Impossible d’exclure la signature DOS du type de paquet fragmenté de l’inspection à l’aide d’une stratégie d’ignorer sans état du pare-feu

Articles techniques ID: KB94348
Date de la dernière modification : 28/02/2023

Environnement

Trellix Intrusion Prevention System

Problème 1

Vous voyez de nombreuses alertes de signatures de fragment IP entrantes trop élevées /sortantes Volume de fragment IP trop élevé Volume de fragments IP Trop élevé .

Les alertes sont affichées dans les journaux d’attaque après l’application d’une stratégie de pare-feu avec l’action Ignorer sans état .

L’action d’ignorer sans état appliquée signifie que le règle de pare-feu ignore le trafic provenant de l’inspection entre le client et le serveur. Aucune alerte ne devrait s’afficher dans les journaux d’attaque.

Problème 2

Vous souhaitez ignorer ou exclure la signature de l’inspection Volume de fragment IP entrant Trop élevé / Volume de fragments IP sortants Trop élevé Volume de fragments IP Trop élevé de l’inspection à l’aide de la stratégie de pare-feu. Vous créez également une stratégie bidirectionnelle de pare-feu sans état entre les hôtes. Une fois la stratégie appliquée, les alertes de cette signature s’affichent encore dans le journal des attaques.

Solution

Il s’agit du comportement attendu.

Lors du traitement initial de la version L3, le réassemblage est effectué. Après le réassemblage, une vérification DOS est appliquée pour ces paquets réassemblés. Cette vérification permet d’éviter les attaques de déni de service par pare-echech-
Elle est effectuée avant le traitement des règles de pare-feu ou ACL pour le trafic fragmenté. Par conséquent, la règle de stratégie de pare-feu ne peut pas exclure cette signature spécifique de l’inspection, car elle est liée à des paquets fragmentés. Pour les autres attaques de déni de service, la stratégie de pare-feu ignorée par l’état fonctionne comme prévu.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Langues :

Cet article est disponible dans les langues suivantes :

Knowledge Center

Impossible d’exclure la signature DOS du type de paquet fragmenté de l’inspection à l’aide d’une stratégie d’ignorer sans état du pare-feu

Environnement

Problème 1

Problème 2

Solution

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Impossible d’exclure la signature DOS du type de paquet fragmenté de l’inspection à l’aide d’une stratégie d’ignorer sans état du pare-feu

Environnement

Problème 1

Problème 2

Solution

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title