زمانی که سنسور ترافیک مخرب شناسایی می کند براساس اینکه سنسور چگونه تنظیم شده و در چه حالتی (IPS یا IDS) کار می کند سنسور می تواند نوعی action را نسبت به ترافیک شناسایی شده انتخاب کند. لیست این action ها به شرح زیر است :
مجموعه دوره آموزش فایروال (Firewall) و تجهیزات امنیتی - مقدماتی تا پیشرفته
- Deny attacker inline : این action تمام بسته های ارسالی از آدرس مهاجم را برای مدت زمان مشخص شده drop می کند و بعد از این مدت زمان در صورت برطرف شدن مشکل ، دیگر بسته ها از این آدرس drop نخواهند شد.
- Deny connection inline : در این حالت بسته های مربوط به یک TCP session را drop می کند و ارتباط از طریق session دیگر در صورتی که آن session مشکلی نداشته باشد می تواند برقرار شود.
- Deny packet inline : بسته شناسایی شده توسط سنسور drop می شود.
- Log attacker (source) packets : در این حالت سنسور شروع به تولید log در رابطه با بسته ها براساس آدرس مبدا مهاجم می کند.
- Log victim (destination) packets : در این حالت برای تمام بسته هایی که مقصدشان قربانی است log تولید می شود.
- Log pair (source, destination) packets : در این حالت log برای بسته هایی تولید می شود که مبدا و مقصد آنها مهاجم و قربانی باشد. در واقع برای بسته هایی که بین مهاجم و قربانی دروبدل می شوند log تولید می شود.
- Produce alert : یک alert در هنگام شناسایی توسط IDS/IPS ایجاد می شود.
- Produce verbose alert : عملکرد آن مشابه Produce alert است با این تفاوت که یک کپی از کل بسته را نیز شامل می شود.
- Request block connection : در اینجا سنسور از یک دستگاه دیگر برای بلاک کردن کانکشن کمک می گیرد.
- Request block host : سنسور درخواست بلاک کردن IP مهاجم را می کند.
- Request SNMP trap : یک بسته SNMP trap ارسال می شود.
- Reset TCP connection : درخواست ریست کردن connection ارسال می کند.
نکته : آیتم های که در لیست بالا با deny شروع می شود تنها توسط IPS قابل اجرا هستند.