この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard モジュール)が生成する攻撃レポートについて説明します。この章には、次の項があります。
Guard は、攻撃を明確に把握するために役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Guard によって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる面が記載されます。過去の攻撃および進行中の攻撃のレポートを表示できます。また、レポートを FTP サーバまたは セキュア FTP(SFTP)サーバにエクスポートすることもできます。
• Zombies :このセクションは、 show reports details コマンドおよび show zombies コマンドを発行した場合にだけ表示されます。
攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。 表 10-1 で、レポートのこのセクションのフィールドについて説明します。
|
|
---|---|
Attack Statistics セクションには、さまざまなパケットのゾーン トラフィック フローの一般的な分析が記載されます。 表 10-2 で、パケット タイプについて説明します。
|
|
---|---|
検証の試行で Guard モジュールのスプーフィング防止メカニズムおよびゾンビ防止メカニズムが送信元に返送したトラフィックを示します。 |
|
攻撃レポートの Dropped/Replied Packets セクションでは、検証の試行で Guard モジュールによってドロップされたパケットおよび送信元に返送されたパケットが分析されます。レポートでは、パケットがタイプ(スプーフィングまたは不正な形式)および処理メカニズム(フィルタ タイプまたはレート リミット保護モジュール)によって分類されます。 表 10-3 で、ドロップされたパケットおよび返送されたパケットのさまざまなタイプについて説明します。
攻撃レポートの Detected Anomalies セクションには、Guard モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの作成を必要とするフローは、トラフィック異常として分類されます。これらの異常は頻繁に発生するものではなく、組織的な DDoS 攻撃に変化する可能性があります。Guard は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。 表 10-4 で、検出された異常のさまざまなタイプについて説明します。
攻撃レポートの Mitigated Attacks セクションには、Guard モジュールがゾーンを保護する(攻撃を軽減する)ために実行した処置が詳細に記載されます。このレポートには、軽減のタイミングおよび軽減された攻撃のタイプの詳細が記載されます。Guard モジュールは、使用したメカニズムに応じて軽減のタイプを定義します。このメカニズムは、攻撃のタイプとサブタイプを示します。
たとえば、Guard モジュールが syn パケットの攻撃フローに対して基本的なスプーフィング防止メカニズムを使用した場合、軽減された攻撃は
spoofed/tcp_syn_basic と表示されます。spoofed は攻撃のタイプを示し、
tcp_syn_basic はサブタイプを示します。
• ゾンビ
• クライアント攻撃
• ユーザ定義
スプーフィングを利用した攻撃には、スプーフィングされた送信元からの DDoS 攻撃であると識別されるすべてのトラフィック異常が含まれます。 表 10-5 で、スプーフィングを利用した攻撃のさまざまなタイプについて説明します。
ゾンビ攻撃には、ゾンビによって開始された DDos 攻撃であると識別されるトラフィック異常が含まれます。 表 10-6 で、ゾンビ攻撃のタイプについて説明します。
|
|
Guard モジュールのゾンビ防止メカニズムが認証に成功しなかった、スプーフィングされていないと識別された多くの送信元からの HTTP トラフィックのフラッド。 |
クライアント攻撃には、スプーフィングされていないすべてのトラフィック異常が含まれます。 表 10-7 で、さまざまなタイプのクライアント攻撃について説明します。
|
|
---|---|
TCP ハンドシェイクを経ていない ACK、FIN、または他のパケットのフラッド、あるいは Guard モジュールのスプーフィング防止メカニズムが認証に成功しなかった TCP 接続。 |
|
ユーザ定義攻撃には、ユーザ フィルタによって処理されたすべての異常が含まれます。ユーザ フィルタは、デフォルトで機能するか、またはユーザによって手動で設定されます(詳細については、 第8章「ポリシー テンプレートとポリシーの設定」 を参照してください)。 表 10-8 で、ユーザ定義攻撃のさまざまなタイプについて説明します。
|
|
• ユーザ フィルタ用に定義されたレート リミットを超過した。 • ゾーンの rate-limit コマンドによって定義されたレート リミットを超過した。 • 認証されていない TCP RST パケットまたは認証されていない DNS ゾーン転送パケット用に定義された内部レート リミットを超過した。 |
|
不正な形式のパケットには、悪意のある不正形式パケットで構成されると識別されたすべてのトラフィック異常が含まれます。 表 10-9 で、さまざまなタイプの不正形式パケットについて説明します。
|
|
---|---|
ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されたトラフィック異常が含まれます。Guard モジュールの攻撃レポートには、現在ゾーンを攻撃しているゾンビを一覧表示するテーブルが表示されます。現在攻撃しているゾンビのリストを表示するには、 show reports details コマンドおよび show zombies コマンドを使用します。
show zombies コマンド出力のフィールドについては、 表 10-15 を参照してください。
レポートの異なるセクションには、トラフィック フローの異なる面が記載されます。
表 10-10 で、 Attack Statistics および Dropped/ Replied Packets のフィールドについて説明します。
|
|
---|---|
受信パケットの合計数に対する、転送されたパケット、返送されたパケット、およびドロップされたパケットのパーセンテージを示します。 |
表 10-11 で、 Detected Anomalies および Mitigated Attacks のフロー統計情報について説明します。
|
|
---|---|
異常フローおよび軽減された攻撃のフローを示します。 |
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
任意のパラメータの # という値(数値の前にある)は、そのパラメータに対して測定された値の数を示します。
Guard モジュールはフローの説明の右側に notify という値を表示する場合があります。レポートの行に notify という値が表示された場合、Guard モジュールはその行が示すトラフィック タイプの通知を生成するだけで、アクションを実行しないことを示します。
特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、 show コマンドを使用します。次のコマンドを入力します。
show reports [ sub-zone-name ] [current | report-id ] [details]
表 10-12 で、 show reports コマンドの引数とキーワードについて説明します。
|
|
(オプション)ゾーンから作成されたサブゾーンの名前です。詳細については、「サブゾーンについて」を参照してください。 |
|
進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。 |
|
たとえば、ゾーンに対するすべての攻撃のリストを表示するには、次のコマンドを入力します。
表 10-13 で、 show reports コマンド出力のフィールドについて説明します。
ゾーンに対する現在の攻撃のレポートを表示するには、次のコマンドを入力します。
レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。
|
|
|
||||
|
|
|
||||
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
1
|
Feb 26 09:59:40
|
00:07:59
|
client_attack/
tcp_connections
|
38
|
280
|
|
|
|
|
|
検出された異常フローと軽減された攻撃フローに関する詳細なレポート、およびゾンビ攻撃のリストを表示するには、 details オプションを使用します。
表 10-14 に、詳細なレポートに含まれているフローのフィールドの説明を示します。
表 10-15 で、ゾンビ攻撃に関する詳細なレポートのフィールドについて説明します。
|
|
---|---|
(注) ゾンビ攻撃がない場合は、レポートの Zombies という見出しの下に Report doesn't exist と表示されます。
監視および診断のために、攻撃レポートを FTP サーバまたは SFTP サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。
攻撃が終了したときに攻撃レポートが XML 形式で自動的にエクスポートされるように Guard モジュールを設定できます。Guard モジュールは、ゾーンに対する攻撃が終了すると、いずれかのゾーンのレポートをエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。設定モードで、次のいずれかのコマンドを入力します。
• export reports ftp server remote-path [ login ] [ password ]
• export reports sftp server remote-path login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 10-16 で、 export reports コマンドの引数について説明します。
|
|
---|---|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
次の例は、IP アドレス 10.0.0.191 の FTP サーバへの攻撃が終了した後、ログイン名 user1 とパスワード password1 を使用してレポートを XML 形式で自動的にエクスポートする方法を示しています。
すべてのゾーンの攻撃レポートをテキストまたは XML 形式でエクスポートできます。レポートを FTP サーバまたは SFTP サーバに手動でコピーするには、 copy reports コマンドを使用します。
copy reports [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]
表 10-17 で、 copy reports コマンドの引数とキーワードについて説明します。
次の例は、ログイン名 user1 とパスワード password1 を使用して、Guard モジュールによって処理されたすべての攻撃のリストをテキスト形式で IP アドレス 10.0.0.191 の FTP サーバにコピーする方法を示しています。
特定のゾーンの攻撃レポートを FTP サーバにコピーするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [l ogin ] [ password ]
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] sftp server full-file-name l ogin
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 10-18 で、 copy zone reports コマンドの引数とキーワードについて説明します。
次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにすべての攻撃レポートをコピーする方法を示しています。