در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

action های قابل استفاده در IPS/IDS در زمان شناسایی ترافیک مخرب

زمانی که سنسور ترافیک مخرب شناسایی می کند براساس اینکه سنسور چگونه تنظیم شده و در چه حالتی (IPS یا IDS) کار می کند سنسور می تواند نوعی action را نسبت به ترافیک شناسایی شده انتخاب کند. لیست این action ها به شرح زیر است :

  • Deny attacker inline : این action تمام بسته های ارسالی از آدرس مهاجم را برای مدت زمان مشخص شده drop می کند و بعد از این مدت زمان در صورت برطرف شدن مشکل ، دیگر بسته ها از این آدرس drop نخواهند شد.
  • Deny connection inline : در این حالت بسته های مربوط به یک TCP session را drop می کند و ارتباط از طریق session دیگر در صورتی که آن session مشکلی نداشته باشد می تواند برقرار شود.
  • Deny packet inline : بسته شناسایی شده توسط سنسور drop می شود.
  • Log attacker (source) packets : در این حالت سنسور شروع به تولید log در رابطه با بسته ها براساس آدرس مبدا مهاجم می کند.
  • Log victim (destination) packets : در این حالت برای تمام بسته هایی که مقصدشان قربانی است log تولید می شود.
  • Log pair (source, destination) packets : در این حالت log برای بسته هایی تولید می شود که مبدا و مقصد آنها مهاجم و قربانی باشد. در واقع برای بسته هایی که بین مهاجم و قربانی دروبدل می شوند log تولید می شود.
  • Produce alert : یک alert در هنگام شناسایی توسط IDS/IPS ایجاد می شود.
  • Produce verbose alert : عملکرد آن مشابه Produce alert است با این تفاوت که یک کپی از کل بسته را نیز شامل می شود.
  • Request block connection : در اینجا سنسور از یک دستگاه دیگر برای بلاک کردن کانکشن کمک می گیرد.
  • Request block host : سنسور درخواست بلاک کردن IP مهاجم را می کند.
  • Request SNMP trap : یک بسته SNMP trap ارسال می شود.
  • Reset TCP connection : درخواست ریست کردن connection ارسال می کند.

نکته : آیتم های که در لیست بالا با deny شروع می شود تنها توسط IPS قابل اجرا هستند.

action های قابل استفاده در IPS/IDS در زمان شناسایی ترافیک مخرب

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#deny_attacker_inline_چیست #نحوی_جلوگیری_از_ترافیک_توسط_ips #شناسایی_ترافیک_مخرب #deny_connection_inline_چیست #reset_tcp_connection_چیست #produce_verbose_alert_چیست #request_block_connection_چیست #انواع_action_ها_در_ips_و_ids
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....