Cisco Anomaly Guard Module コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG
攻撃レポートの使用方法
攻撃レポートの使用方法
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

攻撃レポートの使用方法

レポートのレイアウトについて

General Details

Attack Statistics

Malicious Packet Statistics

Detected Anomalies

Mitigated Attacks

スプーフィング攻撃

ゾンビ攻撃

クライアント攻撃

ユーザ定義の攻撃

不正な形式のパケット

Replied IP Summarizations

Zombies

レポートのパラメータについて

攻撃レポートの表示

攻撃レポートのエクスポート

攻撃レポートの自動エクスポート

すべてのゾーンの攻撃レポートのエクスポート

ゾーン レポートのエクスポート

攻撃レポートの削除

攻撃レポートの使用方法

この章では、Cisco Anomaly Guard Module(Guard モジュール)が生成する攻撃レポートについて説明します。この章は、次の項で構成されています。

レポートのレイアウトについて

レポートのパラメータについて

攻撃レポートの表示

攻撃レポートのエクスポート

攻撃レポートの削除

レポートのレイアウトについて

Guard モジュールは、攻撃の包括的な概要を把握するのに役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Guard モジュールによって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる特性が記載されます。以前の攻撃と進行中の攻撃のレポートを表示できます。また、File Transfer Protocol(FTP; ファイル転送プロトコル)、Secure FTP(SFTP)、または Secure Copy Protocol(SCP)を使用するネットワーク サーバにレポートをエクスポートできます。

この項では、次のトピックについて取り上げます。

General Details

Attack Statistics

Malicious Packet Statistics

Detected Anomalies

Mitigated Attacks

Replied IP Summarizations

Zombies

General Details

攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。

表12-1 に、レポートのこのセクションのフィールドを示します。

 

表12-1 攻撃レポートの General Details セクションのフィールドの説明

フィールド
説明

Report ID

レポートの識別番号。 current という値は、進行中の攻撃があることを示します。

Attack Start

攻撃が開始された日時。

Attack End

攻撃が終了した日時。 Attack in progress という値は、進行中の攻撃があることを示します。

Attack Duration

攻撃の期間。

Attack Statistics

Attack Statistics セクションには、さまざまなパケットのゾーン トラフィック フローの一般的な分析が記載されます。 表12-2 に、パケット タイプを示します。

 

表12-2 パケット タイプ

タイプ
説明

Received

宛先変更されたトラフィックの合計量。

Forwarded

Guard モジュールがゾーンに転送した正当なトラフィック。

Replied

検証の試行で Guard モジュールのスプーフィング防止機能およびゾンビ防止機能によって送信元に返送されたトラフィック。

Dropped

Guard モジュールがドロップしたトラフィック。

Malicious Packet Statistics

攻撃レポートの Malicious Packets Statistics セクションでは、Guard モジュールがドロップしたパケットおよび検証の試行で送信元に返送されたパケットが分析されます。レポートでは、パケットをタイプ(スプーフィングまたは不正な形式)、およびそれらを処理する Guard モジュールの機能(フィルタ タイプまたはレート リミッタ)によって分類します。

表12-3 に、さまざまなタイプの悪意のあるパケットを示します。

 

表12-3 悪意のあるパケットのタイプ

タイプ
説明

Rate Limiter

ゾーンへの注入が許可されているトラフィックのレート(ユーザ フィルタのレート リミット パラメータおよびゾーンの rate-limit コマンドにより定義)を超過したためにドロップされたパケット。

Flex-Content Filters

フレックスコンテンツ フィルタによってドロップされたパケット。

User Filters

ユーザ フィルタによってドロップされたパケット。

Dynamic Filters

動的フィルタによってドロップされたパケット。

Spoofed

Guard モジュールにより、スプーフィングされたパケットまたはゾンビが発信したパケットであると識別され、ゾーンに注入されなかったパケット。スプーフィング パケットは、応答した(返送した)パケットのうち、応答を受信しなかったパケットです。

Malformed

不正な形式の構造であるため、または Guard モジュールのスプーフィング防止機能が原因で、不正な形式であると分析されたパケット。

Detected Anomalies

攻撃レポートの Detected Anomalies セクションには、Guard モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。通常、このような異常は頻繁に発生しません。頻繁に発生する場合は、体系的な DDoS 攻撃(分散型サービス拒絶攻撃)となる可能性があります。Guard は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。

