تعرف على رسائل حزم ICMP "؛unreachable - عامل تصفية&قطع محظور للمسؤول؛

مسألة

تعرف على معلومات الحزمة المرفقة بحزم بروتوكول رسائل التحكم في الإنترنت (ICMP) "غير القابل للوصول - عامل تصفية ممنوع للمسؤول".

مثال التقاط بروتوكول الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco:

device# show capture CAPO
 
106 packets captured
 
   1: 08:12:45.864243       198.51.100.205.7351 > 192.0.2.2.47668:  udp 111
   2: 08:12:46.400812       198.51.100.205.7351 > 192.0.2.2.47668:  udp 124
   3: 08:12:46.406320       192.0.2.2 > 198.51.100.205 icmp: host 192.0.2.2 unreachable - admin prohibited filter
   4: 08:12:47.936856       198.51.100.205.7351 > 192.0.2.2.47668:  udp 124
   5: 08:12:47.943936       192.0.2.2 > 198.51.100.205 icmp: host 192.0.2.2 unreachable - admin prohibited filter
   6: 08:12:49.216739       198.51.100.205.7351 > 192.0.2.2.47668:  udp 124
   7: 08:12:49.222278       192.0.2.2 > 198.51.100.205 icmp: host 192.0.2.2 unreachable - admin prohibited filter
   8: 08:12:50.096079       198.51.100.205.7351 > 192.0.2.2.47668:  udp 124
   9: 08:12:50.106363       192.0.2.2 > 198.51.100.205 icmp: host 192.0.2.2 unreachable - admin prohibited filter

البيئة

ويمكن رؤيتها في أي من هذه المنتجات:

• نظام Firepower Threat Defense ‪(FTD)‬

• أجهزة الأمان المعدلة (ASA)

قرار

فهم رسائل ICMP النوع 3، الرمز 13

تتوافق رسائل ICMP "الذي يتعذر الوصول إليه - عامل التصفية المحظور على المسؤول" مع ICMP النوع 3، الرمز 13 (الوجهة التي يتعذر الوصول إليها - الاتصال محظور إداريا). تشير هذه الرسائل إلى أنه قد تم رفض حركة المرور بشكل صريح بواسطة سياسة الأمان أو قائمة التحكم في الوصول (ACL) بدلا من عدم الوصول إليها بسبب مشاكل في اتصال الشبكة.

تحليل معلومات التقاط الحزمة

الخطوة 1. تحديد مصدر رسائل رفض ICMP

راجع التقاط الحزمة لتحديد الأجهزة التي تقوم بإنشاء استجابات ICMP النوع 3، الرمز 13. في هذه الحالة، نشأت رسائل الرفض من عناوين IP معينة (192.0.2.2).

الخطوة 2. افحص رؤوس الحزم الأصلية

تحتوي رسائل رفض ICMP على معلومات حول الحزم الأصلية التي تم حظرها. وهذا يتضمن عناوين IP المصدر والوجهة الأصلية ومعلومات البروتوكول وأرقام المنافذ التي أدت إلى الحظر الإداري.

الخطوة 3. ربط رسائل الرفض بأنماط حركة المرور

مطابقة استجابات ICMP لتدفقات حركة المرور المحددة التي يتم رفضها. على سبيل المثال، كان يتم رفض حركة مرور UDP إلى المنفذ 7351 بواسطة الجهاز الذي يحمل عنوان IP 192.0.2.2 في التقاط CAPO.

قيود تحليل التقاط الحزمة

عند العمل باستخدام التقاط الحزم التي يتم تصديرها نصيا، يمكن الحد من التحليل التفصيلي للحزم حسب الحزمة مقارنة بملفات PCAP الثنائية. للحصول على تحليل شامل، توفر ملفات التقاط الحزم الثنائية (تنسيق PCAP) معلومات أكثر اكتمالا بما في ذلك:

• رؤوس الحزم الكاملة ومعلومات الحمولة

• معلومات دقيقة عن التوقيت

• قدرات فك تشفير البروتوكول الكاملة

• خيارات تصفية وتحليل محسنة

السبب

وعادة ما يكون السبب الجذري واحدا من التالي:

• قوائم التحكم في الوصول (ACL) التي تم تكوينها لرفض تدفقات حركة مرور معينة

• قواعد جدار الحماية التي تحظر بروتوكولات أو منافذ أو عناوين IP معينة

في هذا المثال، تم التسبب في الرسالة بواسطة قائمة تحكم في الوصول (ACL) لتدفق البيانات.

المحتوى ذي الصلة

• https://datatracker.ietf.org/doc/html/rfc792

• https://datatracker.ietf.org/doc/html/rfc1812

• https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/215092-analyze-firepower-firewall-captures-to-e.html

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	04-May-2026	الإصدار الأولي