探します。
トラフィックログ
ユーザー追加イメージ
脅威ログ:
 
ユーザー追加イメージ

: トラフィック ログと脅威ログは、異なるゾーンとインターフェイスから発信されたトラフィックを示しています。
 
  1. IPログ (フィルターとキャプチャ) で見られる送信元と宛先アドレスに一致するパケット キャプチャを設定します。
ユーザー追加イメージ
 
  1. コマンド ライン インターフェイス プロンプトから、"カウンタ グローバル フィルタ パケット フィルタはい delta yes" コマンドを複数回表示し、ドロップ重大度 flow_dos_pf_ipspoofカウンタを 探します。
admin@PaloAlto> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 1.132 seconds

name                    value     rate severity  category  aspect    description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof     1        0 drop      flow      dos       Packets dropped: Zone protection option 'discard-ip-spoof
 
  1. 送信パケットを確認します。
ユーザー追加イメージ
 
  1. 受信パケットを確認します。
ユーザー追加イメージ

: MAC 送信元のアドレス IP はピアのデバイスによって変更されています。
 
  1. この問題を解決するには、 MAC 受信パケットに表示されているアドレスを使用してピア デバイスを調査します。 スプーフィングされたパケットでは、 MAC アドレス/ IP アドレスの組み合わせは実際の / とは異なります MAC IP 。

Additional Information


はじめに - パケット キャプチャ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuJCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language