Comment atténuer une augmentation anormale du compteur global « tcp_drop_out_of_wnd »

Pour pallier une augmentation anormale de tcp_drop_out_of_wnd compteur global.
Description du compteur :
Ce compteur s'incrémente tcp_drop_out_of_wnd lorsque les paquets TCP reçus en dehors de la fenêtre glissante TCP sont abandonnés.

Le Palo Alto Networks pare-feu crée une fenêtre coulissante de séquence commençant par l’accusé de réception originale (la taille de la fenêtre est basée sur le type de trafic au sein de la session). Il est prévu que les numéros de séquence du paquet dans la session en cours se trouvent dans cette fenêtre coulissante. Cette fenêtre permet de régler avec le type de trafic, et chaque fois que les nouveaux messages d’accusé de réception sont reçus. Le comportement par défaut sur le périphérique est d’abandonner les paquets lorsque les numéros de séquence se trouvent en dehors de cette fenêtre.

• Pare-feu nouvelle génération
• tcp_drop_out_of_wnd

1. Vérifiez les paramètres TCP actuels du pare-feu :

   > show running tcp state
   
   session with asymmetric path            : drop packet
   Bypass if OO queue limit is reached     : no
   Favor new seg data                      : no
   Urgent data                             : clear
   Drop if zero after clear urgent flag    : yes
   Check Timestamp option                  : yes
   Allow Challenge Ack                     : no
   Remove MPTCP option                     : yes

2. Il est crucial d’identifier le trafic affecté par ces abandons TCP. Si possible, utilisez des outils de profilage du trafic ou reportez-vous aux problèmes de trafic récents signalés par les utilisateurs du réseau qui coïncident avec l’horodatage de l’augmentation de ce compteur global. En cas d’identification réussie, la capture d’un paquet sur le pare-feu pour un échantillon de ce trafic facilitera considérablement la mise en œuvre de la solution permanente appropriée à ce problème.
3. Des solutions de contournement temporaires peuvent être appliquées pour atténuer le problème :
   1. Si la zone source des flux de trafic concernés est inconnue ou couvre tous les réseaux, le paramètre global ci-dessous désactive les vérifications d’intégrité TCP pour le trafic du plan de données du pare-feu :

      > configure
      # set device config setting tcp asymmetric-path bypass
      # commit
      

   2. Si la zone source du flux de trafic affecté est connue, un profil de protection de zone peut être configuré pour autoriser ce type de trafic provenant d’une ou plusieurs zones spécifiques tout en continuant à effectuer des vérifications d’intégrité TCP pour toutes les autres zones connectées au pare-feu :
      1. Créer un profil de protection de zone dans Réseaux > Profils réseau > Protection de zone
      2. Définissez la protection de zone > TCP Drop > Reject Non-SYN TCP sur no
      3. Définissez le chemin d’accès asymétrique de la protection de zone > de l’abandon TCP > sur contourner
      4. Affectez ce profil à la zone pour désactiver les vérifications TCP.

Très important : Veuillez noter que la désactivation de ces vérifications d’intégrité TCP peut avoir de graves implications en matière de sécurité, car un attaquant pourrait injecter des paquets qui seraient normalement rejetés. Il est recommandé de définir ces commandes uniquement afin de dépanner la cause de ces abandons de paquets, ou de contourner temporairement les vérifications tout en résolvant le problème, mais pas en tant que solution permanente.

4. Si, lors de l’examen de la capture de paquets à l’étape 2, il est déterminé que le paquet abandonné est comptabilisé dans le compteur global tcp_drop_out_of_wnd est dû à :
   1. Problèmes liés aux fenêtres TCP : résolvez ensuite ce problème en ajustant les tailles de fenêtre de manière appropriée, en assurant la compatibilité entre les périphériques du réseau et en optimisant d’autres paramètres TCP pour obtenir de meilleures performances et une meilleure fiabilité.
   2. Routage asymétrique reportez-vous alors à DotW : Problèmes de routage asymétrique.
   3. Un comportement inattendu de la part du pare-feu, car le paquet TCP abandonné a un numéro de séquence dans la taille de la fenêtre glissante TCP, puis vérifiez si les problèmes et les correctifs correspondants ci-dessous sont applicables au cas d’utilisation de trafic spécifique :
      1. Le pare-feu abandonne RST du client après l'accusé de réception du défi du serveur Reportez-vous à l'article KB2 pour plus d'informations sur le problème et le correctif.
      2. PAN-216314 : (pare-feu de la gamme PA-3200 uniquement) Correction d’un problème où, après la mise à niveau vers ou depuis PAN-OS 10.1.9 ou PAN-OS 10.1.9-h1, les sessions de trafic d’application déchargées se déconnectaient même lorsqu’une session était active. Cela s’est produit en raison du dépassement de la valeur du délai d’expiration de session par défaut de l’application. Reportez-vous à l’article KB1 pour plus d’informations sur le problème et les versions avec le correctif.
      3. Le pare-feu supprime les paquets TCP FIN ou RST pour les longues sessions TCP et les marque comme paquet TCP hors fenêtre, même si les numéros ACK se trouvent dans la fenêtre. Ce problème a été résolu dans la version 11.1.0. Pour plus d’informations sur ce problème et sur les autres versions avec le correctif, contactez le support Palo Alto Networks et mentionnez PAN-223080.