DoS プロテクション ルールにて "src-dest-ip-both" Classified 設定をしたことによるパケットドロップ

※この記事は以下の記事の日本語訳です。

Packet drop caused by DoS Protection Rule with "src-dest-ip-both" Classified setting

https://live.paloaltonetworks.com/t5/Configuration-Articles/Packet-drop-caused-by-DoS-Protection-Rul...

事象

DoS プロテクション ルール適用後にパケット ドロップが発生。

脅威ログには、DoS プロテクションに関連したログは生成されない。

この事象は、DoS プロテクション ルールにおいて Classified 設定がされており、その中のアドレスの設定で "src-dest-ip-both" を選択した際に起きる傾向にあります。

この問題は、実際のアクティブ セッション数がプラットフォームがサポートする最大セッション数、またDoS プロテクション プロファイル内の "最大同時セッション数" よりも少ない状況下であっても起き得ます。

この間、以下のグローバル カウンターがカウントされます。

flow_dos_rule_drop             Packets dropped: Rate limited or IP blocked
flow_dos_rule_drop_classified  Packets dropped: due to classified rate limiting
flow_dos_no_empty_entp         Unable to find empty classified entry during insertion

原因

もし上記のカウンターに同じ数の上昇が見受けられるようであれば、classificationテーブルへのハッシュの挿入に失敗したことによるパケットがドロップが起きたことを指し示します。

ハッシュの挿入の失敗は、classificationテーブルを使い切ってしまった場合か、ハッシュの衝突が起きたときに発生します。

"src-dest-ip-both" の設定を行った場合、ファイアウォールは送信元IPと宛先IPのペアを基にセッションをトラックする必要があり、それによってより多くのエントリーがclassificationテーブルに追加されることになります。エントリー数が増えれば増えるほど、ハッシュの衝突が起きる可能性は高くなります。

解決方法

- Classified設定の中で、"src-dest-ip-both" の代わりに "source-ip-only" または "destination-ip-only" を選択する。

- Classified設定の代わりにAggregate設定を使用する。

- "debug dataplane reset dos classification-table" コマンドを実行し、classificationテーブルをクリアする。注: これは一時的な回避策となります。

- DoS プロテクション ルールを設定する際に、適用範囲をより限定的にする。例えば、すべてのゾーンを含めるのではなく、適用するゾーンの数を減らす等。