表12-4 に、検出された異常の各タイプを示します。

 

表12-4 検出された異常のタイプ

タイプ
説明

dns (tcp)

攻撃している DNS-TCP プロトコル フロー。

dns (udp)

攻撃している DNS-UDP プロトコル フロー。

fragments

断片化されたトラフィックが異常な量であることが検出されたフロー。

http

異常な HTTP トラフィック フロー。

ip_scan

多くのゾーン宛先 IP アドレスにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

other_protocols

攻撃している TCP/UDP 以外のプロトコル フロー。

port_scan

多くのゾーン ポートにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

tcp_connections

データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

tcp_incoming

ゾーンがサーバである場合に、TCP サービスを攻撃していることが検出されたフロー。

tcp_outgoing

ゾーンがクライアントである場合に、ゾーンによって開始された接続に対する SYN-ACK フラッドまたは他のパケット攻撃で構成されていることが検出されたフロー。

tcp_ratio

異なるタイプの TCP パケット間の比率が異常であること(たとえば、FIN/RST パケットに対する高い比率の SYN パケット)が検出されたフロー。

udp

攻撃している UDP プロトコル フロー。

unauthenticated_tcp

Guard のスプーフィング防止機能が認証に成功しなかった検出済みのフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

user

ユーザ定義によって検出された異常なフロー。

sip_udp

SIP 1 over UDP を使用して VoIP セッションを確立する、検出済みの VoIP 2 の異常なフロー。

1.SIP = Session Initiation Protocol

2.VoIP = Voice over IP

Mitigated Attacks

攻撃レポートの Mitigated Attacks セクションには、Guard モジュールが攻撃を軽減するために実行した処置が詳細に記載されます。このレポートには、軽減のタイミングおよび軽減された攻撃のタイプの詳細が記載されます。Guard モジュールは、Guard モジュールが攻撃を軽減するために使用した機能に応じて軽減のタイプを定義します。この機能は、攻撃のタイプとサブタイプを示します。

たとえば、Guard モジュールが syn パケットの攻撃フローを軽減するために基本的なスプーフィング防止機能を使用した場合、軽減された攻撃は spoofed/tcp_syn_basic と表示されます。ここで、spoofed は攻撃のタイプを示し、tcp_syn_basic は攻撃のサブタイプを示します。

この項では、5 つのタイプの軽減された攻撃について説明します。次のトピックがあります。

スプーフィング攻撃

ゾンビ攻撃

クライアント攻撃

ユーザ定義の攻撃

不正な形式のパケット

スプーフィング攻撃

スプーフィング攻撃には、スプーフィングされた送信元からの DDoS 攻撃であると識別されるすべてのトラフィック異常が含まれます。 表12-5 に、スプーフィング攻撃のさまざまなタイプを示します。

 

表12-5 スプーフィング攻撃のタイプ

攻撃のタイプ
説明

spoofed/tcp_syn (basic)

基本的なスプーフィング防止機能が認証に成功しなかった SYN パケットのフラッド。

spoofed/tcp_syn (strong)

強力なスプーフィング防止機能が認証に成功しなかった SYN パケットのフラッド。

spoofed/tcp_syn_ack (basic)

基本的なスプーフィング防止機能が認証に成功しなかった syn_ack パケットのフラッド。

spoofed/tcp_syn_ack (strong)

強力なスプーフィング防止機能が認証に成功しなかった syn_ack パケットのフラッド。

spoofed/tcp_incoming (basic)

基本的なスプーフィング防止機能が認証に成功しなかったトラフィックのフラッド。

spoofed/tcp_incoming (strong)

強力なスプーフィング防止機能が認証に成功しなかったトラフィックのフラッド。

spoofed/tcp_outgoing (strong)

強力なスプーフィング防止機能が認証に成功しなかった、ゾーンで開始された接続に応答するトラフィックのフラッド。

spoofed/udp (basic)

基本的なスプーフィング防止機能が認証に成功しなかった UDP トラフィックのフラッド。

spoofed/udp (strong)

強力なスプーフィング防止機能が認証に成功しなかった UDP トラフィックのフラッド。

spoofed/other_protocols

Guard モジュールのスプーフィング防止機能が認証に成功しなかった、TCP および UDP トラフィック以外のフラッド。

spoofed/tcp_fragments

Guard モジュールのスプーフィング防止機能が認証に成功しなかった、断片化された TCP パケットのフラッド。

spoofed/udp_fragments

Guard モジュールのスプーフィング防止機能が認証に成功しなかった、断片化された UDP パケットのフラッド。

spoofed /other_protocols_fragments

Guard モジュールのスプーフィング防止機能が認証に成功しなかった、TCP および UDP 以外の断片化されたパケットのフラッド。

spoofed/dns_queries (strong)

