この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector(Detector モジュール)のゾーン ポリシー、ポリシー構造、およびポリシー テンプレートについて説明します。また、ゾーン ポリシーとポリシー テンプレートのパラメータの設定方法についても説明します。
この章には、Detector モジュールの関連製品である Cisco Guard(Guard)についての記述があります。Guard は、DDoS 攻撃(分散型サービス拒絶攻撃)を検出して軽減するデバイスです。Guard は、ゾーン トラフィックが通過する際に攻撃トラフィックをドロップして正常なトラフィックをネットワークに戻し、ゾーン トラフィックをクリーンにします。Detector モジュールは、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにできます。また、Detector モジュールは Guard とゾーン設定を同期させることができます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。
• ポリシーの監視
Detector モジュールは、ゾーン ポリシーにより、ゾーンのトラフィック フローの統計分析を行うことができます。ポリシーは、ポリシー タイプに応じて、次のいずれかのトラフィック特性を監視します。
• トラフィック レート:パケット/秒単位またはパケット/時単位で測定した、トラフィックのレート。パケット/時単位でトラフィックを監視するポリシー(PPH ポリシー)は、ゾーン トラフィックで、何時間または何日も続くことのある低レート ゾンビ攻撃を監視するために使用されます。
• パケットの比率:あるパケット タイプと別のパケット タイプの比率。
ゾーン ポリシーは、特定のトラフィック フローがポリシーのしきい値を超え、悪意のあるトラフィックまたは異常なトラフィックであることを示した場合に、そのフローに対してアクションを実行するように設定されています。フローがポリシーのしきい値を超えると、ポリシーはフィルタ(動的フィルタ)セットを動的に設定して、イベントを自身の syslog に記録するか、リモート Guard リストで定義した Guard をアクティブにします。Guard は、アクティブになると、攻撃を軽減してゾーンを保護します。
各ゾーン設定には、ポリシーのセットが含まれています。事前定義されたゾーン テンプレートを使用して新しいゾーンを作成する場合、Detector モジュールは、そのテンプレートに関連付けられているポリシーを新しいゾーンに設定します。既存のゾーンをコピーして新しいゾーンを作成する場合、Detector モジュールは、既存のゾーンのポリシーを新しいゾーンに設定します。
ゾーン固有のポリシーを作成し、通常のゾーン トラフィックを認識するようしきい値を調整するために、Detector モジュールは 2 つのフェーズのラーニング プロセスでゾーン トラフィックをラーニングします(「ラーニング プロセスについて」を参照)。Detector モジュールは事前定義されたポリシー テンプレートを使用してポリシーを構築し、それからゾーン トラフィックによって決定されたポリシーのしきい値をラーニングします。Detector モジュールは、各ポリシー テンプレートを使用して、特定の DDoS 攻撃の脅威からゾーンを保護するために必要なポリシーを作成します。Detector モジュールがゾーン ポリシーを作成および調整を行ったら、ゾーン ポリシーの追加および削除、またはゾーン ポリシー パラメータの変更が行えます。
ポリシーには、相互依存性および優先度があります。2 つの異なるポリシーが同じトラフィック フローを定義している場合、Detector モジュールは、より限定的なポリシーを使用してフローを分析します。たとえば、TCP サービスに関連するポリシーでは、HTTP 関連のポリシーによって処理される HTTP サービスが除外されます。
ポリシー テンプレートとは、Detector モジュールがポリシー構築フェーズでゾーン ポリシーを作成するときに使用する、ポリシー構築の規則の集まりです。ポリシー テンプレートには、テンプレートから作成されるすべてのポリシーに共通の特性に由来した名前が付けられます。共通の特性の例には、プロトコル(dns など)、アプリケーション(http など)、または目的(ip_scan など)があります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを生成します。新しいゾーンを作成する場合、Detector モジュールのゾーン設定には一連のポリシー テンプレートが用意されています。
表7-1 で、Detector モジュールのポリシー テンプレートについて説明します。DETECTOR_DEFAULT ゾーン テンプレートを使用して新しいゾーンを作成する場合、Detector モジュールには次のポリシー テンプレートが用意されています。
Detector モジュールには、特定のタイプの攻撃または特定のサービス向けに設定されているゾーン テンプレートから作成されたゾーン用に追加のポリシー テンプレートがあります。 表7-2 に、特定のゾーン テンプレートに基づいて Detector モジュールがゾーン設定に追加する、ポリシー テンプレートを示します。
|
|
---|---|
worm_tcp:TCP ワームを特定するポリシーのグループを構築します。TCP ポリシーは、ワーム攻撃を管理します。この攻撃では、1 つまたは複数の送信元 IP アドレスから、多数の宛先 IP アドレスに対する多数の未確立の接続が同一ポート上に作成されます。ポリシー テンプレートは、主に IP アドレス定義がサブネットであるゾーン向けに設計されています。 Detector モジュールは、ポリシー構築フェーズではなく、ラーニング プロセスのしきい値調整フェーズで、このポリシー テンプレートから作成されたポリシーにサービスを追加します。ポリシー テンプレート パラメータの max_services と min_threshold は、このポリシー テンプレートには適用されません。詳細については、「ワーム ポリシーについて」を参照してください。 |
GUARD_ ゾーン テンプレートからゾーンを作成する場合、Guard に同期させることができる追加のポリシー テンプレートのパラメータを設定できます。Detector モジュールは、 表7-3 に示すポリシー テンプレートを使用して tcp_connections と tcp_outgoing のポリシー テンプレートを http_ns、tcp_connections_ns および tcp_outgoing_ns policies のポリシー テンプレートに置き換えます。http_ns、tcp_connections_ns、および tcp_outgoing_ns の各ポリシー テンプレートは、Guard に対し、トラフィック フローに強化保護レベルを適用するよう要求するアクションを持つポリシーは作成しません。
表7-3 に、Detector モジュールの GUARD_TCP_NO_PROXY ポリシー テンプレートの詳細を示します。
|
テンプレート |
|
---|---|---|
すべてのポリシー テンプレートのリストを表示するには、ゾーン設定モードで policy-template コマンドを使用し、 Tab キーを 2 回押してください。
