この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module とそのゾーンのステータスを監視するためのタスクを実行する方法について説明します。また、ゾーンのトラフィック フローに関する問題を診断できる WBM 統計ツールについても説明します。
Guard モジュール要約画面(図 10-1 を参照)には、現在の Guard モジュールのアクティビティに関する要約が示されます。この画面は、Guard モジュールの WBM に接続するときに最初に表示されます。Guard モジュール要約画面には、インターフェイス内の次の場所からアクセスできます。
• ナビゲーション ペインで Guard Summary を選択します。
Guard モジュール要約画面には、次の 2 つの領域があります。
• Guard Summary : 最近 2 時間に Guard モジュール が処理したトラフィックの要約を bps 単位でグラフに示します。保護されているゾーンに Guard モジュール が転送した正当なトラフィックは、緑色で表示されます。 Guard モジュール が検出した悪意のあるトラフィックは、赤色で表示されます。
表 10-1 に、グラフの下に表示される情報の説明を示します。
|
|
---|---|
この情報は、正当なトラフィックと悪意のあるトラフィックに分けて表示されます。
• Currently Protected Zones :Guard モジュールが現在保護しているゾーンのステータス情報を示します。Guard モジュールがここに表示するゾーン情報は、次のゾーン保護モードのどちらをアクティブにするかによって異なります。
– Protect :Guard モジュールは、ゾーンが攻撃を受けているかどうかに関係なく、ゾーン情報を表示します。
– Protect and Learn :Guard モジュールは、ゾーンが攻撃を受けている場合にのみ、ゾーン情報を表示します。
Guard モジュールでは、ゾーンは攻撃を受けた順にリスト表示されます(最後に攻撃を受けたゾーンがリストの最上部に表示されます)。Guard モジュールが各行に表示する情報をクリックすると、関連するゾーンの要約画面を表示できます。
表 10-2 に、現時点で保護されているゾーンに含まれているフィールドの説明を示します。
Guard モジュールでは、グローバルなイベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。次の診断ツールは、Guard モジュールの要約メニューから使用できます。
Counters 画面には、Guard モジュールが Guard モジュールの要約画面に表示するカウンタ情報の詳細な分析が表示されます。Counters 画面では、Guard モジュールがトラフィック レートのグラフに表示する情報を操作できます。
Guard モジュールのカウンタを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Diagnostics > Counters を選択します。 Guard モジュールの Counters 画面が表示されます (図 10-2 を参照)。デフォルトでは、グラフには最近 2 時間の正当なトラフィックと悪意のあるトラフィックが bps 単位で表示されます。
ステップ 3 (オプション)Guard モジュールがトラフィック レートのグラフに表示するカウンタ情報を追加または削除するには、目的のトラフィック カウンタ タイプの隣にあるチェックボックスをクリックしてカウンタ タイプを選択または選択解除してから、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。
• Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。
• Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。
• Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。
• Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。
• Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。
• Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。
ステップ 4 (オプション)表示された情報の対象期間を変更するには、Graph Period ドロップダウン リストでグラフの対象期間を選択し、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。
デフォルトでは、トラフィック レートのグラフには、最近 2 時間に記録したカウンタ情報が表示されます。
ステップ 5 (オプション)Guard モジュールがトラフィック レートのグラフで使用する測定単位を変更するには、Graph Type ドロップダウン リストで測定単位を選択し、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。
図 10-2 Guard モジュールのグローバル カウンタおよびレート
表 10-3 に、各カウンタに含まれているフィールドの説明を示します。
|
|
---|---|
グラフの下には、さまざまなカウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。
Guard モジュールでは、グローバル カウンタ情報をリアルタイムに表示できます。
(注) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(「概要」の「Java 2 Runtime Environment のインストール」の項を参照)。
