Loading...

DoS-profiel van Network Security Platform: leer- en detectiemodus
Technische artikelen ID:   KB71628
Laatst gewijzigd:  5-1-2018
Beoordeeld:


Omgeving

McAfee Network Security Platform

Samenvatting

In dit artikel worden de leermodus en de detectiemodus voor het DoS-profiel (Denial of Service) in Network Security Platform uitgelegd. 

Leermodus
De leermodus wordt gestart wanneer de sensor voor het eerst wordt toegevoegd aan een netwerk. De standaardperiode voor de leermodus is gewoonlijk 48 uur. Daarna wordt de sensor in de detectiemodus geplaatst, maar dit wordt in de loop van de tijd voortdurend aangepast.

In de leermodus catalogiseert de sensor het verkeer in BIN's. De sensor verdeelt het verkeer in BIN's per subnet, tot een totaal van 128 BIN's per sensor. BIN's kunnen verwijzen naar een groot netwerksegment, zoals 10.0.0.0/8 en 112.0.0.0/5, of naar een specifieker segment, zoals 8.8.8.0/29.

Elk BIN bevat waarden die de hoeveelheid verkeer voor het opgegeven protocol aangeven.

De BIN's weergeven:

  1. Open een opdrachtregelsessie voor de sensor.
  2. Typ de volgende opdracht en druk op Enter:

    show dospreventionprofile <pakkettype> <richting>

    Bijvoorbeeld:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%): percentage van de IP-adresruimte die het BIN bezet
  • LT(%): percentage van lange-termijn verkeer dat tot dit BIN behoort
  • ST(%): percentage van korte-termijn verkeer dat tot dit BIN behoort
  • ltRate: gemiddelde snelheid van lange-termijn verkeer (in pakketten per seconde) voor dit BIN
  • stRate: gemiddelde snelheid van korte-termijn verkeer (in pakketten per seconde) voor dit BIN

Detectiemodus
Na de periode van 48 uur in de leermodus wordt de sensor automatisch in de detectiemodus gezet. Er is geen standaardblokkering voor DoS; u kunt blokkering inschakelen nadat de sensor een aanvaardbaar netwerkprofiel tot stand heeft gebracht.

DoS-blokkering inschakelen in de Network Security Manager:
  1. Meld u aan bij de manager.
  2. Selecteer IPS Settings (IPS-instellingen) in het linkerdeelvenster.
  3. Klik op het tabblad Advanced Policies (Geavanceerd beleid).
  4. Selecteer Default IPS Attack Settings (Standaardinstellingen IPS-aanval).
  5. Zoek het gewenste aanvalstype en stel dit in op Block (Blokkeren).

Wanneer de sensor in de detectiemodus staat en een mogelijke DoS-aanval detecteert, veranderen de BIN's die de mogelijke detectie van het problematische verkeer bevatten en geven ze een # (hekje) weer. De sensor reageert op het verkeer volgens de instellingen voor de specifieke aanval (blokkeren en waarschuwen of alleen waarschuwen).

Ernstigheidsgraad en drempelwaarde van DoS-preventie
De sensor past het profiel voortdurend aan om onterecht als verdacht aangeduide detecties voor kleine wijzigingen in het netwerkverkeer en gebeurtenissen die kunnen worden geïnterpreteerd als een DoS-aanval, te voorkomen. U kunt dit gedrag aanpassen op basis van de ernstigheidsgraad van een gedetecteerde aanval en de drempelwaarde zo nodig aanpassen.

De ernstigheidsgraad weergeven: 

  1. Open een opdrachtregelsessie voor de sensor.
  2. Typ de volgende opdracht en druk op Enter:

    show dospreventionseverity <pakkettype> <richting>

    OPMERKING: De technische ondersteuning raadt u aan de standaardniveaus voor de ernstigheidsgraad niet te wijzigen, tenzij u gedetailleerde kennis hebt van uw netwerk en u er zeker van bent dat de wijziging geen onterechte detectie van een DoS-aanval zal veroorzaken.
De drempelwaarde van een specifieke aanval wijzigen:
  1. Meld u aan bij de manager.
  2. Selecteer IPS Settings (IPS-instellingen). 
  3. Selecteer Advanced Policies (Geavanceerd beleid). 
  4. Selecteer Default IPS Attack Settings (Standaardinstellingen IPS-aanval).
  5. Selecteer het tabblad Threshold (Drempelwaarde) en bewerk de specifieke aanval die u wilt wijzigen.

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen

Beta Translate with

Select a desired language below to translate this page.