所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

因为配置了ip欺骗攻击防范导致公网无法访问该设备

发布时间:  2019-07-27 浏览次数:  466 下载次数:  0

问题描述

1、usg2200直接挂在公网上的,是双出口,出口1为运营商1,出口2为运营商2

2、对运营商1的网段做了精确的路由,isp2的网段做了默认路由

3、运营商1的一pc访问(ping)usg2200的出口2地址,无法ping通,测试端口也不通

告警信息

处理过程

禁用掉ip欺骗的攻击防范配置:

undo firewall defend ip-spoofing enable

问题解决

根因

1、分析数据流向,pc访问出口2地址,从出口2进来,正常情况下从出口1出去

2、查看本地策略,没有做任何流量ip限制

3、该数据流并不属于来回路径不一致情况,因为不需要undo firewall session link-type check

4、在log中发现有攻击的日志出现(ip欺骗的日志):

5、查看攻击防范的配置,存在ip欺骗的配置:

firewall defend ip-spoofing enable

从上面信息看出,是因为设备认为该数据存在ip欺骗从而过滤了该数据包

建议与总结

对于ip欺骗攻击防范,设备对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。

由于这种防范机制基于设备与源IP地址之间是否路由可达,所以存在误报可能,在使用时需要注意。

END