Wykrywanie i alertowanie ataków DDoS w Energy Logserver

Energy Logserver pozwala wykryć atak DDoS na kilka sposobów. We wszystkich scenariuszach otrzymujemy powiadomienia lub podejmujemy zautomatyzowaną, określoną akcję na podstawie wykrycia, dlatego stosujemy alertowania. Możemy albo zintegrować się z oprogramowaniem firewall, które jest w stanie wykryć taki atak lub możemy samodzielnie tworzyć takie detekcje.

W jednym podejściu typem alertu dla tego studium przypadku jest Frequency. Szukamy wskaźnika połączenia i liczymy wystąpienia per źródłowy adres IP. Jeśli będzie więcej niż 100 połączeń na 1 adres IP w ciągu 5 minut - zostanie uruchomiony alert.

Możemy stworzyć taki sam rodzaj alertu, który liczy wystąpienia per strona internetowa z określonym progiem maksymalnej wizyty.

Inną opcją jest utworzenie obu tych alertów bez powiadomienia i utworzenie korelacji między nimi przy użyciu typu alertu Logical.