Unusual Volume of Network Activity-异常网络活动
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
检测异常的网络流量,该流量可能表示DoS攻击,如大量的唯一来源或大量的防火墙数据包。
Splunk查询:检查最近40分钟内数据包过多或者数据来源地址过多
| tstats `summariesonly` dc(All_Traffic.src) as src_count,count from datamodel=Network_Traffic.All_Traffic | localop | xswhere count from count_30m in network_traffic is extreme or src_count from src_count_30m in network_traffic is extreme | eval const_dedup_id="Network - Unusual Volume of Network Activity - Rule"
earliest=-40m@m latest=+0s
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
检测异常的网络流量,该流量可能表示DoS攻击,如大量的唯一来源或大量的防火墙数据包。
Splunk查询:检查最近40分钟内数据包过多或者数据来源地址过多
| tstats `summariesonly` dc(All_Traffic.src) as src_count,count from datamodel=Network_Traffic.All_Traffic | localop | xswhere count from count_30m in network_traffic is extreme or src_count from src_count_30m in network_traffic is extreme | eval const_dedup_id="Network - Unusual Volume of Network Activity - Rule"
earliest=-40m@m latest=+0s