Network Security Platform 7.0 IPS Administration Guide - McAfee

More documents

Recommendations

Info

7 拒绝服务由 Network Security Platform 处理的 DoS 攻击的类型 • TCP • TCP SYN 和 FIN:此类攻击产生的原因是向目标主机发送大量 TCP SYN(SYN 洪水)或 FIN 数据包,但不对目标主机返回的数据包做出响应。这将填补目标主机所使用的数据结构,用来跟踪待处理的连接。待处理连接最终将超时,并释放数据结构中的空间。但是,攻击者可以通过发送更多的 SYN 或 FIN 数据包创造永久的 DoS 条件。 • TCP RST:此类攻击基于大量 TCP RST 网段。初始 TCP RST数据包可以关闭主机和服务器之间的合法连接。攻击者可以监听并模拟网络中的 RST 序列号,然后发送恶意的 TCP RST。在 TCP 连接被撤销后,继续接收 TCP RST 数据包会导致产生 DoS 条件,因为系统资源正用于接收、检查和丢弃数据包。 • 超出范围的 TCP 数据段:超出范围的数据段是指其序列号不在可接受范围内,即不在目标主机的“TCP 接收范围”内的数据段。例如,假设目标主机成功接收并处理的最后一个字节的序列号为 10000,且接收范围为 1024 字节。随后在 10001 到 11024 这个范围内的数据包将被视为在此范围内。所有其他数据包均被认为超出范围。在正常条件下,超出范围的数据包的数量不宜过多。因此,产生大量这类数据包的情况是可疑的,可能会导致 DoS 条件。此类攻击可能会消耗目标网络的大量带宽,导致服务中断或服务质量下降。有些情况下,目标服务器系统甚至可能会耗尽内存、崩溃或者无法运行。 • 超出环境的 TCP 数据段:每个 TCP 数据包都由 4‑tuple 组合形式的来源 IP 和端口以及目标 IP 和端口来标识。超出环境的数据段是指与任何已建立流的 4‑tuple 都不匹配的数据段。大量超出环境的数据包可能导致 DoS 条件并影响网络,影响方式与大量超出范围的数据包的方式相同。 • HTTP 洪水攻击:HTTP 洪水攻击产生的原因是攻击者向目标服务器发起大量的合法 GET 请求,耗尽服务器的处理能力。 • UDP • UDP 洪水:在两个 UDP 服务之间建立通信后,通过向目标系统的随机端口发送大量 UDP 数据包就会引起 UDP 洪水攻击。目标系统被强制发送许多“目标无法送达”的 ICMP 数据包,从而消耗其资源并导致产生 DoS。由于 UDP 传输数据时不需要任何连接设置步骤,因此只要有网络连接,任何人都能发起攻击;不需要任何帐户访问权限。UDP 洪水的另一个示例是将主机的“chargen”服务连接到本机或其他计算机上的“echo”服务。受影响的计算机可能会很快退出服务,因为产生了数量过多的数据包。此外,如果涉及到两台或多台主机,中间网络还可能拥堵并拒绝为流量通过该网络传输的所有主机提供服务。 • DNS 欺骗:此类攻击属于 UDP 攻击的一种,会耗尽 DNS 服务器的处理能力。 • ICMP • ICMP Echo:此类攻击是指通过 ICMP Echo 请求或回复数据包引起网络泛洪。针对目标系统的大量 Echo 请求导致系统忙于响应这些请求。如果存在大量的回复数据包,那么很有可能是远程攻击者在您的网络中伪造了 IP 地址,用于向其他网络发送 ICMP Echo 请求。网络对请求中的地址进行回复,从而产生了两个网络之间的请求/ 回复泛洪现象。 • 所有其他 ICMP(除 Echo 请求和回复之外):此类攻击包括大量 ICMP 数据包(除 Echo 请求和回复数据包之外)。 • 非 TCP/UDP/ICMP:此类攻击是指通过除 TCP、UDP 或 ICMP 之外的其他数据包导致网络泛洪。此类攻击相关的数据包可能包括 IPSec 和格式有误的 IP 数据包(如校验和不准和长度不符的 IP)。基于漏洞的 DoS 攻击不同于基于量的 DoS 攻击,基于漏洞的 DoS 攻击通常是指可能导致 DoS 条件的单个请求。基于漏洞的 DoS 攻击利用网络及其系统中的漏洞。此类攻击不断演化,Network Security Platform 更新保护网络,使其免受新类型攻击的威胁。一些已知的基于漏洞的 DoS 的示例如下: 攻击名称描述 TearDrop 攻击此类攻击是指零碎的 ICMP 数据包之间有重叠。这些碎片导致所实现的某些 IP 堆栈崩溃或进入无限循环,从而导致产生 DoS 条件。 Ping of Death 攻击此类攻击是指向 TCP/IP 堆栈存在漏洞的系统发送大小超出最大允许值(65536 字节)的数据包, 从而导致系统崩溃。 Land 攻击此类攻击是指在来源和目标字段中使用相同 IP 地址和端口编号进行 IP 地址欺骗,导致存在漏洞的系统出现不稳定状态。 350 McAfee ® Network Security Platform 7.0 IPS 管理手册
