端口镜像与入侵检测系统的布置精要.pptVIP

* * * * * * * * * * * * * * * * * 特征（Signature） 特征库和特征引擎是IPS解决方案架构的基础 特征是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述 当检测到恶意行为时，IPS通过将流量与具体特征比对，监控网络流量并生成警报 特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为 IPS的特征引擎分为很多种类 IPS的特征引擎 事件动作 当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置 IPS的事件动作 Deny attacker Inline:拒绝攻击者的ip地址 Deny attacker Service Pair inline:以攻击者的地址和被攻击者的服务端口为拒绝对象 Deny attacker Victim Pair inline: 以攻击者和受害者地址为拒绝对象 Deny connection inline: 拒绝这个TCP流量的现在和将来的包 Deny packet inline:丢弃这个数据包 事件动作 当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置 IPS的事件动作 Log Attacker Packets: 记录攻击者地址 Log Pair Packets: 记录攻击和受害者地址 Log Victim Packets: 记录受害者地址 Produce Alert: 生成报警 Produce Verbose Alert: 详细的报警 事件动作 当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置 IPS的事件动作 Request Block Connection: 对攻击响应控制器（ARC）发送请求以切断该连接 Request Block Host: 对攻击响应控制器（ARC）发送请求以阻断该攻击主机 Request SNMP Trap: 发送SNMP trap到设置的管理主机，同时会自动产生Alert Reset TCP connection: 重置 TCP 连接 IPS的事件动作 配置IPS防御SYN Flood 什么是SYN Flood攻击？ PC1 PC2 1.发送SYN报文 伪造源IP地址 2.发送SYN＋ACK报文 3. 发送ACK报文？ 如果短时间内接收到的SYN太多，半连接队列就会溢出，则 正常的客户发送的SYN请求连接也会被服务器丢弃！ 配置IPS防御SYN Flood IPS配置为接口对模式，防御由PC机发起的SYN Flood攻击 Router F0/1 F0/11 F0/2 IPS Vlan10:F0/1,F0/11 Vlan20:F0/2,F0/12 F0/0:/24 F0/12 G0/1 G0/2 /24 /24 配置SYN Flood特征ID 3050的事件动作为Deny Attacker Inline和Log Attacker Packets 在PC机上发动SYN Flood攻击并伪造源IP地址为，在IDM的监控界面上查看到的事件 查看到拒绝攻击者的IP地址 配置IDS与网络设备联动防御SYN Flood IPS接口配置为混杂模式（使用IDS功能），配置IDS与路由器联动防御PC机发起的SYN Flood攻击 Router F0/1 F0/11 F0/2 IDS:0/24 F0/0:/24 F0/12 G0/1 M0/0 /24 /24 F1/0 IDS与路由器配置联动是通过给路由器下发ACL来拒绝流量 配置SYN Flood特征ID 3050的事件动作为Request Block Host和Log Attacker Packets 需要在交换机上配置端口镜像以使IDS监控流量 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置设备Login Profiles 需要配置访问路由器的方式，需要提供登录用户名、密码及enable密码 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置Blocking设备 配置路由器的IP地址、设备类型、引用之前定义的模板以及通信方式 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置路由器参数 需要配置路由器在F1/0接口、In方向上应用ACL 配置IDS与网络设备联动防御SYN Flood 测试 在PC机上发动SYN Flood攻击并伪造源IP地址为，在IDM的监控界面上查看到被Blocking的主机 在路由器上查看ACL Router#sh access-lists Extended IP access list IDS_FastEthernet1/0_in_1 10