Cet article explique les modes de détection et d’apprentissage du profil DoS (déni de service) dans Network Security Platform.
Mode d’apprentissage
Le mode de formation démarre lorsque le Sensor est d’abord ajouté à un réseau. La période du mode de formation standard est généralement de 48 heures. Au terme de cette période, le Sensor entre mode de détection mais continue à s’ajuster continuellement au fil du temps.
Au cours de la période de mode d’apprentissage, le Sensor catalogue le trafic dans des chutiers. Le Sensor divise le trafic dans des chutiers par sous-réseau, avec un total de 128 bin par capteur. Les emplacements peuvent faire référence à un segment de réseau de grande taille, par exemple 10.0.0.0/8 et 112.0.0.0/5ou peut faire référence à un segment plus spécifique, par exemple 8.8.8.0/29.
Chaque emplacement contient des valeurs qui décrivent la quantité de trafic pour le protocole spécifique.
Pour afficher les emplacements :
- Ouvrez une session de ligne de commande pour la Sensor.
- Saisissez la commande suivante et appuyez sur ENTREE :
show dospreventionprofile <packet-type> <direction>
Par exemple :
show dospreventionprofile tcp-syn inbound
0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
- AS (%) : pourcentage de l’espace d’adresse IP occupé par cet emplacement
- LT (%)-pourcentage de trafic à long terme qui tombe dans cet emplacement
- ST (%)-pourcentage de trafic à court terme qui tombe dans cet emplacement
- ltRate--fréquence de trafic moyenne à long terme (en paquets par seconde) pour cet emplacement
- stRate--débit de trafic à court terme (en paquets par seconde) pour cet emplacement
Mode de détection
Après la période de mode d’apprentissage de 48 heures, le Sensor passe automatiquement en mode détection. Il n’existe aucun blocage par défaut pour les dénis de service ; vous pouvez activer le blocage une fois que le Sensor a établi un profil réseau acceptable.
Pour activer le blocage de déni de service dans le Network Security Manager :
- Connectez-vous à la Manager.
- Sélectionnez Paramètres IPS dans le volet de gauche.
- Cliquez sur le lien Stratégies avancées onglet.
- Sélectionnez Paramètres d’attaque IPS par défaut.
- Recherchez le type d’attaque souhaité, puis définissez-le sur Bloquer.
Lorsque le Sensor est en mode de détection et détecte une possible attaque par déni de service, les emplacements contenant la détection éventuelle du trafic incriminé changent et affichent une # (hachage). Le Sensor agit sur le trafic en fonction des paramètres de l’attaque spécifique (bloquer et alerte ou alerte uniquement).
Gravité et seuil de prévention des dénis de service
Le Sensor ajuste en permanence le profil afin d’éviter les détections de faux positifs pour les modifications du trafic réseau de petite taille et les événements susceptibles d’être interprétés comme une attaque de déni de service. Vous pouvez personnaliser ce comportement en fonction de la gravité d’une attaque détectée et ajuster le seuil comme il convient.
Pour afficher la gravité :
- Ouvrez une session de ligne de commande pour la Sensor.
- Saisissez la commande suivante et appuyez sur ENTREE :
show dospreventionseverity <packet-type> <direction>
REMARQUE : Support technique recommande de ne pas modifier les niveaux de gravité par défaut, à moins que vous n’ayez une connaissance approfondie de votre réseau et que vous puissiez vous assurer que la modification ne provoquera pas de fausse détection d’une attaque par déni de service.
Pour modifier le seuil d’une attaque spécifique, procédez comme suit :
- Connectez-vous à la Manager.
- Sélectionnez Paramètres IPS.
- Sélectionnez Stratégies avancées.
- Sélectionnez Paramètres d’attaque IPS par défaut.
- Sélectionnez le fichier Seuil Accédez à l’onglet et modifiez l’attaque spécifique que vous souhaitez modifier.