「tcp_drop_packet」グローバルカウンターの異常な増加を緩和する方法

「tcp_drop_packet」グローバルカウンターの異常な増加を緩和する方法

12936
Created On 11/29/23 20:08 PM - Last Modified 12/19/23 05:19 AM


Objective


カウンタ tcp_drop_packetは、 パケットフィールドに無効または不正なデータがあるパケットがファイアウォールによって受信された場合、またはパケットのフローが従来のTCP動作と標準に準拠しておらず、TCPリアセンブルが失敗した場合に増加します。 カウンタtcp_drop_packetは、通常、TCP再構成のすべてのドロップのキャッチオールカウンタであり、特定の根本原因を示す別の「tcp_」カウンタとともに最も一般的に見られます。

次に、ファイアウォールで増加するグローバルカウンタ tcp_drop_packet の例を示します。 
> show counter global

name value rate severity category aspect description
--------------------------------------------------------------------------------
tcp_drop_packet 2 0 warn tcp pktproc packets dropped because of failure in tcp reassembly
注:このグローバルカウンタは、特定の 送信元および宛先IPアドレスのフィルタを使用して特定の トラフィックフローをトラブルシューティングしているときに表示され、このグローバルカウンタがそのトラフィックフローを具体的にドロップする場合にのみ重要です。 それ以外の場合は、このグローバル カウンタを無視しても問題ありませんので、このドキュメントの次の手順に進まないでください。 グローバルカウンタ「tcp_drop_packet」が、グローバルカウンタを使用してトラブルシューティングされている特定のトラフィックフローをドロップしていることがわかった場合は、次に進みます。

Environment


  • 次世代ファイアウォール

Procedure


  1. ネットワーク内の送信元IP、送信元ポート、宛先IP、宛先ポートによるトラフィックフローのうち、このカウンタ(存在する場合)が原因でファイアウォールによってドロップされているトラフィックフローをフィルタ付きグローバルカウンタを使用して特定します
注:tcp_drop_packetグローバルカウンタが一般的に表示されるが、トラフィックの問題が発生していないことがわかっている場合は、このカウンタを無視しても問題ありません。 特定のトラフィックフローのトラブルシューティングを行い、そのトラフィックフローが特に「tcp_drop_packet」カウンタが原因でドロップされる場合は、次の手順2に進みます。
  1. 次のCLIコマンドを実行します。
> show counter global
tcp_drop_packetと同時にインクリメントする「tcp_」を含む他のグローバルカウンタを探し、代わりにそのより具体的なグローバルカウンタの理由をトラブルシューティングします。

例:「
tcp_drop_packet」と「tcp_drop_out_of_wnd」の両方が増加している場合は、代わりに
tcp_drop_out_of_wnd」グローバルカウンターの異常な増加を軽減する方法を使用してトラブルシューティングに進みます 「tcp_drop_packet」と「tcp_invalid_ts_option」の両方が増加している場合は、代わりに
「無効なタイムスタンプのためにファイアウォールによってドロップされたTCPパケット」オプションを使用してトラブルシューティングに進みます「tcp_drop_packet」と「tcp_exceed_flow_seg_limit」の両方が増加している場合は、代わりにPAN-OS Web Interfaceヘルプ - TCP設定を使用してトラブルシューティングを続行してください
  1. これらのTCPパケットを送信しているソフトウェアアプリケーションのベンダーに問い合わせて、無効または不正なTCP動作を修正してもらいます
  2. ファイアウォール設定が存在する場合は(パケットドロップの理由によって異なります)、上記のステップ2で見つかったTCP例外グローバルカウンタに対応する特定のファイアウォール設定を調整します
注意:PAN-OSのベストプラクティスに従って、 PAN-OS設定の大部分のデフォルト値を維持することを推奨します。 デフォルトの PAN-OS 設定の変更は、慎重に検討して行う必要があり、変更を行う前に慎重に評価する必要があります。

例:PAN-OSには「タイムスタンプの確認オプション」を無効にして、「tcp_invalid_ts_option」グローバルカウンタでパケットがドロップされるのを防ぐ機能がありますが、安全な展開を維持するために、および接続上の理由から、その設定を無効にすることは推奨されません。

Additional Information


パケットドロップの特定の根本原因をさらに示すtcp_drop_packetとともに表示されるその他のグローバルカウンタには、次のものがあります。 
tcp_out_of_sync         warn  can't continue tcp reassembly because it is out of sync
tcp_drop_out_of_wnd     warn  out-of-window packets dropped
tcp_invalid_ts_option   info  packets with invalid timestamp option
tcp_syn_missing         info  miss SYN packet for tcp session
tcp_exceed_flow_seg_limit warn packets dropped due to the limitation on tcp out-of-order queue size
上記の無効/不正なTCPパケット例外のほとんどは、 パケットキャプチャを使用して表示および検証できます。 必要に応じて、パケットキャプチャを使用してTCPパケットまたはフローのフィールドを表示し、各フィールドの情報を確認します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhFXCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language