Loading...

知识中心


Network Security Platform DoS 配置文件 - 学习和检测模式
技术文章 ID:   KB71628
上次修改时间:  2018/01/5
已评级:


环境

McAfee Network Security Platform

摘要

本文介绍 Network Security Platform 中的 DoS(拒绝服务)配置文件的学习和检测模式。 

学习模式
当 Sensor 首次添加到网络中时,便会启动学习模式。标准学习模式通常需时 48 小时,之后,Sensor 将会进入检测模式,但仍会持续调整一段时间。

在学习模式期间,Sensor 会将流量归入 BIN 下。Sensor 按子网划分 BIN 中的流量,其中每个传感器最多有 128 个 BIN。 BIN 可能会引用一个大网段(例如 10.0.0.0/8112.0.0.0/5),或者引用一个更具体的网段(例如 8.8.8.0/29)。

每个 BIN 包含描述特定协议流量的值。

要查看 BIN,请执行以下操作:

  1. 打开 Sensor 的命令行会话。
  2. 键入以下命令并按 Enter:

    show dospreventionprofile <数据包类型> <方向>

    例如:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=1.568% LT=25.000% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=1.831% LT=3.125% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%) -- 此 BIN 所占的 IP 地址空间百分比
  • LT(%) -- 归入此 BIN 的长期流量百分比
  • ST(%) -- 归入此 BIN 的短期流量百分比
  • ltRate -- 此 BIN 的长期平均流量速率(以数据包/秒为单位)
  • StRate -- 此 BIN 的短期平均流量速率(以数据包/秒为单位)

检测模式
48 小时的学习模式结束后,Sensor 会自动进入检测模式。没有针对 DoS 的默认阻止;您可以在 Sensor 建立了可接受的网络配置文件后启用阻止。

要在 Network Security Manager 中启用 DoS 阻止,请执行以下操作:
  1. 登录 Manager。
  2. 从左窗格中选择 IPS Settings(IPS 设置)。
  3. 单击 Advanced Policies(高级策略)选项卡。
  4. 选择 Default IPS Attack Settings(默认的 IPS 攻击设置)。
  5. 找到您需要的攻击类型,然后将其设置为 Block(阻止)。

当 Sensor 处于检测模式并且检测到可能的 DoS 攻击时,包含可能的有问题流量检测项的 BIN 将会更改并显示 #(哈希)。 Sensor 会根据特定攻击的设置对流量执行操作(阻止并警报或仅警报)。

DoS 防护严重性和阈值
Sensor 会对配置文件进行持续调整,以防止发生可能会被解释为 DoS 攻击的小网络流量更改和事件的误报检测。您可以根据检测到攻击的严重性对此行为进行自定义,并根据需要调整阈值。

要查看严重性,请执行以下操作:

  1. 打开 Sensor 的命令行会话。
  2. 键入下面的命令,然后按 ENTER:

    show dospreventionseverity <数据包类型> <方向>

    注意:技术支持建议您:除非您深入了解您的网络并能够确保更改不会造成 DoS 攻击的误检,否则不要更改默认的严重性级别。
要修改特定攻击的阈值,请执行以下操作:
  1. 登录 Manager。
  2. 选择 IPS Settings(IPS 设置)。
  3. 选择 Advanced Policies(高级策略)。
  4. 选择 Default IPS Attack Settings(默认的 IPS 攻击设置)。
  5. 选择 Threshold(阈值)选项卡并编辑所要更改的特定攻击。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级