Cisco Cisco Firepower Management Center 4000 User Guide
34-12
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
请注意,虽然示例未进行描述,但可以将 Drop and Generate Events 规则状态与
detection_filter
关键字结合使用,以在规则的匹配速率达到指定速率时开始丢弃流量。确定是否为规则配置基于
速率的设置时,请考虑将规则设置为 Drop and Generate Events 和包含
速率的设置时,请考虑将规则设置为 Drop and Generate Events 和包含
detection_filter
关键字是
否会获得相同的结果,或者是否要在入侵策略中管理速率和超时设置。有关详细信息,请参阅
动态规则状态和阈值或抑制
许可证:保护
可以使用阈值和抑制功能来减少过多的事件,具体做法是,限制某一规则的事件通知数量或抑制
该规则的所有通知。有关阈值和抑制功能的可用选项的详细信息,请参阅
该规则的所有通知。有关阈值和抑制功能的可用选项的详细信息,请参阅
如果将抑制功能应用于某一规则,系统会为所有适用的 IP 地址抑制该规则的事件通知,即使基于
速率的操作发生变化。但是,阈值与基于速率的标准之间的交互更加复杂。
速率的操作发生变化。但是,阈值与基于速率的标准之间的交互更加复杂。
以下示例显示了尝试强行登录的攻击者。重复尝试查找密码会触发已配置基于速率的攻击防御的
规则。如果在 10 秒内出现五次规则攻击,基于速率的设置会将规则属性更改为 Drop and Generate
Events 并保持 15 秒。此外,极限阈值会在 23 秒内将规则可生成的事件数量限制为 10。
规则。如果在 10 秒内出现五次规则攻击,基于速率的设置会将规则属性更改为 Drop and Generate
Events 并保持 15 秒。此外,极限阈值会在 23 秒内将规则可生成的事件数量限制为 10。
如图所示,规则为前五个匹配数据包生成事件。五个数据包之后,基于速率的标准会触发新操作
Drop and Generate Events,对于接下来的五个数据包,规则会生成事件且系统会丢弃数据包。第十个
数据包之后,已达到极限阈值,因此,对于剩余的数据包,系统不会生成事件,但会丢弃数据包。
Drop and Generate Events,对于接下来的五个数据包,规则会生成事件且系统会丢弃数据包。第十个
数据包之后,已达到极限阈值,因此,对于剩余的数据包,系统不会生成事件,但会丢弃数据包。