Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
ネットワーク トラフィックの 監視と攻撃シグニチャの抽出
ネットワーク トラフィックの監視と攻撃シグニチャの抽出
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

パケットダンプ キャプチャの概要

自動パケットダンプ キャプチャのイネーブル化

自動パケットダンプ キャプチャのディセーブル化

手動パケットダンプ キャプチャのアクティブ化

手動パケットダンプ キャプチャの開始

手動パケットダンプ キャプチャの停止

パケットダンプ キャプチャの表示

パケットダンプ キャプチャのリストの表示

パケットダンプ キャプチャの詳細の表示

Packet-Dump Capture details 画面の表示の変更

2 つのパケットダンプ キャプチャの比較

パケットダンプ キャプチャ ファイルの管理

手動パケットダンプ キャプチャ ファイルの名前変更

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルのエクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの削除

パケットダンプ キャプチャのシグニチャの抽出と使用

パケットダンプ キャプチャからの攻撃シグニチャの抽出

フレックスコンテンツ フィルタへの攻撃シグニチャの追加

攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用する

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

パケットダンプ キャプチャ機能を使用すると、ネットワークの動作を阻害しないネットワーク タップを使用して、Detector モジュールでゾーンのトラフィックのパターンを記録および観察するように設定できます。

この章は、次の項で構成されています。

パケットダンプ キャプチャの概要

自動パケットダンプ キャプチャのイネーブル化

自動パケットダンプ キャプチャのディセーブル化

手動パケットダンプ キャプチャのアクティブ化

パケットダンプ キャプチャの表示

パケットダンプ キャプチャ ファイルの管理

パケットダンプ キャプチャのシグニチャの抽出と使用

パケットダンプ キャプチャの概要

ネットワークを阻害しないタップを通じてネットワークから直接トラフィックを記録し、記録したトラフィックからデータベースを作成するように Detector モジュールを設定できます。記録したトラフィックのデータベースにクエリーを実行することによって、過去のイベントの分析やトラフィック シグニチャの抽出ができます。また、現在のトラフィックのパターンと Detector モジュールが以前に通常のトラフィック状態で記録したトラフィックのパターンとを比較することも可能です。

Detector モジュールが特定の基準を満たすトラフィックだけを記録するように、フィルタを設定できます。また、すべてのトラフィック データを記録し、Detector モジュールが表示するトラフィックをフィルタリングすることもできます。

Detector モジュールは、gzip (GNU zip)プログラムで圧縮および暗号化された PCAP 形式でトラフィックを保存します。これには、記録されたデータについて記述する Extensible Markup Language (XML)形式のファイルが付属します。

記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに、共通のパターンつまりシグニチャが現れているかどうかを特定することです。Detector モジュールでは、記録されたトラフィックを分析し、シグニチャを抽出することができます。このシグニチャを使用してフレックスコンテンツ フィルタを設定すると、シグニチャに一致するパケット ペイロードを含むトラフィックをすべてブロックできます。

Detector モジュールは、次の 2 つの方法でトラフィックを記録できます。

自動:トラフィック データをパケットダンプ キャプチャ ファイルに継続的に記録します。

新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、それらのファイルをネットワーク サーバにエクスポートする必要があります。

手動:ユーザがこの機能をアクティブにしたときにトラフィックをパケットダンプ キャプチャ ファイルに記録します。

以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録したトラフィックを保存するには、Detector モジュールで再度トラフィックを記録する前に、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。

ゾーンに対して同時にアクティブにできる手動パケットダンプ キャプチャは、1 つだけです。ただし、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector モジュールでは、同時に最大 4 つのゾーンのトラフィックを手動で記録できます。

デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。追加のパケットダンプ キャプチャ ファイルのためにディスク スペースを確保するには、以前のファイルを削除する必要があります。

自動パケットダンプ キャプチャのイネーブル化

自動パケットダンプ機能をイネーブルにすると、Detector モジュールはゾーンのトラフィックを記録できます。新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、それらのファイルを FTP サーバにエクスポートする必要があります(「パケットダンプ キャプチャ ファイルのエクスポート」の項を参照)。

自動パケットダンプ機能をイネーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示され、ゾーンの現在の設定が示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Zone Form の Packet-Dump Parameters 領域で、 On をクリックします。

ステップ 5 OK をクリックして自動パケットダンプ設定を保存します。Detector モジュールはすべてのゾーン トラフィックの記録を開始します。


 

自動パケットダンプ キャプチャのディセーブル化

自動パケットダンプ機能をディセーブルにすると、Detector モジュールはゾーンのトラフィックの記録を停止します。

自動パケットダンプ機能をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示され、ゾーンの現在の設定が示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Zone Form の Packet-Dump Parameters 領域で、 Off をクリックします。

ステップ 5 OK をクリックして自動パケットダンプをディセーブルにします。Detector モジュールは、ゾーン トラフィックの記録を停止します。


 

手動パケットダンプ キャプチャのアクティブ化

この項の手順では、Detector モジュールで手動パケットダンプ キャプチャの開始と終了のタイミングを制御する方法について説明します。手動パケットダンプ キャプチャは、ゾーンごとに 1 つのみアクティブにできます。自動パケットダンプ キャプチャとともにアクティブにすることもできます。

デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、不要になったパケットダンプ キャプチャファイルをすべて削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。

この項では、次の手順について説明します。

手動パケットダンプ キャプチャの開始

手動パケットダンプ キャプチャの停止

手動パケットダンプ キャプチャの開始

手動パケットダンプ キャプチャを開始するには、事前にゾーンをアクティブ(ゾーンのトラフィックをラーニングしているか、ゾーン トラフィックの異常を検出している)にする必要があります。

手動パケットダンプ キャプチャを開始するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Start Packet-Dump を選択します。Start Packet-Dump 画面が表示されます。

ステップ 3 パケットダンプ キャプチャのパラメータを設定します。

表11-1 に、Start Packet-Dump Form に表示されるパラメータの説明を示します。

 

表11-1 Start Packet-Dump Form のパラメータ

パラメータ
説明

Capture name

パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

Packet-Dump filter

(オプション)記録するトラフィックを指定するために適用するフィルタ。Detector モジュールは、フィルタの式に適合するトラフィックのみをキャプチャします。この式の構文は、フレックスコンテンツ フィルタ式の構文と同じです。( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツの式の構文について」を参照)。

Dispatch value

Detector モジュールがキャプチャするゾーンのトラフィック。Dispatch value の値は DROPPED です。

Sample rate

サンプリング レート(pps 単位)。 1 1 ~ 10000 の値を入力します。

Detector モジュールは、同時に実行される手動キャプチャすべてについて、累積最大 10,000 パケット/秒のパケットダンプ キャプチャ レートをサポートします。

パケットダンプ キャプチャのサンプリング レートを大きな値に設定すると、リソースの消費量が多くなります。パフォーマンスが低下する可能性があるため、大きいサンプリング レート値を使用する場合は注意してください。

Number of packets

記録するパケットの数。Detector モジュールは、ユーザが指定した数のパケットを記録すると、手動パケットダンプ キャプチャを停止し、キャプチャ バッファ内の情報をファイルに保存します。1 ~ 5000 の整数を入力します。

1.pps = packets per second

ステップ 4 OK をクリックすると手動のパケットダンプ キャプチャが開始されます。


 

手動パケットダンプ キャプチャの停止

Detector モジュールは、ユーザがキャプチャをアクティブにした際に指定した数のパケットを記録すると、手動パケットダンプ キャプチャを停止します。ただし、指定の数のパケットを Detector モジュールが記録する前に、ユーザは手動パケットダンプ キャプチャを停止できます。

手動パケットダンプ キャプチャを停止するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Stop Packet-Dump を選択します。手動パケットダンプ キャプチャが停止します。


 

パケットダンプ キャプチャの表示

この項の手順では、パケットダンプ キャプチャ ファイルのリストや単一のパケットダンプ キャプチャ ファイルの内容の表示方法、および、2 つのパケットダンプ キャプチャの結果を比較する方法について説明します。

