Loading...
null

Profilo DoS di Network Security Platform - modalità di apprendimento e rilevamento
Articoli tecnici ID:   KB71628
Ultima modifica:  05/01/2018
Con punteggio:


Ambiente

McAfee Network Security Platform

Riepilogo

In questo articolo vengono spiegate le modalità di apprendimento e rilevamento per il profilo DoS (Denial of Service) in Network Security Platform. 

Modalità di apprendimento
La modalità di apprendimento viene avviata quando Sensor viene aggiunto per la prima volta a una rete. In genere, il periodo standard di attivazione della modalità di apprendimento è di 48 ore, dopo cui Sensor passa alla modalità di rilevamento, ma ciò continuerà a subire continue modifiche nel tempo.

Durante il periodo di attivazione della modalità di apprendimento, Sensor cataloga il traffico in BIN. Sensor suddivide il traffico in BIN per ciascuna sottorete, fino a un totale di 128 BIN per sensore. I BIN possono fare riferimento a un ampio segmento di rete, ad esempio 10.0.0.0/8 e 112.0.0.0/5, oppure a un segmento più specifico, ad esempio 8.8.8.0/29.

Ciascun BIN conterrà i valori che descrivono la quantità di traffico del protocollo specifico.

Per visualizzare i BIN:

  1. Aprire una sessione della riga di comando su Sensor.
  2. Digitare il seguente comando e premere INVIO:

    show dospreventionprofile <packet-type> <direction>

    Ad esempio:

    show dospreventionprofile tcp-syn inbound

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%): percentuale di spazio di indirizzi IP occupata da questo BIN
  • LT(%): percentuale di traffico a lungo termine che rientra in questo BIN
  • ST(%): percentuale di traffico a breve termine che rientra in questo BIN
  • ltRate: frequenza media del traffico a lungo termine (in pacchetti al secondo) di questo BIN
  • stRate: frequenza del traffico a breve termine (in pacchetti al secondo) di questo BIN

Modalità di rilevamento
Dopo il periodo di attivazione della modalità di apprendimento di 48 ore, Sensor passa automaticamente alla modalità di rilevamento. Non è presente alcun blocco predefinito per il profilo DoS, pertanto è possibile attivare il blocco dopo che Sensor ha stabilito un profilo di rete accettabile.

Per attivare il blocco del profilo DoS in Network Security Manager:
  1. Accedere a Manager.
  2. Selezionare IPS Settings (Impostazioni IPS) nel riquadro a sinistra.
  3. Fare clic sulla scheda Advanced Policies (Policy avanzate).
  4. Selezionare Default IPS Attack Settings (Impostazioni predefinite per attacchi IPS).
  5. Individuare il tipo di attacco desiderato, quindi impostarlo su Block (Blocca).

Quando Sensor è in modalità di rilevamento e rileva un possibile attacco DoS, i BIN che contengono il traffico potenzialmente dannoso vengono sostituiti e contrassegnati con il simbolo # (hash). Sensor agisce sul traffico in base alle impostazioni definite per l'attacco specifico (blocco e avviso o solo avviso).

Gravità e soglia per prevenzione DoS
Sensor modifica il profilo continuamente per impedire rilevamenti di falsi positivi causati da lievi modifiche del traffico di rete e da eventi che potrebbero venire interpretati come attacchi DoS. È possibile personalizzare questo comportamento in base alla gravità degli attacchi rilevati e modificare la soglia secondo necessità.

Per visualizzare la gravità:

  1. Aprire una sessione della riga di comando su Sensor.
  2. Digitare il seguente comando e premere INVIO:

    show dospreventionseverity <packet-type> <direction>

    NOTA: l'Assistenza tecnica consiglia di non modificare i livelli di gravità predefiniti a meno che non si disponga di una conoscenza approfondita della rete e si possa garantire che le modifiche non causeranno falsi rilevamenti di attacchi DoS.
Per modificare la soglia di un attacco specifico:
  1. Accedere a Manager.
  2. Selezionare IPS Settings (Impostazioni IPS).
  3. Selezionare Advanced Policies (Policy avanzate).
  4. Selezionare Default IPS Attack Settings (Impostazioni predefinite per attacchi IPS).
  5. Selezionare la scheda Threshold (Soglia), quindi apportare la modifica per l'attacco specifico.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Beta Translate with

Select a desired language below to translate this page.