通过2010 图表和告警发现网络攻击征兆

mzr525

科来2010 已经推出，其中强大的图表和丰富的报警功能是这款产品的几大靓点之一。在这里我将演示这两项功能在发现攻击征兆时的用途。
   环境介绍：这是一个典型的局域网，网络中存在文件服务器，使用WIN 网络共享实现文件共享。将文件服务器的接入端口做全镜像。然后模拟一次针对文件服务器的SYN攻击
    抓包前的2010设置：首先，我们建立一个对被攻击主机192.168.10.104 的图表，监控内容包括此IP的 SYN频率和流量。点击节点浏览器的设置按钮中的警报。弹出警报设置页面，进行设置，如图：



在“我的图表”选项里面建立一个针对file Server 的监控模板。然后在节点浏览器里定位节点浏览器，选中文件服务器的IP ，点击右键选中“生成图表”，如图：


弹出设置框后，可以按照下图的方式进行设置，如图：


攻击开始后，我们发现如下报警和图表统计：


我们设定了 当文件服务器收到100个以上的TCP同步后，我们将进行告警，同时图表选项也可以给我们很直观的数据统计。
在实际网络中可以将科来部署到实际网络的进出口，对自己的WEB smtp 服务器等，进行如此的设置，不仅可以及时发现网络攻击现象，还可以统计网络基线，更好的了解和管理网络

long_323

功能很强调，学习啦！

saibei

很好的  教程

dmdnyist

太好了 很强大的软件