この項では、次の手順について説明します。

パケットダンプ キャプチャのリストの表示

パケットダンプ キャプチャの詳細の表示

Packet-Dump Capture details 画面の表示の変更

2 つのパケットダンプ キャプチャの比較

パケットダンプ キャプチャのリストの表示

パケットダンプ キャプチャ ファイルのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump List 画面が表示されます。


 

表11-2 に、パケットダンプのリストに含まれているフィールドの説明を示します。

 

表11-2 パケットダンプのリスト

フィールド
説明

Name

パケットダンプ キャプチャ ファイルの名前。

Start Time

パケットダンプ キャプチャを開始した日時。

Stop Time

パケットダンプ キャプチャを終了した日時。

Type

パケットダンプ キャプチャのタイプ。自動または手動です。

Size

パケットダンプ キャプチャによって生成されるファイルのサイズ。

Packet Dump Filter

トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の構文は、フレックスコンテンツ フィルタ式の構文と同じです。( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツの式の構文について」を参照)。

Dispatch

Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。

表11-3 に、Packet-Dump list 画面の機能ボタンの説明を示します。

 

表11-3 Packet-Dump list 画面の機能ボタン

ボタン
説明

Stop/Start

手動パケットダンプの動作を制御します。現在の動作ステータスに応じて、手動パケットダンプ機能を Stop または Start に切り替えます。

Start :手動パケットダンプ キャプチャを開始します。このボタンは、手動パケットダンプが動作していないときのみ表示されます。

Stop :現在の手動パケットダンプ キャプチャを終了します。このボタンは、手動パケットダンプ機能が動作しているときのみ表示されます。

View

パケットダンプ キャプチャ ファイルの詳細情報を 1 つまたは 2 つ表示します(「パケットダンプ キャプチャの詳細の表示」および「2 つのパケットダンプ キャプチャの比較」の項を参照)。

Rename

パケットダンプ キャプチャ ファイルの名前を変更します(「手動パケットダンプ キャプチャ ファイルの名前変更」の項を参照)。

Copy

パケットダンプ キャプチャ ファイルをコピーします(「パケットダンプ キャプチャ ファイルのコピー」の項を参照)。

Export/Import

パケットダンプ キャプチャ ファイルをエクスポートまたはインポートします(「パケットダンプ キャプチャ ファイルのエクスポート」および「パケットダンプ キャプチャ ファイルのインポート」の項を参照)。

Delete

パケットダンプ キャプチャ ファイルを削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。

パケットダンプ キャプチャの詳細の表示

パケットダンプ キャプチャの詳細を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。

Packet-Dump capture analysis 画面が表示されます。表示される情報に画面フィルタを適用する方法の詳細については、「Packet-Dump Capture details 画面の表示の変更」の項を参照してください。


 

表11-4 に、Detector モジュールが Packet-Dump capture analysis 画面のキャプチャと表示の各パラメータ領域に表示する情報を示します。

 

表11-4 パケットダンプのキャプチャと表示のパラメータ

画面領域
パラメータ
説明

Capture parameters

Name

キャプチャ ファイルの名前。

Start time

キャプチャの開始時刻。

End time

キャプチャの終了時刻。

Packets

キャプチャ ファイルに含まれるパケットの数。

Packet Dump filter

トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。

Dispatch

Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。

View Parameters

Query

キャプチャ情報を表示するために Detector モジュールが使用するデータ プロファイル。

Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol

Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length

Packets list

各クエリー タイプに対して Detector モジュールが表示する情報の詳細については、 表11-5 を参照してください。

Display filter

パケットダンプ キャプチャ ファイルの表示で Detector モジュールが使用するフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。

Packet-Dump capture analysis 画面には、次のボタンがあります。

Change View:表示パラメータを変更します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。

Save:パケットダンプ キャプチャのコピーを別のファイル名で保存します(「パケットダンプ キャプチャ ファイルのコピー」の項を参照)。

Extract Signature:パケットダンプ キャプチャからトラフィックのシグニチャを抽出します(「パケットダンプ キャプチャからの攻撃シグニチャの抽出」の項を参照)。

表11-5 に、ユーザが選択するクエリー タイプに基づいて Detector モジュールが表示するキャプチャ情報を示します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。

