Системы обнаружения атак на сетевом уровне

       

Что происходит после того, как NIDS обнаруживает атаку?


Реконфигурация МСЭ

Сконфигурируйте МСЭ так, чтобы отфильтровать IP-адрес хакера. Однако, это по-прежнему позволяет хакеру осуществлять атаки с других адресов. Компания Checkpoint имеет стандарт OPSEC для реконфигурации МСЭ путем блокирования атакующего IP-адреса. МСЭ компании Checkpoint поддерживает "Протокол мониторинга подозрительной деятельности" (Suspicious Activity Monitoring Protocol, SAMP) для конфигурирования своего межсетевого экрана.

Звуковой сигнал

Звуковой сигал или воспроизведение .WAV файла. Например, вы можете услышать запись "Вы атакованы".

SNMP Trap

Посылка управляющей SNMP-последовательности на консоль управления типа HP OpenView, Tivoli TNE, Cabletron Spectrum и т.д.

NT Event

Сохранение информации о событии в журнале регистрации Windows NT Event Log.

syslog

Сохранение информации о событии в журнале регистрации syslog UNIX.

Посылка e-mail

Посылка администратору уведомления об атаке по e-mail.

Сообщений на пейджер

Посылка администратору уведомления об атаке на пейджер.

Регистрация атаки

Сохранение информации об атаке (время, IP-адрес хакера, IP-адрес атакованной машины/порта, информация о протоколе).

Сохранение свидетельств

Сохранение tracefile-файла необработанных (raw) пакетов для последующего анализа.

Запуск программы

Запуск заданной программы для обработки события

Отключение TCP-сессии

Создание TCP FIN-пакета (или RST) для того, чтобы автоматически завершить соединение.



Содержание раздела