DDoS 攻击工具 DDoS 攻击可通过工具启动,这些工具为生成 DDoS 攻击而构建的。 DDoS 攻击工具有许多。下面列出了一些广为人知的工具: • Trinoo:Trinoo 是一种攻击工具,它在受感染的主机上安装代理程序,并通过一个主程序来使用代理程序,从而通过向一个 Trinoo 或多个目标主机发送大量 UDP 数据包来实现攻击。主程序和代理程序之间的通信受密码保护。 • Tribal Flood Network (TFN):TFN 使用的攻击方式与 Trinoo 相似,它可以生成多个攻击并使用受欺骗的 IP 地址。 ICMP 回显请求洪水攻击、TCP SYN 洪水攻击和 UDP 洪水攻击是 TFN 可以启动的一些攻击。 • TFN2K:TFN2K 是 TFN 的高级版本,具有使其更加难以检测的功能。TFN2K 使用多种协议,包括 UDP、TCP 和 ICMP。 • Stacheldraht:Stacheldraht,在德语中是“带刺铁丝网”的意思,包括 Trinoo 和 TFN 具有的功能。例如, Stacheldraht 具有诸如代理程序和主程序之间加密通信的功能。 • Shaft:Shaft 是一个与 Trinoo 相似的工具,可以启动数据包洪水攻击。 • Trinity:Trinity 是一种洪水攻击工具,可使用 Internet Relay Chat (IRC) 等聊天程序。 • MStream: MStream 是一种基于“stream.c”攻击的工具,该攻击对处理程序的访问受到密码保护。 Network Security Platform 用于应对 DoS 攻击的方法根据具体要求配置后,Network Security Platform 可以帮助您防止网络中的 DoS 攻击。可以针对特定网络对由 Manger 管理的 Sensor 进行自定义配置,以防 DoS 攻击。您既可以在您的 Internet 服务提供商 (ISP) 的网络上部署 Sensor,也可以在自己的网络上部署,还可以在这两者上同时部署。 Network Security Platform 结合了三种方法来识别并应对 DoS 和 DDoS 攻击。这三种方法为: • Network Security Platform DoS 检测特征码 • 阈值 • 学习 Network Security Platform 特征码可以识别使用 DDoS 攻击工具执行的攻击,以及基于漏洞的 DoS 攻击。阈值方法和学习方法可在 Network Security Platform 扫描的流量中查找统计异常,以检测基于量的 DoS。通过对网络未受攻击时流量正常分布和量的了解,这些方法查找这些水平的明显变化,而这些变化指示可能存在恶意行为。除了 Network Security Platform 用于检测 DoS 和 DDoS 攻击的方法,在 Manager 中网络管理员还可以使用以下选项来采取 DoS 攻击预防措施。 • TCP Settings(TCP 设置) • Manager 中的“TCP Settings(TCP 设置)”选项可用于多种设置的配置,如:TCP Segment Timer(TCP 碎片计时器)、TCP 2MSL Timer(TCP 2MSL 计时器)、TCP Flow Violation(TCP 流违规)、Unsolicited UDP Packets Timeout(主动 UDP 数据包超时)、SYN Cookie、Inbound Threshold Value(入站阈值)、 Outbound Threshold Value(出站阈值)以及Reset unfinished 3‑way handshake connection(重置未完成的三向握手连接)。管理员可以根据对特定网络的了解来配置这些参数值,从而防止 DoS 攻击。 • Rate‑Limit Traffic(速率限制流量) 拒绝服务 Network Security Platform 用于应对 DoS 攻击的方法 7 • 速率限制用于控制通过 Sensor 的各个端口发送的出口流量的速率。管理员可以在 Manager 中设置适当的值来防止 DoS 攻击,方法是在特定网络中设置与防止 DoS 攻击相关的、特定于 Sensor 端口的带宽限制。 McAfee ® Network Security Platform 7.0 IPS 管理手册 351
Page 1 and 2:
IPS 管理手册修订版 A McAfee
Page 3 and 4:
目录前言 7 关于本手册 . .