 

表11-5 キャプチャ パラメータのテーブルとグラフの詳細

クエリーのタイプ
パラメータ
説明

Top 20/ Criteria

Criteria は、次のいずれかです。

SrcIP

DstIP

SrcPort

DstPort

Protocol

#

パケットダンプ キャプチャの実行中に、記録する各イベントに対して Detector モジュールが割り当てるシーケンス番号。

Key

IP アドレス、ポート番号、またはプロトコル番号。選択するクエリー タイプによって異なります。

Packets

パケットダンプ キャプチャに含まれているパケットの数。

%

パケットダンプ キャプチャで基準に一致するパケットの割合。

Distribution/ Criteria

Criteria は、次のいずれかです。

SrcIP

DstIP

SrcPort

DstPort

SrcReservedPorts

DstReservedPorts

Protocol

TTL

Length

x-axis

選択する分布アトリビュートの単位。IP アドレス、ポート番号、プロトコル番号など。

y-axis

Number of packets

Packets List

#

パケットダンプ キャプチャの実行中に、記録した各イベントに対して Detector モジュールが割り当てるシーケンス番号。

Time

パケットダンプがキャプチャされた時刻。

SrcIp

パケットの送信元 IP アドレス。

SrcPort

パケットの送信元ポート。

DstIp

パケットの宛先 IP アドレス。

DstPort

パケットの宛先ポート。

Protocol

パケットのプロトコル番号。

Info

パケットに関する追加情報。


) カラムの情報を基準として Top 20 テーブルと Packets List テーブルの情報をソートするには、テーブルのカラム ヘッダーをクリックします。


Packet-Dump Capture details 画面の表示の変更

Packet-Dump Capture details 画面の表示を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 Change View をクリックします。Change Packet-Dump View Parameters ウィンドウが表示されます。

ステップ 4 パケットダンプ キャプチャのパラメータの表示を設定します。 表11-6 に、Change Packet-Dump View Parameters Form のパラメータの説明を示します。

 

表11-6 Change Packet-Dump View Parameters

パラメータ
説明

Query

表示するデータ プロファイル。使用するプロファイルを Query ドロップダウン リストから選択します。

TOP 20: SrcIP / DstIP / SrcPort / DstPort / Protocol ユーザが選択した基準に従ってパケットをグループ化し、20 個のグループを値の多いものから順に表示します。たとえば、表示の基準として Src IP を選択した場合、Detector モジュールはパケットを送信元の IP アドレスに基づいてグループ化し、出現回数の多い順に 20 種類の送信元 IP アドレスに含まれる情報を表示します。この情報はテーブル形式で表示されます。

Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length ユーザが定義した基準に関して、パケットがどのように分布しているかを示すグラフを表示します。

Packet View :送信元 IP アドレスと宛先 IP アドレス、送信元ポートと宛先ポートなど、パケットの詳細を表示します。この情報はテーブル形式で表示されます。

プロファイルによって表示形式が決まります(テーブルまたはグラフ)。

Display filter

(オプション)表示するパケットを指定するユーザ定義のフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツの式の構文について」の項を参照)。

Display Pattern

(オプション)パケットの内容と照合するための正規表現データ パターン。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、パターンの基準に一致する部分だけを表示します。このパターンの規則は、フレックスコンテンツ パターンの規則と同じです( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用する表示パターンを入力します。

Start Offset

(オプション)パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。デフォルトは 0(ペイロードの先頭)です。Start Offset パラメータは、Display Pattern フィールドにパターンを入力した場合にのみ適用されます。使用する開始オフセットを入力します。

End Offset

(オプション)パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。End Offset パラメータは、Display Pattern フィールドにパターンを入力した場合にのみ適用されます。使用する終了オフセットを入力します。

ステップ 5 OK をクリックしてパケットダンプ表示を変更します。Detector モジュールは、ユーザが選択した表示パラメータに基づいて、Packet-Dump Capture details 画面をアップデートします。


 

2 つのパケットダンプ キャプチャの比較

2 つのパケットダンプ キャプチャの詳細を比較するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 基準キャプチャ として表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。

