如何排除帕洛阿尔托网络上的欺骗性 firewall ip?

如何排除帕洛阿尔托网络上的欺骗性 firewall ip?

24305
Created On 07/18/20 00:17 AM - Last Modified 04/19/21 16:50 PM


Objective


本文档的目的是提供在威胁日志中显示 的故障排除欺骗 ip 的步骤。

Environment


  • PANOS 版本: 8.1.x, 9.0 倍, 9.1.x 和 10.0.x.
  • 帕洛阿尔托 Firewall 。
  • 区域保护:基于数据包的攻击保护配置。
  • IP在威胁日志中看到的欺骗地址消息。

Procedure


  1. 查看流量日志和威胁日志。查找源 IP 地址、目的地 IP 地址、源区、目的地区、入口界面和出口界面:
流量日志
用户添加的图像
威胁日志:
 
用户添加的图像

注意 流量日志和威胁日志显示来自不同区域和界面的流量
 
  1. 与 IP 日志中看到的源和目标地址匹配的配置数据包捕获(筛选和捕获):
用户添加的图像
 
  1. 命令线接口提示,问题"显示计数器全球过滤器包过滤器是三角洲是" 命令多次,并寻找 flow_dos_pf_ipspoof 计数器与下降严重性:
admin@PaloAlto> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 1.132 seconds

name                    value     rate severity  category  aspect    description
------------------------------------------------------------------------------
flow_dos_pf_ipspoof     1        0 drop      flow      dos       Packets dropped: Zone protection option 'discard-ip-spoof
 
  1. 查看 传输数据包:
用户添加的图像
 
  1. 查看 接收 数据包:
用户添加的图像

: MAC 源的地址 IP 正在由同行的设备进行修改。
 
  1. 要解决此问题,使用 MAC 接收数据包中显示的地址对对等设备进行调查。 在欺骗包上, MAC 地址/ IP 地址组合与实际 MAC IP /。

Additional Information


开始 - 数据包捕获
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuJCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language