強力なスプーフィング防止機能が認証に成功しなかった DNS クエリー パケットのフラッド。

spoofed/dns_replies (basic)

基本的なスプーフィング防止機能が認証に成功しなかった、ゾーンで開始された接続に応答する DNS パケットのフラッド。

spoofed/dns_replies (strong)

強力なスプーフィング防止機能が認証に成功しなかった、ゾーンで開始された接続に応答する DNS パケットのフラッド。

spoofed/sip

基本的なスプーフィング防止機能が認証に成功しなかった SIP over UDP パケットのフラッド。

ゾンビ攻撃

ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されるトラフィック異常が含まれます。 表12-6 に、ゾンビ攻撃のタイプを示します。

 

表12-6 ゾンビ攻撃のタイプ

攻撃のタイプ
説明
zombie/http

Guard モジュールのゾンビ防止機能が認証に成功しなかった、スプーフィングされていないと識別された多くの送信元からの HTTP トラフィックのフラッド。

クライアント攻撃

クライアント攻撃には、スプーフィングされていないすべてのトラフィック異常が含まれます。 表12-7 に、さまざまなタイプのクライアント攻撃を示します。

 

表12-7 クライアント攻撃のタイプ

攻撃のタイプ
説明

client_attack/tcp_connections

データを保持している(または保持していない)、TCP 同時接続数が異常であるフロー。

client_attack/http

HTTP トラフィック フローのフラッド。

client_attack/tcp_ incoming

ゾーンがサーバである場合に、TCP サービスを攻撃しているフラッド。

client_attack/tcp_outgoing

ゾーンが開始した認証済み IP 接続の攻撃からのフラッド。

client_attack
/unauthenticated_tcp

TCP ハンドシェイクを経ていない ACK、FIN、または他のパケットのフラッド、あるいは Guard モジュールのスプーフィング防止機能が認証に成功しなかった TCP 接続。

client_attack/dns (udp)

攻撃している DNS-UDP プロトコル フローのフラッド。

client_attack/dns (tcp)

攻撃している DNS-TCP プロトコル フローのフラッド。

client_attack/udp

攻撃している UDP プロトコル フローのフラッド。

client_attack/other_protocols

攻撃している TCP/UDP 以外のプロトコル フローのフラッド。

client_attack/fragments

断片化されたトラフィックのフラッド。

client_attack/user

ユーザ定義の動的フィルタが識別したフラッド。

ユーザ定義の攻撃

ユーザ定義攻撃には、ユーザ フィルタによって処理されたすべての異常が含まれます。ユーザ フィルタは、デフォルトまたは手動による設定で機能します。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。 表12-8 に、ユーザ定義攻撃のタイプを示します。

 

表12-8 ユーザ定義攻撃のタイプ

攻撃のタイプ
説明

user_defined/user_filter_rate_limit

ユーザ フィルタ用に定義されたレート リミットを超過したためにドロップされたフラッド。

user_defined/user_drop_filters

ユーザ フィルタによってドロップされたフラッド。

user_defined/rate_limit

次のいずれかの原因によりドロップされたフラッド。

ユーザ フィルタ用に定義されたレート リミットを超過した。

ゾーンの rate-limit コマンドによって定義されたレート リミットを超過した。

認証されていない TCP RST パケットまたは認証されていない DNS ゾーン転送パケット用に定義された内部レート リミットを超過した。

user_defined/flex_content_filter

フレックスコンテンツ フィルタによってドロップされたフラッド。

不正な形式のパケット

不正な形式のパケットには、悪意のある不正形式パケットで構成されると識別されたすべてのトラフィック異常が含まれます。 表12-9 に、さまざまなタイプの不正形式パケットを示します。

 

表12-9 不正形式パケットのタイプ

攻撃のタイプ
説明

malformed_packets /packets_to_proxy_ip

Guard モジュールのプロキシ IP アドレスを攻撃するフラッド。

malformed_packets/dns_anti_spoofing_algo

Guard モジュールの DNS スプーフィング防止機能の動作が原因の不正形式パケットのフラッド。

malformed_packets/dns (queries)

