Bài viết kỹ thuật

Invalid Traffic trên Sophos Firewall

01/07/2025 11:10 394 lần Chuyên mục: Bài viết kỹ thuật

Trên Log viewer của Sophos Firewall đôi khi sẽ có ghi nhận một vài Invalid Traffic. Nhiều quản trị viên lo lắng đây là dấu hiệu tấn công, nhưng thực tế Invalid Traffic chỉ là gói tin không khớp “kết nối đã theo dõi (conntrack)” của thiết bị. Bài viết này sẽ:

Giải thích Invalid Traffic là gì và cơ chế Conntrack đằng sau.
Phân tích các nguyên nhân thường gặp gây ra log.
Đưa ra giá trị chẩn đoán thực sự của Invalid Traffic.
Hướng dẫn cách xử lý/thay đổi cấu hình nếu log xuất hiện quá nhiều.

1. Invalid Traffic là gì?

Sophos Firewall kiểm tra gói tin với bảng conntrack. Nếu gói tin không khớp với bất kỳ kết nối hiện hữu nào, thiết bị sẽ drop và ghi Invalid Traffic. Các gói TCP RST/FIN dư thừa cũng bị drop để tránh tấn công. Nói cách khác, Invalid Traffic không phải lỗi hệ thống mà chỉ là thông báo “tôi đã loại bỏ gói tin ngoại lệ”.

1. log_viewer

Tại sao phải drop?

Ngăn RST/FIN flood – kẻ tấn công gửi nhiều gói reset/finish để làm cạn tài nguyên.
Bảo vệ khỏi asymmetric routing: khi đường về khác đường đi, gói phản hồi không đi qua firewall, lần lượt các gói tiếp theo sẽ bị xem là “lạ”.

2. Conntrack – “sổ theo dõi” của Sophos Firewall

Conntrack ghi nhận trạng thái của mọi phiên TCP/UDP/IPSec qua firewall: bắt đầu bằng SYN (hoặc ICMP echo) và kết thúc khi nhận FIN/RST hoặc hết thời gian chờ (timeout).

Timeout mặc định của Sophos Firewall: 3 giờ nếu phiên idle.
Có thể tùy chỉnh tăng lên 24 giờ (hoặc hơn).

3. Những nguyên nhân thường gặp tạo ra log Invalid Traffic

Nguyên nhân	Mô tả	Biểu hiện
RST/FIN dư thừa	Ứng dụng/OS gửi nhiều gói kết thúc phiên thay vì 1 gói chuẩn.	Liên tiếp các log Invalid Traffic: TCP RST/FIN trên cùng SRC/DST.
Phiên quá hạn (cleanup)	Server có job “dọn” phiên idle > X giờ, gửi RST/FIN khi firewall đã xoá phiên	Log xuất hiện theo lịch cố định (mỗi đêm, cuối tuần…).
Asymmetric routing	Đường về không qua Sophos Firewall, gói phản hồi “mồ côi” bị drop.	Chỉ thấy chiều in hoặc chiều out trong log, thiếu kết nối ngược lại.
Ứng dụng lỗi / NAT loop	Ứng dụng gửi packet sai cổng, sai sequence, NAT loop nội bộ, v.v.	Log đi kèm cảnh báo khác (IPS, drop bởi rule #0…).

4. Invalid Traffic có thực sự cần thiết?

Log này thường “không quá hữu ích” trong hầu hết tình huống, không thể kết luận nguyên nhân lỗi dựa trên log này và có thể gây hiểu nhầm cho các quản trị viên mới.

Tuy vậy, Invalid Traffic vẫn có thể được dùng để:

Chẩn đoán lưu lượng bất cân xứng (asymmetric routing) nhanh chóng.
Phát hiện máy chủ cleanup “quá quyết liệt” (gửi RST/FIN liên tục).
Giúp tinh chỉnh timeout conntrack phù hợp ứng dụng.

5. Cách xử lý khi Invalid Traffic xuất hiện quá nhiều

Kiểm tra bất cân xứng
- Xác minh định tuyến 2 chiều; dùng tcpdump trên Sophos Firewall để xem gói đi, gói về.
Tăng hoặc tuỳ chỉnh timeout conntrack
- Truy cập CLI > Option 4. Device Console > set advanced-firewall tcp-est-idle-timeout <timeout>
- Tăng giá trị <timeout> cho phù hợp, mặc định là 10800s.
Điều chỉnh ứng dụng/ máy chủ
- Giảm số lần gửi RST/FIN của web‑server/ proxy.
- Kiểm tra script “cleanup session” và cron job.
Vô hiệu hoá ghi log Invalid Traffic (không khuyến khích khi chưa phân tích nguyên nhân)

- System service > Log Settings > bỏ chọn Invalid Traffic

2. Log_Settings

6. Kết luận

Invalid Traffic trên Sophos Firewall không phải cảnh báo tấn công mà chỉ là cơ chế bảo vệ chuẩn của conntrack. Hiểu đúng bản chất sẽ giúp bạn:

Tối ưu cấu hình (timeout, routing, ứng dụng).
Giảm nhiễu trong bảng log, tập trung vào sự cố thật sự.
Nâng cao hiệu suất giám sát và phản ứng sự cố mạng.

Khi log Invalid Traffic tăng đột biến, đừng vội lo lắng. Hãy kiểm tra routing, timeout và hoạt động của máy chủ trước khi thay đổi cấu hình firewall. Hy vọng bài viết giúp bạn tự tin hơn khi gặp dòng log “Invalid Traffic” và tối ưu Sophos Firewall cho hệ thống của mình.