Loading...

Profil DoS (déni de service) Network Security Platform - modes d'apprentissage et de détection
Articles techniques ID:   KB71628
Date de la dernière modification :  05/01/2018
Noté :


Environnement

McAfee Network Security Platform

Synthèse

Cet article explique les modes d'apprentissage et de détection du profil DoS (déni de service) dans Network Security Platform. 

Mode d'apprentissage
Le mode d'apprentissage démarre lorsque l'instance Sensor est ajoutée pour la première fois à un réseau. La période d'apprentissage standard est généralement de 48 heures, après quoi l'instance Sensor passe en mode de détection, mais continue à s'adapter au fil du temps.

Pendant la durée du mode d'apprentissage, l'instance Sensor catalogue le trafic dans des BIN. L'instance Sensor répartit le trafic dans les BIN par sous-réseau, jusqu'à obtenir un total de 128 BIN par capteur. Les BIN peuvent faire référence à un vaste segment de réseau, tel que 10.0.0.0/8 et 112.0.0.0/5, ou à un segment plus spécifique tel que 8.8.8.0/29.

Chaque BIN contient des valeurs qui décrivent la quantité de trafic correspondant à un protocole spécifique.

Pour afficher les BIN, procédez comme suit :

  1. Ouvrez une session de ligne de commande vers l'instance Sensor.
  2. Saisissez la commande suivante, puis appuyez sur ENTREE :

    show dospreventionprofile <type de paquet> <direction>

    Par exemple :

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%) -- pourcentage de l'espace d'adresse IP que ce BIN occupe
  • LT(%) -- pourcentage de trafic à long terme géré par ce BIN
  • ST(%) -- pourcentage de trafic à court terme géré par ce BIN
  • ltRate -- taux moyen de trafic à long terme (en paquets par seconde) pour ce BIN
  • stRate -- taux de trafic à court terme (en paquets par seconde) pour ce BIN

Mode de détection
Après la période d'apprentissage de 48 heures, l'instance Sensor passe automatiquement en mode de détection. Il n'y a pas de blocage par défaut pour le DoS ; vous pouvez activer le blocage après que l'instance Sensor a établi un profil de réseau acceptable.

Pour activer le blocage DoS dans Network Security Manager, procédez comme suit :
  1. Connectez-vous à Manager.
  2. Sélectionnez IPS Settings (Paramètres IPS) dans le panneau de gauche.
  3. Cliquez sur l'onglet Advanced Policies (Stratégies avancées).
  4. Sélectionnez Default IPS Attack Settings (Paramètres d'attaque IPS par défaut).
  5. Cherchez le type d'attaque souhaité et définissez-le sur Block (Bloquer).

Lorsque l'instance Sensor est en mode de détection et détecte une éventuelle attaque par déni de service, les BIN qui contiennent le trafic suspecté changent et affichent un # (hachage). L'instance Sensor applique une action au trafic en fonction des paramètres définis pour le type d'attaque (blocage et alerte ou alerte uniquement).

Gravité et seuil de prévention des attaques par déni de service
L'instance Sensor ajuste le profil en permanence pour éviter les détections de faux positifs dues à des changements minimes du trafic ou à des événements qui pourraient être interprétés comme une attaque par déni de service. Vous pouvez personnaliser ce comportement en fonction de la gravité d'une attaque détectée et ajuster le seuil si nécessaire.

Pour afficher la gravité, procédez comme suit : 

  1. Ouvrez une session de ligne de commande vers l'instance Sensor.
  2. Saisissez la commande suivante, puis appuyez sur ENTREE :

    show dospreventionseverity <type de paquet> <direction>

    REMARQUE : le support technique recommande de ne pas modifier les niveaux de gravité par défaut, sauf si vous avez une connaissance approfondie de votre réseau et que vous êtes sûr que la modification ne provoquera pas une détection à tort d'une attaque par déni de service.
Pour modifier le seuil d'une attaque spécifique, procédez comme suit :
  1. Connectez-vous à Manager.
  2. Sélectionnez IPS Settings (Paramètres IPS). 
  3. Sélectionnez Advanced Policies (Stratégies avancées). 
  4. Sélectionnez Default IPS Attack Settings (Paramètres d'attaque IPS par défaut).
  5. Sélectionnez l'onglet Threshold (Seuil) et modifiez l'attaque spécifique qui vous intéresse.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document