ACL Rules Generator

Механизм анализирует дампы легитимного трафика и трафика атаки и формирует набор правил фильтрации ACL. Анализируются пакеты протоколов IP, TCP, UDP и ICMP.

Дампы трафика выбираются из выпадающего списка, для чего они должны быть предварительно загружены на сервис на вкладке Uploads. Опционально можно указать дополнительные дампы, на которых будет проводиться тестирование полученных в ходе анализа правил. Если дополнительные дампы не заданы, то дампы для обучения делятся пропорционально на часть для обучения и часть для теста.

Из анализа можно исключить и не учитывать в генерируемых правилах:

  • Src IP — IP-адрес отправителя;
  • Dst IP — IP-адрес получателя;
  • IPID — идентификатор протокола IP;
  • TCP sport — порт отправителя TCP;
  • UDP sport — порт отправителя UDP;
  • Seqnum — TCP Sequence number;
  • Acknum — TCP Acknowledgment Number;
  • MSS — максимальный размер TCP сегмента;
  • TSecr — TCP Timestamps Option TS Echo Reply;
  • TSVal — TCP Timestamps Option TS Value.

Для анализа шаблонов с помощью дерева решений можно активировать следующие чекбоксы:

  • Prune — добавить в отчет обобщенные деревья и правила вместо специфичных;
  • Test rules — добавить в отчет информацию о результатах тестирования сгенерированных правил на загруженных дампах;
  • Trees as text — добавить в отчет деревья решений в текстовом виде;
  • Trees as images — сформировать архив с графическим представлением деревьев решений.

Отчет

Отчет состоит из принципиально одинаковых секций, записываемых для каждого из протоколов IP, TCP, UDP и ICMP, при условии нахождения в дампе пакетов соответствующих протоколов. Каждая секция содержит разделы:

  • TREE;

    Дерево решений в текстовом виде. Раздел формируется в отчете, если установлен чекбокс Trees as text.

  • CAPTURE BY ACL FOR DDOS;

    Показатели сброса при применении сгенерированных в ходе анализа правил на легитимном трафике и трафике атаки, полученные в ходе тестирования в абсолютных и относительных величинах.

  • RULES;

    Правила фильтрации, сгенерированные механизмом в ходе анализа дампов трафика.

  • Duration:

    Продолжительность обработки.