جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

معرفی 12 Action قابل استفاده در IPS/IDS در شناسایی ترافیک مخرب

زمانی که سنسور ترافیک مخرب شناسایی می کند براساس اینکه سنسور چگونه تنظیم شده و در چه حالتی (IPS یا IDS) کار می کند سنسور می تواند نوعی action را نسبت به ترافیک شناسایی شده انتخاب کند. لیست این action ها به شرح زیر است :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. Deny attacker inline : این action تمام بسته های ارسالی از آدرس مهاجم را برای مدت زمان مشخص شده drop می کند و بعد از این مدت زمان در صورت برطرف شدن مشکل ، دیگر بسته ها از این آدرس drop نخواهند شد.
  2. Deny connection inline : در این حالت بسته های مربوط به یک TCP session را drop می کند و ارتباط از طریق session دیگر در صورتی که آن session مشکلی نداشته باشد می تواند برقرار شود.
  3. Deny packet inline : بسته شناسایی شده توسط سنسور drop می شود.
  4. Log attacker (source) packets : در این حالت سنسور شروع به تولید log در رابطه با بسته ها براساس آدرس مبدا مهاجم می کند.
  5. Log victim (destination) packets : در این حالت برای تمام بسته هایی که مقصدشان قربانی است log تولید می شود.
  6. Log pair (source, destination) packets : در این حالت log برای بسته هایی تولید می شود که مبدا و مقصد آنها مهاجم و قربانی باشد. در واقع برای بسته هایی که بین مهاجم و قربانی دروبدل می شوند log تولید می شود.
  7. Produce alert : یک alert در هنگام شناسایی توسط IDS/IPS ایجاد می شود.
  8. Produce verbose alert : عملکرد آن مشابه Produce alert است با این تفاوت که یک کپی از کل بسته را نیز شامل می شود.
  9. Request block connection : در اینجا سنسور از یک دستگاه دیگر برای بلاک کردن کانکشن کمک می گیرد.
  10. Request block host : سنسور درخواست بلاک کردن IP مهاجم را می کند.
  11. Request SNMP trap : یک بسته SNMP trap ارسال می شود.
  12. Reset TCP connection : درخواست ریست کردن connection ارسال می کند.

نکته : آیتم های که در لیست بالا با deny شروع می شود تنها توسط IPS قابل اجرا هستند.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات