Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
34-13
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样
的速率高于当前或之前采样周期的阈值速率,新操作将会继续。新操作只会在采样周期结束后恢
复生成事件,在此情况下采样的速率低于阈值速率。
的速率高于当前或之前采样周期的阈值速率,新操作将会继续。新操作只会在采样周期结束后恢
复生成事件,在此情况下采样的速率低于阈值速率。
请注意,虽然本例中未显示,但如果在达到阈值
后因基于速率的标准而触发新操作,系统会生成
一个事件以指示操作变化。因此,例如,对于第 14 个数据包,如果达到极限阈值 10,系统停止
生成事件且操作从 Generate Events 更改为 Drop and Generate Events,系统会生成第十一个事件以
指示操作变化。
生成事件且操作从 Generate Events 更改为 Drop and Generate Events,系统会生成第十一个事件以
指示操作变化。
策略范围基于速率的检测和阈值或抑制
许可证:保护
通过,可以使用阈值和抑制功能来减少过多的事件,具体做法是,限制源或目标的事件通知数量
或者抑制该规则的所有通知。有关阈值和抑制功能的可用选项的详细信息,请参阅
或者抑制该规则的所有通知。有关阈值和抑制功能的可用选项的详细信息,请参阅
。
如果抑制功能应用于某一规则,系统会为所有适用的 IP 地址抑制该规则的事件通知,即使因策略
范围或规则特定基于速率的设置而发生速率操作变化。但是,阈值与基于速率的标准之间的交互
更加复杂。
范围或规则特定基于速率的设置而发生速率操作变化。但是,阈值与基于速率的标准之间的交互
更加复杂。
以下示例显示了尝试对网络中的主机进行拒绝服务 (DoS) 攻击的攻击者。许多来自相同源的同步
主机连接会触发策略范围的 Control Simultaneous Connections 设置。如果在 10 秒内一个源有五个
连接,设置会生成事件并丢弃恶意流量。此外,全局极限阈值会在 20 秒内将所有规则或设置可
生成的事件数量限制为 10。
主机连接会触发策略范围的 Control Simultaneous Connections 设置。如果在 10 秒内一个源有五个
连接,设置会生成事件并丢弃恶意流量。此外,全局极限阈值会在 20 秒内将所有规则或设置可
生成的事件数量限制为 10。
如图所示,策略范围的设置会为前十个匹配数据包生成事件并丢弃流量。第十个数据包之后,已
达到极限阈值,因此,对于剩余的数据包,不会生成事件,但会丢弃数据包。
达到极限阈值,因此,对于剩余的数据包,不会生成事件,但会丢弃数据包。
请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样
的速率高于当前或之前采样周期的阈值速率,生成事件和丢弃流量这两种基于速率的操作将会继
续。基于速率的操作只在采样周期结束后停止,在此情况下采样的速率低于阈值速率。
的速率高于当前或之前采样周期的阈值速率,生成事件和丢弃流量这两种基于速率的操作将会继
续。基于速率的操作只在采样周期结束后停止,在此情况下采样的速率低于阈值速率。