Print

防火墙存在127.0.0.1地址的单包攻击日志

2021-12-03 发表

组网及说明

不涉及

问题描述

现场防火墙部署完后发现在态势感知上能看到防火墙存在源目地址为127.0.0.1单包攻击日志


过程分析

查看设备攻击日志情况,发现日志上报存在规律性,每隔5分钟会上报一条。

查看单包攻击日志含义,代表的是检测到聚合输出日志


进一步分析设备上的日志配置,发现配置了多台loghost主机,且存在一条目的地址为127.0.0.1的日志主机

 info-center syslog utf-8 enable info-center logbuffer size 1024

 info-center loghost 127.0.0.1 format default 

 info-center loghost 172.16.141.32 info-center loghost 172.16.141.42

怀疑问题现象与该配置有关

解决方法

进一步沟通得知在其他局点低端系列防火墙,需要配置一条指向本地的日志主机配置来解决防火墙无法产生日志的问题。

但是在配置时不能使用缺省端口,需要更改其他端口,现场环境因为忘记配置端口,导致异常上报单包攻击

调整修改配置后解决