이 문서에서는 Network Security Platform의 DoS(서비스 거부) 프로파일에 대한 학습 및 탐지 모드에 대해 설명합니다.
학습 모드
학습 모드는 Sensor가 네트워크에 처음 추가될 때 시작됩니다. 표준 학습 모드 기간은 일반적으로 48시간이며 48시간이 지나면 Sensor가 탐지 모드로 들어가지만 시간이 지나면서 지속적으로 조정됩니다.
학습 모드 기간 동안에는 Sensor가 트래픽을 BIN으로 분류합니다. Sensor는 서브넷을 기준으로 트래픽을 BIN(Sensor당 총 128개 BIN)으로 나눕니다. BIN은 10.0.0.0/8 및 112.0.0.0/5와 같은 큰 네트워크 세그먼트를 참조하거나 8.8.8.0/29와 같은 더 구체적인 세그먼트를 참조할 수 있습니다.
각 BIN에는 특정 프로토콜에 대한 트래픽의 양을 설명하는 값이 포함됩니다.
BIN을 보려면 다음을 수행합니다.
- Sensor에 대한 명령줄 세션을 엽니다.
- 다음 명령을 입력하고 Enter 키를 누릅니다.
show dospreventionprofile <패킷 유형> <방향>
예를 들면 다음과 같습니다.
show dospreventionprofile tcp-syn inbound
0: 0.0.0.0/2 AS=1.568% LT=25.000% ST=0.00% ltR=0.001 stR=0.000
1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
- AS(%) -- 이 BIN이 차지하는 IP 주소 공간의 백분율
- LT(%) -- 이 BIN에 속하는 장기 트래픽의 백분율
- ST(%) -- 이 BIN에 속하는 단기 트래픽의 백분율
- ltRate -- 이 BIN에 대한 장기 평균 트래픽 속도(초당 패킷 단위)
- stRate -- 이 BIN에 대한 단기 평균 트래픽 속도(초당 패킷 단위)
탐지 모드
48시간이 지나면 Sensor가 자동으로 탐지 모드로 들어갑니다. DoS에 대한 기본 차단이 없습니다. Sensor가 허용 가능한 네트워크 프로파일을 설정한 후 차단을 활성화할 수 있습니다.
Network Security Manager에서 DoS 차단을 활성화하려면 다음을 수행합니다.
- Manager에 로그온합니다.
- 왼쪽 창에서 IPS Settings(IPS 설정)를 선택합니다.
- Advanced Policies(고급 정책) 탭을 클릭합니다.
- Default IPS Attack Settings(기본 IPS 공격 설정)을 선택합니다.
- 원하는 공격 유형을 찾은 다음 Block(차단)으로 설정합니다.
Sensor가 탐지 모드에 있고 가능한 DoS 공격을 탐지하면 위반 트래픽에 대한 탐지가 포함된 BIN이 변경되고 #(해시)가 표시됩니다. 특정 공격에 대한 설정에 따라 Sensor가 트래픽에 대해 조치(차단 및 경보 또는 경보만)를 취합니다.
DoS 방지 심각도 및 임계값
Sensor는 DoS 공격으로 해석될 수 있는 사소한 네트워크 트래픽 변경 및 이벤트에 대한 잘못된 긍정 탐지를 방지하기 위해 지속적으로 프로파일을 조정합니다. 탐지된 공격의 심각도에 따라 이 동작을 사용자 지정하고 필요에 따라 임계값을 조정할 수 있습니다.
심각도를 보려면 다음을 수행합니다.
- Sensor에 대한 명령줄 세션을 엽니다.
- 다음 명령을 입력하고 Enter 키를 누릅니다.
show dospreventionseverity <packet-type> <direction>
참고: 네트워크에 대한 심층적인 지식을 보유하고 있으며 변경으로 인해 DoS 공격에 대한 잘못된 탐지가 발생하지 않는다는 확신이 있는 경우가 아니면 기본 심각도 수준을 변경하지 않는 것이 좋습니다.
특정 공격의 임계값을 수정하려면 다음을 수행합니다.
- Manager에 로그온합니다.
- IPS Settings(IPS 설정)를 선택합니다.
- Advanced Policies(고급 정책)를 선택합니다.
- Default IPS Attack Settings(기본 IPS 공격 설정)를 선택합니다.
- Threshold(임계값) 탭을 선택하고 변경할 특정 공격을 편집합니다.