カウンタをリアルタイムに表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Diagnostics > Real time counters を選択します。 Real time counters 画面が表示されます。
ステップ 3 (オプション)トラフィック レートのグラフの表示を変更する場合は、目的のトラフィック カウンタのタイプ(Show in Graph の下)の隣にあるチェックボックスをオンにして、グラフに追加します。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。
• Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。
• Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。
• Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。
• Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。
• Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。
• Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。
ステップ 4 (オプション)トラフィック レートのグラフで Guard モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。
Real Time Global Counter/Rates テーブル内の情報の詳細については、 表 10-3 を参照してください。
イベント ログには、保護されているゾーンの関連イベントと Guard モジュールの動作の関連イベントについて、監視情報とトラブルシューティング情報が表示されます。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Diagnostics > Event log を選択します。 Events 画面が表示されます (図 10-3 を参照)。 イベント テーブルの上にあるナビゲーション ツールを使用して、表示されたイベントをスクロール表示します。
ステップ 3 (オプション)イベント テーブルに表示するイベントを制御するには、次のいずれかのオプションを選択し、 Filter Events をクリックします。Guard モジュールにより、イベント テーブルがアップデートされます。
• Show all Events :すべての重大度レベルのイベントを表示します。
• Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。
表 10-4 に、使用可能なイベントの重大度レベルを示します。
|
|
---|---|
(注) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンのイベント ログの表示」の項を参照してください。
ゾーンのステータス画面(図 10-4 を参照)には、ゾーン動作のステータスの要約が示されます。この画面には、次の方法で移動できます。
• ナビゲーション ペインの All Zones リストでゾーンを選択する。
• ゾーンが保護モードになっている場合は、ナビゲーション ペインの Protected Zones リストでゾーンを選択する。
• ゾーンの特定の画面のナビゲーション パスで、 Zone をクリックする。
• ゾーンのリスト( Guard Summary > Zones > Zone list )でゾーンを選択する。
ゾーンのステータス画面は、次の 4 つの領域に分けられています。
• ゾーンのステータス バー(「ゾーンのステータス バー」の項を参照)
• ゾーンのトラフィック レートのグラフ(「ゾーンのトラフィック レートのグラフ」の項を参照)
• ゾーンのステータス テーブル(「ゾーンのステータス テーブル」の項を参照)
• ゾーンの最近のイベント テーブル(「ゾーンの最近のイベント テーブル」の項を参照)
ゾーンのステータス画面では、トラフィック レートのグラフの真上に機能ボタンが表示されます。WBM では、ゾーンの現在の動作モードに応じて、異なる機能ボタンが表示されます。
ゾーンがスタンバイ モードの場合、次の機能ボタンが表示されます。
• Protect & Learn :ゾーンを保護とラーニングの動作モードに切り替えます。この操作により、ラーニング プロセスのしきい値調整フェーズの実行中に、ゾーンを保護することができます。
• Protect :ゾーンを保護動作モードに切り替えます。これは、ゾーンのメイン メニューで Protection> Protect を選択するのと同じ操作です。
ゾーンが Protect モードまたは Protect and Learn モードの場合、次の機能ボタンが表示されます。
• Deactivate :ゾーン保護の動作モードを非アクティブにします。これは、ゾーンのメイン メニューで Protection> Deactivate を選択するのと同じ操作です。ゾーンを Protect and Learn モードで操作中に、 Deactivate をクリックする場合、ゾーン保護、ラーニング、または両方の動作を非アクティブにするオプションがあります。
• Report :現在の攻撃レポートへのリンクを提供します。これは、ゾーンのメイン メニューで Diagnostics > Attack reports を選択し、現在の攻撃(終了時刻が attack in progress になっている攻撃)をクリックするのと同じ操作です。Report ボタンは、進行中の攻撃がある場合のみ使用できます。詳細については、「現在の攻撃に関する詳細の表示」の項を参照してください。
