So mildern Sie einen abnormalen Anstieg des globalen "tcp_drop_out_of_wnd"-Zählers

Um einen abnormalen Anstieg tcp_drop_out_of_wnd globalen Zählers abzumildern.
Beschreibung des Zählers:
Dieser Zähler tcp_drop_out_of_wnd inkrementiert, wenn TCP-Pakete, die außerhalb des gleitenden TCP-Fensters empfangen wurden, verworfen werden.

Palo Alto Networks Firewall erstellt ein Schiebefenster Reihenfolge beginnend mit der ursprünglichen ACK (die Größe des Fensters basiert auf die Art des Verkehrs innerhalb der Sitzung). Es wird erwartet, dass die Paket-Sequenz-Nummern innerhalb der aktuellen Sitzung innerhalb dieser Schiebefenster befinden. Dieses Fenster passt sich mit der Art des Verkehrs und wann neue ACK Nachrichten empfangen werden. Das Standardverhalten auf dem Gerät besteht darin, Pakete zu verwerfen, wenn sich Sequenznummern außerhalb dieses Fensters befinden.

• Firewall der nächsten Generation
• tcp_drop_out_of_wnd

1. Überprüfen Sie die aktuellen TCP-Einstellungen der Firewall:

   > show running tcp state
   
   session with asymmetric path            : drop packet
   Bypass if OO queue limit is reached     : no
   Favor new seg data                      : no
   Urgent data                             : clear
   Drop if zero after clear urgent flag    : yes
   Check Timestamp option                  : yes
   Allow Challenge Ack                     : no
   Remove MPTCP option                     : yes

2. Es ist wichtig, den Datenverkehr zu identifizieren, der von diesen TCP-Ausfällen betroffen ist. Verwenden Sie nach Möglichkeit Tools zur Erstellung von Datenverkehrsprofilen, oder beziehen Sie sich auf aktuelle Datenverkehrsprobleme, die von Netzwerkbenutzern gemeldet wurden und mit dem Zeitstempel des Anstiegs dieses globalen Zählers übereinstimmen. Im Falle einer erfolgreichen Identifizierung wird die Durchführung einer Paketerfassung in der Firewall für eine Stichprobe dieses Datenverkehrs erheblich dazu beitragen, die entsprechende dauerhafte Lösung für dieses Problem zu implementieren.
3. Temporäre Problemumgehungen können angewendet werden, um das Problem zu beheben:
   1. Wenn die Quellzone der betroffenen Datenverkehrsflüsse unbekannt ist oder alle Netzwerke abdeckt, deaktiviert die folgende globale Einstellung die TCP-Plausibilitätsprüfungen für den Datenebenendatenverkehr der Firewall:

      > configure
      # set device config setting tcp asymmetric-path bypass
      # commit
      

   2. Wenn die Quellzone des betroffenen Datenverkehrsflusses bekannt ist, kann ein Zonenschutzprofil konfiguriert werden, um diese Art von Datenverkehr aus einer oder mehreren bestimmten Zonen zuzulassen, während weiterhin TCP-Plausibilitätsprüfungen für alle anderen Zonen durchgeführt werden, die mit der Firewall verbunden sind:
      1. Erstellen eines Zonenschutzprofils in Netzwerken > Netzwerkprofile > Zonenschutz
      2. Legen Sie den Zonenschutz > TCP-Verwerfung > Nicht-SYN-TCP ablehnen auf nein fest
      3. Festlegen des Zonenschutzes > TCP-Drop > asymmetrischen Pfads, um sie zu umgehen
      4. Weisen Sie dieses Profil der Zone zu, um die TCP-Überprüfungen dafür zu deaktivieren.

Sehr wichtig: Bitte beachten Sie, dass das Deaktivieren dieser TCP-Plausibilitätsprüfungen schwerwiegende Auswirkungen auf die Sicherheit haben kann, da ein Angreifer Pakete einschleusen könnte, die normalerweise verworfen würden. Es wird empfohlen, diese Befehle nur festzulegen, um die Ursache dieser Paketverluste zu beheben oder die Überprüfungen vorübergehend zu umgehen, während das Problem behoben wird, aber nicht als dauerhafte Lösung.

4. Wenn bei der Überprüfung der Paketerfassung in Schritt 2 festgestellt wird, dass das verworfene Paket, das für den globalen Zähler gezählt wird, tcp_drop_out_of_wnd auf Folgendes zurückzuführen ist:
   1. Probleme im Zusammenhang mit TCP-Fenstern: Beheben Sie dieses Problem, indem Sie die Fenstergrößen entsprechend anpassen, die Kompatibilität zwischen Geräten im Netzwerk sicherstellen und andere TCP-Parameter optimieren, um eine bessere Leistung und Zuverlässigkeit zu erzielen.
   2. Asymmetrisches Routing finden Sie dann unter DotW: Probleme mit asymmetrischem Routing.
   3. Ein unerwartetes Verhalten der Firewall, da das verworfene TCP-Paket eine Sequenznummer innerhalb der Größe des gleitenden TCP-Fensters hat, und untersuchen Sie dann, ob die folgenden Probleme und die entsprechenden Korrekturen auf den spezifischen Anwendungsfall des Datenverkehrs anwendbar sind:
      1. Die Firewall verwirft RST vom Client nach der Challenge-ACK des Servers Weitere Informationen zu diesem Problem und zur Behebung finden Sie in KB2 .
      2. PAN-216314: (Nur Firewalls der PA-3200-Serie) Es wurde ein Problem behoben, bei dem nach dem Upgrade auf oder von PAN-OS 10.1.9 oder PAN-OS 10.1.9-h1 ausgelagerte Anwendungsdatenverkehrssitzungen getrennt wurden, selbst wenn eine Sitzung aktiv war. Dies ist darauf zurückzuführen, dass der Standardwert für die Zeitüberschreitung der Anwendung überschritten wurde. Weitere Informationen zu diesem Problem und den Versionen mit dem Fix finden Sie in KB1 .
      3. Die Firewall verwirft TCP-FIN- oder RST-Pakete für lange TCP-Sitzungen und markiert sie als TCP-Paket außerhalb des Fensters, obwohl sich die ACK-Nummern innerhalb des Fensters befinden. Dieses Problem wurde in Version 11.1.0 behoben. Weitere Informationen zu diesem Problem und anderen Versionen mit dem Fix erhalten Sie, wenden Sie sich an den Support von Palo Alto Networks, und erwähnen Sie PAN-223080.