Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
34-13
FireSIGHT 系统用户指南 
 
 34       检测特定威胁 
  防御基于速率的攻击  
请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样
的速率高于当前或之前采样周期的阈值速率,新操作将会继续。新操作只会在采样周期结束后恢
复生成事件,在此情况下采样的速率低于阈值速率。
请注意,虽然本例中未显示,但如果在达到阈值
后因基于速率的标准而触发新操作,系统会生成
一个事件以指示操作变化。因此,例如,对于第 14 个数据包,如果达到极限阈值 10,系统停止
生成事件且操作从 Generate Events 更改为 Drop and Generate Events,系统会生成第十一个事件以
指示操作变化。
策略范围基于速率的检测和阈值或抑制
许可证:保护
通过,可以使用阈值和抑制功能来减少过多的事件,具体做法是,限制源或目标的事件通知数量
或者抑制该规则的所有通知。有关阈值和抑制功能的可用选项的详细信息,请参阅
如果抑制功能应用于某一规则,系统会为所有适用的 IP 地址抑制该规则的事件通知,即使因策略
范围或规则特定基于速率的设置而发生速率操作变化。但是,阈值与基于速率的标准之间的交互
更加复杂。
以下示例显示了尝试对网络中的主机进行拒绝服务 (DoS) 攻击的攻击者。许多来自相同源的同步
主机连接会触发策略范围的 Control Simultaneous Connections 设置。如果在 10 秒内一个源有五个
连接,设置会生成事件并丢弃恶意流量。此外,全局极限阈值会在 20 秒内将所有规则或设置可
生成的事件数量限制为 10。
如图所示,策略范围的设置会为前十个匹配数据包生成事件并丢弃流量。第十个数据包之后,已
达到极限阈值,因此,对于剩余的数据包,不会生成事件,但会丢弃数据包。
请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样
的速率高于当前或之前采样周期的阈值速率,生成事件和丢弃流量这两种基于速率的操作将会继
续。基于速率的操作只在采样周期结束后停止,在此情况下采样的速率低于阈值速率。