不正な形式の DNS パケットのフラッド。

malformed_packets/dns (short_queries)

短い DNS クエリーのフラッド。

malformed_packets/dns (replies)

不正な形式の DNS 応答のフラッド。

malformed_packets/src_ip_equals_dst_ip

送信元および宛先としてゾーンの IP アドレスを持つパケットのフラッド。

malformed_packets /zero_header_field

ヘッダーの宛先ポート、送信元ポート、プロトコル、および送信元 IP アドレス フィールドが不正にゼロとなっているパケットのフラッド。

malformed_packets /sip_bad_header

不正な形式のヘッダーを持つ SIP over UDP パケットのフラッド。

Replied IP Summarizations

Replied IP Summarizations セクションには、スプーフィングされた送信元およびスプーフィングされていない送信元の IP アドレスのリストが記載され、次の 2 つのセクションで構成されます。

Replied IP Summarizations (attack start)

Replied IP Summarizations (overall attack summary)

Replied IP Summarizations の 2 つのセクションを使用して、攻撃元の場所が攻撃の期間中に変更されたかどうかを確認できます(ある場所で攻撃が開始され、攻撃中に他のサブネットに移行したなど)。

ゾーンが大規模なスプーフィング攻撃の犠牲になっている場合、攻撃側が使用するサブネットは Replied IP Summarization の結果に現れる可能性が高くなります。この結果にはスプーフィングされていない IP アドレスが含まれることもあります。これは、スプーフィング防止プロセスを経たすべてのトラフィック(返送されたトラフィック)について IP サマライズが実行されるからです。スプーフィングされていないトラフィックについては数分ごとに 1 回しか認証が実行されませんが、スプーフィングされたトラフィックの認証は継続的に試行されます。このため、スプーフィングされた IP アドレスが Replied IP Summarizations に現れる頻度のほうが高くなります。

攻撃レポートのセクションのうち、スプーフィングされた IP アドレスの情報が記載されるのは Replied IP Summarizations の各セクションだけです。ただし、非スプーフィング攻撃のパケットは動的フィルタによってドロップされるので、非スプーフィング攻撃の IP アドレスも軽減アクションのセクションに表示されることがあります。

表12-10 に、攻撃レポートのこのセクションのフィールドを示します。

 

表12-10 攻撃レポートの Replied IP Summarizations セクションのフィールドの説明

フィールド
説明

Subnet

スプーフィングされたパケットまたはスプーフィングされていないパケットの IP アドレス。

Subnet Mask

スプーフィングされたパケットまたはスプーフィングされていないパケットのサブネット マスク。

Weight

記録されたサンプルの合計のうち、サブネット IP アドレスから送信され、Guard モジュールによって記録されたサンプル数のパーセンテージ。


) Guard モジュールでは、返送 IP サマライズの情報が攻撃レポートに表示されるのは、自動パケットダンプ キャプチャ機能がイネーブルになっている場合に限られます(「Guard モジュールの設定によるトラフィックの自動記録」を参照)。返送パケットダンプ キャプチャ ファイルには、Guard がクライアントを認証しようとして発行した返送パケットだけが含まれます。このため、返送 IP サマライズは記録されたパケットの宛先 IP アドレスから得られます。返送 IP サマライズのレポートでより正確な結果が得られるようにするには、ゾーンに対する攻撃の期間中、自動パケットダンプ キャプチャ機能をイネーブルにしておく必要があります。攻撃中にパケットダンプ キャプチャ機能をディセーブルにした場合、返送 IP サマライズの情報が不正確になるか、または得られなくなる可能性があります。


Zombies

ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されたトラフィック異常が含まれます。Guard モジュールの攻撃レポートには、現在ゾーンを攻撃しているゾンビを一覧表示するテーブルが表示されます。現在攻撃しているゾンビのリストを表示するには、 show reports details コマンドおよび show zombies コマンドを使用します。


) このレポート セクションは、show reports details コマンドおよび show zombies コマンドを入力した場合にだけ表示されます。


show zombies コマンド出力のフィールドについては、表12-16 を参照してください。

レポートのパラメータについて

この項では、レポートの各セクションに関連する、トラフィック フローのさまざまな特性について説明します。

表12-11 に、 Attack Statistics および Malicious Packet Statistics のフィールドを示します。

 

