Loading...

Knowledge Center


Network Security Platform DoS 設定檔 - 學習與偵測模式
技術文章 ID:   KB71628
上次修改:  2018/1/5
已評分:


環境

McAfee Network Security Platform

摘要

本文說明 Network Security Platform 中 DoS (阻絕服務) 設定檔的學習與偵測模式。 

學習模式
當 Sensor 首次新增至網路時,學習模式便會開始。標準學習模式期間通常為 48 小時,在此之後 Sensor 會進入偵測模式,但將繼續連續調整一段時間。

學習模式期間,Sensor 會將流量歸類至 BIN 目錄中。Sensor 會依子網路劃分 BIN 中的流量,每個偵測器最多可達總數 128 個 BIN。 BIN 會參照大型網路區段,例如 10.0.0.0/8112.0.0.0/5,或參照更特定的區段,例如 8.8.8.0/29

每個 BIN 皆包含一些值,以說明特定通訊協定的流量數量。

若要檢視 BIN:

  1. 開啟 Sensor 的命令列工作階段。
  2. 鍵入下列命令並按 ENTER:

    show dospreventionprofile <封包類型> <方向>

    例如:

    show dospreventionprofile tcp-syn inbound 

      0: 0.0.0.0/2 AS=1.568% LT=25.000% ST=0.00% ltR=0.001 stR=0.000
      1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
      2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
      3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
      4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
      5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
      6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
  • AS(%) -- 此 BIN 佔用的 IP 位址空間百分比
  • LT(%) -- 歸類為此 BIN 的長期流量百分比
  • ST(%) -- 歸類為此 BIN 的短期流量百分比
  • ltRate -- 此 BIN 的長期流量平均速率 (單位為每秒鐘封包數)
  • stRate -- 此 BIN 的短期流量速率 (單位為每秒鐘封包數)

偵測模式
在 48 小時的學習模式後,Sensor 會自動進入偵測模式。預設不會封鎖 DoS;您可以在 Sensor 建立可接受的網路設定檔後啟用封鎖。

若要在 Network Security Manager 中啟用 DoS 封鎖:
  1. 登入 Manager。
  2. 選取左窗格中的 IPS Settings (IPS 設定)。
  3. 按一下 Advanced Policies (進階原則) 標籤。
  4. 選取 Default IPS Attack Settings (預設 IPS 攻擊設定)。
  5. 找到您要的攻擊類型,並將它設定為 Block (封鎖)。

當 Sensor 為偵測模式,且偵測到可能的 DoS 攻擊時,包含可能偵測到攻擊性流量的 BIN 將會變更並顯示 # (雜湊演算法)。 Sensor 將會根據特定攻擊的設定對流量採取動作 (封鎖與警示或僅警示)。

DoS 防禦嚴重性與閾值
Sensor 會持續調整設定檔,以防止發生將偵測到的小幅網路流量變更誤判解讀成 DoS 攻擊。您可以根據所偵測到攻擊的嚴重性自訂此行為,並視需要調整閾值。

若要檢視嚴重性:

  1. 開啟 Sensor 的命令列工作階段。
  2. 鍵入下列命令並按 ENTER:

    show dospreventionseverity <封包類型> <方向>

    附註:技術支援建議不要變更預設的嚴重性層級,除非您已深入瞭解您的網路,並確定變更不會造成錯誤偵測 DoS 攻擊。
若要修改特定攻擊的閾值:
  1. 登入 Manager。
  2. 選取 IPS Settings (IPS 設定)。
  3. 選取 Advanced Policies (進階原則)。
  4. 選取 Default IPS Attack Settings (預設 IPS 攻擊設定)。
  5. 選取 Threshold (閾值) 標籤,然後編輯您要變更的特定攻擊。

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分

Beta Translate with

Select a desired language below to translate this page.