ステップ 4 参照キャプチャ として表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。

ステップ 5 View をクリックします。Packet-Dump capture analysis 画面が表示され、基準と参照のパケットダンプ キャプチャの詳細が示されます。

ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。この機能は、シグニチャを抽出する場合に使用します(Detector モジュールは基準キャプチャからシグニチャを抽出します)。シグニチャの抽出については、「パケットダンプ キャプチャのシグニチャの抽出と使用」の項を参照してください。


 

Detector モジュールが Packet-Dump capture analysis 画面に表示する情報の詳細については、「パケットダンプ キャプチャの詳細の表示」の項を参照してください。

パケットダンプ キャプチャ ファイルの管理

この項では、次の手順について説明します。

手動パケットダンプ キャプチャ ファイルの名前変更

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルのエクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの削除

手動パケットダンプ キャプチャ ファイルの名前変更

名前を変更できるのは、手動パケットダンプ キャプチャ ファイルのみです。自動パケットダンプ キャプチャ ファイルの名前を変更するには、ファイルをコピーする必要があります(「パケットダンプ キャプチャ ファイルのコピー」の項を参照してください)。

手動パケットダンプ キャプチャの名前を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 名前を変更するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Rename をクリックします。Rename ウィンドウが表示されます。

ステップ 4 New name フィールドに、パケットダンプ キャプチャ ファイルの新しい名前を入力します。名前は 1 ~ 63 文字の英数字の文字列で、アンダースコアとダッシュを含めることができますが、スペースを含めることはできません。

ステップ 5 OK をクリックすると、新しい名前でパケットダンプ キャプチャが保存されます。


 

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイル(またはファイルの一部)を新しい名前でコピーできます。Detector モジュールは、既存の自動パケットダンプ キャプチャ ファイルを新しいファイルで上書きします。自動または手動のパケットダンプ キャプチャ ファイルをコピーすると、Detector モジュールはこれらのファイルを手動ファイルとして保存し、元のパケットダンプ キャプチャ ファイルを削除しません。ディスク スペースを解放する必要がある場合は、ファイルを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照してください)。

パケットダンプ キャプチャ ファイルをコピーするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Copy をクリックします。Packet-Dump capture analysis 画面が表示されます。

ステップ 4 New name フィールドに、パケットダンプ キャプチャ ファイルの新しい名前を入力します。名前は 1 ~ 63 文字の英数字の文字列で、アンダースコアとダッシュを含めることができますが、スペースを含めることはできません。

ステップ 5 (オプション) Detector モジュールがパケットダンプ キャプチャ ファイルのコピーに使用するフィルタを定義します。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけをコピーします。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツの式の構文について」の項を参照してください)。

ステップ 6 OK をクリックすると、新しい名前でパケットダンプ キャプチャが保存されます。


 

パケットダンプ キャプチャの詳細を表示することで、ファイルをコピーすることもできます(「パケットダンプ キャプチャの詳細の表示」 の項を参照して、 Save をクリックしてください)。Detector モジュールは表示されるファイル部分を保存します。Detector モジュールが使用する、パケットダンプ キャプチャ ファイルを表示するフィルタを設定すると、Detector モジュールは、フィルタリング基準に一致するパケットダンプ キャプチャ ファイルの部分を保存するときと同じフィルタを使用します。

パケットダンプ キャプチャ ファイルのエクスポート

パケットダンプ キャプチャ ファイルは、FTP、SFTP、または SCP を使用してファイルを転送するネットワーク サーバに手動でエクスポートできます。パケットダンプ キャプチャ ファイルのエクスポートは、1 つのファイルでも、特定ゾーンのすべてのファイルでも可能です。Detector モジュールは、パケットダンプ キャプチャ ファイルを gzip (GNU zip)プログラムで圧縮および暗号化された PCAP 形式でエクスポートします。これには、記録されたデータについて記述する XML 形式のファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。

今回のバージョンに付属する .xsd ファイルは、
http://www.cisco.com/public/sw-center/ の Software Center からダウンロードできます。

