由于配置了攻击防范命令导致用户无法上网

发布时间:  2014-09-20 浏览次数:  144 下载次数:  0
问题描述
用户在防火墙上配置了下面的攻击防范后,客户无法正常上网。
firewall defend land enable 

firewall defend smurf enable 

firewall defend fraggle enable 

firewall defend winnuke enable 

firewall defend ip-spoofing enable 

firewall defend route-record enable 

firewall defend time-stamp enable 

firewall defend ping-of-death enable 

处理过程
执行undo firewall defend ip-spoofing enable命令,删除IP-spoofing攻击防范。
根因
1. 在防火墙上根据客户端IP地址查询会话信息,发现防火墙上没有会话信息。存在两种可能性,一种可能是客户端没有把报文发送到防火墙,另外一种可能性是用户报文到防火墙后被丢弃。
[USG9000] display firewall session table verbose source inside 10.244.1.130
20:00:46  2014/05/13                                                                                                                
Info: Current total sessions: 0

该问题在配置攻击防范后问题出现,并且删除这些命令后故障恢复,基本可以确认应该是防火墙的攻击防范功能把报文丢弃了。
2. 查看防火墙的日志,发现防火墙有IP-spoofing攻击日志,且记录的攻击的IP地址就是上网用户的IP地址。可以判断,用户报文是被防火墙的IP-spoofing攻击丢弃了。
SEC/4/ATCKDF(l)[6399]:AttackType: IP spoof attack; slot: 16; cpu: 1; Receive Interface: Eth-Trunk2.20; from: 10.244.1.130 10.244.0.35 10.244.3.80 10.244.1.58 10.244.1.154 10.244.3.96 10.244.3.168 10.244.0.123; to: 221.131.143.69 61.155.106.176 208.73.211.230 112.3.151.13 112.2.98.13 112.25.58.170 223.66.190.18 117.135.169.19; begin time: 2013-12-13 17:05:18; end time: 2013-12-13 17:05:37; total packets: 764
防火墙IP-spoofing机制是防火墙收到报文后,会使用报文源IP地址查询路由,查看路由的出接口是否和该报文转发的入接口一致,如果不一致,就会认为是攻击,把报文丢弃。
根据攻击日志看,该报文是从接口Eth-Trunk2.20进来,但是在防火墙查路由发现,地址10.244.1.130的路由出接口是Eth-Trunk2.10, 因此报文被识别成IP-Spoofing攻击,然后丢弃。
[USG9000] display ip routing-table 10.244.1.130

10.244.0.0/16  Static 60   0           RD   11.1.1.2        Eth-Trunk2.10

建议与总结
由于防火墙上的路由配置问题,启用IP-spoofing攻击防范功能后,正常上网报文被防火墙丢弃。所以在配置路由时,建议IP路由的出接口跟该IP报文进入防火墙的入接口保持一致。另外建议正常情况下关闭防火墙上IP-spoofing攻击防范功能。

END