ゾーンのステータス バーは、ゾーンのステータス画面の最上部に表示され、現在操作しているゾーンのステータスをすばやく参照することができます。ゾーンのステータス バーでは、次の情報が提供されます。
• ゾーンの動作モード:ゾーンに対して Guard モジュールが自動動作モードまたはインタラクティブ動作モードのどちらで動作しているかを示す、ゾーンの動作モード設定。ゾーンの動作モード設定の詳細については、「自動およびインタラクティブ ゾーン動作モード」および「ゾーンの動作モードの変更」の項を参照してください。
• ゾーンの動作ステータス:ゾーンの動作状態。動作ステータスには、Protected、Protected/Tuning Thresholds、Inactive、Constructing Policy、または Tuning Thresholds があります。
• 新しい推奨事項の通知:新しい動的フィルタの推奨事項が利用可能になっていることを示します。この通知は、ゾーンの動作モードが interactive に設定されている場合のみ利用可能です。
ゾーンのトラフィック レートのグラフには、ゾーンに関連する最近 2 時間のトラフィック レートが bps 単位で表示されます。Guard モジュールがゾーンに転送した正当なトラフィックは、緑色で表示されます。ゾーンがターゲットとなっていた、Guard モジュールがドロップした悪意のあるトラフィックは、赤色で表示されます。
表 10-5 に、ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明を示します。
|
|
---|---|
• Active Dynamic filters :アクティブになっている動的フィルタの数。
Dynamic filters 画面を表示するには、 Active Dynamic filters をクリックします。動的フィルタの詳細については、「動的フィルタの管理」の項を参照してください。
• Pending Dynamic filters:保留動的フィルタの数。保留動的フィルタの数は、ゾーンがインタラクティブ保護モードになっていて新しい推奨事項がある場合は、1 以上になります。
Recommendations 画面を表示するには、Pending Dynamic filters をクリックします。動的フィルタの詳細については、「動的フィルタの管理」の項を参照してください。Guard モジュールの推奨事項の詳細については、「ゾーンの動作モードの変更」の項を参照してください。
最近のイベント テーブルには、 notify 以上の重大度を持つ、報告されるゾーン イベントが表示されます。また、Guard モジュールはイベントをゾーンのイベント ログと Guard モジュールのイベント ログに記録します。
Guard モジュールでは、ゾーン イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。この項では、次の診断ツールについて説明します。
ゾーンのカウンタ(図 10-5 を参照)を利用すると、ゾーン固有のトラフィック情報を分析してゾーンのステータスを確認し、ゾーン保護が適切に機能しているかどうかを判断できます。ゾーンのカウンタのグラフ表示の期間を変更することで、ゾーン保護がどのように進行しているかを確認できます。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters を選択します。ゾーンの Counters 画面が表示されます。
デフォルトでは、グラフには最近 2 時間の正当なトラフィックと悪意のあるトラフィックが bps 単位で表示されます。
ステップ 3 (オプション)トラフィック レートのグラフの表示を変更するには、グラフに追加する目的のカウンタ情報の隣にあるチェックボックスをオンにして、 Update Graph をクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。
• Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。
• Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。
• Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。
• Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。
• Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。
• Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。
ステップ 4 (オプション)Guard モジュールが表示する情報の対象期間を変更するには、Graph Period ドロップダウン リストで目的の期間を選択し、 Update Graph をクリックします。Guard モジュールにより、画面がアップデートされます。
デフォルトでは、トラフィック レートのグラフには、過去 2 時間に記録したカウンタ情報が表示されます。
ステップ 5 (オプション)Guard モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Guard モジュールにより、画面がアップデートされます。
Zone Current Counters/Rates テーブルには、次の情報が表示されます。
• Shown in Graph :カウンタをグラフに表示するかどうかを指定します。
• Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。
