Cómo mitigar un aumento anormal en el contador global "flow_dos_drop_ip_blocked"

• Para mitigar un aumento anormal en flow_dos_drop_ip_blocked contador global.

> show counter global filter delta yes
flow_dos_drop_ip_blocked x y drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

• Este contador flow_dos_drop_ip_blocked incrementa cuando se descarta un paquete debido a DoS, PBP o la acción "Bloquear IP" del perfil de vulnerabilidad.

• Firewall de próxima generación
• PAN-OS compatible
• DoS, PBP o perfil de vulnerabilidad
• flow_dos_drop_ip_blocked contador global

1. Verifique su sistema de firewall y los registros de amenazas: MONITOR> Registros> Sistema y MONITOR> Registros> Amenaza
2. Inspeccione la lista de IP bloqueada a través de la CLI:

   > show dos-block-table all
   > debug dataplane show dos block-table

3. Alternativamente, verifique las entradas de la lista de IP de bloqueo de la interfaz de usuario en: MONITOR > Lista de IP de bloqueo.
4. Compruebe si otros contadores globales se incrementan junto con flow_dos_drop_ip_blocked mediante la CLI:

   > show counter global | match drop
   > show counter global filter delta yes | match drop

   Este paso puede ayudar a correlacionar si las caídas de paquetes están relacionadas con la protección del búfer de paquetes cuando, por ejemplo, también se ve que el flow_dos_pbp_block_host del contador global aumenta.
5. Asegúrese de revisar la configuración del firewall:
   1. Configuración de protección de zona y DOS en la interfaz de usuario:
      • POLÍTICAS > Protección DoS,
      • OJECTS > Perfiles de seguridad > protección DoS
      • RED > Perfiles de red > protección de zona> protección de reconocimiento: ACCIÓN > block-ip
   2. Configuración de la protección de búfer de paquetes, tanto la configuración global como la configuración de zona en
      • DISPOSITIVO > Configuración > Sesión > Configuración de la sesión
      • RED > Zona.
   3. Perfil de vulnerabilidad en
      • OBJECTS > Perfiles de seguridad > protección contra vulnerabilidades.
6. Si se basa en los pasos anteriores, se espera que la acción del firewall bloquee esta IP y, a continuación, intente bloquear el tráfico en su origen.
7. Sin embargo, si la IP bloqueada es de confianza y la eliminación del tráfico procedente de ella no es el comportamiento deseado del firewall, entonces:
   1. Si la IP bloqueada se produjo debido a una regla de directiva de protección de DOS configurada con la acción de proteger y un perfil de protección de DoS clasificado, ajuste la configuración del perfil de protección de DOS o edite la regla de directiva de DOS. Para borrar todas las direcciones IP bloqueadas por una regla de protección de DOS específica, use

      > debug dataplane reset dos rule "DOS Protection" classification-table

   2. Si la IP bloqueada se produjo debido a un perfil de protección de zona configurado, marque Perfil de protección de zona que bloquea el tráfico de confianza.En lugar de usar "debug dataplane reset dos block-table" que restablecerá el uso completo de la tabla de bloques dos:

      > debug dataplane reset dos zone <zone-name> block-table source x.x.x.x

      para eliminar específicamente la entrada de bloqueo relacionada con la IP de confianza.
   3. Si la IP bloqueada se produjo debido a un PBP configurado, considere la posibilidad de deshabilitar el PBP para la zona de confianza o ajustar la configuración de PBP en DISPOSITIVO > Configuración > Sesión > Configuración de sesión.
   4. Si la IP bloqueada se produjo debido al perfil de protección contra vulnerabilidades ,
      1. Si el comportamiento deseado es, por ejemplo, bloquear un determinado tipo de aplicación de esa dirección IP que desencadena la detección de vulnerabilidades, cree una regla de seguridad de directiva por encima de la regla existente que desencadena el comportamiento de bloqueo de IP y deniegue esa aplicación de esa dirección IP de origen.
      2. Si el comportamiento deseado es eximir a una determinada IP de una vulnerabilidad específica, habilite la excepción para ese ID de amenaza en OBJECTS > Security Profiles > Vulnerability Protection (Protección contra vulnerabilidades), seleccione el Perfil de protección contra vulnerabilidades (que se adjunta a la regla de seguridad que desencadena el comportamiento de IP de bloqueo para esa IP en particular) y, a continuación, haga clic en la pestaña Excepciones y, a continuación, agregue la IP en Exenciones de direcciones IP.

¿Qué efecto tiene la protección de búfer de paquetes si está habilitada globalmente pero no está habilitada en las zonas?

Las tablas de bloques (SW y HW) solo son utilizadas por:

• Perfil de protección DoS clasificado
• Protección de reconocimiento (configurada en un perfil de protección de zona)
• Protección de búfer de paquetes (PBP)
• Protección contra vulnerabilidades (con la acción "Bloquear IP")