被入侵怎麼辦

fortigate 入侵

seradmin 2019-04-22 09:28:39 ‧ 4257 瀏覽

分享至

“TCP.Overlapping.Fragments”。
date = 2019-04-21
time = 16:49:25
devname =
devid =
logid =“0419014”
type =“utm”
subtype =“ips”
eventtype =“signature”
level =“alert”
vd =“root”
eventtime = 1553
severity =“low”
srcip = 61.21X.10X.4X
srccountry =“Taiwan”
dstip =
srcintf = wan
srcintfrole =“undefined”
dstintf =“lan”
dstintfrole =“lan”
sessionid = 3052
action =“dropped” ======>這是什麼意思?
proto = 1
service =“DVR”
policyid = 4
attack =“TCP.Overlapping.Fragments”
srcport = 626
dstport = 603
direction =“outgoing”
attackid = 295
profile =“IPS-高風險入侵防護”

請問各位收到這種入侵訊息該怎麼辦?
防火牆有阻擋這次的入侵嗎?

看更多先前的討論...收起先前的討論...

HAHZOZO iT邦新手 5 級 ‧ 2019-04-22 09:40:06 檢舉

action =“dropped” ======>這是什麼意思?

該入侵方式符合你設置的intrusion prevention的條目。
從你提供的錯誤消息日誌中，攻擊流量（attackid = 295 / attack = IPS已識別出“TCP.Overlapping.Fragments”），防火牆已將流量丟棄（action =“dropped”）。

但防火牆沒有完全阻擋此入侵動作，只是丟棄而已。

處理方式......我再想想看

owo iT邦新手 5 級 ‧ 2019-04-23 13:58:46 檢舉

假設我想要連線到一台主機，防火牆根據規則會有三種反應
1. accept 允許，可以連進去
2. block/deny 拒絕，會收到被拒絕的回應（明確告訴對方被擋了）
3. drop 丟棄，會收到無法連線的回應（假裝自己沒開機）
雖然不知道為甚麼另外兩位說沒擋掉，在我的觀念裡面 2, 3 都是擋掉了……
不知道有沒有人可以解惑~~

HAHZOZO iT邦新手 5 級 ‧ 2019-04-25 17:44:56 檢舉

回覆 owo

由於防火牆經由IPS政策已成功阻擋(刪除)流量封包，所以無需進一步操作。

如果需要，還可以通過防火牆策略拒絕這些IP地址來將攻擊者IP列入黑名單。
就是下方的創建地址組方式，這樣他們連封包都傳不過來，連擋都不用擋。

owo iT邦新手 5 級 ‧ 2019-05-07 12:14:05 檢舉

原來如此，謝謝你!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

HAHZOZO

iT邦新手 5 級 ‧ 2019-04-22 13:23:19

最佳解答

你好

啊我把上面抓下來

action =“dropped” ======>這是什麼意思?

該入侵方式符合你設置的intrusion prevention的條目。
從你提供的錯誤消息日誌中，攻擊流量（attackid = 295 / attack = IPS已識別出“TCP.Overlapping.Fragments”），防火牆已將流量丟棄（action =“dropped”）。

但防火牆沒有完全阻擋此入侵動作，只是丟棄而已。

處理方式......我再想想看

你可以創建一個地址對象組，其中包含從日誌中提取的黑名單IP地址
並使用source = Blicklist Address group(自行建立地址群組)、
創建防火牆政策action = deny(拒絕任何流量)。
你需要將此策略移至防火牆策略的頂部(別管ID)，以便此策略將阻止所有列入黑名單的IP，而無需再次進行IPS掃描。