Comment atténuer une augmentation anormale du compteur global « tcp_drop_packet »
13030
Created On 11/29/23 20:08 PM - Last Modified 12/19/23 05:19 AM
Objective
Le compteur s tcp_drop_packet’incrémente lorsqu’un paquet est reçu par le pare-feu et que des données non valides/incorrectes sont reçues dans un champ de paquet ou que le flux de paquets n’adhère pas au fonctionnement et aux normes TCP conventionnels, ce qui entraîne l’échec du réassemblage TCP. Le compteur tcp_drop_packet est généralement un compteur fourre-tout pour toutes les chutes dans le réassemblage TCP et est le plus souvent vu avec un autre compteur 'tcp_' qui indique la cause première spécifique.
Vous trouverez ci-dessous un exemple d’incrémentation du compteur global tcp_drop_packet dans le pare-feu :
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- tcp_drop_packet 2 0 warn tcp pktproc packets dropped because of failure in tcp reassemblyRemarque : Ce compteur global n’est significatif que s’il est détecté lors du dépannage d’un flux de trafic spécifique à l’aide de compteurs globaux avec filtres pour une adresse IP source et de destination spécifique et que ce compteur global est perçu comme abandonnant spécifiquement ce flux de trafic. Dans tous les autres cas, ce compteur global peut être ignoré en toute sécurité et ne suivez pas les étapes ci-dessous dans ce document. Si le compteur global 'tcp_drop_packet' est perçu comme abandonnant un flux de trafic spécifique en cours de dépannage à l'aide de compteurs globaux, procédez ci-dessous.
Environment
- Pare-feu nouvelle génération
Procedure
- Identifiez le flux de trafic par adresse IP source, port source, adresse IP de destination, port de destination dans le réseau qui est abandonné par le pare-feu en raison de ce compteur (le cas échéant) à l’aide de compteurs globaux avec filtres
Remarque : Si le compteur global tcp_drop_packet est détecté en général, mais qu’aucun problème de trafic n’est connu, ce compteur peut être ignoré en toute sécurité. Si vous dépannez un flux de trafic spécifique et que ce flux de trafic est interrompu en raison du compteur « tcp_drop_packet », passez à l'étape 2 ci-dessous.
- Exécutez la commande CLI ci-dessous :
> show counter globalRecherchez tous les autres compteurs globaux contenant « tcp_ » qui s’incrémentent en même temps que tcp_drop_packet et résolvez plutôt la raison de ce compteur global plus spécifique.
Exemple :
Si « tcp_drop_packet » et « tcp_drop_out_of_wnd » sont tous deux incrémentés, procédez au dépannage à l’aide de Comment atténuer une augmentation anormale du compteur global « tcp_drop_out_of_wnd » à la place Si « tcp_drop_packet » et « tcp_invalid_ts_option » sont tous deux incrémentés, procédez au dépannage à l’aide des paquets TCP abandonnés par le pare-feu en raison de l’option Horodatage non valide à la place
Si « tcp_drop_packet » et « tcp_exceed_flow_seg_limit » s’incrémentent tous les deux, procédez au dépannage à l’aide de l’aide de l’interface Web PAN-OS - Paramètres TCP à la place
- Contactez le fournisseur de l’application logicielle qui envoie ces paquets TCP pour que le comportement TCP non valide ou incorrect soit corrigé
- S’il existe un paramètre de pare-feu (dépend de la raison de l’abandon des paquets), ajustez le paramètre de configuration du pare-feu spécifique qui correspond au compteur global d’exceptions TCP trouvé ci-dessus à l’étape 2
Attention : Conformément aux meilleures pratiques de PAN-OS, il est conseillé de conserver les valeurs par défaut pour la majorité des paramètres PAN-OS. Toute modification des paramètres par défaut de PAN-OS doit être effectuée avec soin, ce qui garantit une évaluation réfléchie avant toute modification.
Exemple : PAN-OS offre la possibilité de désactiver l'option « Vérifier l'horodatage », empêchant ainsi les paquets d'être abandonnés avec le compteur global « tcp_invalid_ts_option », mais il n'est pas recommandé de désactiver ce paramètre pour maintenir un déploiement sécurisé ainsi que pour des raisons de connectivité.
Exemple : PAN-OS offre la possibilité de désactiver l'option « Vérifier l'horodatage », empêchant ainsi les paquets d'être abandonnés avec le compteur global « tcp_invalid_ts_option », mais il n'est pas recommandé de désactiver ce paramètre pour maintenir un déploiement sécurisé ainsi que pour des raisons de connectivité.
Additional Information
D’autres compteurs globaux vus à côté de tcp_drop_packet qui indiquent davantage la cause première spécifique de la perte de paquets incluent :
tcp_out_of_sync warn can't continue tcp reassembly because it is out of sync tcp_drop_out_of_wnd warn out-of-window packets dropped tcp_invalid_ts_option info packets with invalid timestamp option tcp_syn_missing info miss SYN packet for tcp session tcp_exceed_flow_seg_limit warn packets dropped due to the limitation on tcp out-of-order queue sizeLa plupart des exceptions de paquets TCP invalides/incorrectes ci-dessus peuvent être visualisées et vérifiées à l’aide d’une capture de paquets. Si nécessaire, utilisez une capture de paquets pour afficher les champs d’un paquet ou d’un flux TCP afin de vérifier les informations contenues dans chaque champ.