表12-11 Attack Statistics のフィールドの説明

フィールド
説明

Total Packets

攻撃パケットの合計数。

Average pps

パケット/秒単位の平均トラフィック レート。

Average bps

ビット/秒単位の平均トラフィック レート。

Max. pps

パケット/秒単位で測定される最大トラフィック レート。

Max. bps

ビット/秒単位で測定される最大トラフィック レート。

Percentage

受信パケットの合計数に対する、転送されたパケット、返送されたパケット、およびドロップされたパケットのパーセンテージ。

表12-12 に、 Detected Anomalies および Mitigated Attacks のフロー統計情報を示します。

 

表12-12 フロー統計情報のフィールドの説明

フィールド
説明

ID

検出された異常の識別番号。

Start time

異常が検出された日時。

Duration

異常の期間(時間、分、秒)。

Type

異常または軽減された攻撃のタイプ。

Triggering rate

ポリシーのしきい値を超過した異常トラフィック レート。

% Threshold

Triggering rate がポリシーのしきい値を上回っているパーセンテージ。

Flow

異常フローおよび軽減された攻撃のフロー。この特性には、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートが含まれています。トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

ワイルドカードとして使用されるアスタリスク(*)がパラメータのいずれかに表示された場合、次のいずれかを意味します。

値が特定されていない。

異常のパラメータに対して複数の値が測定された。

数値の前にあるナンバー記号(#)は、そのパラメータに対して測定された値の数を示します。

Guard モジュールは、フローの説明の右側に、 notify という値を表示することがあります。 notify の値は、その行が説明するトラフィック タイプの通知を Guard モジュールが生成することを示します。Guard モジュールは値が notify の場合、アクションを実行しません。

攻撃レポートの表示

特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、ゾーン設定モードで次のコマンドを使用します。

show reports [ sub-zone-name ] [current | report-id ] [details]

表12-13 に、 show reports コマンドの引数とキーワードを示します。

 

表12-13 show reports コマンドの引数とキーワード

パラメータ
説明

sub-zone-name

(オプション)ゾーンから作成されたサブゾーンの名前です。詳細については、「サブゾーンについて」を参照してください。

current

(オプション)進行中の攻撃のレポートを表示します。

進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。

report-id

(オプション)レポートの識別番号。

details

(オプション)フローおよび攻撃しているゾンビの詳細を表示します。

次の例は、ゾーン上のすべての攻撃のリストの表示方法を示しています。

user@GUARD-conf-zone-scannet# show reports
 

表12-14 に、 show reports コマンド出力のフィールドを示します。

 

表12-14 show reports コマンド出力のフィールドの説明

フィールド
説明

Report ID

レポートの識別番号。 current という値は、進行中の攻撃があることを示します。

Attack Start

攻撃が開始された日時。

Attack End

攻撃が終了した日時。 Attack in progress という値は、進行中の攻撃があることを示します。

Attack Duration

攻撃の期間。

Attack Type

軽減された攻撃のタイプ。指定できる値は、次のとおりです。

client_attack :スプーフィング以外のすべてのトラフィック異常。

malformed_packets :悪意のある不正形式パケットと見なされたすべてのトラフィック異常。

spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされたトラフィック異常。

user_defined :ユーザ フィルタによって処理されたすべての異常。ユーザ フィルタは、デフォルト設定で動作することも、ユーザが動作を設定することもできます。

zombie :ゾンビが発信元であると見なされたトラフィック異常。

hybrid :特性の異なる複数の攻撃で構成された攻撃。

traffic_anomaly :短期間のみ検出され、軽減を必要としなかった異常。

Peak Malicious Traffic

次のタイプのパケットの個数の合計です。

Guard モジュールが攻撃の一部として識別し、ドロップしたパケット。

パケットが正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、Guard モジュールから開始側のクライアントに応答が送信されたパケット。

次の例は、ゾーン上の現在の攻撃のレポートの表示方法を示しています。

user@GUARD-conf-zone-scannet# show reports current
 

現在の攻撃レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。

 

Report ID
:
current
Attack Start
:
Oct 30 2007 17:52:36
Attack End
:
Attack in progress5
Attack Duration
:
01:00:59
Attack Statistics:
 
Total Packets
Average pps
Average bps
Max pps
Max bps
Percentage
Received
31728642
8776.94
7460975
50113.08
43617740.8
N/A
Forwarded
23941126
6622.72
6357848.27
40090.22
38486033.07
75.46
Replied
7747473
2143.15
1097290.78
10022.85
5131699.2
24.42
Dropped
40043
11.08
5835.95
730.4
373964.8
0.13
Malicious Packets Statistics:
 
