So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_dos_drop_ip_blocked"
6174
Created On 11/20/23 16:41 PM - Last Modified 12/19/23 05:19 AM
Objective
- Um einen abnormalen Anstieg flow_dos_drop_ip_blocked globalen Zählers abzumildern.
> show counter global filter delta yes
flow_dos_drop_ip_blocked x y drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules
- Dieser Zähler erhöht sich flow_dos_drop_ip_blocked, wenn ein Paket aufgrund von DoS, PBP oder der Aktion "IP blockieren" des Schwachstellenprofils verworfen wird.
Environment
- Firewall der nächsten Generation
- Unterstütztes PAN-OS
- DoS-, PBP- oder Schwachstellenprofil
- flow_dos_drop_ip_blocked globalen Zähler
Procedure
- Überprüfen Sie Ihr Firewall-System und Ihre Bedrohungsprotokolle: MONITOR> Logs> System und MONITOR> Logs> Bedrohung
- Überprüfen Sie die IP-Sperrliste über die CLI:
> show dos-block-table all > debug dataplane show dos block-table - Alternativ können Sie auch die Einträge in der IP-Blockliste der Benutzeroberfläche unter MONITOR > Block IP List überprüfen.
- Überprüfen Sie, ob andere globale Leistungsindikatoren zusammen mit flow_dos_drop_ip_blocked mithilfe der CLI inkrementiert werden:
> show counter global | match drop > show counter global filter delta yes | match dropDieser Schritt kann helfen, zu korrelieren, ob die Paketverluste mit dem Paketpufferschutz zusammenhängen, wenn z. B. der globale Zähler flow_dos_pbp_block_host ebenfalls inkrementiert wird. - Stellen Sie sicher, dass Sie die Konfiguration der Firewall überprüfen:
- DOS- und Zonenschutzkonfiguration unter UI :
- RICHTLINIEN > DoS-Schutz,
- OJECTS > Sicherheitsprofile > DoS-Schutz
- NETZWERK > Netzwerkprofile > Zonenschutz> Aufklärungsschutz: ACTION > block-ip
- Konfiguration des Paketpufferschutzes sowohl globale als auch Zoneneinstellungen unter
- DEVICE > Setup > Session > Session-Einstellungen
- NETZWERK > Zone.
- Schwachstellenprofil unter
- OBJECTS > Sicherheitsprofile > Schwachstellenschutz.
- DOS- und Zonenschutzkonfiguration unter UI :
- Wenn basierend auf den vorherigen Schritten erwartet wird, dass die Firewall-Aktion diese IP-Adresse blockiert, versuchen Sie, den Datenverkehr an der Quelle zu blockieren.
- Wenn die blockierte IP-Adresse jedoch vertrauenswürdig ist und das Verwerfen des von ihr stammenden Datenverkehrs nicht das gewünschte Verhalten der Firewall ist, gilt Folgendes:
- Wenn die blockierte IP-Adresse aufgrund einer konfigurierten DOS-Schutzrichtlinienregel mit der Aktion zum Schutz und einem klassifizierten DoS-Schutzprofil aufgetreten ist, passen Sie die Einstellungen des DOS-Schutzprofils an oder bearbeiten Sie die DOS-Richtlinienregel. Um alle IP-Adressen zu löschen, die durch eine bestimmte DOS-Schutzregel blockiert werden, verwenden Sie
> debug dataplane reset dos rule "DOS Protection" classification-table - Wenn die blockierte IP-Adresse aufgrund eines konfigurierten Zonenschutzprofils aufgetreten ist, aktivieren Sie das Kontrollkästchen Zonenschutzprofil, das vertrauenswürdigen Datenverkehr blockiert.Anstatt "debug dataplane reset dos block-table" zu verwenden, wodurch die komplette dos-Blocktabelle zurückgesetzt wird, verwenden Sie:
> debug dataplane reset dos zone <zone-name> block-table source x.x.x.x, um den Sperreintrag speziell zu löschen, der sich auf die vertrauenswürdige IP bezieht. - Wenn die blockierte IP-Adresse aufgrund eines konfigurierten PBP aufgetreten ist, sollten Sie den PBP für die vertrauenswürdige Zone deaktivieren oder die PBP-Einstellungen unter DEVICE > Setup > Session > Session settings anpassen.
- Wenn die blockierte IP-Adresse aufgrund eines Schwachstellenschutzprofils aufgetreten ist, dann
- Wenn das gewünschte Verhalten z. B. darin besteht, einen bestimmten Anwendungstyp von dieser IP-Adresse zu blockieren, die die Schwachstellenerkennung auslöst, erstellen Sie eine Richtliniensicherheitsregel über der vorhandenen Regel, die das Verhalten zum Blockieren von IP-Adressen auslöst, und verweigern Sie diese Anwendung von dieser Quell-IP.
- Wenn das gewünschte Verhalten darin besteht, eine bestimmte IP-Adresse von einer bestimmten Schwachstelle auszunehmen, aktivieren Sie die Ausnahme für diese Bedrohungs-ID unter OBJEKTE > Sicherheitsprofile > Schwachstellenschutz , wählen Sie dann das Schwachstellenschutzprofil aus (das an die Sicherheitsregel angehängt ist, die das Verhalten zum Blockieren von IP-Adressen für diese bestimmte IP auslöst), klicken Sie dann auf die Registerkarte Ausnahmen und fügen Sie die IP-Adresse unter den IP-Adressausnahmen hinzu.
- Wenn die blockierte IP-Adresse aufgrund einer konfigurierten DOS-Schutzrichtlinienregel mit der Aktion zum Schutz und einem klassifizierten DoS-Schutzprofil aufgetreten ist, passen Sie die Einstellungen des DOS-Schutzprofils an oder bearbeiten Sie die DOS-Richtlinienregel. Um alle IP-Adressen zu löschen, die durch eine bestimmte DOS-Schutzregel blockiert werden, verwenden Sie
Weitere Informationen finden Sie auch unter Aufheben der Blockierung von Adressen, nachdem die Aktion zum Blockieren von IP-Adressen durch den Bedrohungsschutz ausgelöst wurde.
Hinweis: Sobald die Aktion zum Blockieren von IP-Adressen durch das Schwachstellenschutzprofil für eine bestimmte Quell-IP ausgelöst wird, wird jeglicher Datenverkehr von dieser IP blockiert.
Additional Information
Welche Auswirkungen hat der Paketpufferschutz, wenn er global, aber nicht für Zonen aktiviert ist?
Blocktabellen (SW und HW) werden nur verwendet von:
- Klassifiziertes DoS-Schutzprofil
- Aufklärungsschutz (konfiguriert in einem Zonenschutzprofil)
- Paketpufferschutz (PBP)
- Schutz vor Sicherheitslücken (mit Aktion "IP blockieren")