パケットダンプ キャプチャをエクスポートするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 エクスポートするパケットダンプ キャプチャ ファイルの隣にあるチェックボックスをオンにし、 Export をクリックします。Export File Server Parameters ウィンドウが表示されます。

すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。

ステップ 4 Select File Server Parameters フォームで、使用するネットワーク サーバを選択します。

Use automatic export file server definitions :CLI コマンド export packet-dump を使用して、Detector モジュール コンフィギュレーション内に定義したネットワーク サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。

Use the following server definition :定義したネットワーク サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。ネットワーク サーバに関する次の情報を入力します。

Transfer method :使用する転送プロトコルを選択します。

転送方式は、次のいずれかです。

FTP :FTP サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。

SFTP :Secure FTP(SFTP)サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。

SCP :Secure Copy(SCP)サーバに、パケットダンプ キャプチャ ファイルをエクスポートします。

SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバに攻撃レポートをエクスポートする前に、Detector モジュールがセキュアな通信に使用するキーを設定していない場合、Detector モジュールはパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector モジュール CLI を使用しないと設定できません。

Address :ネットワーク サーバの IP アドレス。

Path :Detector モジュールがパケットダンプ キャプチャ ファイルを保存する完全パス名。パスを指定しない場合、ネットワーク サーバはユーザのホーム ディレクトリにパケットダンプ キャプチャ ファイルを保存します。

Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。

ステップ 5 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。


 

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルをネットワーク サーバから Detector モジュールにインポートできます。インポートにより、ユーザは過去のイベントの分析をしたり、現在のネットワーク トラフィックのパターンと、Detector モジュールが以前に通常のトラフィック状態で記録したトラフィックのパターンとを比較したりできます。Detector モジュールは、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式の両方でインポートします。

パケットダンプ キャプチャをインポートするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 Import をクリックします。Import FTP Server Parameters ウィンドウが表示されます。

ステップ 4 File Name フィールドに、インポートするファイルの完全パスと拡張子を除いたファイル名を入力します。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。


) インポートのプロセスが失敗するため、ファイルの拡張子は指定しないでください。


ステップ 5 Select File Server Parameters フォームで、使用するネットワーク サーバを選択します。

Use automatic export file server definitions :CLI コマンド export packet-dump を使用して、Detector モジュール コンフィギュレーション内に定義したネットワーク サーバから、パケットダンプ キャプチャ ファイルをインポートします。

Use the following server definition :定義したネットワーク サーバから、パケットダンプ キャプチャ ファイルをインポートします。ネットワーク サーバに関する次の情報を入力します。

Transfer method :使用する転送プロトコルを選択します。

転送方式は、次のいずれかです。

FTP :FTP サーバに、パケットダンプ キャプチャ ファイルをインポートします。

SFTP :Secure FTP(SFTP)サーバに、パケットダンプ キャプチャ ファイルをインポートします。

SCP :Secure Copy(SCP)サーバに、パケットダンプ キャプチャ ファイルをインポートします。

SFTP および SCP は、SSH に依存してセキュアな転送を提供します。そのため、SFTP サーバまたは SCP サーバに攻撃レポートをエクスポートする前に、Detector モジュールがセキュアな通信に使用するキーを設定していない場合、Detector モジュールはパスワードを入力するように求めます。SFTP および SCP 用のキーは、Detector モジュール CLI を使用しないと設定できません。

Address :ネットワーク サーバの IP アドレス。

Path :Detector モジュールがパケットダンプ キャプチャ ファイルをインポートする完全パス名。パスを指定しない場合、ネットワーク サーバはユーザのホーム ディレクトリからパケットダンプ キャプチャ ファイルをコピーします。

Username :ネットワーク サーバのログイン名。FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。

ステップ 6 OK をクリックして、パケットダンプ キャプチャ ファイルをネットワーク サーバからインポートします。


 

パケットダンプ キャプチャ ファイルの削除

デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。

Detector モジュールには、最大で 10 個のパケットダンプ キャプチャ ファイルを保存できます。新しいファイルのためにディスク スペースを確保するには、以前の手動のパケットダンプ キャプチャ ファイルを削除する必要があります。