• Bits :カウンタがリロードされた時点からの、ゾーンが宛先となっていた総ビット数。
• pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。
• bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。
トラフィック レートのグラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。
トラフィックがアクティブなゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。次の情報では、トラフィック フローの分析方法、発生する可能性のある問題の認識方法、およびその解決策について説明しています。
• 受信したパケットと正当なパケットの数が 0 を超えている場合は、Guard モジュールのトラフィックの宛先変更メカニズムが適切に機能していることを示します。
• 受信したパケットの数が正当なパケットの数を上回り、悪意のあるパケットの数が 0 を超えている場合は、ゾーンが攻撃を受け、ゾーン保護が適切に機能していることを示します。ゾーンが攻撃されているかどうかを確認するには、ゾーンの要約画面を参照して、Guard モジュールが攻撃を処理するために動的フィルタを作成しているかどうかを確認します(「ゾーンのステータス画面の表示」の項を参照)。
ネットワーク トラフィックに関する経験と知識に基づいて、次の事項に該当した場合は細心の注意を払ってください。
• ドロップ パケットが存在している場合は、信頼された送信元 IP アドレスが動的フィルタによってブロックされていないかどうかを確認してください。その送信元 IP アドレスからのトラフィックについては、Guard モジュールのフィルタをバイパスさせることを検討してもかまいません(「バイパス フィルタの管理」の項を参照)。
• 非常に大量の IP フローをドロップする動的フィルタをポリシーが作成した場合は、正当だと思われる送信元 IP アドレスがしきい値を上回るレートでトラフィックを送信し、そのフローをフィルタがブロックしていないかどうかを確認する必要があります。トラフィックがブロックされている場合は、ポリシーのしきい値を大きくするか、ポリシーを非アクティブにして追加の動的フィルタが作成されないようにします。ゾーン ポリシーの変更の詳細については、「ゾーンのポリシーの管理」を参照してください。
• 受信したパケットの現在のレート(pps および bps)が 0 である場合、または正当なパケットの数が長期間にわたって変化しない場合、問題が発生するおそれがあります。このような状況に関連するトラブルシューティングの情報については、「ゾーン トラフィックの問題の分析」の項を参照してください。
受信トラフィック カウンタ(パケットまたはビット)または正当トラフィック カウンタ(パケットまたはビット)が 0 になっている場合は、次の状況のいずれかまたは両方に関連する問題が発生しているおそれがあります。
• ゾーンが宛先となっているパケットを Guard モジュールが受信していない(受信トラフィック カウンタ = 0):これは、ゾーン トラフィックの宛先変更またはネットワーク設定に問題があることを示しています。
• Guard モジュール は宛先変更されたゾーン パケットを受信しているものの、ブロックしてゾーンに転送していない(長期間にわたって、受信トラフィック カウンタは 0 を超え、正当なトラフィックの現在のレート(pps または bps)は 0 になっている) : これは、正当なトラフィックが悪意のあるトラフィックとして誤認識され、ドロップされていることを示します。
図 10-6 のサンプル グラフは、ゾーンが宛先になっているトラフィックがほぼすべてドロップされている状況を示しています。Guard モジュールが作成した動的フィルタにドロップ アクション フィルタがないかどうかを確認し、次の方法で対処することを検討してください。
–ドロップ アクションを持つ動的フィルタを作成したポリシーを非アクティブにして、ポリシーがドロップ アクションを持つ動的フィルタを作成できないようにする。このように設定しない場合、フィルタを削除しようとするとドロップ アクション フィルタが再び表示されます。
図 10-6 問題の分析:Rcv >0、Legitimate = 0
Guard モジュールでは、ゾーンのカウンタ情報をリアルタイムに表示できます。
(注) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(「概要」の「Java 2 Runtime Environment のインストール」の項を参照)。
カウンタをリアルタイムに表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Real time counters を選択します。ゾーンの Real time counters 画面が表示されます。
ステップ 3 (オプション)トラフィック レートのグラフの表示を変更する場合は、目的のトラフィック カウンタのタイプ(Show in Graph の下)の隣にあるチェックボックスをオンにして、グラフに追加します。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。
• Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。
• Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。
• Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。
• Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。
• Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。
• Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。
ステップ 4 (オプション)トラフィック レートのグラフで Guard モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。
ゾーン トラフィックおよび問題を分析するためのカウンタ情報の使用については、「トラフィック フローを分析するためのゾーンのカウンタの使用」および「ゾーン トラフィックの問題の分析」の項を参照してください。
ゾーンのイベント ログには、監視とトラブルシューティングに役立つ情報が提供されます。
ゾーンのイベント ログの内容を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Event log を選択します。 ゾーンの Events 画面が表示されます( 図 10-7 を参照)。
ステップ 3 (オプション)表示するイベントを管理するには、次のいずれかのオプションを選択し、 Filter Events をクリックして表示をアップデートします。
• Show all Events :すべての重大度レベルのイベントを表示します。
• Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。
表 10-6 に、さまざまなイベントの重大度レベルの説明を示します。
|
|
---|---|
Guard モジュールでは、ゾーンで Guard モジュールが検出したすべての攻撃を明確にわかりやすく提示するために、ゾーンごとのハイレベルな攻撃要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Guard モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをさまざまなカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。また、Guard モジュールは、攻撃データをグラフ形式でも表示します。
ゾーン攻撃の要約レポートを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。デフォルトでは、レポートに先月分の攻撃情報が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから選択することもできます。
Attack Summary Report 画面は、次の領域で構成されています。
• 保護のグラフ:ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。
X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。
攻撃の詳細を表示するには、グラフで攻撃バーをクリックし、攻撃レポートを開きます(「攻撃レポートの詳細の表示」の項を参照)。
• 攻撃に関する統計情報のテーブル:ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます(図 10-9 を参照)。
図 10-9 ゾーン保護の要約レポート:攻撃に関する統計情報
表 10-7 に、攻撃に関する統計情報のテーブルに含まれているフィールドの説明を示します。
|
|
---|---|
ゾーンの総トラフィックについて、悪意のあるトラフィック(赤色で表示)と正当なトラフィック(青色で表示)の割合を表示する円グラフ。 |
• 攻撃ごとの要約テーブル:定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます(図 10-10 を参照)。攻撃ごとの要約テーブルに現在表示されている情報を削除(「攻撃レポートの削除」の項を参照)、または攻撃レポートの内容をエクスポート(「攻撃レポートのエクスポート」の項を参照)できます。
表 10-8 に、攻撃ごとの要約テーブルのカラムに含まれているフィールドの説明を示します。
(注) 攻撃の詳細を表示するには、攻撃ごとの要約テーブルのいずれかの行をクリックします(「攻撃レポートの詳細の表示」の項を参照)。
• サブゾーンのレポート:サブゾーンのリストが提示されます。サブゾーンは、ゾーンの一部(ソース ゾーンのすべての IP アドレス範囲を含まないゾーン)を保護するために Guard モジュールが作成したゾーンです。サブゾーンの保護が終了すると、Guard モジュールはサブゾーンを消去します。サブゾーンの攻撃レポートを表示するには、サブゾーン名をクリックします。サブゾーンの詳細については、「ゾーンの作成と設定」の「サブゾーンについて」の項を参照してください。
Guard モジュールでは、Attacks Summary 画面に表示された攻撃レポートの詳細を表示できます。攻撃レポートには、最初の動的フィルタが作成された時点から、ユーザによる指示またはタイムアウト パラメータのアクションによって保護が終了するまでの、攻撃の詳細が示されています。
Guard モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。過去および現在の攻撃の詳細を表示できます。
過去のゾーン攻撃に関するレポートの詳細を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示され、前月の攻撃情報が示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから選択することもできます。
ステップ 4 次のいずれかの方法で、攻撃レポートの詳細を表示します。
• 攻撃ごとの要約テーブルに表示されている攻撃のいずれかのフィールドをクリックします。