Page 5 and 6:
如何为 IPS Sensor 配置防火
Page 7 and 8:
前言本手册将提供配置、
Page 9 and 10:
1 计划 IPS 部署 IPS 部署可
Page 11 and 12:
调整策略提供默认 Network S
Page 13 and 14:
如何阻止利用漏洞流量 •
Page 15 and 16:
| “IP Settings(TCP 设置)”操
Page 17 and 18:
2 理解 IPS 策略安全策略或
Page 19 and 20:
如何设置针对攻击的通知
Page 21 and 22:
保护类别具有两个级别。
Page 23 and 24:
3 如何管理 IPS 设置 “IPS Se
Page 25 and 26:
“IPS Policies(IPS 策略)”选
Page 27 and 28:
字段名描述 “Rule Set(规则
Page 29 and 30:
应用规则集任务 • 添加
Page 31 and 32:
在“Summary(摘要)”窗口中
Page 33 and 34:
3 单击链接以查看该页面。
Page 35 and 36:
影响类别影响子类别 •
Page 37 and 38:
表 3-2 (续) 类别描述 Sensiti
Page 39 and 40:
3 选择“Annotations of Parent Ad
Page 41 and 42:
3 从“Annotations of Parent Admin
Page 43 and 44:
3 单击“Clone(复制)”。 4
Page 45 and 46:
3 单击“Bulk Edit(批量编辑)
Page 47 and 48:
11 单击窗口底部的“OK(确
Page 49 and 50:
任务 1 选择“IPS Settings(IPS
Page 51 and 52:
弹出窗口显示攻击的详细
Page 53 and 54:
12 在“Enter Comment(输入备注
Page 55 and 56:
如何对侦测策略使用批量
Page 57 and 58:
• “Delete(删除)”:删除该
Page 59 and 60:
8 在搜索结果中,选择一个
Page 61 and 62:
5 选择一个攻击,然后单击
Page 63 and 64:
任务 1 在 Manager 中,选择“I
Page 65 and 66:
在规则集中配置智能阻止
Page 67 and 68:
任务 1 在 Manager 中,选择“/
Page 69 and 70:
Page 71 and 72:
9 选择“Include(包含)”或“
Page 73 and 74:
12 单击“Protocol(协议)”选
Page 75 and 76:
14 单击“Application(应用程
Page 77 and 78:
17 单击“SmartBlocking(智能阻
Page 79 and 80:
3 单击“Delete(删除)”。 4
Page 81 and 82:
默认串联 IPS 策略 • “Poli
Page 83 and 84:
该表包括以下列: • “Proto
Page 85 and 86:
• 在“Configure Attack Details(
Page 87 and 88:
• “Signature Desc(特征码描
Page 89 and 90:
选择是否要将“Attack Name Se
Page 91 and 92:
• “软件第 2 版”:从下拉
Page 93 and 94:
4 单击“Edit Attack Details for
Page 95 and 96:
5 在“Notifications(通知)”区
Page 97 and 98:
学习模式阈值模式在学习
Page 99 and 100:
字段名字段描述 “Sensor Re
Page 101 and 102:
5 系统会自动选中“Transport
Page 103 and 104:
Page 105 and 106:
6 双击“IGSetup.exe”。图 3-
Page 107 and 108:
10 双击“IG_setup.exe” 图 3-8
Page 109 and 110:
任务 1 转到“开始” | “
Page 111 and 112:
选择要导入的策略导入和
Page 113 and 114:
完成策略导入在所有这三
Page 115 and 116:
• Alert & Deny Excess Connections
Page 117 and 118:
• Ping (ICMP echo Request)(Ping(I
Page 119 and 120:
GTI 不支持 XFF IP,因此所有 G
Page 121 and 122:
• Move Up(上移) • Move Down(
Page 123 and 124:
• Alert Only(仅发出警报) •
Page 125 and 126:
• SPAN 端口 • 连接限制规
Page 127 and 128:
此时会显示“Add an Attack Fil
Page 129 and 130:
7 对于来源和目标 IP 地址
Page 131 and 132:
“Attack Filter Assignments(攻击
Page 133 and 134:
“Filter Assignment: (过滤器分
Page 135 and 136:
防火墙策略 4 选择要导入
Page 137 and 138:
如何管理 IPS 设置防火墙
Page 139 and 140:
• Sensor 的物理端口。 •
Page 141 and 142:
这些应用程序特征码捆绑
Page 143 and 144:
假设用户尝试访问已知的 G
Page 145 and 146:
• 在“Show(显示)”列表中
Page 147 and 148:
添加应用程序组任务 1 开
Page 149 and 150:
添加网络组任务 1 输入有
Page 151 and 152:
添加服务组任务 1 选择“I
Page 153 and 154:
3 输入 DNS 后缀。您可以输
Page 155 and 156:
添加访问规则查看防火墙
Page 157 and 158:
i 单击“OK(确定)”。 j 要
Page 159 and 160:
4 单击“Save(保存)”。 5 进
Page 161 and 162:
5 单击“Save(保存)”。如
Page 163 and 164:
8 在“Application(应用程序)
Page 165 and 166:
限制 • 只有在“TCP flow vio
Page 167 and 168:
9 单击“Save(保存)”。单
Page 169 and 170:
任务 1 在 Manager 中,选择“I
Page 171 and 172:
任务 1 转到“IPS Settings(IPS
Page 173 and 174:
对于子接口,您只能从其所
Page 175 and 176:
当创建接口时,启发式 Web
Page 177 and 178:
4 单击“Save(保存)”以保存
Page 179 and 180:
当 Sensor 检测到了自定义的
Page 181 and 182:
2 在“GTI”部分下方,您可
Page 183 and 184:
6 单击“Manage File Types(管理
Page 185 and 186:
如何启用安全套接字层 (SSL
Page 187 and 188:
Page 189 and 190:
下面是在 Manager 中进行 IPS
Page 191 and 192:
9 要对由于此攻击而隔离的
Page 193 and 194:
5 选择所需的攻击数目(例
Page 195 and 196:
请查看以下内容了解 IPS 隔
Page 197 and 198:
4 如果需要将配置继承到子
Page 199 and 200:
• “Description(描述)”:规
Page 201 and 202:
任务 1 从资源树中,选择“I
Page 203 and 204:
3 选择“Next(下一步)”。
Page 205 and 206:
您可以针对“Quarantine Durati
Page 207 and 208:
表 3-6 (续) 字段名描述 Host
Page 209 and 210:
对警报和数据包日志进行
Page 211 and 212:
如果选择“Weekly(每周)”,
Page 213 and 214:
2 执行以下任一操作: a 单
Page 215 and 216:
4 通过以下两种方式指定要
Page 217 and 218:
容量规划 Manager 中的“Capac
Page 219 and 220:
数据库大小要求我们根据
Page 221 and 222:
d 单击“Calculate(计算)”。
Page 223 and 224:
“Manager Cache(Manager 缓存)”
Page 225 and 226:
3 单击“New(新建)”。 “SNM
Page 227 and 228:
修改或删除 SNMP 服务器设
Page 229 and 230:
表 3-8 Syslog ‑ 配置选项字
Page 231 and 232:
• 单击“Save(保存)”,返回
Page 233 and 234:
单击“Save(保存)”返回到
Page 235 and 236:
更新设备配置 “Configuration
Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
Page 239 and 240:
6 单击“Save(保存)”。弹
Page 241 and 242:
“Filter Assignment: (过滤器分
Page 243 and 244:
任务 1 单击“IPS Settings(IPS
Page 245 and 246:
如果网络流量随时间自然
Page 247 and 248:
任务 • 选择“IPS Settings(IP
Page 249 and 250:
配置 TCP 设置此操作只能
Page 251 and 252:
TCP 参数描述 SYN Cookie SYN Co
Page 253 and 254:
要编辑参数,请指定新的参
Page 255 and 256:
另请参阅 Jumbo Frame 解析第
Page 257 and 258:
2 在“Common IP Parameters(常见
Page 259 and 260:
2 在“OS Finger Printing(操作
Page 261 and 262:
Page 263 and 264:
Network Security Platform 支持使
Page 265 and 266:
您可以右键单击“Host(主机
Page 267 and 268:
5 在“Type(类型)”中选择“
Page 269 and 270:
虽然两个规则中的来源是
Page 271 and 272:
任务 1 转到“IPS Settings(IPS
Page 273 and 274:
已用 CIDR 地址分配方式细
Page 275 and 276:
速率限制用于控制通过网
Page 277 and 278:
队列计数队列计数是指为
Page 279 and 280:
6 为新的流量管理队列输入
Page 281 and 282:
任务 1 从资源树中,选择“I
Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
Page 285 and 286:
如何启用 SSL 解密适用于 D
Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
Page 289 and 290:
6 单击“Apply(应用)”。弹
Page 291 and 292:
在 Manager 中,要在 Sensor 端
Page 293 and 294:
NTBA 选项卡中的第 7 层数据
Page 295 and 296:
5 在接口和子接口级别配置
Page 297 and 298:
接口节点可通过导航到“IP
Page 299 and 300: 另请参阅自定义本地 IPS
Page 301 and 302: 5 通过启用以下“Edit(编辑)
Page 303 and 304: 10 选择“Reset(重置)”并单
Page 305 and 306: 在接口级别分配连接限制
Page 307 and 308: 4 单击“Save(保存)”。 5 验
Page 309 and 310: 此时会打开“Advanced Botnet D
Page 311 and 312: 所提供选项如下所示: • Re
Page 313 and 314: 3 单击“File Reputation ‑ GTI
Page 315 and 316: 3 即会打开“Configure Policy(
Page 317 and 318: 对于子接口,您只能从其所
Page 319 and 320: 4 单击“Save(保存)”以保存
Page 321 and 322: 当 Sensor 检测到了自定义的
Page 323 and 324: 步骤: a 转到“IPS Settings(IPS
Page 325 and 326: 任务 1 转到“IPS Settings(IPS
Page 327 and 328: 任务 1 转到“IPS Settings(IPS
Page 329 and 330: 检查 X-Forwarder-For 报头信息
Page 331 and 332: 查看接口详细信息要查看
Page 333 and 334: 3 在新的“VLAN”或“CIDR”
Page 335 and 336: 创建子接口如果有 VLAN、
Page 337 and 338: 查看接口上应用的 DoS 策略
Page 339 and 340: 分配 ACL 规则可以在接口
Page 341 and 342: • Assigned Policy(分配的策略
Page 343 and 344: 创建子接口时,您可以指定
Page 345 and 346: 6 使用 IPS 检测带有双重 VLA
Page 347 and 348: McAfee ® Network Security Platform
Page 349: 7 拒绝服务 7 拒绝服务 (DoS)
Page 353 and 354: 基于阈值的模式在阈值模
Page 355 and 356: 警报解决利用 DDoS 攻击工
Page 357 and 358: 了解策略编辑选项 “Edit IP
Page 359 and 360: 创建 DoS 策略时,必须注意
Page 361 and 362: VLAN 假定端口 1A 的流量为 V
Page 363 and 364: 3 在“IP Address(IP 地址)”字
Page 365 and 366: 请注意,在提交所做的更改
Page 367 and 368: IPS 设置级别的选项在 Manag
Page 369 and 370: 3 单击“DoS Attacks(DoS 攻击)
Page 371 and 372: 7 在“Sensor Response(Sensor 响
Page 373 and 374: • “DoS Profile Upload and Resto
Page 375 and 376: 以下信息可帮助您理解该
Page 377 and 378: 任务 1 单击“Admin_Domain_Name
Page 379 and 380: TCP 参数描述 “Outbound Thres
Page 381 and 382: 队列计数 “Queue Count(队列
Page 383 and 384: 字段描述 “UDP Port(UDP 端
Page 385 and 386: 3 选择想要自定义的攻击,
Page 387 and 388: 单击“View(查看)”以查看
Page 389 and 390: 2 即会显示所选警报的警报
Page 391 and 392: • “Threshold Duration(阈值持
Page 393 and 394: 任务 1 右键单击攻击实例,
Page 395 and 396: 4 使用以下 CLI 命令,在 Senso
Page 397 and 398: 配置 ACL • stRate ‑‑ short
Page 399 and 400: 以下含义和先决条件应用
Page 401 and 402:
索引 A ACL ACL Syslog 转发程
Page 403:
700-3578A11
show all

Network Security Platform 7.0 IPS Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?