本文介绍 Network Security Platform 中的 DoS(拒绝服务)配置文件的学习和检测模式。
学习模式
当 Sensor 首次添加到网络中时,便会启动学习模式。标准学习模式通常需时 48 小时,之后,Sensor 将会进入检测模式,但仍会持续调整一段时间。
在学习模式期间,Sensor 会将流量归入 BIN 下。Sensor 按子网划分 BIN 中的流量,其中每个传感器最多有 128 个 BIN。 BIN 可能会引用一个大网段(例如 10.0.0.0/8 和 112.0.0.0/5),或者引用一个更具体的网段(例如 8.8.8.0/29)。
每个 BIN 包含描述特定协议流量的值。
要查看 BIN,请执行以下操作:
- 打开 Sensor 的命令行会话。
- 键入以下命令并按 Enter:
show dospreventionprofile <数据包类型> <方向>
例如:
show dospreventionprofile tcp-syn inbound
0: 0.0.0.0/2 AS=1.568% LT=25.000% ST=0.00% ltR=0.001 stR=0.000
1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
4: 96.0.0.0/5 AS=1.831% LT=3.125% ST=0.00% ltR=0.001 stR=0.000
5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
- AS(%) -- 此 BIN 所占的 IP 地址空间百分比
- LT(%) -- 归入此 BIN 的长期流量百分比
- ST(%) -- 归入此 BIN 的短期流量百分比
- ltRate -- 此 BIN 的长期平均流量速率(以数据包/秒为单位)
- StRate -- 此 BIN 的短期平均流量速率(以数据包/秒为单位)
检测模式
48 小时的学习模式结束后,Sensor 会自动进入检测模式。没有针对 DoS 的默认阻止;您可以在 Sensor 建立了可接受的网络配置文件后启用阻止。
要在 Network Security Manager 中启用 DoS 阻止,请执行以下操作:
- 登录 Manager。
- 从左窗格中选择 IPS Settings(IPS 设置)。
- 单击 Advanced Policies(高级策略)选项卡。
- 选择 Default IPS Attack Settings(默认的 IPS 攻击设置)。
- 找到您需要的攻击类型,然后将其设置为 Block(阻止)。
当 Sensor 处于检测模式并且检测到可能的 DoS 攻击时,包含可能的有问题流量检测项的 BIN 将会更改并显示 #(哈希)。 Sensor 会根据特定攻击的设置对流量执行操作(阻止并警报或仅警报)。
DoS 防护严重性和阈值
Sensor 会对配置文件进行持续调整,以防止发生可能会被解释为 DoS 攻击的小网络流量更改和事件的误报检测。您可以根据检测到攻击的严重性对此行为进行自定义,并根据需要调整阈值。
要查看严重性,请执行以下操作:
- 打开 Sensor 的命令行会话。
- 键入下面的命令,然后按 ENTER:
show dospreventionseverity <数据包类型> <方向>
注意:技术支持建议您:除非您深入了解您的网络并能够确保更改不会造成 DoS 攻击的误检,否则不要更改默认的严重性级别。
要修改特定攻击的阈值,请执行以下操作:
- 登录 Manager。
- 选择 IPS Settings(IPS 设置)。
- 选择 Advanced Policies(高级策略)。
- 选择 Default IPS Attack Settings(默认的 IPS 攻击设置)。
- 选择 Threshold(阈值)选项卡并编辑所要更改的特定攻击。