无法定位威胁ID8723 为漏洞保护异常。
9801
Created On 07/06/22 01:52 AM - Last Modified 05/09/23 08:04 AM
Symptom
- 这Threat Vault( https://threatvault.paloaltonetworks.com/ ) 将签名归类为“漏洞保护签名”。
- 无法找到下面列出的任何威胁 ID 以在漏洞保护配置文件中创建异常。
威胁-ID 8721此事件检测到网络数据包的源地址或目标地址被定义为未指定的地址或保留供将来定义和使用的地址,如中指定的RFC3513 用于 IPv6。
威胁-ID 8722该事件检测TCP拆分握手,其中一个客户端和服务器TCP连接发送一个SYN同时向对方发送数据包。
威胁-ID 8723该事件检测到TCP SYN带有有效载荷的数据包,以及TCP不存在快速打开选项。
威胁-ID 8724该事件检测到TCP SYN-ACK带有有效载荷的数据包,以及TCP不存在快速打开选项。
威胁-ID 8725此事件检测并剥离TCP快速打开选项(和数据负载,如果有的话)来自TCP SYN或者SYN-ACK在一个包TCP三向握手。
威胁-ID 8726此事件检测到碎片的存在IP数据包。
威胁-ID 8727此事件检测欺骗的企图IP地址。
威胁-ID 8728此事件检测发起 ping of death DoS 攻击的尝试。
威胁-ID 8729此事件检测到存在ICMP大于 1024 字节的数据包。
威胁-ID 8730此事件检测到存在ICMP碎片。
威胁-ID 8731此事件检测是否存在嵌入在ICMP数据包。
威胁-ID 8732当遇到TCP不属于现有会话的数据包。 任何新的会话都应以SYN数据包,如果不是这样则丢弃。
威胁-ID 8723该事件检测到TCP SYN带有有效载荷的数据包,以及TCP不存在快速打开选项。
威胁-ID 8724该事件检测到TCP SYN-ACK带有有效载荷的数据包,以及TCP不存在快速打开选项。
威胁-ID 8725此事件检测并剥离TCP快速打开选项(和数据负载,如果有的话)来自TCP SYN或者SYN-ACK在一个包TCP三向握手。
威胁-ID 8726此事件检测到碎片的存在IP数据包。
威胁-ID 8727此事件检测欺骗的企图IP地址。
威胁-ID 8728此事件检测发起 ping of death DoS 攻击的尝试。
威胁-ID 8729此事件检测到存在ICMP大于 1024 字节的数据包。
威胁-ID 8730此事件检测到存在ICMP碎片。
威胁-ID 8731此事件检测是否存在嵌入在ICMP数据包。
威胁-ID 8732当遇到TCP不属于现有会话的数据包。 任何新的会话都应以SYN数据包,如果不是这样则丢弃。
Environment
- 帕洛阿尔托网络防火墙。
- PAN-OS 8.1.0 及更高版本。
- PAN-OS 9.1.0 及更高版本。
- PAN-OS 10.0.0 及更高版本。
- PAN-OS 10.1.0 及更高版本。
- PAN-OS 10.2.0 及更高版本。
Cause
- 虽然这些威胁 ID 被标识为“漏洞保护签名”,但所有签名ID8700-8799 之间的范围与“区域保护”配置文件中可用的基于数据包的攻击保护相关联。
Resolution
- 这是预期的行为。 这些签名的例外情况不会在“漏洞保护配置文件”下找到。
- 与基于数据包的保护相关的签名没有威胁例外。 “侦察保护”只有“源地址排除”是可选的。
Additional Information
- 与区域保护相关的基于数据包的攻击的威胁 ID 是什么?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkqxCAA