Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
13-26
Cisco ASA Series 명령 참조 , S 명령
13장 show tcpstat through show traffic 명령
show threat-detection statistics host
null-ses
30초 시간 제한 이내에 완료되지 않은 TCP SYN 세션 및 세션이 시작된 후
3초 이내에 해당 서버에서 데이터가 전송되지 않은 UDP 세션인 null 세션
수를 표시합니다.
3초 이내에 해당 서버에서 데이터가 전송되지 않은 UDP 세션인 null 세션
수를 표시합니다.
bad-acc
닫힌 상태의 호스트 포트에 대한 잘못된 액세스 시도 횟수를 표시합니다. 포
트가 null 세션(위 참고)에 있는 것으로 확인된 경우에는 호스트의 포트 상
태가 HOST_PORT_CLOSE로 설정됩니다. 이 호스트의 포트에 액세스하는
모든 클라이언트는 시간 제한을 대기할 필요 없이 잘못된 액세스로 즉시 분
류됩니다.
트가 null 세션(위 참고)에 있는 것으로 확인된 경우에는 호스트의 포트 상
태가 HOST_PORT_CLOSE로 설정됩니다. 이 호스트의 포트에 액세스하는
모든 클라이언트는 시간 제한을 대기할 필요 없이 잘못된 액세스로 즉시 분
류됩니다.
Average(eps)
각 기간 동안의 평균 비율(이벤트/초)을 표시합니다.
보안 어플라이언스는 총 30번의 완료된 버스트 간격에 대해 각 버스트 기간
이 끝날 때마다 개수를 저장합니다. 현재 발생 중인 완료되지 않은 버스트
간격은 평균 비율에 포함되지 않습니다. 예를 들어 평균 비율 간격이 20분
인 경우 버스트 간격은 20초입니다. 마지막 버스트 간격이 3:00:00~3:00:20
인 경우 3:00:25에 show 명령을 사용하면 마지막 5초만 출력에 포함되지 않
습니다.
이 끝날 때마다 개수를 저장합니다. 현재 발생 중인 완료되지 않은 버스트
간격은 평균 비율에 포함되지 않습니다. 예를 들어 평균 비율 간격이 20분
인 경우 버스트 간격은 20초입니다. 마지막 버스트 간격이 3:00:00~3:00:20
인 경우 3:00:25에 show 명령을 사용하면 마지막 5초만 출력에 포함되지 않
습니다.
이 규칙의 유일한 예외는 총 이벤트를 계산할 때 완료되지 않은 버스트 간
격의 이벤트 수가 가장 오래된 버스트 간격(1/30)의 이벤트 수를 이미 초과
한 경우입니다. 이 경우 ASA는 나머지 29번의 완료 간격에 대한 총 이벤트
와 완료되지 않은 버스트 간격에서 현재까지의 이벤트를 합산합니다. 이러
한 예외를 통해 이벤트 급증을 실시간으로 모니터링할 수 있습니다.
격의 이벤트 수가 가장 오래된 버스트 간격(1/30)의 이벤트 수를 이미 초과
한 경우입니다. 이 경우 ASA는 나머지 29번의 완료 간격에 대한 총 이벤트
와 완료되지 않은 버스트 간격에서 현재까지의 이벤트를 합산합니다. 이러
한 예외를 통해 이벤트 급증을 실시간으로 모니터링할 수 있습니다.
Current(eps)
마지막으로 완료된 버스트 간격(평균 비율 간격의 1/30과 10초 중 큰 값)에
서의 현재 버스트 비율(이벤트/초)을 표시합니다. Average(eps) 설명에 지정
된 예의 경우 현재 비율은 3:19:30에서 3:20:00까지의 비율입니다.
서의 현재 버스트 비율(이벤트/초)을 표시합니다. Average(eps) 설명에 지정
된 예의 경우 현재 비율은 3:19:30에서 3:20:00까지의 비율입니다.
Trigger
삭제된 패킷 비율 제한을 초과한 횟수를 표시합니다. 보내고 받은 바이트 및
패킷 행에 식별된 유효한 트래픽의 경우 유효한 트래픽에 대해 트리거되는
비율 제한이 없기 때문에 이 값은 항상 0입니다.
패킷 행에 식별된 유효한 트래픽의 경우 유효한 트래픽에 대해 트리거되는
비율 제한이 없기 때문에 이 값은 항상 0입니다.
Total events
각 비율 간격 동안의 총 이벤트 수를 표시합니다. 현재 발생 중인 완료되지
않은 버스트 간격은 총 이벤트에 포함되지 않습니다. 이 규칙의 유일한 예
외는 총 이벤트를 계산할 때 완료되지 않은 버스트 간격의 이벤트 수가 가
장 오래된 버스트 간격(1/30)의 이벤트 수를 이미 초과한 경우입니다. 이 경
우 ASA는 나머지 29번의 완료 간격에 대한 총 이벤트와 완료되지 않은 버
스트 간격에서 현재까지의 이벤트를 합산합니다. 이러한 예외를 통해 이벤
트 급증을 실시간으로 모니터링할 수 있습니다.
않은 버스트 간격은 총 이벤트에 포함되지 않습니다. 이 규칙의 유일한 예
외는 총 이벤트를 계산할 때 완료되지 않은 버스트 간격의 이벤트 수가 가
장 오래된 버스트 간격(1/30)의 이벤트 수를 이미 초과한 경우입니다. 이 경
우 ASA는 나머지 29번의 완료 간격에 대한 총 이벤트와 완료되지 않은 버
스트 간격에서 현재까지의 이벤트를 합산합니다. 이러한 예외를 통해 이벤
트 급증을 실시간으로 모니터링할 수 있습니다.
20-min, 1-hour,
8-hour 및 24-hour
8-hour 및 24-hour
기본적으로 세 가지 비율 간격이 표시됩니다. threat-detection statistics
host number-of-rate
명령을 사용하여 비율 간격 수를 줄일 수 있습니다. 호
스트 통계는 많은 메모리를 사용하기 때문에 비율 간격 수를 기본값 3에서
줄이면 메모리 사용량이 줄어듭니다. 이 키워드를 1로 설정하면 가장 짧은
비율 간격 통계가 유지됩니다. 이 값을 2로 설정하면 두 개의 가장 짧은 간
격이 유지됩니다.
줄이면 메모리 사용량이 줄어듭니다. 이 키워드를 1로 설정하면 가장 짧은
비율 간격 통계가 유지됩니다. 이 값을 2로 설정하면 두 개의 가장 짧은 간
격이 유지됩니다.
Sent byte
호스트에서 성공적으로 전송한 바이트 수를 표시합니다.
Sent pkts
호스트에서 성공적으로 전송한 패킷 수를 표시합니다.
Sent drop
호스트에서 전송한 패킷 중 스캔 공격에 포함되었기 때문에 삭제된 패킷 수
를 표시합니다.
를 표시합니다.
Recv byte
호스트에서 성공적으로 수신한 바이트 수를 표시합니다.
표
13-2
show threat-detection statistics host
필드
(
계속
)
필드
설명