Comment atténuer une augmentation anormale du compteur global « flow_dos_drop_ip_blocked »
6202
Created On 11/20/23 16:41 PM - Last Modified 12/19/23 05:20 AM
Objective
- Pour atténuer une augmentation anormale de flow_dos_drop_ip_blocked compteur global.
> show counter global filter delta yes
flow_dos_drop_ip_blocked x y drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules
- Ce compteur s’incrémente flow_dos_drop_ip_blocked lorsqu’un paquet est abandonné en raison d’une action DoS, PBP ou « Bloquer l’IP » du profil de vulnérabilité.
Environment
- Pare-feu nouvelle génération
- PAN-OS pris en charge
- DoS, PBP ou profil de vulnérabilité
- flow_dos_drop_ip_blocked compteur mondial
Procedure
- Vérifiez votre système de pare-feu et les journaux des menaces : MONITOR> Logs> System and MONITOR> Logs> Threat
- Inspectez la liste de blocage IP via l’interface de ligne de commande :
> show dos-block-table all > debug dataplane show dos block-table - Vous pouvez également vérifier les entrées de la liste des adresses IP de blocage de l’interface utilisateur sous : SURVEILLER > Liste des adresses IP bloquées.
- Vérifiez si d’autres compteurs globaux s’incrémentent en même temps que flow_dos_drop_ip_blocked à l’aide de l’interface de ligne de commande :
> show counter global | match drop > show counter global filter delta yes | match dropCette étape peut aider à établir une corrélation si les abandons de paquets sont liés à la protection de la mémoire tampon des paquets lorsque, par exemple, le flow_dos_pbp_block_host global du compteur est également vu s’incrémenter. - Assurez-vous de vérifier la configuration du pare-feu :
- Configuration DOS et zone protection sous UI :
- POLITIQUES > Protection contre les attaques par déni de service,
- OJECTS > profils de sécurité > protection contre les attaques par déni de service
- RÉSEAU > Profils réseau > Protection de zone > protection de reconnaissance : ACTION > block-ip
- Configuration de la protection de la mémoire tampon des paquets à la fois les paramètres globaux et les paramètres de zone sous
- APPAREIL > Configuration > Session > Paramètres de session
- RÉSEAU > Zone.
- Profil de vulnérabilité sous
- OBJETS > Profils de sécurité > protection contre les vulnérabilités.
- Configuration DOS et zone protection sous UI :
- Si vous vous basez sur les étapes précédentes, l’action du pare-feu pour bloquer cette adresse IP est attendue, alors essayez de bloquer le trafic à sa source.
- Toutefois, si l’adresse IP bloquée est approuvée et que l’abandon du trafic provenant de celle-ci n’est pas le comportement souhaité par le pare-feu, alors :
- Si l’adresse IP bloquée s’est produite en raison d’une règle de stratégie de protection DOS configurée avec l’action à protéger et un profil de protection contre les attaques par balle classifié, ajustez les paramètres du profil de protection DOS ou modifiez la règle de stratégie DOS. Pour effacer toutes les adresses IP bloquées par une règle de protection DOS spécifique, utilisez
> debug dataplane reset dos rule "DOS Protection" classification-table - Si l’adresse IP bloquée s’est produite en raison d’un profil de protection de zone configuré, cochez la case Profil de protection de zone bloquant le trafic approuvé.Au lieu d’utiliser « debug dataplane reset dos block-table » qui réinitialisera la table de blocs dos complète, utilisez :
> debug dataplane reset dos zone <zone-name> block-table source x.x.x.xpour supprimer spécifiquement l’entrée de blocage liée à l’adresse IP approuvée. - Si l’adresse IP bloquée s’est produite en raison d’un PBP configuré, envisagez de désactiver le PBP pour la zone de confiance ou d’ajuster les paramètres PBP sous DEVICE > Setup > Session > Paramètres de session.
- Si l’adresse IP bloquée s’est produite en raison d’un profil de protection contre les vulnérabilités ,
- Si le comportement souhaité est, par exemple, de bloquer un certain type d’application à partir de cette adresse IP qui déclenche la détection de vulnérabilité, créez une règle de sécurité de stratégie au-dessus de la règle existante qui déclenche le comportement de blocage de l’adresse IP et refusez cette application à partir de cette adresse IP source.
- Si le comportement souhaité est d’exempter une certaine adresse IP d’une vulnérabilité spécifique, activez l’exception pour cet ID de menace sous OBJETS > Profils de sécurité > Protection contre les vulnérabilités, puis sélectionnez le profil de protection contre les vulnérabilités (qui est attaché à la règle de sécurité qui déclenche le comportement de blocage de l’adresse IP pour cette adresse IP particulière), puis cliquez sur l’onglet Exceptions, puis ajoutez l’adresse IP sous Exemptions d’adresse IP.
- Si l’adresse IP bloquée s’est produite en raison d’une règle de stratégie de protection DOS configurée avec l’action à protéger et un profil de protection contre les attaques par balle classifié, ajustez les paramètres du profil de protection DOS ou modifiez la règle de stratégie DOS. Pour effacer toutes les adresses IP bloquées par une règle de protection DOS spécifique, utilisez
Reportez-vous également à la section Comment débloquer des adresses après le déclenchement d’une action de blocage d’adresse IP par la protection contre les menaces.
Remarque : Une fois que l’action de blocage de l’adresse IP est déclenchée par le profil de protection contre les vulnérabilités pour une certaine adresse IP source, tout le trafic provenant de cette adresse IP est bloqué.
Additional Information
Les tables de blocs (SW et HW) ne sont utilisées que par :
- Profil de protection contre les attaques par déni de service classifié
- Protection de reconnaissance (configurée dans un profil de protection de zone)
- Protection de la mémoire tampon des paquets (PBP)
- Protection contre les vulnérabilités (avec l’action « Bloquer l’adresse IP »)