ラーニング プロセス中、アクティブな各ポリシー テンプレートは、ポリシー定義とゾーン トラフィック特性に基づいてポリシー グループを作成します。Detector モジュールは、トラフィック量のレベルに応じて、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をランク付けします。次に Detector モジュールは、トラフィック量が最大のサービスと、定義済みの最小しきい値を超えたサービスを選択し、各サービスに対するポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが追加されなかったすべてのトラフィック フローを処理する、any というサービスを備えた追加のポリシーを作成するものもあります。
• サービスの最大数:Detector モジュールがポリシー テンプレートを選択して特定のポリシーを作成する対象になるサービスの最大数を定義します。
• 最小しきい値:Detector モジュールでサービスをランク付けするために超える必要のある最小しきい値を定義します。
• ポリシー テンプレートの状態:Detector モジュールがポリシー テンプレートからポリシーを作成するかどうかを定義します。
ポリシー テンプレート パラメータである、サービスの最大数と最小しきい値は、worm_tcp ポリシー テンプレートには影響しません。
ポリシー テンプレートのパラメータを設定するには、ゾーン設定モードで次のコマンドを入力して、ポリシー テンプレート設定モードに入ります。
policy-template policy-template-name
policy-template-name 引数には、ポリシー テンプレートの名前を指定します。詳細については、 表7-1 を参照してください。
このコマンドを実行すると、Detector モジュールはポリシー テンプレート設定モードに入ります。
次の例は、http ポリシー テンプレート設定モードに入る方法を示しています。
特定のポリシー テンプレートのパラメータを表示するには、ポリシー テンプレート設定モードで show コマンドを使用します。
サービスの最大数のパラメータで、ポリシー テンプレートが選択してポリシーを作成する対象となるサービスの最大数(プロトコル番号またはポート番号)を定義します。Detector モジュールは、各サービスのトラフィック量のレベルによってサービスをランク付けします。次に Detector モジュールは、トラフィック量が最大のサービスと、定義済みの最小しきい値( min-threshold パラメータで定義される)を超えたサービスを選択し、各サービスに対するポリシーを作成します。Detector モジュールは any というサービスを備えた追加のポリシーを追加し、ポリシー テンプレートの特性を持つその他のすべてのトラフィック フローを処理することができます。
(注) サービスの最大数が大きいほど、ゾーンが必要とする Detector モジュールのメモリも多くなります。
サービスの最大数のパラメータは、サービスを検出するポリシー テンプレート(tcp_services、tcp_services_ns、udp_services、および other protocols など)にのみ定義できます。特定のサービスを監視するポリシー テンプレート(サービス 53 を監視する dns_tcp など)や、特定のトラフィック特性に関連するポリシー テンプレート( fragments など)には、このパラメータは設定できません。
Detector モジュールは、ポリシーのトラフィック特性に基づいて、サービスのトラフィック レートを測定します。トラフィック特性は、送信元 IP アドレスまたは宛先 IP アドレスになります。 any サービスを監視するポリシーは、特定のポリシーで処理されないすべてのサービスで送信元 IP アドレスのレートを測定します。
サービス数を制限すると、目的のトラフィック フロー要件に合せて Detector モジュールのポリシーを設定できます。
サービスの最大数を設定するには、ポリシー テンプレート設定モードで次のコマンドを使用します。
max-services 引数は、Detector モジュールが選択するサービスの最大数を定義する、1 より大きい整数です。サービスの最大数が 10 を超えないようにすることをお勧めします。
次の例は、Detector モジュールが監視するサービスの最大数を 5 に設定する方法を示しています。
最小しきい値のパラメータは、サービスの最小トラフィック量を定義します。このしきい値を超えると、Detector モジュールは、しきい値を超えた特定のトラフィック フローに応じて、サービスのトラフィックに関連するポリシーを構築します。このしきい値を設定すると、ゾーン サービスのトラフィック量に異常検出を的確に合せることができます。
ポリシー テンプレート dns_udp、fragments、ip_scan、port_scan、tcp_connections、tcp_not_auth、tcp_outgoing、および tcp_ratio に最小しきい値のパラメータを設定することはできません。これらのテンプレートは、正しいゾーン保護に不可欠で、必ずポリシーを構築します。
最小しきい値を設定するには、ポリシー テンプレート設定モードで次のコマンドを使用します。
min-threshold 引数は、0 以上の実数(小数点以下が 2 桁の浮動小数点型の数字)で、最小しきい値レートをパケット/秒(pps)単位で定義します。同時接続および SYN/FIN の比率を測定する場合、しきい値は接続の合計数を定義する整数になります。
次の例は、ポリシー テンプレート http の最小しきい値を設定する方法を示しています。
ポリシー テンプレートの状態のパラメータは、ポリシー テンプレートをイネーブルまたはディセーブルにするかどうかを定義します。Detector モジュールが、ディセーブルになっているポリシー テンプレートをポリシー構築フェーズ中に使用してポリシーを作成することはできません。
ポリシー テンプレートをディセーブルにするには、ポリシー テンプレート設定モードで disable コマンドを使用します。
ポリシー テンプレートをイネーブルにするには、ポリシー テンプレート設定モードで enable コマンドを使用します。
次の例は、ポリシー テンプレート http をディセーブルにする方法を示しています。
ゾーン設定モードで次のコマンドを入力して、1 つのコマンドで、ポリシー テンプレートのすべての動作パラメータを設定できます。
policy-template policy-template-name max-services min-threshold {disabled | enabled}
表7-4 に、policy-template コマンドの引数とキーワードを示します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表7-5 を参照してください。 |
|
Detector モジュールが選択して特定のポリシー テンプレートからポリシーを構築する対象となるサービスの最大数。 Detector モジュールで現在の値が変更されないようにするには、-1 という値を入力します。 詳細については、「サービスの最大数の設定」を参照してください。 |
|
Detector モジュールでサービスをランク付けするために超える必要のある最小しきい値。 Detector モジュールで現在の値が変更されないようにするには、-1 という値を入力します。 詳細については、「最小しきい値の設定」を参照してください。 |
|
ポリシー テンプレートをディセーブルにして、ポリシーが作成されないようにします。詳細については、「ポリシー テンプレートの状態の設定」を参照してください。 |