パケットダンプ キャプチャを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 削除するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Delete をクリックします。Detector モジュールは、パケットダンプ キャプチャ ファイルを削除します。

すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。


 

パケットダンプ キャプチャのシグニチャの抽出と使用

攻撃のシグニチャは、攻撃パケットのペイロードに共通して現れる一種のパターンです。Detector モジュールをアクティブにして異常なトラフィックのシグニチャを生成し、同一タイプの将来の攻撃を迅速に検出するためにそのシグニチャを使用できます。この機能を使用すると、シグニチャが発行される前でも(ウィルス対策ソフトウェア会社やメーリング リストからなど)、新しい DDos 攻撃とインターネット ワームを検出することができます。

Detector モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用して攻撃シグニチャを生成します。このフレックスコンテンツ フィルタのパターンのシグニチャを使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツ フィルタのパターンの構文について」の項を参照してください。

トラフィックが通常状態のときに Detector モジュールが記録した追加のパケットダンプ キャプチャ ファイルを、参照ファイルとして指定することができます。参照用のパケットダンプ キャプチャ ファイルを指定すると、Detector モジュールは異常なトラフィックからシグニチャを生成して、通常のトラフィック状態で記録されたトラフィックの中に、シグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。

この項では、次の手順について説明します。

パケットダンプ キャプチャからの攻撃シグニチャの抽出

フレックスコンテンツ フィルタへの攻撃シグニチャの追加

攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用する

パケットダンプ キャプチャからの攻撃シグニチャの抽出

パケットダンプ キャプチャ ファイルから攻撃シグニチャを抽出するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet-Dump > Packet-Dump List を選択します。Packet-Dump list 画面が表示されます。

ステップ 3 シグニチャの抽出元となるパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。

ステップ 4 (オプション)参照として使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。この参照ファイルは、トラフィックが通常状態のときに記録されたトラフィック キャプチャ ファイルである必要があります。

ステップ 5 View をクリックします。Packet-Dump Capture Analysis 画面が表示されます。

ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。基準キャプチャからシグニチャが抽出されます。

ステップ 7 Extract Signatures をクリックします。Detector モジュールによって基準パケット ダンプからシグニチャが抽出され、Packet-Dump Signature Extraction ウィンドウが開きます。

表11-7 に、Detector モジュールが Packet-Dump Signature Extraction ウィンドウに表示するシグニチャ情報を示します。

 

表11-7 パケットダンプからのシグニチャ抽出のパラメータ

パラメータ
説明

Capture name

Detector モジュール でシグニチャの抽出元となるパケットダンプ キャプチャの名前。

Pattern

Detector モジュール がパケットダンプ キャプチャから抽出したパターンのリスト(省略形式)。パターンの上にマウス ポインタを移動させると、パターン全体が表示されます。

Start offset

パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。デフォルトは 0(ペイロードの先頭)です。

End offset

パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。

% Reference

参照キャプチャ ファイルにシグニチャが現れる時間の割合。


 

Detector モジュールが表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の項を参照してください。

フレックスコンテンツ フィルタへの攻撃シグニチャの追加

Detector モジュールでは、パケット ダンプ キャプチャから抽出したシグニチャを使用して、フレックスコンテンツ フィルタを作成できます。このフレックスコンテンツ フィルタを使用して、攻撃シグニチャに一致するゾーン トラフィックをブロックすることができます。

攻撃シグニチャをフレックスコンテンツ フィルタに追加するには、次の手順を実行します。


ステップ 1 パケットダンプ キャプチャからシグニチャを抽出します。詳細については、「パケットダンプ キャプチャからの攻撃シグニチャの抽出」を参照してください。

ステップ 2 Packet-Dump Signature Extraction ウィンドウで、フレックスコンテンツ フィルタで使用するシグニチャを選択し、 Insert Content Filter をクリックします。Flex-Content Filters > Add filter - step 2 画面が表示されます。

ステップ 3 フレックスコンテンツ フィルタのパラメータを設定します。

表11-8 に、Flex-Content Filter Form に表示されるフィルタ パラメータの説明を示します。

 

