signature 类型
built-in signatures:内建的cisco本身自带的
tuned signatures:调整过的
custom signatures:自定义的
5.0以后内建了1000多个默认signature,不能重命名或者删除这些内建的signature,你可以retire(退休)这些signature,这样就在引擎里边删除了,但是在signature配置列表里边依然存在.
内建signatures最大1-50000,
60000以后是自定义signatures.
sub-signature的解释:一个大的signatures可能里面还有一些小的signature.
signature features
1.告警
2.汇总
3.伐值
4.忠诚度
5.应用层firewall
6.snmp支持
7.ipv6支持:只是支持分析ipv6里边封装的ipv4包
8.杂合的检测方法
9.对包字段特殊匹配
混合检测技术
1.简单的字段匹配
2.状态化的字段匹配
3.复制的分析
4.协议分析
5.异常分析
6.协议位分析
7.状态化异常
signature actions
1.丢弃恶意包
2.产生告警,或者再告警里包括触发这次告警的数据包
3.捕获后续数据包
4.初始化blocking(登陆到其他设备进行阻止)
5.产生snmp通知
6.发送root终止tcp会话
regular expression syntax
^必须以特定字符开始
^在左边使用,表示排除内部的字符
$表示必须以$左边的字符结尾
|或者
.匹配任何一个字符
*表示*左边的字符出现零次或者多次
+表示左边的字符出现至少一次
??左边的字符出现零次或一次,0一次
[]内部的所有字符都需要匹配
\转义
引擎
1.signature engine是一个sensor的组合部分,支持gnature的分类.
2.每一个signaturc被一个特定的,设计来监控特定流量的signturc cnginc所控制.
3.每一个engine都有自己的一套特定参数.
4.配置这些特定的engine参数,能够更加优化signature对网络的分析,并且可以为你的网络创建新的signature
alerts
1.默认情况当一个激活的signature触发的时候sensor产生一个告警
2.你可以把默认产生告警的策略关掉
3.告警时存储在sensor的event store里边的
4.外部监控程序可以通过sdee拉告警信息
5.监控程序可以按需收集告警信息
6.多重主机可以同时收集告警
7.告警分为如下级别:
informational
low
mcdium
high
8.告警的严重级别和触发这个告警的signature的严重级别相关
sensor#show events
在你调整或者新建signature之前,学习内建signalure的默认设置,考虑如下几个点:
ips对tcp/ip和协议的理解很重要
network protocols
target address
target port
type of attack
payload inspection
action介绍
1.action:deny attacker inline(所有attack的流量都被deny,不管是它发出的还是访问它的)
2.action:deny attack service pair inline(所有attack发出的去往特定服务端口的流量被deny)
3.deny attacker vietim pair inline(攻击者和被攻击者之间的所有流量被deny)
4.deny connection inline(只是这个特定connection被deny了,新的connection不被影响)
5.deny packet inline(我们enable sig 2152,并且为它增加action:deny packet inline)
可以通过两种方法产生log
1.通过signature触发产生log
2.手动产生log,收到第一个包的时候开始log.
a.一定时间结束log
b.一定数量包后结束Log
c.一定bytes后结束log
标签:deny,Signatures,log,Working,Alerts,signatures,signature,inline,告警 From: https://www.cnblogs.com/smoke520/p/18357865