因为配置了ip欺骗攻击防范导致公网无法访问该设备

发布时间:  2012-07-20 浏览次数:  121 下载次数:  0
问题描述

1、usg2200直接挂在公网上的,是双出口,出口1为isp1,出口2为isp2

2、对isp1的网段做了精确的路由,isp2的网段做了默认路由

3、isp1的一pc访问(ping)usg2200的出口2地址,无法ping通,telnet也不行

告警信息
处理过程

禁用掉ip欺骗的攻击防范配置:

undo firewall defend ip-spoofing enable

问题解决

根因

1、分析数据流向,pc访问出口2地址,从出口2进来,正常情况下从出口1出去

2、查看本地策略,没有做任何流量ip限制

3、该数据流并不属于来回路径不一致情况,因为不需要undo firewall session link-type check

4、在log中发现有攻击的日志出现(ip欺骗的日志):

2011-12-04 17:01:49 wf %%01SEC/5/ATCKDF(l): AttackType:IP spoof attack; Receive Interface: GigabitEthernet0/0/0 ;

proto:ICMP(4120,445) ; from 116.247.83.30 219.138.202.79 219.138.202.79 218.83.252.125 ; to 116.247.74.214 116.247.74.214

116.247.74.214 116.247.74.214 ; begin time :2011/12/4 17:1:19; end time: 2011/12/4 17:1:45; total packets: 13;

4、查看攻击防范的配置,存在ip欺骗的配置:

firewall defend ip-spoofing enable

从上面信息看出,是因为设备认为该数据存在ip欺骗从而过滤了该数据包

建议与总结

对于ip欺骗攻击防范,设备对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。

由于这种防范机制基于设备与源IP地址之间是否路由可达,所以存在误报可能,在使用时需要注意。

END