Loading...

Perfil de DoS do Network Security Platform - modos de aprendizagem e detecção
Artigos técnicos ID:   KB71628
Última modificação:  05/01/2018
Classificação:


Ambiente

McAfee Network Security Platform

Resumo

Este artigo explica os modos de aprendizagem e detecção para o perfil de DoS (Denial of Service - Negação de serviço) no Network Security Platform. 

Modo de aprendizagem
O modo de aprendizagem se inicia quando o Sensor é adicionado pela primeira vez a uma rede. Normalmente, o período padrão do modo de aprendizagem é de 48 horas. Passado esse período, o Sensor entra no modo de detecção, ajustando-se continuamente ao longo do tempo.

Durante o período do modo de aprendizagem, o Sensor cataloga o tráfego em BINs. O Sensor divide o tráfego em BINs por sub-rede, até um total de 128 BINs por sensor. Os BINs podem fazer referência a um amplo segmento de rede, como 10.0.0.0/8 e 112.0.0.0/5, ou a um segmento mais específico, como 8.8.8.0/29.

Cada BIN conterá valores que descrevem o volume de tráfego para o protocolo específico.

Para exibir os BINs:

  1. Abra uma sessão de linha de comando para o Sensor.
  2. Digite o seguinte comando e pressione ENTER:

    show dospreventionprofile <tipo-de-pacote> <direção>

    Por exemplo:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%) – porcentagem de espaço do endereço IP que esse BIN ocupa
  • LT(%) - porcentagem do tráfego de longo prazo que incorre nesse BIN
  • ST(%) - porcentagem do tráfego de curto prazo que incorre nesse BIN
  • ltRate - taxa média do tráfego de longo prazo (em pacotes por segundo) para esse BIN
  • stRate - taxa do tráfego de curto prazo (em pacotes por segundo) para esse BIN

Modo de detecção
Após o período de 48 horas do modo de aprendizagem, o Sensor entra automaticamente no Modo de detecção. Não há bloqueio padrão para DoS; você pode ativar o bloqueio depois que o Sensor tiver estabelecido um perfil de rede aceitável.

Para ativar o bloqueio de DoS no Network Security Manager:
  1. Entre no Manager.
  2. Selecione IPS Settings (Configurações do IPS) no painel esquerdo.
  3. Clique na guia Advanced Policies (Políticas avançadas).
  4. Selecione Default IPS Attack Settings (Configurações de ataque IPS padrão).
  5. Localize o tipo de ataque desejado e defina-o como Block (Bloquear).

Quando o Sensor estiver no modo de detecção e detectar um possível ataque de DoS, os BINs que contiverem a possível detecção do tráfego infrator mudarão e exibirão um # (hash). O Sensor atuará no tráfego com base nas configurações do ataque específico (bloqueio e alerta ou apenas alerta).

Gravidade e limite da prevenção de DoS
O Sensor ajusta o perfil constantemente a fim de evitar detecções de falso positivo para pequenas mudanças no tráfego da rede e eventos que possam ser interpretados como um ataque de DoS. Você pode personalizar esse comportamento com base na gravidade de um ataque detectado e ajustar o limite conforme a necessidade.

Para exibir a gravidade: 

  1. Abra uma sessão de linha de comando para o Sensor.
  2. Digite o seguinte comando e pressione ENTER:

    show dospreventionseverity <tipo-de-pacote> <direção>

    NOTA: o Suporte técnico recomenda não alterar os níveis padrão de gravidade, a menos que você tenha profundo conhecimento da sua rede e possa garantir que a alteração não causará uma detecção falsa de um ataque de DoS.
Para modificar o limite de um ataque específico:
  1. Entre no Manager.
  2. Selecione IPS Settings (Configurações do IPS). 
  3. Selecione Advanced Policies (Políticas avançadas). 
  4. Selecione Default IPS Attack Settings (Configurações de ataque IPS padrão).
  5. Selecione a guia Threshold (Limite) e edite o ataque específico que deseja alterar.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento