アプリケーション ネットワーキング サービス : Cisco 500 シリーズ コンテンツ エンジン

Cisco Cache と Content Engine 上で Code Red をフィルタに掛ける方法

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2001 年 12 月 19 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Cache および Content Engine 上で Code Red ワームをフィルタリングする方法について説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

設定

存在しないサイトへの接続が試行されると、多くの透過キャッシュが蓄積されます。 この文書では、シスコ キャッシング ソリューションに影響を与える可能性がある Code Red ワームにフィルタを掛けるためのソリューションについて説明します。 Code Red では、Internet Information Servers (IIS) の default.ida スクリプトで、バッファオーバーフローが不正利用されます。 Code Red はこの Hypertext Transfer Protocol (HTTP) 要求を使用します:

get http://random-ip-address/default.ida?long-string-of-data

上記例の場合、long-string-of-data がバッファ オーバーフローで、ワーム自体のインストラクション コードとなります。 内容を一致させるための url-regex を使用するブロック ルールを使って、これにフィルタをかけることができます。 CE2.XX ソフトウェアを実行している Cisco Cache Engine ハードウェア、および 2.XX または 3.XX ソフトウェアを実行している Cisco Content Engine ハードウェアの場合、次のように設定します。

rule enable
rule block url-regex ^http://.*/default\.ida$
rule block url-regex ^http://.*www\.worm\.com/default\.ida$

ヒット 数を表示する show rule all コマンドを発行して下さいこのブロックルールに対して集める。 3.XX ソフトウェアを実行する Content Engine ハードウェアの場合より多くの仕様ででローカル Webサーバにサイトが感染することを示すために要求を、書き直しブロックなできますが。 この 1 と同じようなルールを使用して下さい:

rule enable
rule rewrite url-regsub ^http://.*/default\.ida$ http://local-webserver/codered.html

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 61670