ip-sweep阀值设置过小,导致主机上网异常

发布时间:  2016-10-17 浏览次数:  74 下载次数:  0
问题描述

设备版本信息如下:

  USG6680 V100R001C30SPC300

组网拓扑如下;

  

  客户反馈部分主机无法正常访问互联网络,但是可以正常的访问企业内网,且已经和相关的厂商做过联合排查,基本可以确认数据包是在防火墙上面丢弃的。

处理过程

  查看防火墙会话,没有找到会话,查看安全策略,并没任何异常,企业网内部trust区域到untrust区域的安全策略为permit。

  此时在防火墙上面部署五元组抓包,发现可以抓取到数据包,且所有的参数均正常,表明抓取的数据包确实是目标主机发送。此时基本可以确定防火墙丢包,结合防火墙会话处理流程和客户配置,初步可以确定是安全配置文件产生的丢包。在防火墙上面display firewall blacklist item 结果如下:

 IP/port/protocol/user                      Reason                         Insert Time            Age Time  HitTimes          

----------------------------------------------------------------------------------------------------------------------------

 10.20.1.236 /any (src) /any/                  IPSweep                        2016/09/28 18:49:55    20        520          

  可以看到目标主机多次命中ip sweep攻击条目,即IP地址探测攻击。之后查看客户网络中的ip sweep攻击阀值设定,如下:

 firewall defend ip-sweep max-rate 50

  可以看到阀值为50,经过与400沟通,修改阀值为默认阀值(4000)之后,问题解决。

根因

纵观此次问题,原因有二:

  1、客户在没有充分了解ip sweep攻击的情况下配置了一个较小的阀值,导致内网主机命中策略,被加入黑名单。

  2、客户在主机测安装WiFi共享软件,导致并发的目的地址数量超过阀值。

解决方案


建议与总结

ip地址扫描攻击是指:攻击者运用ICMP报文(如Ping和Tracert命令)探测目标地址,或者使用TCP/UDP报文对一定地址发起连接(如TCP ping),通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上。

其基本的防御原理为:配置IP地址扫描攻击防范后,设备对接收的TCP、UDP、ICMP报文进行检测,如果某个源IP地址每秒发往不同目的IP地址的报文数超过了设定的阈值时,就认为该源IP地址在进行IP地址扫描攻击,NGFW将该IP地址加入黑名单

firewall defend ip-sweep max-rate max-rate-number,配置地址扫描速率阈值。当发现某台主机的地址扫描行为的速率超过了该阈值,就会将其判断为攻击者,并将其加入黑名单。

缺省情况下,地址扫描速率阈值为4000包/秒,同时需要注意:防火墙在统计是指统计ip报文的首包。

在具体配置相关参数是建议保持默认参数,或者咨询研发。

END