Total Packets
Average pps
Average bps
Max pps
Max bps
Percentage
Rate Limiter
10882
3.01
1541.24
181.37
92859.73
0.61
Flex-Content Filter
0
0
0
0
0
0
User Filters
0
0
0
0
0
0
Dynamic Filters
17404
4.81
2628.55
256.47
137254.4
0.97
Spoofed
1754645
485.38
248514.04
1505.75
770944
97.77
Malformed
10957
3.03
1551.86
730.4
373964.8
0.61
Detected Anomalies:
ID
Start Time
Duration
Type
Triggering Rate
%Threshold
1
Oct 30 17:52:36
00:50:59
tcp_incoming
2830.18
17918
 
Flow: 6 *
*
172.16.1.1 80
no fragments
Mitigated Attacks:
ID
Start Time
Duration
Type
Triggering Rate
%Threshold
1
Oct 30 18:01:13
00:11:27
client_attack/
tcp_connections
9
80
 
Flow: 6 (#649)
*
172.16.1.1 80
no fragments
2
Oct 30 18:02:35
00:00:10
user_defined/
rate_limit
181.37
N/A
 
Flow: *
 
*
no fragments
3
Oct 30 18:13:35
00:20:10
spoofed/
tcp_syn(basic)
1505.75
N/A
 
Flow: 6
*
*
no fragments
 
Replied IP Summarizations (attack start):
 
Subnet
Subnet Mask
Weight(%)
 
10.36.0.0
255.255.0.0
100.00
 
 
 
 
 
Replied IP Summarizations (overall attack summary):
 
Subnet
Subnet Mask
Weight(%)
 
10.37.0.0
255.255.0.0
18.66
 
172.16.150.176
255.255.255.240
14.01
 
192.168.55.0
255.255.255.0
14.01
 
192.168.53.0
255.255.255.0
11.69
 
10.36.0.0
255.255.0.0
9.34
 
10.168.150.80
255.255.255.240
9.29
 
10.172.0.0
255.255.0.0
8.95
 
192.168.51.0
255.255.255.0
7.02
 
192.168.64.0
255.255.240.0
7.02

検出された異常フローと軽減された攻撃フローに関する詳細なレポート、およびゾンビ攻撃のリストを表示するには、 details オプションを使用します。

表12-15 に、詳細なレポートの Detected Anomalies セクションに含まれているDetected Flow および Action Flow のフィールドを示します。

 

表12-15 詳細なレポートのフローのフィールドの説明

フィールド
説明

Detected Flow

動的フィルタが生成される原因となったフロー。検出されたフローが特定の送信元 IP アドレスの特定の送信元ポートを示す場合があります。このフローの特性は、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

Action Flow

動的フィルタによって処理されたフロー。アクション フローが特定の送信元 IP アドレスのすべての送信元ポートを示す場合があります。アクション フローは、検出されたフローよりも広範囲であることがあります。

このフローの特性は、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

表12-16 に、ゾンビ攻撃に関する詳細なレポートのフィールドを示します。

 

表12-16 ゾンビ攻撃に関するテーブルのフィールドの説明

フィールド
説明

IP

ゾンビの IP アドレス。

Start Time

ゾンビ接続が初めて識別された日時。

Duration

ゾンビ攻撃の期間。

#Requests

ゾンビによって送信された HTTP get 要求の数。


) ゾンビ攻撃がない場合は、レポートの Zombies という見出しの下に「Report doesn't exist」と表示されます。


攻撃レポートのエクスポート

監視および診断のために、攻撃レポートをネットワーク サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。

この項では、次のトピックについて取り上げます。

攻撃レポートの自動エクスポート

すべてのゾーンの攻撃レポートのエクスポート

ゾーン レポートのエクスポート

攻撃レポートの自動エクスポート

攻撃レポートを XML 形式でエクスポートするように、Guard モジュールを設定できます。Guard モジュールは、ゾーンに対する攻撃が終了すると、いずれかのゾーンのレポートをエクスポートします。XML スキーマは、 http://www.cisco.com/public/sw-center/ のソフトウェア センターからダウンロードできる ExportedReports.xsd ファイルに記述されています。

