Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

슈퍼플로우

JSA 는 개별 플로우를 분석하여 네트워크에서 일반적인 공격 벡터가 사용되고 있다는 지표를 찾습니다. 기준과 일치하는 플로우 수가 지정된 수에 도달하면 JSA 는 개별 플로 우를 슈퍼플로우로 그룹화합니다. 각 슈퍼플로우는 그 안에 번들로 제공되는 플로우 레코드 수에 관계없이 분당 플로우(FPM) 라이선스에 대해 하나의 플로우로만 계산됩니다.

슈퍼플로우가 생성되기 전에 기준과 일치해야 하는 고유한 플로우 수를 제어하도록 플로우 임계값을 구성할 수 있습니다. 임계값이 100인 경우, 처음 99개의 플로우가 일반 플로우 기록으로 전송됩니다. 100번째 플로우 및 후속 일치 플로우는 슈퍼플로우 레코드에 포함됩니다. JSA 는 매 분 슈퍼플로우에 대해 계속 보고하며, 일치하는 트래픽 없이 하나의 전체 간격이 통과될 때까지 계속합니다. 슈퍼플로우는 하나의 플로우 레코드만 일치하는 경우에도 유지되므로 일부 슈퍼플로우는 작게 보일 수 있습니다.

팁:

JSA가 슈퍼플로우를 생성하지 않도록 하려면 플로우 프로세서 구성 설정에서 슈퍼 플로우 생성 설정을 으로 No변경합니다.

수퍼플로우 유형 A: 네트워크 스캔

네트워크 검사는 네트워크에서 모든 활성 호스트를 발견하고 호스트를 IP 주소에 매핑하려고 시도합니다.

JSA 는 한 호스트가 여러 호스트에 데이터를 전송하는 플로우를 찾고 이러한 유형의 활동을 유형 A 슈퍼플로우로 플래그를 지정합니다. 이 단방향 플로우는 다른 대상 IP와 동일한 소스 IP를 가진 모든 플로우의 집계이지만 다음 매개 변수는 동일합니다.

  • 프로토콜

  • 소스 바이트 대 패킷 비율

  • 소스 IP 주소

  • 대상 포트(TCP 및 UDP 플로우만 해당)

  • TCP 플래그(TCP 플로우만 해당)

  • ICMP 유형 및 코드(ICMP 플로우만 해당)

Superflow Type A: Network Scan

슈퍼플로우 유형 B: 분산 서비스 거부(DDoS)

DDoS 공격은 여러 시스템이 대상 시스템의 대역폭 또는 리소스를 플러딩할 때 발생합니다.

JSA 는 많은 호스트가 하나의 대상 호스트에 데이터를 전송하고 이 활동을 유형 B 슈퍼플로우로 플래그를 지정하는 플로우를 찾습니다. 이 단방향 플로우는 단일 대상 IP를 가진 다른 소스 IP를 가진 모든 플로우의 집계이지만 다음 매개 변수는 동일합니다.

  • 프로토콜

  • 소스 바이트 대 패킷 비율

  • 대상 IP 주소

  • 대상 포트(TCP 및 UDP 플로우만 해당)

  • TCP 플래그(TCP 플로우만 해당)

  • ICMP 유형 및 코드(ICMP 플로우만 해당)

Superflow Type B: Distributed Denial of Service (DDoS)

수퍼플로우 유형 C: 포트 스캔

포트 검사는 네트워크의 특정 호스트가 사용하는 포트를 식별하려고 시도합니다.

JSA 는 소스 IP와 대상 IP가 하나이지만 포트가 많은 플로우를 찾습니다. 이 단방향 플로우는 다른 소스 또는 대상 포트를 가지는 모든 비ICMP 플로우의 집계이지만 다음 매개 변수는 동일합니다.

  • 프로토콜

  • 소스 IP 주소

  • 대상 IP 주소

  • 소스 바이트 대 패킷 비율

  • TCP 플래그(TCP 플로우만 해당)

Superflow Type C: Port Scan