ゾーンに対する攻撃が進行中の場合、Guard モジュールは、攻撃を受けているゾーンのステータス画面上に Report ボタンを表示します。
ゾーンの現在の攻撃レポートを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで、攻撃を受けているゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。
ステップ 2 次のいずれかの方法で、ゾーンの現在の攻撃レポートを表示します。
• ゾーンのステータス画面で Report をクリックします。
• ゾーンのメイン メニューの Diagnostics > Attack Reports を選択し、攻撃ごとの要約テーブルにある進行している攻撃のいずれかのフィールドをクリックします。
この項では、詳細な攻撃レポートに含まれる次の領域に Guard モジュールが表示する情報について説明します。
• 一般的な攻撃情報
• 検出された異常
• 軽減された攻撃
攻撃レポートの最初のセクションには、攻撃の日時に関する情報(攻撃の開始日時、終了日時、および持続期間を含む)が示されます。
レポートの詳細を表示するには、 i または Show details for all events をクリックします。
カウンタは、レートを除いてすべて整数値です。画面の一般的な攻撃情報領域から、統計情報の測定単位を選択することができます。
ステップ 1 Statistics units ドロップダウン リストから、使用する目的の単位を選択します。
ステップ 2 Set units をクリックします。Guard モジュールにより、画面がアップデートされます。
攻撃に関する統計情報テーブル(図 10-12 を参照)には、次のタイプのパケットに関する情報が示されます。
• Received :Guard モジュールが受信した、ゾーンが宛先となっているトラフィック。
• Forwarded :Guard モジュールがゾーンに転送した正当なトラフィック。
• Replied :Guard モジュールのスプーフィング防止機能およびゾンビ防止機能による処理の一環として、クライアントに応答が送信されたトラフィック。
• Dropped :ゾーンが宛先となっていて、Guard モジュールによってドロップされたパケットの総数。
表 10-9 に、各パケット タイプについて提供される情報の説明を示します。
|
|
---|---|
トラフィック レートは、一般的な攻撃情報セクションのドロップダウン リストで選択した単位で表示されます。
ドロップまたは返送されたパケット テーブル(図 10-13 を参照)には、Guard モジュールが悪意のあるトラフィックとして識別し、ドロップまたは応答(返送)したパケットに関する統計情報が示されます。パケットは、パケットを識別した Guard モジュールのメカニズムに基づいて分類されています。
図 10-13 攻撃レポート:ドロップまたは返送されたパケット
• Rate Limiter:ゾーンのレート リミッタによって、またはレート リミッタが設定されていたフィルタによってドロップされたパケット。レート リミッタは、Guard モジュールによってゾーンに再び注入された正当なトラフィックのトラフィック レートを制限します。レート リミッタの設定の詳細については、「ゾーンの作成と設定」の「ゾーン テンプレートからのゾーンの作成」の項を参照してください。
• Flex-Content filter:フレックスコンテンツ フィルタによってドロップされたパケット。フレックスコンテンツ フィルタは、特定のパケット フローをカウントまたはドロップするために使用します。フレックスコンテンツ フィルタの使用の詳細については、「ゾーンのフィルタの設定」の「フレックスコンテンツ フィルタの管理」の項を参照してください。
• User filter:ユーザ フィルタによってドロップされたパケット。ユーザ フィルタは、特定のトラフィック フローを目的の Guard モジュールの保護モジュールに転送するために使用します。ユーザ フィルタの使用の詳細については、「ゾーンのフィルタの設定」の「ユーザ フィルタの管理」の項を参照してください。
• Dynamic filter:動的フィルタによってドロップされたパケット。動的フィルタは、トラフィック フローを分析した結果として Guard モジュールが作成します。動的フィルタの使用の詳細については、「ゾーン保護のアクティブ化」の「動的フィルタの管理」の項を参照してください。
• Spoofed:Guard モジュールによって、スプーフィング パケットまたは発信元がゾンビであるパケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答が受信されなかったパケットです。
• Malformed:形式が不正だと Guard モジュールが判別したたためにドロップされたゾーン宛てパケット。
表 10-10 に、各パケットについて提供される情報の説明を示します。
|
|
---|---|
トラフィック レートは、一般的な攻撃情報セクションのドロップダウン リストで選択した単位で表示されます。
検出された異常テーブル(図 10-14 を参照)には、Guard モジュールがゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの生成が必要となった場合、Guard モジュールはトラフィックを異常があるものと分類します。このような異常はあまり発生しないか、または体系的な DDoS 攻撃となる可能性があります。Guard モジュールでは、タイプとフロー パラメータ(送信元 IP アドレスや宛先ポートなど)が同じトラフィック異常を 1 つのトラフィック異常タイプとしてまとめます。
|
|
---|---|
• Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。 • Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。 • Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。 • Unauthenticated tcp :Guard モジュールのスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。 • DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。 • DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。 • Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。 • Fragments :異常な量の断片化トラフィックが検出されたフロー。 • TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。 • IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。 |
|
異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。 |
|
このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「検出された異常の詳細の表示」の項を参照)。 |
検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。
検出された異常の詳細のテーブルを表示するには、検出された異常のテーブルで、トラフィック異常の Details カラムにある i をクリックします。
表 10-12 に、Guard モジュールが提供する異常の詳細の説明を示します。
軽減された攻撃テーブル(図 10-15 を参照)には、検出された異常テーブルで説明されている、ゾーンに有害であると判明したトラフィック異常に対して Guard モジュールが実行したアクションの詳細が示されます。これらのアクションは、スプーフィング防止メカニズムまたはゾンビ防止メカニズム、ドロップ アクションを持つユーザ フィルタ、レート制限などです。Guard モジュールは、同じタイプおよびフロー パラメータを持つ軽減アクションをグループ化し、まとめて表示します。
表 10-13 に、軽減された攻撃のテーブルに含まれているフィールドの説明を示します。
|
|
---|---|
• Spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。 • Client Attack :未認証の送信元 IP アドレスからの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。 • User Defined :ユーザ定義のフィルタによって識別された DDoS 攻撃、およびユーザ定義に従ってドロップされたすべてのパケット(ユーザ フィルタによって処理されたトラフィック異常など)が含まれます。ユーザ フィルタの使用の詳細については、「ゾーンのフィルタの設定」の「ユーザ フィルタの管理」の項を参照してください。 • Zombie :ゾンビが発信した DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。 • Malformed Packets :悪意のある不正形式パケットによる DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。 |
|
軽減された攻撃のトラフィック レート。トリガー レートは、クライアント攻撃またはユーザ定義攻撃にのみ適用されます。スプーフィングおよび不正な形式のパケットを利用した攻撃には、適用されません。 |
|
軽減された異常トラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。 |
|
このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「軽減された攻撃の詳細の表示」の項を参照)。 |
アクション フローまたは異常フローのパラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
• 異常トラフィックのパラメータとして、複数の値が測定された。
アクション フローまたは異常フローのパラメータの値が # になっている場合は、その軽減された攻撃のパラメータとして測定された値の数を示します。
軽減された攻撃の詳細のテーブルには、攻撃の軽減に使用されたメカニズムに関する追加情報が示されます。
軽減された攻撃の詳細のテーブルを表示するには、軽減された攻撃のテーブルで、対象となる攻撃の Details カラムにある i をクリックします。
表 10-14 に、Guard モジュールが軽減された攻撃の詳細テーブルに表示する情報の説明を示します。
HTTP ゾンビ攻撃が検出されたことを示すインジケータは、一般的な攻撃情報セクション(図 10-16 を参照)に表示されます。
検出された HTTP ゾンビのリストを表示するには、 i または Show HTTP detected zombies をクリックします。このタイプのトラフィック異常に関する詳細については、「HTTP ゾンビ リストの表示」の項を参照してください。
FTP サーバに攻撃レポートをエクスポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。
ステップ 4 攻撃ごとの要約テーブルで、エクスポートする攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。
