Cómo mitigar un aumento anormal en el contador global "tcp_drop_packet"
13032
Created On 11/29/23 20:08 PM - Last Modified 12/19/23 05:19 AM
Objective
El contador tcp_drop_packet se incrementa cuando el firewall recibe un paquete que tiene datos no válidos o incorrectos en un campo de paquete o el flujo de paquetes no se adhiere a la operación y los estándares TCP convencionales, lo que provoca un error en el reensamblado de TCP. El contador tcp_drop_packet suele ser un contador general para todas las caídas en el reensamblado de TCP y se ve más comúnmente con otro contador "tcp_" que indica la causa raíz específica.
A continuación se muestra un ejemplo del incremento de la tcp_drop_packet de contador global en el firewall:
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- tcp_drop_packet 2 0 warn tcp pktproc packets dropped because of failure in tcp reassemblyNota: Este contador global solo es significativo si se ve durante la resolución de problemas de un flujo de tráfico específico mediante contadores globales con filtros para una dirección IP de origen y destino específica y se ve que este contador global descarta ese flujo de tráfico específicamente. El resto del tiempo, este contador global puede ignorarse de forma segura y no continuar con los pasos que se indican a continuación en este documento. Si se ve que el contador global 'tcp_drop_packet' está descartando un flujo de tráfico específico que se está solucionando con contadores globales, continúe a continuación.
Environment
- Firewall de próxima generación
Procedure
- Identifique qué flujo de tráfico por IP de origen, puerto de origen, IP de destino, puerto de destino en la red está siendo descartado por el firewall debido a este contador (si lo hay) utilizando contadores globales con filtros
Nota: Si se ve el contador global tcp_drop_packet en general, pero no se sabe que se esté produciendo ningún problema de tráfico, este contador se puede ignorar de forma segura. Si soluciona problemas de un flujo de tráfico específico y ese flujo de tráfico se descarta debido al contador 'tcp_drop_packet' específicamente, continúe con el paso 2 a continuación.
- Ejecute el siguiente comando CLI:
> show counter globalBusque cualquier otro contador global que contenga "tcp_" que se incremente al mismo tiempo que tcp_drop_packet y solucione el motivo de ese contador global más específico en su lugar.
Ejemplo:
Si "tcp_drop_packet" y "tcp_drop_out_of_wnd" están aumentando, continúe con la solución de problemas usando Cómo mitigar un aumento anormal en el contador global "tcp_drop_out_of_wnd" en su lugar Si "tcp_drop_packet" y "tcp_invalid_ts_option" están aumentando, continúe con la solución de problemas utilizando los paquetes TCP descartados por el firewall debido a la opción de marca de tiempo no válida en su lugar
Si "tcp_drop_packet" y "tcp_exceed_flow_seg_limit" son incrementales, continúe con la solución de problemas utilizando la Ayuda de la interfaz web de PAN-OS - Configuración de TCP en su lugar
- Póngase en contacto con el proveedor de la aplicación de software que envía esos paquetes TCP para que se corrija el comportamiento TCP no válido o incorrecto
- Si existe una configuración de firewall (depende del motivo de la caída del paquete), ajuste la configuración de firewall específica que corresponde a ese contador global de excepción TCP que se encuentra arriba en el paso 2
Precaución: De acuerdo con las mejores prácticas de PAN-OS, se recomienda mantener los valores predeterminados para la mayoría de las configuraciones de PAN-OS. Cualquier modificación de la configuración predeterminada de PAN-OS debe llevarse a cabo con una cuidadosa consideración, asegurando una evaluación cuidadosa antes de realizar cualquier cambio.
Ejemplo: PAN-OS proporciona la capacidad de deshabilitar la opción 'Verificar marca de tiempo', lo que detiene los paquetes que se descartan con el contador global 'tcp_invalid_ts_option', pero no se recomienda deshabilitar esa configuración para mantener una implementación segura, así como por razones de conectividad.
Ejemplo: PAN-OS proporciona la capacidad de deshabilitar la opción 'Verificar marca de tiempo', lo que detiene los paquetes que se descartan con el contador global 'tcp_invalid_ts_option', pero no se recomienda deshabilitar esa configuración para mantener una implementación segura, así como por razones de conectividad.
Additional Information
Otros contadores globales que se ven junto con tcp_drop_packet que indican además la causa raíz específica de la caída de paquetes incluyen:
tcp_out_of_sync warn can't continue tcp reassembly because it is out of sync tcp_drop_out_of_wnd warn out-of-window packets dropped tcp_invalid_ts_option info packets with invalid timestamp option tcp_syn_missing info miss SYN packet for tcp session tcp_exceed_flow_seg_limit warn packets dropped due to the limitation on tcp out-of-order queue sizeLa mayoría de las excepciones de paquetes TCP no válidas/incorrectas anteriores se pueden ver y verificar mediante una captura de paquetes. Si es necesario, realice una captura de paquetes para ver los campos de cualquier paquete o flujo TCP para verificar la información de cada campo.