Cisco Cisco Firepower Management Center 2000 User Guide

34-9

FireSIGHT 系统用户指南 

第 34 章      检测特定威胁 

  防御基于速率的攻击  

在流向特定目标 IP 地址或来自特定源 IP 地址的流量中规则匹配过多。

要配置基于源或目标的动态规则状态，请参阅

所有流量中某个特定规则的匹配过多。

要配置基于规则的动态规则状态，请参阅

。

在网络分析策略中，您可以为整个策略配置 SYN 泛洪或 TCP/IP 连接泛洪检测；在入侵策略中，
您可以设置各个入侵或预处理器规则的基于速率的过滤器。请注意，手动向规则 135:1 和 135:2 
添加基于速率的过滤器是无效的。 GID:135 的规则使用客户端作为源值，使用服务器作为目标
值。有关详细信息，请参阅

。

每个基于速率的过滤器都包含下列几个组成部分：

网络地址名称 （适用于整个策略或基于规则的源或目标设置）

规则的匹配速率，配置为特定秒数内的规则匹配项数量

超过该速率时要执行的新操作

为整个策略设定基于速率的设置时，系统会在其检测到基于速率的攻击时生成事件，或者也
可以在内联部署中丢弃流量。为具体规则设置基于速率的操作时，有三个可用的操作：
Generate Events、 Drop and Generate Event 和 Disable。

操作的持续时间，配置为超时值

请注意，新操作自开始之后，在到达超时时间之前会一直执行，即使速率在这段时间内降到配置
的速率以下亦不会停止。当超时周期结束后，如果速率低于阈值，则规则的操作会恢复到最初为
该规则配置的操作。对于策略范围的设置，操作会恢复到流量匹配的每个规则的操作；如果不匹
配任何规则，操作会停止。

在内联部署中，可以将基于速率的攻击防御临时或永久配置为拦截攻击。在没有基于速率的配置
的情况下，设置为 Generate Events 的规则会创建事件，但系统不会丢弃这些规则的数据包。但
是，如果攻击流量所匹配的规则配置了基于速率的条件，则基于速率的操作可能会导致系统在该
操作处于活动状态的时间内丢弃数据包，即便这些规则最初并未设置为 Drop and Generate 
Events。

注

基于速率的操作无法启用禁用的规则，也无法丢弃与禁用的规则匹配的流量。但是，如果在策略
级别设置基于速率的过滤器，则可以在指定时段内生成事件或生成事件并丢弃包含过多 SYN 数
据包或 SYN/ACK 交互的流量。

可以对同一规则定义多个基于速率的过滤器。入侵策略中列出的第一个过滤器优先级最高。请注
意，当两个基于速率的过滤器操作相冲突时，系统会实施第一个基于速率的过滤器的操作。同
样，如果对整个策略设置的基于速率的过滤器与对具体规则设置的基于速率的过滤器相冲突，前
者优先。

下图显示的例子中，攻击者正在尝试访问主机。反复尝试查找密码触发了配置有基于速率的攻击
防御的规则。当在 10 秒的时间跨度内发生五次规则匹配之后，基于速率的设置会将规则属性更
改为 Drop and Generate Events。新的规则属性在 15 秒之后超时。

请注意，到达超时时间后，在接下来的基于速率的采样周期内，系统仍然丢弃数据包。如果采样
速率高于当前或前一个采样周期的阈值，新操作将继续。只有在采样周期完毕而采样速率低于阈
值速率之后，新操作才会恢复为生成事件。