|
ポリシー テンプレートをイネーブルにします。詳細については、「ポリシー テンプレートの状態の設定」を参照してください。 |
次の例は、ポリシー テンプレート tcp_services のパラメータを設定する方法を示しています。この例では、サービスの最大数は 3 に、ポリシーの状態は enabled に設定され、最小しきい値は変更されていません(-1)。
ポリシーの名前はセクションで構成されており、各セクションは測定対象であるトラフィック特性を示しています。たとえば、ポリシー http/80/analysis/syns/src_ip は、Detector モジュールの分析検出機能によって認証され、送信元 IP アドレスに応じて集約された、ポート 80 宛ての HTTP SYN パケットのトラフィック フローを測定します。
図7-1 に、ゾーン ポリシー名の例を示します。
表7-5 に、ポリシー名のセクションを示します。
|
|
---|---|
ポリシーの構築に使用されたポリシー テンプレート。各ポリシー テンプレートは、特定の DDos 攻撃の脅威の検出のために Detector モジュールが必要とする特性を扱います。詳細については、「ポリシー テンプレートについて」を参照してください。 |
|
Detector モジュールがトラフィック フローに適用する Detect レベル。Detect レベルの設定は静的であり、手動で設定することはできません。 |
|
ポリシー名の最初の 4 つのセクション(ポリシー テンプレート、サービス、検出レベル、および パケット タイプ)は、分析されるトラフィックのタイプを定義します。ポリシー パスの最後のセクション(トラフィック特性)は、フローの分析方法を定義します。
• Detector モジュールが監視するパケット タイプについて
• Detector モジュールが監視するトラフィック特性について
サービス セクションは、各ポリシーに関連するゾーン アプリケーションのポートまたはプロトコルを定義します。ポリシーには、相互依存性および優先度があります。2 つの異なるポリシーが同じトラフィック フローを定義している場合、Detector モジュールは、より限定的なポリシーを使用してフローを分析します。サービス any は、同じポリシー テンプレートから作成された他のサービスと特に一致しないすべてのトラフィックに関連します。
個々のニーズに最適な異常検出にするために、ゾーンのメイン サービスに具体的なポリシーを定義することをお勧めします。
ゾーン ポリシーへのサービスの追加またはゾーン ポリシーからのサービスの削除を行うと、Detector モジュールはそのゾーン ポリシーに未調整のマークを付けます。ゾーン異常検出とラーニング プロセスをイネーブルにした場合、次のいずれかの操作を実行するまで、Detector モジュールはゾーン トラフィックの異常を検出できません。
• ラーニング プロセスのしきい値調整フェーズを実行して、その結果を受け入れる(「しきい値調整フェーズのアクティブ化」を参照)。
• ゾーンのポリシーを調整済みとしてマークする(「ポリシーに対する調整済みのマーク付け」を参照)。
• サービスの追加
• サービスの削除
特定のポリシー テンプレートから作成されたすべてのポリシーに、サービスを追加できます。新しいサービスは、ポリシー構築フェーズ中に検出されたサービスに追加され、デフォルト値で定義されます。しきい値を手動で定義することもできますが、ラーニング プロセスのしきい値調整フェーズを実行して、ポリシーをゾーン トラフィックに合せて調整することをお勧めします。詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。
新しいサービスを追加できるのは、次のポリシー テンプレートから作成されたポリシーです。
• tcp_services、udp_services、tcp_services_ns、または worm_tcp
(注) サービスを追加した後でポリシー構築フェーズをアクティブにすると、新しいサービスによって、手動で追加したサービスが無効にされる場合があります。
次の状況では、ポリシー構築フェーズをイネーブルにしない場合は、サービスを手動で追加する必要があります。
• 新しいアプリケーションまたはサービスがゾーン ネットワークに追加された。
• ポリシー構築フェーズの実行期間が短かったため、一部のネットワーク サービスが反映されていない(たとえば、週に 1 回のみあるいは夜間のみアクティブになる既知のアプリケーションまたはサービスがある)。
サービスを追加するには、次のコマンドのいずれかを使用します。
• add-service service-num :ポリシー テンプレート設定モードの場合。
• policy-template policy-template-name add-service service-num: ゾーン設定モードの場合。
表7-6 に、 add-service コマンドの引数を示します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表7-1 を参照してください。 |
次の例は、ポリシー テンプレート tcp_services から作成されたすべてのポリシーに、サービスを追加する方法を示しています。
すべてのポリシー テンプレートから作成された特定のサービスを削除できます。Detector モジュールは、特定のポリシー テンプレートから作成されたすべてのポリシーからサービスを削除します。
サービスを削除するには、次のコマンドのいずれかを使用します。
• remove-service service-num :このコマンドはポリシー テンプレート設定モードで使用します。
• policy-template policy-template-name remove-service service-num :このコマンドはゾーン設定モードで使用します。
表7-7 に、 remove-service コマンドの引数を示します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表7-1 を参照してください。 |
• tcp_services、udp_services、または tcp_services_ns
次の状況では、ラーニング プロセスのポリシー構築を実行しない場合は、サービスを手動で削除する必要があります。
• アプリケーションまたはサービスがネットワークから削除された。
• (ネットワーク環境内で一般的でないという理由から)保護をイネーブルにしたくないアプリケーションまたはサービスが、ポリシー構築フェーズ中に識別された。
(注) サービスを削除した後でポリシー構築フェーズをアクティブにすると、同じサービスが再度追加される場合があります。
次の例は、ポリシー テンプレート tcp_services から作成されたすべてのポリシーから、サービスを削除する方法を示しています。
Detector モジュールはパケット特性を監視します。パケット特性は、次のいずれかです。
• パケット分析(認証済みパケットなど。認証済みパケットとは、Detector モジュールが TCP ハンドシェイクを実行してパケット接続をすでに確認しているパケットのこと)
表7-8 で、Detector モジュールが監視するパケット タイプについて説明します。
トラフィック特性とは、トラフィック フローをどのように分析するか、またポリシーの集約にどのような特性が使用されたか定義するものです。分析するトラフィックが同じでも、異なる特性に基づいてレートを測定する異なるポリシーがあります。次にその例を示します。
