1/1 Come posso scoprire un host che mette in atto un

Come posso scoprire un host che mette in atto un attacco di tipo TCP SYN Flood,
UDP Flood oppure ICMP Flood attack?
8E4510, FW41IP5-U01
8E4511, FW42IP16-U01
E’ sufficiente analizzare il log di sistema nel menu Status, NAT Stats, NAT Statistics e verificare se è
presente un host di cui i pacchetti trasmessi (Tx Packets) sono moltissimi mentre quelli ricevuti (Rx
Packets) sono pochissimi.
Queste condizioni indicano un presumibile attacco di tipo TCP SYN Flood, UDP Flood oppure ICMP
Flood. Normalmente il volume di pacchetti di una sessione di navigazione o emailing tipica generano
una situazione opposta; molti pacchetti in ricezione (i dati, pagine HTML, immagini) e pochi in
trasmissione (acknowloedge,comandi e URL).
Attenzione
Verificare che l’host indicato non stia eseguendo un upload di file di tipo HTTP/FTP, caso in cui va
considerato OK, in quanto questa modalità di trasferimento genera un alto numero di pacchetti in
trasmissione con pochi pacchetti di acknowledge in ricezione.
1/1