Protection Group

arbor中若你想針對不同的群組,設定不一樣的防火牆規則,Arborprotection group功能可以以group為單位,來設定group的保護機制。在protection group自己群組中可以看到arbor針對該群組分析的防禦資料,例如group總流量分析、攻擊類型統計、發動攻擊的來源ipdomain的訪問統計資料等。Arbor protection group的防禦資料中,也可以針對ipdomainurl做黑白名單,調整group的保護機制。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


1.新增Protection Group群組

 

 

 

 

 

 

 

45123 

1-1    輸入群組名稱

1-2    輸入被保護的ip

1-3    選擇群組類型(server type,不同的server type的防禦所用的防禦機制也不同,對照表如圖1)

1-4    啟用或關閉

1-5    敘述群組

        

Server type: Server type不會因為apply 不同的protection group profile 而讓服務的port 沒辦法通過。 差異在於防禦手法的不同,比方說DNS protection group profile , 因為DNS 主要是以tcp & udp 為主,但不會有http 服務(假設dns server 純為dns 服務),因此,對於http 的防禦就不開,但不表示說會檔掉80 port

 

 

1.   Server type 防禦對照表

 

 

 

5.時間區間2.通過arbor的流量分析

64321

 

2-1 default protection group通過arbor的總流量

2-2 arbor 允許通過到default protection group的流量

2-3 arbor擋下到default protection group的流量(有問題的流量)

2-4 arbor 擋下的ip數量

2-5選擇不同時間區間,可以看到該時間區間內的統計資料

2-6 選以packet bytes為單位


 

 

3.攻擊類型統計資料:依照不同類型的攻擊作資料統計。在這統計資料表中,可以看到arbor擋下的攻擊流量,點選Blocked hosts可以看到arbor攔截到的的攻擊ip;點選Details可以看到改攻擊的詳細資料。

被攔截的流量被攔截的封包攻擊類型12

 

 

 

 

 

3-1 點選攻擊名稱的blocked hosts,可以看到該類型攻擊的source ip destination ip

3-1-1可根據自己設定條件搜尋資料

3-1-2 arbor攔截攻擊的全部種類

以下為執行結果

3ˇˇˇˇ21

 

 

 

 

3-1-3 點選Packet Capture,進行對該ip的封包作觀察,以下為執行結果。

 

 

 

 

 

 

 

 

 

 

 

 

3-1-4 點選Details,可以看到該ip進行攻擊的類型、流量、目的地ip,以下為執行結果。

流量圖

 

 

 

 

 

 

 

 

3-2點選可以看到該類型攻擊被攔下的流量、封包數、ip數量

 

 

 

 

 

 

 

 

 

14.暫時被封鎖的ip統計:在這裡可以針對暫時被封鎖的IP做過濾封包的觀察、Blocked hosts的查詢,若要將暫時被封鎖的ip解除封鎖,可以點選whitelist允許該ip通過。

被擋下截的封包被封鎖的IP封鎖時間類型32該IP攻擊類型121

 

 

 

 

4-1 將此IP加入到白名單(允許該IP通過),執行結果如下    PGs:Protection group

在ProtectàWhitelists  可以看到新增一筆白名單

4-2點選,可以針對該做Blocked Hosts的查詢,以下為執行結果

 

4-3點選Packet Capture,進行對該ip的封包作觀察,以下為執行結果

 

 

 

 

 

 

 

 

 

 

 

 

5.URL被訪問統計資料:URL被訪問次數作成的統計資料,若要將URL關閉,可以點選Blacklist,該URL將加入黑名單,不在被瀏覽。

1

5-1點選可將該URL加入黑名單,執行結果如下

在Protectàblacklists可以看到新增一筆URL

 

 

6.domain 被訪問的統計資料:依照domain被訪問的次數作成的統計資料。若要將domain關閉,可以點選Blacklist ,該domain將加入黑名單,不在被訪問。

1

 

 

 

6-1點選可將該domain加入黑名單,執行結果如下

在Protectàblacklists可以看到新增一筆domain

 

7.Web crawlers(網路爬蟲)統計資料:分析網路爬蟲的來源搜尋引擎

網路爬蟲來源

 

 

 

8.訪問IP 的位置(國家)統計資料:依國家為單位統計的ip封包量,若想將來自該國家的所有IP都封鎖,可以點選Blacklist,該國家會加

會加入黑名單,來自該國家所有ip將不能訪問group。點選Packet Capture針對該國家作封包過過濾進行觀察。

 

 封包流量分析


21

 

8-1點選Packet Capture,進行對該國家通過arbor的封包作觀察,以下為執行結果

8-2點選可將該來自該國家的IP加入黑名單,執行結果如下

在Protectàblacklists可以看到新增一個國家

 

 

 

 

9.Protocols 的統計資料:針對通過arbor的流量做Protocols的分類

 

 

 

 

 

 

 

 

 

 

 

 

10.Services統計資料:統計各種service使用的流量,在這張圖表可以利用Packet Capture的功能,針對該service作封包過濾進行觀察。

1

 

 

 

 

 

 

10-1點選Packet Capture,針對該service篩選,觀察封包,執行結果如下