Hola como estan, tengo un fortigate 80C con la MR3 Parche1... y me esta detectando el siguiente ataque, me dice que es un ICMP Lan y que va desde mi server DNS hacia afuera; pero cuando modifico el sensor Block_flood y bloqueo el ip_src_session se me queda toda la red sin internet.
Siempre es mi server DNS el que supuestamente lo esta generando, otra veces ademas de este me muestra otro PC que es un server de VPN con el puerto http como generador del atake, y otras veces son otros pcs...
No se que pasa, cada vez que intento bloquear el atake me quedo sin internet por lo que mi server DNs esta implicado.... les agradezco cualquier información que me puedan proporcionar al respecto.. muchas gracias
[color=#FF0040]Sub Tipo anomaly
Sensor block_flood
Origen 10.31.1.5
Destino 192.175.48.42
Puerto Origen 5598
Puerto Destino 53
Interfaz Origen internal1
Interfaz Destino N/A
Estado detected
Protocolo 17
Servicio dns
Usuario N/A
Grupo N/A
Referencia [Debes identificarte para poder ver enlaces.]
Conteo 24
Mensaje anomaly: ip_src_session, 5788 > threshold 5000, repeats 24 times
Dominio Virtual root
Indice de Identidad N/A
Tipo de profile N/A
Nombre del Grupo de Perfil N/A
Nombre de Ataque ip_src_session
Tipo UTM Ataque[/color]
Problemas con ip_src_session
Re: Problemas con ip_src_session
hola, hace usa pòlitia para tu server de dns saliente solo con servicio dns, natenado y sin aplicar utm-ips ni nada.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst