iT邦幫忙

0

被入侵怎麼辦

“TCP.Overlapping.Fragments”。
date = 2019-04-21
time = 16:49:25
devname =
devid =
logid =“0419014”
type =“utm”
subtype =“ips”
eventtype =“signature”
level =“alert”
vd =“root”
eventtime = 1553
severity =“low”
srcip = 61.21X.10X.4X
srccountry =“Taiwan”
dstip =
srcintf = wan
srcintfrole =“undefined”
dstintf =“lan”
dstintfrole =“lan”
sessionid = 3052
action =“dropped” ======>這是什麼意思?
proto = 1
service =“DVR”
policyid = 4
attack =“TCP.Overlapping.Fragments”
srcport = 626
dstport = 603
direction =“outgoing”
attackid = 295
profile =“IPS-高風險入侵防護”

請問各位 收到這種入侵訊息 該怎麼辦?
防火牆有阻擋這次的入侵嗎?

看更多先前的討論...收起先前的討論...
HAHZOZO iT邦新手 5 級 ‧ 2019-04-22 09:40:06 檢舉
action =“dropped” ======>這是什麼意思?

該入侵方式符合你設置的intrusion prevention的條目。
從你提供的錯誤消息日誌中,攻擊流量(attackid = 295 / attack = IPS已識別出“TCP.Overlapping.Fragments”),防火牆已將流量丟棄(action =“dropped”)。

但防火牆沒有完全阻擋此入侵動作,只是丟棄而已。

處理方式......我再想想看
owo iT邦新手 5 級 ‧ 2019-04-23 13:58:46 檢舉
假設我想要連線到一台主機,防火牆根據規則會有三種反應
1. accept 允許,可以連進去
2. block/deny 拒絕,會收到被拒絕的回應(明確告訴對方被擋了)
3. drop 丟棄,會收到無法連線的回應(假裝自己沒開機)
雖然不知道為甚麼另外兩位說沒擋掉,在我的觀念裡面 2, 3 都是擋掉了……
不知道有沒有人可以解惑~~
HAHZOZO iT邦新手 5 級 ‧ 2019-04-25 17:44:56 檢舉
回覆 owo

由於防火牆經由IPS政策已成功阻擋(刪除)流量封包,所以無需進一步操作。

如果需要,還可以通過防火牆策略拒絕這些IP地址來將攻擊者IP列入黑名單。
就是下方的創建地址組方式 ,這樣他們連封包都傳不過來,連擋都不用擋。
owo iT邦新手 5 級 ‧ 2019-05-07 12:14:05 檢舉
原來如此,謝謝你!

2 個回答

1
HAHZOZO
iT邦新手 5 級 ‧ 2019-04-22 13:23:19
最佳解答

你好

啊我把上面抓下來

action =“dropped” ======>這是什麼意思?

該入侵方式符合你設置的intrusion prevention的條目。
從你提供的錯誤消息日誌中,攻擊流量(attackid = 295 / attack = IPS已識別出“TCP.Overlapping.Fragments”),防火牆已將流量丟棄(action =“dropped”)。

但防火牆沒有完全阻擋此入侵動作,只是丟棄而已。

處理方式......我再想想看


你可以創建一個地址對象組,其中包含從日誌中提取的黑名單IP地址
並使用source = Blicklist Address group(自行建立地址群組)、
創建防火牆政策action = deny(拒絕任何流量)。
你需要將此策略移至防火牆策略的頂部(別管ID),以便此策略將阻止所有列入黑名單的IP,而無需再次進行IPS掃描。

seradmin iT邦新手 5 級 ‧ 2019-04-22 13:30:29 檢舉

謝謝您的回覆 很詳細也很清楚
您工作內容應該跟FORTIGATE有關吧

HAHZOZO iT邦新手 5 級 ‧ 2019-04-22 14:22:07 檢舉

算有關 都自學的

..但....沒FORTIATE相關證照.......請多包涵

0
mytiny
iT邦大師 1 級 ‧ 2019-04-22 10:57:31

報告cityuseradmin大大
這個未必是入侵哦
在看Fortigate的IPS資料Log時
不是可以連結到原廠FortiGuard資料庫去理解一下嗎?
(看不懂還可用瀏覽器翻成中文)

但是大大可能不習慣這種回答方式
在下就直說是貴公司有人用P2P軟體造成的
"不符合協議標準的流量"已被丟棄,所以就不用擔心了

seradmin iT邦新手 5 級 ‧ 2019-04-22 13:12:50 檢舉

我了解了
我都有去連結處檢視相關入侵訊息之詳細說明
(應該不會看不懂...我英文程度很不錯.....)

後來發現是保全公司需要連進這台電腦取得資料
算是入侵動作
也有跟Fortinet TAC Engineer確認相關處理方式

謝謝您的回覆

mytiny iT邦大師 1 級 ‧ 2019-04-22 19:38:15 檢舉

大大終於明白了,很好
看來本事也是很高啦
英文好,多讀讀原廠手冊吧
發揮功能、解答疑問
分享這些知識就看大大了

我要發表回答

立即登入回答