/53/analysis/pkts/dst_ip and /53/analysis/pkts/src_ip
表7-9 に、Detector モジュールが監視するトラフィック特性を示します。
|
|
---|---|
特定の宛先ポート上でゾーン宛先 IP アドレスをスキャンする送信元 IP アドレスの数のヒストグラム。詳細については、「ワーム ポリシーについて」を参照してください。 |
|
同一ポート上の多数のゾーン IP アドレスにアクセスしようとしている 1 つの IP アドレスからのトラフィック。このキーは IP スキャニングに使用されます。 |
|
1 つのゾーン宛先 IP アドレス上の多数のポートにアクセスしようとしている 1 つの IP アドレスからのトラフィック。このキーはポート スキャニングに使用されます。 |
ラーニング プロセスが完了したら、特定のポリシー パラメータ(ポリシーの状態、ポリシーのしきい値、ポリシーのタイムアウト、ポリシーのアクション、およびポリシーのインタラクティブ状態)を表示し、そのポリシー パラメータがゾーン トラフィックに適しているかどうかを判断できます。単一のポリシーまたはポリシー グループのポリシー パラメータがゾーン トラフィック要件を満たすように設定できます。
ポリシー パラメータの設定を表示するには、ポリシー設定モードで次のコマンドを使用します。
特定のポリシーの現在のパラメータ設定を表示するには、ポリシー設定モードで show コマンドを使用します。ポリシー設定モードに入るには、ゾーン設定モードで次のコマンドを使用します。
policy-path 引数には、ポリシー パス セクションを指定します。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ゾーン ポリシーについて」を参照してください。
(注) ポリシー パス階層で 1 レベル上に移動するには、ポリシー パス プロンプトで policy .. を入力します。
次の例は、/53/analysis/syns/global ポリシー設定モードに入る方法を示しています。
ポリシーのアクション、タイムアウト、しきい値、およびラーニングのパラメータは、ポリシー パスの各セクションで変更できます。ただし、上位レベルのポリシー セクション(ポリシー テンプレート セクションまたはサービス セクションなど)でこれらのパラメータを変更すると、より多くのポリシーが影響を受けます。上位レベルのポリシー パス階層でこれらのパラメータを設定すると、すべてのサブポリシー パスでこれらのパラメータが変更されます。各ポリシー パス セクションでは、ワイルドカード文字としてアスタリスク(*)を使用できます。ポリシー パス セクションを指定しないと、指定していないセクションが Detector モジュールによってワイルドカード(*)と見なされます。たとえば、tcp_services//analysis//global ポリシーでは、サービスとパケット タイプにワイルドカードが使用されています。
ゾーン トラフィックの低トラフィック レート ゾンビ攻撃を監視するポリシーの検出時間パラメータを設定することもできます。このようなポリシーは PPH ポリシーと呼ばれ、(パケット/秒単位ではなく)パケット/時単位でトラフィック レートを監視します。このようなポリシーのパス名のパケット タイプには、次の例のように _pph が追加されています。
(注) PPH ポリシーは、6.1 または 6.1-XG ソフトウェア リリースで作成するゾーン設定だけに含まれます。以前のソフトウェア バージョンで作成したゾーンには、PPH ポリシーが含まれません。
(注) 新しいゾーンの作成時には、PPH ポリシーはデフォルトでディセーブル状態に設定されています。これは、PPH ポリシーにより、ゾーンが使用するメモリ量が増加したり、Detector モジュールのパフォーマンスに影響が及んだりする可能性があるからです。ゾーンの PPH ポリシーをイネーブルにするには、ポリシーの状態をアクティブに変更する必要があります(「ポリシーの状態の変更」を参照)。
• アクティブ:ポリシーはトラフィックを監視し、しきい値を超えた場合にアクションを実行します。
• 非アクティブ:ポリシーはトラフィックを監視し、しきい値を取得しますが、しきい値を超えてもアクションは実行しません。ポリシーを非アクティブにし、ラーニング プロセスのしきい値調整フェーズが再度実行されないようにすることができます。
• ディセーブル:ポリシーはトラフィック フローを監視しないので、しきい値を取得しません。
(注) Detector モジュールが他のポリシーの正確なしきい値を監視するようにするには、ラーニング プロセスのしきい値調整フェーズをアクティブにすることをお勧めします。
ポリシーの状態を変更するには、ポリシー設定モードで次のコマンドを使用します。
state { active | disabled | inactive }
次の例は、すべてのグローバル ポリシーの状態を設定する方法を示しています。
ゾーン ポリシーをディセーブルにした後でポリシー構築フェーズを実行すると、現在のトラフィック フローに応じてすべてのゾーン ポリシーが再設定され、ポリシーが再度アクティブになることがあります。
ポリシーのしきい値は、特定のポリシーのしきい値トラフィック レートを定義するもので、しきい値調整フェーズで調整されます。このしきい値を超過すると、ポリシーはポリシー アクションによって定義されたアクションを実行します。
しきい値は、次のポリシー テンプレートで構築されたポリシーを除き、パケット/秒で測定されます。
• num_soruces:しきい値は IP アドレスまたはポートの数で測定されます。
• tcp_connections:しきい値は接続の数で測定されます。
• worm_tcp:しきい値は、送信元 IP からスキャンできるゾーン宛先 IP アドレスの最大数として測定されます。
• しきい値を設定する:ポリシーのしきい値の値を設定できます。「ポリシーのしきい値の設定」を参照してください。
• しきい値を乗算する:Detector モジュールは、現在のポリシーのしきい値に係数を掛けます。新しい値を固定値として設定しない場合、後続のしきい値調整フェーズでこの値が変更されることがあります。「係数によるしきい値の乗算」を参照してください。
• 特定の IP しきい値を設定する:Detector モジュールは、ゾーン アドレス範囲内で、特定の IP 送信元アドレスのしきい値を設定します。「特定の IP しきい値の設定」を参照してください。
ポリシーのしきい値は、しきい値調整フェーズをさらに実行すると変更される場合があります。後続のしきい値調整フェーズでしきい値が変更されるかどうかは、次の方法で指定できます。
• しきい値を固定値として設定する:Detector モジュールは、以後のしきい値調整フェーズで、ポリシーのしきい値(proxy-threshold および threshold-list)の値を変更しません。「固定値としてのしきい値の設定」を参照してください。
• ポリシーのしきい値に固定乗数を設定する:Detector モジュールは、以降のしきい値調整フェーズで、現在のポリシーのしきい値、ラーニングしたしきい値、および固定乗数に基づいてポリシーのしきい値を計算します。「しきい値の乗数の設定」を参照してください。
ポリシーのしきい値を設定するには、ポリシー設定モードで次のコマンドを使用します。
threshold 引数は、ポリシーのしきい値を指定する正数です。
次の例は、ポリシー /53/analysis/syns/global のしきい値を 300 に設定する方法を示しています。
