Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador
34-14
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
请注意,虽然本例中未显示,但如果在达到阈值
后因基于速率的标准而触发新操作,系统会生成
一个事件以指示操作变化。因此,例如,对于第 14 个数据包,如果达到极限阈值 10,系统停止
生成事件且操作更改为 Drop and Generate Events,系统会生成第十一个事件以指示操作变化。
生成事件且操作更改为 Drop and Generate Events,系统会生成第十一个事件以指示操作变化。
使用多种过滤方法进行基于速率的检测
许可证:保护
可能会出现
detection_filter
关键字、阈值或抑制功能和基于速率的标准都适用于同一流量这种
情况。为规则启用抑制功能后,系统会为指定 IP 地址抑制事件,即使发生基于速率的变化。
以下示例显示了尝试强行登录的攻击者,并描述了
detection_filter
关键字、基于速率的过滤和
阈值功能交互的情况。重复尝试查找密码会触发包括
detection_filter
关键字且计数设置为 5 的
规则。此规则还具有基于速率的攻击防御设置,如果在 15 秒内出现五次规则匹配,该设置会将
规则属性更改为 Drop and Generate Events 并保持 30 秒。此外,极限阈值会在 30 秒内将规则限为
10 个事件。
规则属性更改为 Drop and Generate Events 并保持 30 秒。此外,极限阈值会在 30 秒内将规则限为
10 个事件。
如图所示,与规则匹配的前五个数据包不会产生事件通知,因为在速率超过
detection_filter
关
键字所指示的速率之前规则不会触发。规则触发后,事件通知开始,但基于速率的标准在再通过
五个数据包之前不会触发新操作 Drop and Generate Events。如果符合基于速率的标准,系统会为
数据包 11 至 15 生成事件并丢弃数据包。第十五个数据包之后,已达到极限阈值,因此,对于剩
余的数据包,系统不会生成事件,但会丢弃数据包。
五个数据包之前不会触发新操作 Drop and Generate Events。如果符合基于速率的标准,系统会为
数据包 11 至 15 生成事件并丢弃数据包。第十五个数据包之后,已达到极限阈值,因此,对于剩
余的数据包,系统不会生成事件,但会丢弃数据包。
请注意,基于速率的超时后,数据包仍会在随后的基于速率的采样周期内丢弃。因为采样的速率
高于之前采样周期的阈值速率,新操作将会继续。
高于之前采样周期的阈值速率,新操作将会继续。