signature 类型

built-in signatures:内建的cisco本身自带的

tuned signatures:调整过的

custom signatures:自定义的

5.0以后内建了1000多个默认signature,不能重命名或者删除这些内建的signature,你可以retire(退休)这些signature,这样就在引擎里边删除了,但是在signature配置列表里边依然存在.

内建signatures最大1-50000,

60000以后是自定义signatures.

sub-signature的解释:一个大的signatures可能里面还有一些小的signature.

signature features

1.告警

2.汇总

3.伐值

4.忠诚度

5.应用层firewall

6.snmp支持

7.ipv6支持:只是支持分析ipv6里边封装的ipv4包

8.杂合的检测方法

9.对包字段特殊匹配

混合检测技术

1.简单的字段匹配

2.状态化的字段匹配

3.复制的分析

4.协议分析

5.异常分析

6.协议位分析

7.状态化异常

signature actions

1.丢弃恶意包

2.产生告警,或者再告警里包括触发这次告警的数据包

3.捕获后续数据包

4.初始化blocking(登陆到其他设备进行阻止)

5.产生snmp通知

6.发送root终止tcp会话

regular expression syntax

^必须以特定字符开始

^在左边使用,表示排除内部的字符

$表示必须以$左边的字符结尾

|或者

.匹配任何一个字符

*表示*左边的字符出现零次或者多次

+表示左边的字符出现至少一次

??左边的字符出现零次或一次,0一次

[]内部的所有字符都需要匹配

\转义

引擎

1.signature engine是一个sensor的组合部分,支持gnature的分类.

2.每一个signaturc被一个特定的,设计来监控特定流量的signturc cnginc所控制.

3.每一个engine都有自己的一套特定参数.

4.配置这些特定的engine参数,能够更加优化signature对网络的分析,并且可以为你的网络创建新的signature

alerts

1.默认情况当一个激活的signature触发的时候sensor产生一个告警

2.你可以把默认产生告警的策略关掉

3.告警时存储在sensor的event store里边的

4.外部监控程序可以通过sdee拉告警信息

5.监控程序可以按需收集告警信息

6.多重主机可以同时收集告警

7.告警分为如下级别:

informational

low

mcdium

high

8.告警的严重级别和触发这个告警的signature的严重级别相关

sensor#show events

在你调整或者新建signature之前,学习内建signalure的默认设置,考虑如下几个点:

ips对tcp/ip和协议的理解很重要

network protocols

target address

target port

type of attack

payload inspection

action介绍

1.action:deny attacker inline(所有attack的流量都被deny,不管是它发出的还是访问它的)

2.action:deny attack service pair inline(所有attack发出的去往特定服务端口的流量被deny)

3.deny attacker vietim pair inline(攻击者和被攻击者之间的所有流量被deny)

4.deny connection inline(只是这个特定connection被deny了,新的connection不被影响)

5.deny packet inline(我们enable sig 2152,并且为它增加action:deny packet inline)

可以通过两种方法产生log

1.通过signature触发产生log

2.手动产生log,收到第一个包的时候开始log.

a.一定时间结束log

b.一定数量包后结束Log

c.一定bytes后结束log