ポリシーのしきい値(proxy-threshold および threshold-list)を固定値として設定できます。Detector モジュールは、ラーニング プロセスのしきい値調整フェーズで新しいしきい値を無視し、現在のしきい値を保持します。しきい値を固定値として設定することにより、特定のポリシーのしきい値は手動で設定するが他のポリシーのしきい値は引き続きラーニングするということが可能になります。
ポリシーのしきい値を固定値として設定するには、ポリシー設定モードで次のコマンドを使用します。
learning-params fixed-threshold
次の例は、ポリシー 53/analysis/syns/global のしきい値を固定値として設定する方法を示しています。
ゾーン設定モードで次のコマンドを入力すると、1 つのコマンドで複数のポリシーのしきい値を固定値として設定できます。ゾーン設定モードでポリシーのしきい値を固定値として設定するには、次のコマンドを使用します。
policy policy-path learning-params fixed-threshold
policy-path 引数には、ポリシー パスを指定します。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ゾーン ポリシーについて」を参照してください。
次の例は、ポリシー テンプレートから作成されたすべてのポリシーのしきい値を固定値にする方法を示しています。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-params コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-params コマンドを使用します。
ポリシーのしきい値の乗数を設定できます。Detector モジュールは、以後のしきい値調整フェーズの結果を受け入れる前に、指定された乗数をラーニングしたしきい値に掛けて新しいポリシーのしきい値を計算します。Detector モジュールは、設定されているしきい値選択方式を使用して、しきい値調整フェーズの結果を受け入れます。「しきい値選択方式の設定」を参照してください。
ポリシーのしきい値の乗数を設定するには、ゾーン設定モードで次のコマンドを使用します。
policy policy-path learning-params threshold-multiplier threshold-multiplier
表7-10 に、 policy learning-params threshold-multiplier コマンドの引数とキーワードを示します。
|
|
---|---|
しきい値を掛ける対象のポリシー パス。パスは、ポリシー セクションの一部のみを含む部分パスでもかまいません。詳細については、「ゾーン ポリシーについて」を参照してください。 |
|
ポリシーのしきい値を乗算します。 threshold-multiplier は、ポリシーのしきい値に掛ける正の実数(小数点以下が 2 桁の浮動小数点型の数字)。ポリシーのしきい値を小さくするには、1 より小さい数値を入力します。 |
ポリシー設定モードでポリシーのしきい値の乗数を設定するには、learning-params threshold-multiplier threshold-multiplier コマンドを使用します。
次の例は、以後のしきい値調整フェーズで Detector モジュールがポリシー テンプレートから作成されたポリシーのしきい値を半減するように、しきい値乗数を設定する方法を示しています。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-params コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-params コマンドを使用します。
ポリシーまたはポリシー グループのしきい値に係数を掛けて、トラフィック量がゾーン トラフィックを表していない場合に、ポリシーまたはポリシー グループのしきい値を増減することができます。Detector モジュールでは、ポリシーのしきい値、プロキシのしきい値、および policy threshold-list コマンドで定義されたしきい値の乗算をイネーブルにできます。
ポリシーのしきい値と係数を乗算するには、ゾーン設定モードで次のコマンドを使用します。
policy policy-path thresh-mult threshold-multiply-factor
表7-11 に、policy thresh-mult コマンドの引数とキーワードを示します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表7-1 を参照してください。 |
|
しきい値に掛ける正の実数(小数点以下が 4 桁の浮動小数点型の数字)を指定します。ポリシーのしきい値を小さくするには、1 より小さい数値を入力します。 |
次の例は、ポリシー テンプレートから作成されたポリシーのしきい値を半減する方法を示しています。
(注) Detector モジュールは、後続のしきい値調整フェーズでしきい値を変更する場合があります。
Detector モジュールがしきい値を変更しないようにするには、しきい値を固定値として設定します。「固定値としてのしきい値の設定」を参照してください。
ポリシーのラーニング パラメータを表示するには、ポリシー設定モードで show learning-params コマンドを使用するか、ゾーン設定モードで show policies policy-path learning-params コマンドを使用します。
トラフィックが大量であることがわかっている送信元または宛先 IP アドレスでトラフィックが増加したときに Detector モジュールが誤って攻撃として検出するのを防ぐには、その IP アドレスに関連付けられたトラフィック用のしきい値を持つポリシーを設定します。
次の状況のいずれかが発生した場合は、特定の IP しきい値を設定することを考慮する必要があります。
• ある送信元 IP アドレスから大量のトラフィックがあることがわかっている場合は、特定の送信元 IP アドレスからのトラフィックに適用するしきい値を設定できる。
• 非同種ゾーン(複数の IP アドレスで構成されるゾーン)があり、そのゾーンの一部にのみ大量のトラフィックが流れることがわかっている場合は、そのゾーン内の特定の宛先 IP アドレスを対象とするトラフィックに適用するしきい値を設定できる。
宛先 IP(dest_ip)というトラフィック特性を持つポリシーだけに、特定の IP しきい値を設定できます。
特定の IP しきい値を設定するには、次のコマンドのいずれかを使用します。
• policy policy-path threshold-list ip threshold [ip threshold ...]:このコマンドはゾーン設定モードで使用します。
• threshold-list ip threshold [ ip threshold ... ]:このコマンドはポリシー設定モードで使用します。
表7-12 に、threshold-list コマンドの引数を示します。
|
|
---|---|
ポリシー テンプレート名。詳細については、 表7-1 を参照してください。 |
|
しきい値トラフィック レート(パケット/秒)。ただし、同時接続および SYN 対 FIN の比率を測定するポリシーの場合、しきい値は接続数になります。 |
ポリシーごとに特定の IP しきい値を 10 個まで追加できます。特定の IP しきい値をすべて 1 つのコマンドで入力できます。
Detector モジュールは、しきい値選択方式が new-thresholds に設定されている場合、以後のしきい値調整フェーズでポリシーのしきい値を変更する可能性があります。詳細については、「しきい値選択方式の設定」を参照してください。
次の例は、ポリシー http/80/analysis/syns/src_ip に、IP アドレス 10.10.10.2 および 10.10.15.2 の特定の IP しきい値を設定する方法を示しています。
#
threshold-list 10.10.10.2 500 10.10.15.2 500
タイムアウト パラメータは、ポリシーによって作成される動的フィルタがアクションを適用する最小期間を定義します。
ポリシーのタイムアウトを設定するには、ポリシー設定モードで次のコマンドを使用します。
表7-13 に、timeout コマンドの引数とキーワードを示します。
|
|
---|---|
次の例は、ポリシー http/80/analysis/syns/src_ip のタイムアウトを 100 秒に設定する方法を示しています。
#
timeout 100
ポリシー グループのタイムアウトを同時に変更するには、ゾーン設定モードで policy set-timeout コマンドを使用します。
次の例は、HTTP ポリシー テンプレートから作成されたすべてのポリシーのタイムアウトを 100 秒に設定し、送信元 IP アドレスを測定する方法を示しています。
アクション パラメータは、しきい値を超過したときにポリシーが実行するアクションのタイプを定義します。
ポリシー アクションを設定するには、ポリシー設定モードで次のコマンドを使用します。
表7-14 に、ポリシー アクションを示します。
|
|
---|---|
しきい値超過が発生すると、リモート Guard をアクティブにします。リモート Guard はリモート Guard リストに定義されています。詳細については、「ゾーンを保護するためのリモート Guard のアクティブ化」を参照してください。 |
次の例は、ポリシー http/80/analysis/syns/src_ip にアクションを設定する方法を示しています。
#
action remote-activate
ポリシー グループのアクションを同時に変更するには、ゾーン設定モードで policy set-action コマンドを使用します。
次の例は、すべてのポリシーにアクションを設定する方法を示しています。
PPH ポリシーは、ゾーン トラフィックの低レート ゾンビ攻撃を監視し、パケット/秒単位ではなくパケット/時単位でトラフィック レートを測定します(「ゾーン ポリシーについて」の項を参照)。検出時間のパラメータでは、ポリシーがトラフィック レートを特定するためにパケットをカウントする期間(時間単位)を定義します。
悪意のあるトラフィックと正当なトラフィックを識別するために長いサンプリング期間が必要な場合は、検出時間を長くすることができます。たとえば、1 時間の期間中に正当なユーザと攻撃者が同じ数のパケットを送信することがあります。ただし、2 時間の期間では、正当なユーザがトラフィックの送信を停止してトラフィック レートが低くなる一方、執拗な攻撃者のトラフィック レートは高いままであることがあります。
PPH ポリシーのポリシー パスには、_pph が追加されたパケット タイプ ID が含まれます(たとえば、syns_pph)。ポリシー パスの詳細については、「ポリシー パスについて」の項を参照してください。
検出時間のパラメータを設定するには、次のいずれかのコマンドを使用します。
• policy policy-path detection-time detection-time-int :このコマンドはゾーン設定モードで使用します。
• detection-time detection-time-int :このコマンドはポリシー設定モードで使用します。
detection-time-int 引数には、検出時間を時間単位で指定します。1 ~ 48 の値を入力します。デフォルトは 1 です。
次の例は、ポリシー policy tcps_services/any/strong/reqs_pph/src_ip の検出時間を 8 時間に設定する方法を示しています。
インタラクティブ ステータスのパラメータは、ポリシーによって作成される保留動的フィルタのインタラクティブ ステータスを定義します。インタラクティブ ステータスは、ゾーン異常検出がイネーブルになっていて、ゾーンがインタラクティブ検出モードになっている場合にのみ、ゾーンに適用されます。詳細については、「インタラクティブ検出モードの使用方法」を参照してください。
ポリシーによって作成された保留動的フィルタのステータスを、推奨事項のインタラクティブ ステータスに設定した後で、 always-accept または always-ignore に変更するには、 interactive-status コマンドを使用します。
たとえば、推奨事項のステータスを always-accept に設定すると、推奨事項と推奨事項の保留動的フィルタが表示されなくなります。推奨事項または推奨事項によって生成される保留動的フィルタを無視するには、ポリシーのインタラクティブ ステータスを interactive または always-ignore に変更します。
ポリシー インタラクティブ ステータスを設定するには、ポリシー設定モードで次のコマンドを使用します。
interactive-status { always-accept | always-ignore | interactive }
表7-15 に、interactive-status コマンドのキーワードを示します。
|
|
---|---|
ポリシーによって生成される動的フィルタを自動的に受け入れます。このアクションは、ポリシーによって新しい推奨事項が生成されるたびに、自動的に適用されます。 |
|
ポリシーによって生成される動的フィルタを自動的に無視します。しきい値を超過しても、ポリシーによって推奨事項が生成されません。 |
|
次の例は、ポリシー dns_tcp/53/analysis/pkts/src_ip のインタラクティブ ステータスを always-accept に設定する方法を示しています。
インターネット ワームは、自動化された、自己伝搬する侵入性のエージェントであり、自身のコピーを作成して容易に配布します。ワームは、脆弱なホストを攻撃して感染させた後、そのホストを基点として他の脆弱なターゲットを攻撃します。次に、ネットワーク検査形式(一般的にはスキャン)を使用して他のターゲットを探し、次のターゲットに伝搬します。スキャニング ワームは、脆弱なホストを見つけるために、探索するアドレスのリストを生成し、その後ホストにアクセスします。Code Red ワーム、Sasser ワーム、Blaster ワーム、および Slammer ワームはすべて、この方法で蔓延する知名度の高いワームの例です。
Detector モジュールは、ゾーン ネットワークがスキャンされていることを示す、異常なトラフィック パターンを通じてワームを識別することで TCP ワーム攻撃を検出することができます。Detector モジュールは、TCP ワーム攻撃が進行中でない場合であっても、ネットワークにはスキャナーが存在する場合があると想定しています。このモジュールは、特定のポート上で、多くのゾーン宛先 IP アドレスに対する未確立の接続(SYN/ACK 応答パケットが識別されなかった着信 SYN パケット)の開始側である送信元 IP アドレスを、スキャナーとして識別します。
