アプリケーション ネットワーキング サービス : Cisco 500 シリーズ コンテンツ エンジン

Cisco Cache と Content Engine 上で Code Red をフィルタに掛ける方法

2001 年 12 月 19 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2004 年 9 月 8 日) | フィードバック

目次


概要

存在しないサイトへの接続が試行されると、多くの透過キャッシュが蓄積されます。この文書では、シスコ キャッシング ソリューションに影響を与える可能性がある Code Red ワームにフィルタを掛けるためのソリューションについて説明します。Code Red では、Internet Information Servers (IIS) の default.ida スクリプトで、バッファオーバーフローが不正利用されます。Code Red は、次の Hypertext Transfer Protocol (HTTP; ハイパーテキスト転送プロトコル)要求を利用します。
get http://random-ip-address/default.ida?long-string-of-data
上記例の場合、long-string-of-data がバッファ オーバーフローで、ワーム自体のインストラクション コードとなります。内容を一致させるための url-regex を使用するブロック ルールを使って、これにフィルタをかけることができます。 CE2.XX ソフトウェアを実行している Cisco Cache Engine ハードウェア、および 2.XX または 3.XX ソフトウェアを実行している Cisco Content Engine ハードウェアの場合、次のように設定します。
rule enable

rule block url-regex ^http://.*/default\.ida$

rule block url-regex ^http://.*www\.worm\.com/default\.ida$

show rule all コマンドを使って、このブロック ルールに対して蓄積されたヒット数を表示させます。 3.XX ソフトウェアを実行している Content Engine ハードウェアの場合、より限定的な指定が可能で、要求をブロックせずに、自分のサイトが感染したことを知らせるため、ローカル Web サーバーに書き直すことができます。次のようなルールを使用します。

rule enable

rule rewrite url-regsub ^http://.*/default\.ida$ http://local-webserver/codered.html


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 61670