检测威胁
ASA 上的威胁检测是抵御攻击的第一道防线。威胁检测在第 3 层和第 4 层上工作,为设备上的流量制定基准,基于流量模式分析丢包统计信息,并累计“前面的”报告。相比之下,提供 IPS 或下一代 IPS 服务的模块可在 ASA 允许的流量中识别和减轻高达第 7 层的攻击媒介,但不能查看已被 ASA 丢弃的流量。因此,威胁检测和 IPS 能够协同工作,以提供更加全面的威胁防御。
威胁检测由以下要素组成:
-
为各种威胁收集的不同级别统计信息。
威胁检测统计信息可帮助您管理 ASA 面临的威胁,例如,如果启用扫描威胁检测,则查看统计信息可帮助您分析威胁。可以配置两种类型的威胁检测统计信息:
-
基本威胁检测统计信息 - 包括有关针对整个系统的攻击活动的信息。默认情况下启用基本威胁检测统计信息,并且不会对性能产生影响。请参阅基本威胁检测统计信息。
-
高级威胁检测统计信息 - 在对象级别跟踪活动,以便 ASA 可报告单个主机、端口、协议或 ACL 的活动。高级威胁检测统计信息会对性能产生重要影响,具体情况视收集的统计信息而定,因此,在默认情况下,仅启用 ACL 统计信息。请参阅高级威胁检测统计信息。
-
-
扫描威胁检测,其确定主机何时执行扫描。或者,可以避开任何被确定为扫描威胁的主机。请参阅扫描威胁检测。
-
VPN 服务的威胁检测,可用于防止来自 IPv4 地址的以下类型的 VPN 攻击:
-
远程访问 VPN 验证尝试失败过多,例如用户名/密码暴力扫描。
-
客户端启动攻击,即攻击者从一台主机发起但未完成与远程访问 VPN 头端的重复连接尝试。
-
尝试访问无效的 VPN 服务,即仅供内部使用的服务。
这些攻击即使未能成功获取访问权,也会消耗计算资源,有时甚至会导致拒绝服务。请参阅为 VPN 服务配置威胁检测。
-
基本威胁检测统计信息
使用基本威胁检测统计信息,ASA 可监控由于以下原因被丢弃的数据包和安全事件的比率:
-
被 ACL 拒绝。
-
数据包格式错误(例如,invalid-ip-header 或 invalid-tcp-hdr-length)。
-
超出连接限制(系统范围的资源限制和在配置中设定的限制)。
-
检测到 DoS 攻击(例如,无效 SPI、状态防火墙检查故障)。
-
基本防火墙检查失败。此选项是一个组合比率,包含此列表中所有与防火墙有关的丢包。它不包括非防火墙相关丢弃,如接口过载、使应用检查失败的数据包以及检测到的扫描攻击。
-
检测到可疑的 ICMP 数据包。
-
数据包未通过应用检查。
-
接口过载。
-
检测到扫描攻击。此选项监控扫描攻击;例如,第一个 TCP 数据包并非 SYN 数据包,或者 TCP 连接未通过三方握手。例如,完整扫描威胁检测采用此扫描攻击频率信息,通过将主机分类为攻击者并自动避开这些主机,从而根据此信息采取行动。
-
不完整会话检测,例如检测到 TCP SYN 攻击或检测到无返回数据的 UDP 会话攻击。
当 ASA 检测到威胁时,会立即发送系统日志消息 (733100)。ASA 会跟踪两种速率类型:一段间隔的平均事件速率和较短突发间隔的突发事件速率。突发速率间隔为平均速率间隔的 1/30 或 10 秒,以较大者为准。对于收到的每个事件,ASA 会检查平均速率限制和突发速率限制;如果两种速率均超出限制,则 ASA 会发送两条单独的系统消息,对于每个突发期间的每种速率类型最多发送一条消息。
基本威胁检测仅当有丢包或潜在威胁时影响性能;即使在这种情况下,对性能的影响仍然可以忽略。
高级威胁检测统计信息
高级威胁检测统计信息显示单个对象(例如,主机、端口、协议或 ACL)允许和丢弃的流量速率。
![]() 小心 |
启用高级统计信息可能会影响 ASA 性能,具体取决于启用的统计信息类型。启用主机统计信息会严重影响性能;如果是高流量负载,可能要考虑临时启用这种统计信息类型。不过,端口统计信息造成的影响较小。 |
扫描威胁检测
典型的扫描攻击包含测试子网中每个 IP 地址可达性(通过扫描子网中的多台主机或扫描主机或子网中的多个端口)的主机。扫描威胁检测功能确定主机何时执行扫描。ASA 威胁检测扫描与基于流量签名的 IPS 扫描检测不同,前者维护着广泛的数据库,其中包含可用来分析扫描活动的主机统计信息。
主机数据库跟踪可疑的活动(例如没有返回活动的连接、访问关闭的服务端口、如非随机 IPID 等易受攻击的 TCP 行为以及更多行为)。
如果超出扫描威胁速率,ASA 会发送系统日志消息 (733101) 并会选择性地避开攻击者。ASA 会跟踪两种速率类型:一段间隔的平均事件速率和较短突发间隔的突发事件速率。突发事件率为平均速率间隔的 1/30 或 10 秒,以较高者为准。对于检测到的被视为属于扫描攻击的每个事件,ASA 会检查平均速率限制和突发速率限制。如果从主机发送的流量超出任一速率,则该主机被视为攻击者。如果主机接收的流量超出任一速率,则该主机被视为目标。
下表列出扫描威胁检测的默认速率限制。
平均速率 |
突发速率 |
---|---|
在过去 600 秒内 5 个丢包/秒。 |
在过去 20 秒内 10 个丢包/秒。 |
在过去 3600 秒内 5 个丢包/秒。 |
在过去 120 秒内 10 个丢包/秒。 |
![]() 小心 |
扫描威胁检测功能可能会严重影响 ASA 的性能和内存,同时会创建和收集基于主机和子网的数据结构及信息。 |