如何排除帕洛阿尔托网络上的欺骗性 firewall ip?
24305
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:50 PM
Objective
本文档的目的是提供在威胁日志中显示 的故障排除欺骗 ip 的步骤。
Environment
- PANOS 版本: 8.1.x, 9.0 倍, 9.1.x 和 10.0.x.
- 帕洛阿尔托 Firewall 。
- 区域保护:基于数据包的攻击保护配置。
- IP在威胁日志中看到的欺骗地址消息。
Procedure
- 查看流量日志和威胁日志。查找源 IP 地址、目的地 IP 地址、源区、目的地区、入口界面和出口界面:
流量日志
威胁日志:
注意: 流量日志和威胁日志显示来自不同区域和界面的流量
- 与 IP 日志中看到的源和目标地址匹配的配置数据包捕获(筛选和捕获):
- 从 命令线接口提示,问题"显示计数器全球过滤器包过滤器是三角洲是" 命令多次,并寻找 flow_dos_pf_ipspoof 计数器与下降严重性:
admin@PaloAlto> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 1.132 seconds
name value rate severity category aspect description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof 1 0 drop flow dos Packets dropped: Zone protection option 'discard-ip-spoof
- 查看 传输数据包:
- 查看 接收 数据包:
注: MAC 源的地址 IP 正在由同行的设备进行修改。
- 要解决此问题,使用 MAC 接收数据包中显示的地址对对等设备进行调查。 在欺骗包上, MAC 地址/ IP 地址组合与实际 MAC IP /。
Additional Information
开始 - 数据包捕获