表11-8 フレックスコンテンツ フィルタのパラメータ

パラメータ
説明

Description

フレックスコンテンツ フィルタを説明するテキスト。

Protocol

特定のプロトコルを使用しているトラフィックを処理します。0 ~ 255 のプロトコル番号を入力します。すべてのプロトコル タイプを指定するには、アスタリスク(*)を入力します。

有効なプロトコル番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。

http://www.iana.org/assignments/protocol-numbers

Dst Port

特定の宛先ポートに向かうトラフィックを処理します。0 ~ 65,535 の宛先ポート番号を入力します。すべての宛先ポートを指定するには、アスタリスク(*)を入力します。

有効なポート番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。

http://www.iana.org/assignments/port-numbers

Expression

指定した式に基づいてトラフィックをフィルタリングします( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツの式の構文について」を参照)。使用する式を入力します。

Pattern

パケットの内容と照合するための正規表現データ パターンを指定します( 第5章「ゾーンのフィルタの設定」 「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用するデータ パターンを入力します。

Match Case

フィルタが一致するパターン式で、大文字と小文字を区別するかどうかを指定します。大文字と小文字を区別するデータ パターン式として定義するには、チェックボックスをオンにします。

Start Offset

パケットの内容の先頭から、パターン マッチングを開始する位置までのオフセットを指定します(バイト単位)。デフォルトは 0(ペイロードの先頭)です。開始オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。

End Offset

パケットの内容の先頭から、パターン マッチングを終了する位置までのオフセットを指定します(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。終了オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。

Action

トラフィックに対してフレックスコンテンツ フィルタが実行するアクションを指定します。

アクションを Action ドロップダウン リストから選択します。

count :フィルタに一致するトラフィック フロー パケットをカウントします。

drop :フィルタに一致するトラフィック フロー パケットをドロップします。

State

フレックスコンテンツ フィルタの動作状態を指定します。

動作状態を State ドロップダウン リストから選択します。

enable :Detector モジュールはフィルタをトラフィック フローに適用し、フィルタに一致した場合、設定されたアクションをフローで実行します。

disable :Detector モジュールは、フィルタをトラフィック フローに適用しません。

ステップ 4 OK をクリックして、新しいフレックスコンテンツ フィルタを保存します。


 

攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用する

Detector モジュールでは、パケットダンプ キャプチャの表示をパケットダンプ キャプチャから抽出したシグニチャを使用してフィルタリングできます。

攻撃シグニチャをパケットダンプ キャプチャの表示パターンとして使用するには、次の手順を実行します。


ステップ 1 パケットダンプ キャプチャからシグニチャを抽出します。詳細については、「パケットダンプ キャプチャからの攻撃シグニチャの抽出」を参照してください。

ステップ 2 Packet-Dump Signature Extraction ウィンドウで、表示パターンとして使用するシグニチャを選択し、 Use as View Filter をクリックします。Packet-Dump capture analysis 画面が表示されます。

表11-9 に、Detector モジュールが Packet-Dump capture analysis 画面のキャプチャと表示の各パラメータ領域に表示する情報を示します。

 

表11-9 パケットダンプのキャプチャと表示のパラメータ

画面領域
パラメータ
説明

Capture parameters

Name

キャプチャ ファイルの名前。

Start time

キャプチャの開始時刻。

End time

キャプチャの終了時刻。

Packets

キャプチャ ファイルに含まれるパケットの数。

Packet Dump filter

トラフィックの記録時に Detector モジュールが使用したユーザ定義フィルタ。フィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。

Dispatch

Detector モジュールが記録したトラフィックのタイプ。Dispatch の値は DROPPED または ALL で、いずれも Detector モジュールがすべてのトラフィックを記録したことを示します。

View Parameters

Query

キャプチャ情報を表示するために Detector モジュールが使用するデータ プロファイル。

Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol

Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length

Packets list

各クエリー タイプに対して Detector モジュールが表示する情報の詳細については、 表11-5 を参照してください。

Display filter

パケットダンプ キャプチャ ファイルの表示で Detector モジュールが使用するフィルタ。Detector モジュールは、フィルタリングの基準に一致するパケットダンプ キャプチャ ファイルの部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです。