#35
Lehet, hogy nem fogalmaztam elég részletesen. Az automatikus levágás az úgy működik, hogy van egy IPS vagy egy IDS, vagy ezek kombinációja, egy jópofa router vagy tűzfal szolgáltatás egy nagyobb teljesítményű cisco vagy akármilyen cuccon, és van neki egy hihetetlen bonyolult beállíthatósági ill paraméterezhetőségi képessége. Namost, az IDS-nek van egy akár több milliós adatbázisa, amiben vannak különböző minták. A minták (amik nem feltétlenül valami rossz dolgot csinálnak, lehet az egy speckó protokol felismerése is) felismerése alapján kap az emberke egy action-t, azaz egy intézkedést, hogy mit tegyen az a rendszer. Ha pl egy vírusról van szó, a brit isp amiről lentebb beszéltem, asszem a blasternél átirányította a fertőzötteket egy blaster javítást tartalmazó belső honlapra. Sokan, úgy gondolják, hogy egy új vírus nagyon sok gépet megtámad egyszerre. Ez számszerűen igaz, de relative nem, mert 20-25% fertőzöttségi arány már soknak számít. Tehát szimplán fogja a routeres, letölti az új signature-t a routerbe és beállítja a kívánt action-t. Általában blokkolni szokták azt a forgalmat ami kárt okoz, ha lehet. Ha nem lehet blokkolni (mert pl annyira random maga a forgalom(csak felismerni lehet nem szűrni)), akkor mindent blokkolnak, és átirányítanak egy oldalra ahol ott a javítócsomag. Ez mint mondottam volt, már bevett szokás nyugaton...
#35