Cisco Cisco Firepower Management Center 2000 User Guide
34-8
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
防御基于速率的攻击
许可证:保护
基于速率的攻击是取决于连接频率或攻击实施重复次数的攻击。可以使用基于速率的检测标准检
测发生的基于速率的攻击,采取应对措施,在攻击停止后返回到常规检测设置。有关配置基于速
率的检测的详细信息,请参阅以下主题:
测发生的基于速率的攻击,采取应对措施,在攻击停止后返回到常规检测设置。有关配置基于速
率的检测的详细信息,请参阅以下主题:
•
•
•
•
•
了解基于速率的攻击防御
许可证:保护
可以将网络分析策略配置为包括基于速率的过滤器,这种过滤器可检测针对网络中主机的过多活
动。可以在内联模式下部署的受管设备上使用此功能,以在指定时间内阻止基于速率的攻击,然
后恢复为仅生成事件而不丢弃流量。
动。可以在内联模式下部署的受管设备上使用此功能,以在指定时间内阻止基于速率的攻击,然
后恢复为仅生成事件而不丢弃流量。
基于速率的攻击防御可确定异常流量模式,并可将这些流量对合法请求的影响降至最低。基于速
率的攻击通常具有以下其中一种特征:
率的攻击通常具有以下其中一种特征:
•
任何包含与网络主机之间过多不完整连接的流量,表示 SYN 泛洪攻击
要配置 SYN 攻击检测,请参阅
•
任何包含与网络主机之间过多完整连接的流量,表示 TCP/IP 泛洪攻击
要配置同步连接检测,请参阅
。
IP Count
与被扫描主机联系的 IP 地址变化的次数。例如,如果第一个 IP 地址是
10.1.1.1,第二个 IP 是 10.1.1.2,第三 IP 是 10.1.1.1,那么 IP 计数为 3。
10.1.1.1,第二个 IP 是 10.1.1.2,第三 IP 是 10.1.1.1,那么 IP 计数为 3。
此数字对于活跃的主机 (例如代理和 DNS 服务器)而言不太准确。
Scanner/Scanned
IP Range
IP Range
被扫描主机或扫描主机的 IP 地址范围,具体取决于扫描类型。对于端口清
扫,此字段显示被扫描主机的 IP 范围。对于端口扫描,此字段显示扫描主机
的 IP 范围。
扫,此字段显示被扫描主机的 IP 范围。对于端口扫描,此字段显示扫描主机
的 IP 范围。
Port/Proto Count
对于 TCP 和 UDP 端口扫描,是指正被扫描的端口变化的次数。例如,如果
扫描的第一个端口是 80,扫描的第二个端口是 8080,扫描的第三个端口又是
80,那么端口计数为 3。
扫描的第一个端口是 80,扫描的第二个端口是 8080,扫描的第三个端口又是
80,那么端口计数为 3。
对于 IP 协议端口扫描,是指正用于连接至被扫描主机的协议变化的次数。
Port/Proto Range
对于 TCP 和 UDP 端口扫描,是指被扫描端口的范围。
对于 IP 协议端口扫描,是指已用于尝试连接至扫描的主机的 IP 协议号的范围。
Open Ports
在被扫描主机上打开的 TCP 端口。此字段仅在端口扫描检测到一个或多个开
放端口时显示。
放端口时显示。
表
34-6
端口扫描数据包视图 (续)
信息
说明