Loading...

Lern- und Erkennungsmodus im DoS-Profil von Network Security Platform
Technische Artikel ID:   KB71628
Zuletzt geändert am:  05.01.2018
Bewertet:


Umgebung

McAfee Network Security Platform

Zusammenfassung

In diesem Artikel werden der Lernmodus und der Erkennungsmodus für das DoS-Profil (Denial-of-Service) in Network Security Platform beschrieben. 

Lernmodus
Der Lernmodus wird gestartet, wenn der Sensor zum ersten Mal zu einem Netzwerk hinzugefügt wird. Die Lernmodusphase dauert im Normalfall 48 Stunden, danach wechselt der Sensor in den Erkennungsmodus, nimmt jedoch im Laufe der Zeit kontinuierlich Anpassungen vor.

Während der Lernmodusphase katalogisiert der Sensor den Datenverkehr in BINs. Der Sensor unterteilt den Datenverkehr in BINs nach Subnetz, bis zu einer Höchstanzahl von 128 BINs pro Sensor. BINs können ein großes Netzwerksegment, wie z. B. 10.0.0.0/8 und 112.0.0.0/5, oder ein spezifischeres Segment, wie z. B. 8.8.8.0/29, darstellen.

Jeder BIN enthält Werte, die das Datenverkehrsvolumen für das jeweilige Protokoll beschreiben.

So zeigen Sie die BINs an:

  1. Öffnen Sie eine Befehlszeilensitzung für den Sensor.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    show dospreventionprofile <Pakettyp> <Richtung>

    Beispiel:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125 % LT=0.609 % ST=0.00% ltR=0.000 stR=0.000
  • AS (%): Prozentualer Anteil des IP-Adressbereichs, den dieser BIN abdeckt
  • LT (%): Prozentualer Anteil des Langzeitdatenverkehrs, den dieser BIN abdeckt
  • ST (%): Prozentualer Anteil des Kurzzeitdatenverkehrs, den dieser BIN abdeckt
  • ltRate: Durchschnittliche Langzeitdatenverkehrsrate (in Paketen pro Sekunde) für diesen BIN
  • stRate: Kurzzeitdatenverkehrsrate (in Paketen pro Sekunde) für diesen BIN

Erkennungsmodus
Nach der 48-stündigen Lernmodusphase wechselt der Sensor automatisch in den Erkennungsmodus. DoS wird nicht standardmäßig blockiert. Sie können die Blockierung aktivieren, nachdem der Sensor ein akzeptables Netzwerkprofil eingerichtet hat.

So aktivieren Sie die DoS-Blockierung im Network Security Manager:
  1. Melden Sie sich beim Manager an.
  2. Wählen Sie im linken Bereich IPS Settings (IPS-Einstellungen) aus.
  3. Klicken Sie auf die Registerkarte Advanced Policies (Erweiterte Richtlinien).
  4. Wählen Sie Default IPS Attack Settings (Standardeinstellungen für IPS-Angriffe) aus.
  5. Wählen Sie den gewünschten Angriffstyp aus, und legen Sie für ihn Block (Blockieren) fest.

Wenn sich der Sensor im Erkennungsmodus befindet und einen möglichen DoS-Angriff erkennt, wird in den BINs, die den möglicherweise schädlichen Datenverkehr enthalten, ein # (Rautenzeichen) angezeigt. Der Sensor führt für den Datenverkehr die den Einstellungen für den jeweiligen Angriff ("Block and alert" (Blockieren und Warnen) oder "Alert only" (Nur Warnung)) entsprechende Aktion durch.

DoS-Bedrohungsschutz – Schweregrad und Schwellenwert
Der Sensor passt das Profil fortlaufend an, um bei kleinen Netzwerkverkehrsänderungen und Ereignissen, die als DoS-Angriff interpretiert werden könnten, False-Positive-Erkennungen zu verhindern. Sie können dieses Verhalten für den jeweiligen Schweregrad eines erkannten Angriffs ändern und den Schwellenwert nach Bedarf anpassen.

So zeigen Sie den Schweregrad an: 

  1. Öffnen Sie eine Befehlszeilensitzung für den Sensor.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    show dospreventionseverity <Pakettyp> <Richtung>

    HINWEIS: Der technische Support empfiehlt, die Standard-Schweregrade beizubehalten, es sei denn, Sie sind Netzwerkexperte und sind sicher, dass die vorgenommenen Änderungen keine falsche Erkennung eines DoS-Angriffs verursachen.
So ändern Sie den Schwellenwert für einen bestimmten Angriff:
  1. Melden Sie sich beim Manager an.
  2. Wählen Sie IPS Settings (IPS-Einstellungen) aus. 
  3. Wählen Sie Advanced Policies (Erweiterte Richtlinien) aus. 
  4. Wählen Sie Default IPS Attack Settings (Standardeinstellungen für IPS-Angriffe) aus.
  5. Wählen Sie die Registerkarte Threshold (Schwellenwert) aus, und bearbeiten Sie dann den Angriff, den Sie ändern möchten.

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Beta Translate with

Select a desired language below to translate this page.