IP欺骗攻击防范导致的问题

发布时间:  2014-09-11 浏览次数:  315 下载次数:  0
问题描述


USG5500双线接入,用1.1.1.1对内网服务器192.168.0.2映射,ip地址为7.1.1.1的pc通过访问1.1.1.1不通。
告警信息
无。
处理过程
用7.1.1.1ping1.1.1.1,准备在防火墙上查看会话,发现有攻击防范日志:
2000-04-01 17:22:14 USG2100 %%01SEC/4/ATCKDF(l): AttackType="IP spoof attack", slot="0", receive interface="Ethernet0/0/0 ", proto="ICMP", src="7.1.1.1:44001 ", dst="1.1.1.1:2048 ", begin time="2000-04-02 01:22:05", end time="2000-04-02 01:22:11", total packets="4", max speed="0".

发现报文被攻击防范拦截丢弃了。
防火墙有配置ip欺骗攻击防范:
firewall defend ip-spoofing enable

查看防火墙到7.1.1.1路由:
<USG2100>    dis ip  routing-table  7.1.0.0
01:33:50  2000/04/02
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

        7.1.0.0/16  Static 60   0          RD  2.2.2.2         Ethernet2/0/0

因为报文的入接口与反查FIB表的出接口不一致,将此报文视为IP欺骗攻击,给予丢弃。
根因
1.服务器端口问题。
2.其他问题。
建议与总结
多出口场景注意不能配置IP欺骗攻击防范功能。

END