ステップ 5 Export をクリックします。Export FTP Server Parameters ウィンドウが表示されます。
ステップ 6 Select FTP Server Parameters フォームで、使用する FTP 方式を選択します。
– FTP :File Transfer Protocol(ファイル転送プロトコル)
– SFTP :Secure File Transfer Protocol(セキュア ファイル転送プロトコル)
ステップ 7 Select FTP Server Parameters フォームで、次のいずれかのオプションから使用する FTP サーバを選択して定義します。
• Use default FTP definitions :CLI を使用して Guard モジュールの設定に定義した FTP サーバに、パケットダンプ キャプチャをエクスポートします。
• Use temporary FTP server :Guard モジュールの設定に定義されていない FTP サーバに、パケットダンプ キャプチャをエクスポートします。FTP サーバに関する次の情報を入力します。
– Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリに 1 つ以上のファイルを保存します。
– Username :(オプション)FTP サーバのログイン名。ユーザ名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Guard モジュールはパスワードを入力するように求めます。
• Clear :Select FTP Server Parameters フォームに追加した情報をすべて消去します。
• Cancel :攻撃レポートを保存せずに Export FTP Server Parameters ウィンドウを閉じます。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。
ステップ 4 攻撃ごとの要約テーブルで、削除する攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。
ステップ 5 Delete をクリックします。Guard モジュールが攻撃の要約レポートを削除します。
HTTP ゾンビ リストを使用すると、ゾーンのトラフィックを分析し、攻撃を開始したゾンビのリストを表示できます。ゾンビに対してアクションを実行できます。
HTTP ゾンビ リストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > HTTP Zombies を選択します。 HTTP ゾンビ リストの画面が表示されます(図 10-17 を参照)。
表 10-15 に、Guard モジュールが HTTP ゾンビ テーブルに表示する情報の説明を示します。
|
|
---|---|
ポリシーの統計情報のテーブルを使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。
ポリシーの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。 Policies statistics 画面が表示されます。
ステップ 3 (オプション)この画面でフィルタを設定するには、次の手順を実行します。
a. Set Screen Filter をクリックします。 Policy Filter ウィンドウが表示されます。
b. Policy Filter ウィンドウのドロップダウン リストから、パラメータの値を選択します。
c. OK をクリックします。Policy statistics 画面がアップデートされ、選択したパラメータだけが表示されます。 選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。
ポリシーの統計情報のテーブルでは、3 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。
• Rate : ポリシーを通過するトラフィック フローのレート。
• Ratio : SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。
• Connections :同時接続または送信元 IP アドレスの数。この情報は、tcp_connections ポリシーおよび次のパケット タイプについてのみ表示されます。
表示された情報の管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。
(注) 表示パラメータのいずれかを変更すると、Guard モジュールは、変更されたパラメータの下に表示されているすべてのパラメータを自動的に消去します。消去されたパラメータに対して新しい値を入力する必要があります。
表 10-16 に、ポリシーの統計情報に含まれているフィールドの説明を示します。
ドロップの統計情報のテーブルを使用すると、進行中の攻撃について、ドロップされたパケットの持続期間をレートおよびカウンタごとに表示できます。
ドロップの統計情報のテーブルを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Drop Statistics を選択します。 Drop statistics 画面が表示されます(図 10-18 を参照)。
ステップ 3 (オプション)表示される統計情報の測定単位を変更するには、ドロップダウン リストから目的の測定単位を選択し、 Set units をクリックします。
ドロップされたパケットは、タイプ別に次の 2 つのテーブルに表示されます。
表 10-17 と 表 10-18 に、ドロップ統計情報テーブルの内容の説明を示します。