ゾーン トラフィックを分析するために、Detector モジュールは周波数データが含まれたテーブルを使用します。このテーブルはネットワーク スキャナーのヒストグラムとして知られています。Detector モジュールは、最初に、攻撃が進行中でないときにゾーンのネットワークをラーニングし、次に同時スキャナーのヒストグラムを作成します。ヒストグラムには、特定の数のゾーン宛先 IP アドレスを同時にスキャンするスキャナーの数が記載されます。Detector モジュールは、特定の数より多くのゾーン宛先 IP アドレスにアクセスするスキャナーの数を測定します。
Detector モジュールは、次の 2 つのタイプのしきい値を使用して、ワームのトラフィック特性を分析します。
• スキャニングしきい値:単一の送信元 IP アドレスからスキャンできるゾーン IP アドレスの最大数を定義します。このしきい値は、ポリシーのしきい値によって定義されます。
• ヒストグラムしきい値:指定された数を超えるゾーン IP アドレスをスキャンできる送信元 IP アドレスの最大数を定義します。
Detector モジュールは、攻撃が進行中でないときにラーニングしたヒストグラムとの偏差がある場合にワーム攻撃と判断します(つまり、その場合は、定義された数を超えるゾーン宛先 IP アドレスを同時にスキャンする送信元 IP アドレスの数が超過しています)。詳細については、「ワーム攻撃の識別」を参照してください。
ワーム ポリシーは、次の点で、他のポリシーと異なっています。
• Detector モジュールは、ポリシー構築フェーズ中ではなく、しきい値調整フェーズ中にワーム ポリシーの新しいサービスをラーニングするため、しきい値調整フェーズ中に、ワーム ポリシーに追加された新しいサービス(ポート)が表示される場合があります。
• any サービスは、Detector モジュールに特定のポリシーが存在しないポートに関連付けられます。たとえば、Detector モジュールに、worm_tcp/80 と worm_tcp/50 のポリシーが存在する場合、worm_tcp/any ポリシーは、ポート 50 または 80 を宛先としないトラフィックをすべて監視します。他のポリシーとは異なり、 any サービスは、指定されていないポートすべてに対するトラフィックを集約しません。Detector モジュールは、ゾーン トラフィックを監視するとき、スキャンされるポートごとに別個の内部ヒストグラムを保持しています。次に、このヒストグラムを any サービスのヒストグラムと比較します。
• ワーム攻撃の識別
worm_tcp ポリシー テンプレートは、DETECTOR_WORM ゾーン テンプレートだけで使用できます。
TCP ワームを管理するポリシーは、worm_tcp ポリシー テンプレート、non_estb_conns パケット タイプ、およびスキャナーのトラフィック特性から構築されます。
ポリシー設定モードで次のコマンドを入力すると、ヒストグラムを設定し、スキャニングしきい値を変更することができます。
histogram num-dst-ips num-src-ips [ num-dst-ips num-src-ips... ]
表7-16 に、histogram コマンドの引数を示します。
ヒストグラムしきい値をすべて 1 つのコマンドで入力できます。
次の例は、すべての頻度についてヒストグラムしきい値を設定する方法を示しています。
user@DETECTOR
-conf-zone-scannet- worm_tcp/445/analysis/non_estb_conns/scanners# histogram 5 99 20 80 50 8 100 1
現在のヒストグラム設定を表示するには、 show policies コマンドを使用します。
単一の送信元 IP アドレスからスキャンできるゾーン IP アドレスの最大数を設定できます(スキャニングしきい値)。この数を設定するには、 threshold コマンドを使用します。詳細については、「ポリシーのしきい値の設定」を参照してください。
特定のポートのヒストグラムしきい値を指定するには、 add-service コマンドを使用して、特定のポート番号のサービスを、 worm_tcp ポリシー テンプレートから作成されたポリシーすべてに追加します。詳細については、「サービスの追加」を参照してください。
Detector モジュールは、スキャニングしきい値とヒストグラムしきい値の 2 つのタイプのしきい値を使用して、ワームのトラフィック特性を分析します。詳細については、「ワーム ポリシーについて」を参照してください。
ヒストグラムしきい値を超えると、Detector モジュールは、指定されていない送信元 IP アドレス(*)を持つ動的フィルタを作成します。この動的フィルタは、ワーム攻撃が進行中であることを示します。動的フィルタのポリシーのしきい値は、超過したヒストグラムしきい値を指定します。Detector モジュールは、動的フィルタのポリシーしきい値と等しい新しい内部のスキャニングしきい値を定義します。
ゾーン宛先 IP アドレスをスキャンする送信元 IP アドレスは、ワームに感染したホストの IP アドレスです。ゾーンが攻撃中の場合、ワームに感染した各ホストがスキャンするゾーン宛先 IP アドレスの数が、新しい内部のスキャニングしきい値によって定義された最大数を超えると、動的フィルタが作成されます。Detector モジュールは、動的フィルタのアクションによって定義されたこれらの攻撃フローに対して作用します。
たとえば、ポリシーのしきい値(スキャニングしきい値)が 300 の場合、ポート 445 に関するポリシー スキャナーのヒストグラムは 表7-17 のようになり、Detector モジュールは、350 個のゾーン宛先 IP アドレスをスキャンするスキャナーを識別した場合、マス スキャナーが検出されたことを示す動的フィルタを作成します。ただし、このスキャナーからは、ワーム攻撃が進行中かどうかはまだわかりません。
|
|
|
|
---|---|---|---|
|
|
|
|
Detector モジュールが、ポート 445 で 50 個より多くのゾーン宛先 IP アドレスを同時にスキャンする 6 個の送信元 IP アドレスを識別すると、指定されていない送信元 IP アドレス(*)を持つ動的フィルタを worm_tcp ポリシーから作成します。この動的フィルタは Detector モジュールがポート 445 に対するワーム攻撃を識別したことを示します。動的フィルタのポリシーしきい値である 50 が、新しい内部のスキャニングしきい値に指定されるため、Detector モジュールはスキャナーのしきい値定義を小さくします。この結果、Detector モジュールは新しいスキャニングしきい値(50)を超過してスキャンする送信元 IP アドレスごとに追加の動的フィルタを作成します。
ポリシーを監視して、ポリシーがゾーンのトラフィック量やサービスにどの程度適しているかを確認できます。
• ポリシーの表示
ゾーンのポリシーを表示して、ポリシーがゾーンのトラフィック特性に適しているかどうかを確認できます。ゾーンに構築されたポリシーを表示して、これらのポリシーがゾーンのトラフィックの特性に合せてカスタマイズされていることを確認できます。このリストに表示されるポリシーだけを設定できます。
Detector モジュールは、現在のゾーン ポリシーだけを表示します。ポリシー構築フェーズ中にポリシー テンプレートがディセーブルになっていた場合、Detector モジュールはそのポリシー テンプレートからポリシーを作成しないため、 show policies コマンドを入力してもポリシーは表示されません。
