如何缓解“tcp_drop_packet”全局计数器的异常增加
12953
Created On 11/29/23 20:08 PM - Last Modified 12/19/23 05:19 AM
Objective
当防火墙接收到数据包时,如果数据包字段中的数据无效/不正确,或者数据包流不符合传统的 TCP 操作和标准,导致 TCP 重组失败,则计数器 tcp_drop_packet 递增。 计数器tcp_drop_packet通常是 TCP 重组中所有丢弃的捕获所有计数器,并且最常见于另一个指示特定根本原因的“tcp_”计数器。
下面是防火墙中全局计数 器tcp_drop_packet 递增的示例:
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- tcp_drop_packet 2 0 warn tcp pktproc packets dropped because of failure in tcp reassembly注意:仅当使用带有 特定源和目标IP地址过滤器 的全局计数器对特定流量进行故障排除时,此全局计数器才有意义,并且此全局计数器会专门丢弃该流量流。 所有其他时间,可以安全地忽略此全局计数器,并且不要继续执行本文档中的以下步骤。 如果发现全局计数器“tcp_drop_packet”正在丢弃正在使用全局计数器进行故障排除的特定流量,请继续执行下面的操作。
Environment
- 下一代防火墙
Procedure
- 使用带过滤器的全局计数器确定网络中按源 IP、源端口、目标 IP、目标端口的哪些流量流由于此计数器(如果有)而被防火墙丢弃
注意:如果通常可以看到tcp_drop_packet全局计数器,但不知道发生流量问题,则可以安全地忽略此计数器。 如果对特定流量进行故障排除,并且该流量因“tcp_drop_packet”计数器而中断,请继续执行下面的步骤 2。
- 运行以下 CLI 命令:
> show counter global查找包含“tcp_”的任何其他全局计数器,这些计数器与tcp_drop_packet同时递增,并改为解决该更具体的全局计数器的原因。
示例:
如果“tcp_drop_packet”和“tcp_drop_out_of_wnd”都在递增,请改
用如何缓解“tcp_drop_out_of_wnd”全局计数器的异常增加来继续故障排除 如果“tcp_drop_packet”和“tcp_invalid_ts_option”都在递增,请改
用防火墙因时间戳无效选项而丢弃的 TCP 数据包进行故障排除如果“tcp_drop_packet”和“tcp_exceed_flow_seg_limit”都在递增,请改用 PAN-OS Web 界面帮助 - TCP 设置继续进行故障排除
- 请与发送这些 TCP 数据包的软件应用程序的供应商联系,以更正无效或不正确的 TCP 行为
- 如果存在防火墙设置(取决于数据包丢弃的原因),请调整特定的防火墙配置设置,该设置对应于上面步骤 2 中找到的 TCP 异常全局计数器
警告:根据 PAN-OS 最佳实践,建议保留大多数 PAN-OS 设置的默认值。 对默认 PAN-OS 设置的任何修改都应仔细考虑,确保在进行任何更改之前进行深思熟虑的评估。
示例:PAN-OS 提供了禁用“检查时间戳选项”的功能,从而阻止使用“tcp_invalid_ts_option”全局计数器丢弃数据包,但出于连接原因,不建议禁用该设置以保持安全部署。
示例:PAN-OS 提供了禁用“检查时间戳选项”的功能,从而阻止使用“tcp_invalid_ts_option”全局计数器丢弃数据包,但出于连接原因,不建议禁用该设置以保持安全部署。
Additional Information
与tcp_drop_packet一起看到的其他全局计数器进一步指示数据包丢弃的具体根本原因包括:
tcp_out_of_sync warn can't continue tcp reassembly because it is out of sync tcp_drop_out_of_wnd warn out-of-window packets dropped tcp_invalid_ts_option info packets with invalid timestamp option tcp_syn_missing info miss SYN packet for tcp session tcp_exceed_flow_seg_limit warn packets dropped due to the limitation on tcp out-of-order queue size上述大多数无效/不正确的 TCP 数据包异常都可以使用 数据包捕获进行查看和验证。 如果需要,请进行数据包捕获以查看任何 TCP 数据包或流的字段,以验证每个字段中的信息。