In questo articolo vengono illustrate le modalità di apprendimento e rilevamento per il profilo DoS (Denial of Service) nella piattaforma di sicurezza di rete.
Modalità di apprendimento
La modalità di apprendimento viene avviata quando il Sensor viene prima aggiunto a una rete. Il periodo della modalità di apprendimento standard è solitamente di 48 ore. Dopo tale data, il Sensor entra modalità di rilevamento ma continua a regolare continuamente nel tempo.
Durante il periodo della modalità di apprendimento, il Sensor cataloga il traffico nelle collocazioni. Il Sensor divide il traffico nelle pattumiere per sottorete, fino a un totale di 128 contenitori per sensore. Le collocazioni potrebbero fare riferimento a un segmento di rete di grandi dimensioni come 10.0.0.0/8 e 112.0.0.0/5o potrebbe fare riferimento a un segmento più specifico, ad esempio 8.8.8.0/29.
Ciascuna COLLOCAzione contiene valori che descrivono la quantità di traffico per il protocollo specifico.
Per visualizzare le collocazioni:
- Aprire una sessione della riga di comando alla Sensor.
- Digitare il comando seguente e premere INVIO:
show dospreventionprofile <packet-type> <direction>
Ad esempio:
show dospreventionprofile tcp-syn inbound
0: 0.0.0.0/2 AS=25.000% LT=1.568% ST=0.00% ltR=0.001 stR=0.000
1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
- AS (%)--percentuale dello spazio dell'indirizzo IP occupato da questa COLLOCAzione
- LT (%)--percentuale di traffico a lungo termine che rientra in questa COLLOCAzione
- ST (%)--percentuale di traffico a breve termine che rientra in questa COLLOCAzione
- ltRate--tasso di traffico medio a lungo termine (in pacchetti al secondo) per questa COLLOCAzione
- stRate--tasso di traffico a breve termine (in pacchetti al secondo) per questa COLLOCAzione
Modalità di rilevamento
Al termine della modalità di apprendimento di 48 ore, il Sensor entra automaticamente in modalità di rilevamento. Nessun blocco predefinito per DoS; è possibile attivare il blocco dopo che il Sensor ha stabilito un profilo di rete accettabile.
Per attivare il blocco DoS nella Network Security Manager:
- Accedere al Manager.
- Seleziona Impostazioni IPS dal riquadro a sinistra.
- Fare clic sul pulsante Policy avanzate scheda.
- Seleziona Impostazioni di attacco IPS predefinite.
- Individuare il tipo di attacco desiderato e impostarlo su Blocca.
Quando il Sensor è in modalità di rilevamento e rileva un possibile attacco DoS, le collocazioni che contengono l'eventuale rilevamento del traffico incriminato cambiano e visualizzano un # (hash). Il Sensor agisce sul traffico in base alle impostazioni relative all'attacco specifico (blocco e avviso o solo avviso).
Gravità e soglia di prevenzione DoS
Il Sensor regola costantemente il profilo per impedire rilevamenti falsi positivi per le piccole modifiche del traffico di rete e gli eventi che potrebbero essere interpretati come DoS attacco. È possibile personalizzare questo comportamento in base alla gravità di un attacco rilevato e regolare la soglia secondo necessità.
Per visualizzare la gravità:
- Aprire una sessione della riga di comando alla Sensor.
- Digitare il comando seguente e premere INVIO:
show dospreventionseverity <packet-type> <direction>
NOTA: Assistenza tecnica consiglia di non modificare i livelli di gravità predefiniti a meno che non si disponga di una conoscenza approfondita della rete e si possa garantire che la modifica non provochi un falso rilevamento di un attacco DoS.
Per modificare la soglia di un attacco specifico:
- Accedere al Manager.
- Seleziona Impostazioni IPS.
- Seleziona Policy avanzate.
- Seleziona Impostazioni di attacco IPS predefinite.
- Selezionare il Soglia e modificare l'attacco specifico che si desidera modificare.