1/1 Come posso scoprire un host che mette in atto un
Transcript
1/1 Come posso scoprire un host che mette in atto un
Come posso scoprire un host che mette in atto un attacco di tipo TCP SYN Flood, UDP Flood oppure ICMP Flood attack? 8E4510, FW41IP5-U01 8E4511, FW42IP16-U01 E’ sufficiente analizzare il log di sistema nel menu Status, NAT Stats, NAT Statistics e verificare se è presente un host di cui i pacchetti trasmessi (Tx Packets) sono moltissimi mentre quelli ricevuti (Rx Packets) sono pochissimi. Queste condizioni indicano un presumibile attacco di tipo TCP SYN Flood, UDP Flood oppure ICMP Flood. Normalmente il volume di pacchetti di una sessione di navigazione o emailing tipica generano una situazione opposta; molti pacchetti in ricezione (i dati, pagine HTML, immagini) e pochi in trasmissione (acknowloedge,comandi e URL). Attenzione Verificare che l’host indicato non stia eseguendo un upload di file di tipo HTTP/FTP, caso in cui va considerato OK, in quanto questa modalità di trasferimento genera un alto numero di pacchetti in trasmissione con pochi pacchetti di acknowledge in ricezione. 1/1