ACL Rules Generator
Механизм анализирует дампы легитимного трафика и трафика атаки и формирует набор правил фильтрации ACL. Анализируются пакеты протоколов IP, TCP, UDP и ICMP.
Дампы трафика выбираются из выпадающего списка, для чего они должны быть
предварительно загружены на сервис на вкладке Uploads. Опционально можно
указать дополнительные дампы, на которых будет проводиться тестирование
полученных в ходе анализа правил. Если дополнительные дампы не заданы,
то дампы для обучения делятся пропорционально на часть для обучения и часть
для теста.
Из анализа можно исключить и не учитывать в генерируемых правилах:
Src IP— IP-адрес отправителя;Dst IP— IP-адрес получателя;IPID— идентификатор протокола IP;TCP sport— порт отправителя TCP;UDP sport— порт отправителя UDP;Seqnum— TCP Sequence number;Acknum— TCP Acknowledgment Number;MSS— максимальный размер TCP сегмента;TSecr— TCP Timestamps Option TS Echo Reply;TSVal— TCP Timestamps Option TS Value.
Для анализа шаблонов с помощью дерева решений можно активировать следующие чекбоксы:
Prune— добавить в отчет обобщенные деревья и правила вместо специфичных;Test rules— добавить в отчет информацию о результатах тестирования сгенерированных правил на загруженных дампах;Trees as text— добавить в отчет деревья решений в текстовом виде;Trees as images— сформировать архив с графическим представлением деревьев решений.
Отчет
Отчет состоит из принципиально одинаковых секций, записываемых для каждого из протоколов IP, TCP, UDP и ICMP, при условии нахождения в дампе пакетов соответствующих протоколов. Каждая секция содержит разделы:
-
TREE;
Дерево решений в текстовом виде. Раздел формируется в отчете, если установлен чекбокс
Trees as text. -
CAPTURE BY ACL FOR DDOS;
Показатели сброса при применении сгенерированных в ходе анализа правил на легитимном трафике и трафике атаки, полученные в ходе тестирования в абсолютных и относительных величинах.
-
RULES;
Правила фильтрации, сгенерированные механизмом в ходе анализа дампов трафика.
-
Duration:
Продолжительность обработки.