Guard モジュールが攻撃レポートを自動的にエクスポートするように設定するには、設定モードで次のコマンドを使用します。

export reports file-server-name

file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。ネットワーク サーバに Secure FTP(SFTP)または Secure Copy(SCP)を設定する場合は、Guard モジュールが SFTP 通信および SCP 通信に使用する SSH キーを設定する必要があります。詳細については、「ファイルの自動エクスポート」を参照してください。

次の例は、ネットワーク サーバへの攻撃が終了したら、レポート(XML 形式)を自動的にエクスポートする方法を示しています。

user@GUARD-conf# export reports Corp-FTP-Server
 

すべてのゾーンの攻撃レポートのエクスポート

グローバル モードで次のいずれかのコマンドを入力することにより、すべてのゾーンのレポートをテキスト形式または XML 形式でエクスポートできます。

copy reports [ details ] [ xml ] ftp server full-file-name [ login ] [ password ]

copy reports [ details ] [ xml ] file-server-name dest-file-name

表12-17 に、 copy reports コマンドの引数とキーワードを示します。

 

表12-17 copy reports コマンドの引数とキーワード

パラメータ
説明

details

(オプション)フロー、および攻撃の送信元 IP アドレスの詳細をエクスポートします。

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください( www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートはテキスト形式でエクスポートされます。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

ftp

攻撃レポートを FTP を使用してネットワーク サーバにエクスポートします。

server

ネットワーク サーバの IP アドレス。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

(オプション)サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。

file-server-name

file-server コマンドを使用して定義したネットワーク サーバの名前。

ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用して攻撃レポートをネットワーク サーバにエクスポートできません。

詳細については、「ファイルの自動エクスポート」を参照してください。

dest-file-name

ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。

次の例は、ログイン名 user1 とパスワード password1 を使用して、Guard モジュールによって処理されたすべての攻撃のリストを IP アドレス 10.0.0.191 の FTP サーバに(テキスト形式で)コピーする方法を示しています。

user@GUARD# copy reports ftp 10.0.0.191 agmreports.txt user1 password1
 

次の例は、Guard モジュールによって処理されたすべての攻撃のリストを、 file-server コマンドを使用して定義したネットワーク サーバに(テキスト形式で)コピーする方法を示しています。

user@GUARD# copy reports Corp-FTP-Server AttackReports.txt
 

ゾーン レポートのエクスポート

グローバル モードで次のいずれかのコマンドを入力することにより、特定のゾーンの攻撃レポートを FTP サーバにコピーできます。

copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]

copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] file-server-name dest-file-name

表12-18 に、 copy zone reports コマンドの引数とキーワードの説明を示します。

 

表12-18 copy zone reports コマンドの引数とキーワード

パラメータ
説明

zone-name

既存のゾーンの名前。

current

(オプション)進行中の攻撃のレポートをエクスポートします(該当する場合)。

デフォルトでは、すべてのゾーン レポートをエクスポートします。

report-id

(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Guard モジュールによってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。

デフォルトでは、すべてのゾーン レポートをエクスポートします。

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください
www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートをテキスト形式でエクスポートします。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

details

(オプション)フロー、および攻撃の送信元 IP アドレスの詳細をエクスポートします。

ftp

攻撃レポートを FTP を使用してネットワーク サーバにエクスポートします。

server

サーバの IP アドレスとパス。

login

(オプション)サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。

ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用してレポートをネットワーク サーバにエクスポートできません。

詳細については、「ファイルの自動エクスポート」を参照してください。

dest-file-name

ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。

次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにゾーンのすべての攻撃レポートをコピーする方法を示しています。

user@GUARD# copy zone scannet reports ftp 10.0.0.191 ScannetCurrentReport.txt user1 password1
 

次の例は、 file-server コマンドを使用して定義したネットワーク サーバに現在の攻撃のレポートを XML 形式でコピーする方法を示しています。

user@GUARD# copy zone scannet reports current xml Corp-FTP-Server AttackReport-5-10-05.txt
 

攻撃レポートの削除

古い攻撃レポートを削除して、空きディスク スペースを得ることができます。

攻撃レポートを削除するには、ゾーン設定モードで次のコマンドを使用します。

no reports report-id

report-id 引数には、既存のレポートの ID を指定します。すべての攻撃レポートを削除するには、アスタリスク(*)を入力します。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。


) 進行中の攻撃の攻撃レポートは削除できません。


次の例は、すべてのゾーン攻撃レポートを削除する方法を示しています。

user@GUARD-conf-zone-scannet# no reports *