ゾーン ポリシーを表示するには、ゾーン設定モードで次のコマンドを使用します。
policy-path 引数には、ポリシー グループを指定します。各ポリシー パス セクションでは、ワイルドカードとしてアスタリスク(*)を使用できます。ポリシー パス セクションを指定しなかった場合、指定していないセクションは Detector モジュールによってワイルドカード(*)と見なされます。たとえば、tcp_services//analysis//global ポリシーでは、サービスとパケット タイプのセクションにワイルドカードが使用されています。
すべてのポリシーの統計情報を表示するには、ポリシー パスにアスタリスク(*)を入力します。
ポリシー パス セクションの詳細については、「ゾーン ポリシーについて」を参照してください。
次の例は、すべてのゾーン ポリシーを表示する方法を示しています。
次の例は、ポート 53 で DNS-over-TCP 同期パケットを監視するすべてのポリシーを表示する方法を示しています。
表7-18 に、 show policies コマンド出力のフィールドを示します。
|
|
---|---|
ポリシー名。ポリシー パス セクションの詳細については、「ゾーン ポリシーについて」を参照してください。 |
|
ポリシーの状態。詳細については、「ポリシーの状態の変更」を参照してください。 |
|
ポリシーのインタラクティブ ステータス。詳細については、「ポリシーのインタラクティブ ステータスの設定」を参照してください。 a-accept は always-accept、a-ignor は always-ignore、interac は interactive を指します。 |
|
ポリシーのしきい値。トラフィック レートがこのしきい値を超えると、Detector モジュールが、そのポリシーと関連付けられたアクションを実行します。詳細については、「ポリシーのしきい値の設定」を参照してください。 |
|
ポリシーに定義されている特定の IP しきい値の数。詳細については、「特定の IP しきい値の設定」を参照してください。ワームに関連するポリシーの場合は、ヒストグラムを表す H が表示されます。詳細については、「ワーム ポリシーについて」を参照してください。 |
|
トラフィックがそのポリシーのしきい値を超えた場合に Detector モジュールが実行するアクション。詳細については、「ポリシーのアクションの設定」を参照してください。 |
|
ポリシーのアクションが有効な最小期間。Detector モジュールは、ポリシーによって作成された動的フィルタを非アクティブにするかどうかを、filter-termination しきい値に従って決定します。詳細については、「ポリシーのタイムアウトの設定」を参照してください。 |
単一またはグループのゾーン ポリシーを通過するトラフィックのレートを表示し、サービス タイプおよびトラフィック量がゾーンのトラフィックを表すかどうかを判断できます。Detector モジュールは、ゾーンに転送されたトラフィック フローの中で、ポリシーによって測定された最も高いレートを持ついくつかのトラフィック フローを表示します。レートは、トラフィックのサンプルに基づいて計算されます。
ポリシーの統計情報を表示するには、ゾーン設定モードで次のコマンドを使用します。
show policies policy-path statistics [ num-entries ]
表7-19 に、show policies statistics コマンド出力の引数を示します。
|
|
---|---|
各ポリシー パス セクションでは、ワイルドカード文字としてアスタリスク(*)を使用できます。ポリシー パス セクションを指定しないと、指定していないセクションが Detector モジュールによってワイルドカード(*)と見なされます。たとえば、tcp_services//analysis//global ポリシーでは、サービスとパケット タイプのセクションにワイルドカードが使用されています。 すべてのポリシーの統計情報を表示するには、ポリシー パスにアスタリスク(*)を入力します。 ポリシー パス セクションの詳細については、「ゾーン ポリシーについて」を参照してください。 |
|
(オプション)表示するエントリの数。1 ~ 100 の数字を入力します。Detector モジュールは、最大の値を持つポリシーを表示します。 |
次の例は、すべてのゾーン ポリシーの統計情報を表示する方法を示しています。
次の例は、ポート 53 で DNS-over-TCP 同期パケットを監視するすべてのポリシーの統計情報を表示する方法を示しています。
show policies dns_tcp/53/*/syns/*
次の例は、ゾーンのグローバル トラフィックの統計情報を表示する方法を示しています。
show policies */*/*/*/global statistics
表7-20 に、 show policies statistics コマンド出力テーブルのフィールドを示します。Detector モジュールは出力をソートし、4 つのテーブル Rates、Rates (pph)、Connections、および Ratios に出力を表示します。各テーブルの情報は値によってソートされ、テーブルの一番上に最大値が表示されます。テーブルに何も情報が含まれていない場合、Detector モジュールはそのテーブルを表示しません。
|
|
---|---|
たとえば、tcp_services/any/analysis/syns/dst_ip ポリシーの場合、キーは宛先 IP アドレス(dst_ip)です。ポリシーの集約に使用されたトラフィック特性が global である場合、キーには N/A と表示されます。 ワームに関連するポリシー(worm_tcp/any/analysis/non_estb_conns/scanners など)の場合、キーは、ゾーンのネットワーク アドレスをスキャンする送信元 IP アドレス、コロン、およびスキャンされている宛先ポートになります。この例では、192.128.100.3:70 と表示されます。 詳細については、 表7-8 を参照してください。 |
|
ポリシー名。詳細については、「ゾーン ポリシーについて」を参照してください。 |
|
ポリシーを通過し、パケット/秒(pps)単位で計測されるトラフィックのレート。レートは、トラフィックのサンプルに基づいて計算されます。 |
|
トラフィック レートをパケット/時(pph)単位で測定するポリシーによって確認されたトラフィック レート。攻撃の最初の 1 時間を過ぎてからコマンドを入力すると、Detector モジュールは、過去 2 時間の平均パケット/時レートを表示します。 このフィールドは、PPH ポリシーをイネーブルにした場合にだけ表示されます。デフォルトでは、PPH ポリシーはディセーブルになっています(「ポリシーの状態の変更」の項を参照)。 |
|
同時接続の数。この情報は、パケット タイプが in_nodata_conns の tcp_connections ポリシーについてのみ表示されます。 |
|
SYN フラグの付いたパケット数と FIN/RST フラグの付いたパケット数の比率。この情報は、syn_by_fin ポリシーでのみ使用できます。 |
|
現在のゾーン ポリシーは、ゾーン設定モードで snapshot threshold-selection cur-thresholds コマンドを使用していつでもバックアップできます。
次の例は、現在のポリシー設定をバックアップするために、スナップショットを作成する方法を示しています。