Cómo mitigar un aumento anormal en el contador global "tcp_drop_out_of_wnd"

Para mitigar un aumento anormal en tcp_drop_out_of_wnd contador global.
Descripción del contador:
este contador tcp_drop_out_of_wnd incrementa cuando se descartan los paquetes TCP recibidos fuera de la ventana deslizante TCP.

Palo Alto Networks Firewall crea una ventana deslizante de secuencia a partir de la confirmación original (tamaño de la ventana se basa en el tipo de tráfico dentro de la sesión). Se espera que los números de secuencia de paquetes dentro de la sesión actual residen dentro de esta ventana. Esta ventana se ajusta con el tipo de tráfico y siempre que se reciben nuevos mensajes ACK. El comportamiento predeterminado en el dispositivo es descartar paquetes cuando los números de secuencia están fuera de esta ventana.

• Firewall de próxima generación
• tcp_drop_out_of_wnd

1. Compruebe la configuración TCP actual del cortafuegos:

   > show running tcp state
   
   session with asymmetric path            : drop packet
   Bypass if OO queue limit is reached     : no
   Favor new seg data                      : no
   Urgent data                             : clear
   Drop if zero after clear urgent flag    : yes
   Check Timestamp option                  : yes
   Allow Challenge Ack                     : no
   Remove MPTCP option                     : yes

2. Es crucial identificar el tráfico afectado por estas caídas de TCP. Si es posible, utilice herramientas de generación de perfiles de tráfico o consulte los problemas de tráfico recientes notificados por los usuarios de la red que coincidan con la marca de tiempo del aumento de este contador global. En el caso de una identificación exitosa, la realización de una captura de paquetes en el firewall para una muestra de ese tráfico ayudará significativamente a implementar la solución permanente adecuada para este problema.
3. Se pueden aplicar soluciones temporales para mitigar el problema:
   1. Si se desconoce la zona de origen de los flujos de tráfico afectados o cubre todas las redes, la configuración global siguiente deshabilitará las comprobaciones de integridad TCP para el tráfico del plano de datos del firewall:

      > configure
      # set device config setting tcp asymmetric-path bypass
      # commit
      

   2. Si se conoce la zona de origen del flujo de tráfico afectado, se puede configurar un perfil de protección de zona para permitir este tipo de tráfico desde una o más zonas específicas mientras se realizan comprobaciones de integridad TCP para todas las demás zonas conectadas al firewall:
      1. Crear un perfil de protección de zona en Redes > Perfiles de red > Protección de zona
      2. Establezca la protección de zona > TCP Drop > Reject Non-SYN TCP en no
      3. Establezca la protección de zona > la caída TCP > la ruta asimétrica para omitir
      4. Asigne este perfil a la zona para deshabilitar las comprobaciones TCP para él.

Muy importante: Tenga en cuenta que la desactivación de estas comprobaciones de integridad de TCP puede tener graves implicaciones de seguridad, ya que un atacante podría inyectar paquetes que normalmente se descartarían. Se recomienda establecer estos comandos solo para resolver la causa de estas caídas de paquetes o para omitir temporalmente las comprobaciones mientras se aborda el problema, pero no como una solución permanente.

4. Si, al revisar la captura de paquetes en el paso 2, se determina que el paquete descartado contado para el contador global tcp_drop_out_of_wnd se debe a:
   1. Problemas relacionados con las ventanas TCP: a continuación, solucione este problema ajustando los tamaños de las ventanas de forma adecuada, garantizando la compatibilidad entre los dispositivos de la red y optimizando otros parámetros TCP para lograr un mejor rendimiento y fiabilidad.
   2. Enrutamiento asimétrico y, a continuación, consulte DotW: Problemas con el enrutamiento asimétrico.
   3. Un comportamiento inesperado del firewall, porque el paquete TCP descartado tiene un número de secuencia dentro del tamaño de la ventana deslizante TCP y, a continuación, investigue si los problemas y las correcciones correspondientes a continuación son aplicables al caso de uso de tráfico específico:
      1. El firewall descarta RST del cliente después de la confirmación de desafío del servidor Consulte KB2 para obtener más información sobre el problema y la solución.
      2. PAN-216314: (Solo firewalls de la serie PA-3200) Se ha corregido un problema por el que, después de actualizar a o desde PAN-OS 10.1.9 o PAN-OS 10.1.9-h1, las sesiones de tráfico de aplicaciones descargadas se desconectaban incluso cuando una sesión estaba activa. Esto ocurría debido a que se superaba el valor de tiempo de espera de sesión predeterminado de la aplicación. Consulte KB1 para obtener más información sobre el problema y las versiones con la corrección.
      3. Firewall descarta paquetes TCP FIN o RST para sesiones TCP largas y lo marca como paquete TCP fuera de la ventana aunque los números ACK estén dentro de la ventana. Este problema se ha corregido en la versión 11.1.0. Para obtener más información sobre este problema y otras versiones con la corrección, póngase en contacto con el soporte técnico de Palo Alto Networks y mencione PAN-223080.