Cisco Traffic Anomaly Detector Module コンフィギュレーション ガイド (Software Release 5.0)
概要
概要
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

概要

DDos について

Cisco Traffic Anomaly Detector Module

ゾーンについて

Detector モジュールの動作のしくみについて

検出のメカニズム

フィルタ

検出モジュール

概要

この章では、Cisco Traffic Anomaly Detector Module(Detector)の概要、コンポーネント、および動作のしくみについて説明します。この章には、次の項があります。

DDos について

Cisco Traffic Anomaly Detector Module

ゾーンについて

Detector モジュールの動作のしくみについて

検出のメカニズム

DDos について

Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃は、悪意のある個人が、セキュリティを侵された数千台ものコンピュータ(ゾンビ)に自動化されたスクリプトを実行させて偽のサービス要求を発行し、保護されたサーバ(ゾーン)のネットワーク リソースを使用不能にする攻撃です。このような攻撃には、Web サーバに偽のホームページ要求を大量に送信して正当な消費者がアクセスできないようにしたり、Domain Name System(DNS; ドメイン ネーム システム)サーバのアベイラビリティと正確性を低下させようとしたりするものなどがあります。ゾンビは、多くの場合、個人によって開始されますが、実際に攻撃用コードを実行しているものは、複数の組織によって管理される複数の自律システム上に分散しており、その数は何十万にも及ぶ可能性があります。このような分散攻撃は、大企業も含めた一般的なゾーンで使用される低い帯域幅では処理できない大量のトラフィックを発生させます。

DDoS 攻撃は統計的な現象であるため、詳細で統計的なトラフィック プロファイルの形成が必要になります。DDoS の調査では、DDoS のゾンビは自律システム内に多数分散していること、正当なサービス要求と偽のサービス要求が密に統合されていること、および、DDoS 攻撃ではランダムな設定(IP 送信元アドレスのスプーフィングや TCP フラグのランダム設定など)が使用されていることなどが指摘されています。

高度な知識を持ったハッカーは、攻撃用の新たな不正手段を生み出し続けており、DDoS 攻撃は常に進化しています。また、これらの攻撃スクリプトはインターネット上で容易に入手でき、ネットワークに関する技術知識があまりない人物がごく普通に実行しています。このため、DDoS 防御テクノロジーは柔軟かつ臨機応変なものである必要があります。

つまり、DDoS 防御システムは、近づく DDoS 攻撃を検出し、悪意のあるトラフィックと正常なトラフィックを区別し、攻撃対象となっているネットワーク要素のトラフィック フローを妨げることなくこれらのタスクを実行できるものである必要があります。

Cisco Traffic Anomaly Detector Module

Cisco Traffic Anomaly Detector Module(Detector モジュール)は、次のいずれかの製品に設置できる Cisco IOS アプリケーション モジュールです。

Supervisor Engine 720(SUP720)、または Multilayer Switch Feature Card 2
(MSFC2; マルチレイヤ スイッチ フィーチャ カード 2)を備えた Supervisor Engine 2(SUP2)が搭載された、Cisco Catalyst 6500 シリーズ スイッチ

SUP720 が搭載された Cisco 7600 ルータ

Detector モジュールは、サービス拒絶(DoS)検出製品です。この製品は、スイッチ上のトラフィックのコピーを受信してそのトラフィックを分析し、DoS 攻撃を検出すると警告を送信します。Detector は、攻撃を検出して保護メカニズムをアクティブにすることができます。この製品は、Cisco Anomaly Guard Module との併用に最も適していますが、単独でも DDoS 検出および警告コンポーネントとして運用できます。

ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。

Detector モジュールは、トラフィックを持続的に監視し、ゾーンのトラフィック特性に合せて自身をチューニングして、進化し続ける攻撃パターンに対応します。また、Detector モジュールは、設定済みの Cisco Anomaly Guard Module をアクティブにして、このような攻撃を軽減することもできます。

これを達成するために、Detector モジュールは次のコンポーネントを備えています。

ゾーンのトラフィックをラーニングし、その特性に合せて自身をチューニングし、しきい値とポリシーに基づいた参照とインストラクションを使用して Detector モジュールの検出メカニズムを支援する、アルゴリズム ベースのラーニング システム。

Cisco Anomaly Guard Module をリモートでアクティブにしてゾーン(複数も可)を保護状態に置くか、または Detector モジュールの syslog にトラフィックの異常を記録するシステム。

これらのコンポーネントを統合することにより、Detector モジュールはバックグラウンドに控えた状態で検出の役割を果たすことができます。

ゾーンについて

ゾーンは、Detector モジュールが DDoS 攻撃の監視の対象とするネットワーク要素です。

ゾーンは、ネットワーク サーバ、クライアント、ルータ、ネットワーク リンク、サブネット、ネットワーク全体、個々のインターネット ユーザ、企業、インターネット サービス プロバイダー(ISP)、またはこれらを組み合せたものを包含できます。

Detector モジュールは、DDoS 攻撃を発見すると、リモートの Detector モジュールを自動的にアクティブにしてゾーンを攻撃から保護するか、手動で Detector モジュールをアクティブにするようにユーザに通知することができます。

Detector モジュール では、ゾーンのネットワーク アドレス範囲が互いに重複していない場合に限り、複数のゾーンのトラフィックを同時に分析できます。

ゾーンは Detector モジュール 上でのネットワーク要素の定義で、 Detector モジュール はこの設定されたゾーンに対する DDoS 攻撃を検出することができます。

この定義は、ネットワーク アドレスや検出ポリシーなどの設定で構成されます。ゾーンに名前を割り当てて、この名前でゾーンを参照することができます。

Detector モジュールの動作のしくみについて

ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。

Detector モジュールは、近づく DDoS 攻撃の新たな兆候がないか、トラフィックを分析します。トラフィックの異常を検出すると、Detector モジュールはそのイベントを自身の syslog に記録するか、リストにあるリモート Guard をリモートでアクティブにします。これらのリモート Guard は、ゾーンを新たに発生する DDoS 攻撃から保護します。図 1-1 に、検出の動作を示します。

図 1-1 Cisco Traffic Anomaly Detector Module の動作

 

ゾーンのトラフィックを比較する際の基準を作り、悪意の攻撃となる可能性のあるあらゆる異常をトレースするために、Detector はゾーンのトラフィックの特性をラーニングします。

ラーニング プロセスは次の 2 つのフェーズで構成されます。これらのフェーズで Detector はゾーンのトラフィックをラーニングし、特定の特性に対応します。

1. ポリシー構築フェーズ :ゾーンのポリシーを作成します。ポリシー テンプレートは、ポリシーの構築に使用される規則を提供します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。

2. しきい値調整フェーズ :ゾーンのサービスのトラフィック レートに合せてポリシーを調整します。トラフィックが透過的に Detector を通過し、Detector はポリシー構築フェーズ中に検出されたサービスのしきい値を調整できます。

しきい値調整フェーズをアクティブにし、同時にゾーン検出をアクティブにすることができます。この動作状態では、Detector モジュールがゾーンのポリシーしきい値をラーニングできると同時に、ポリシーしきい値を監視してトラフィック異常がないか調べることができます。Detector モジュールは、攻撃を検出すると、ラーニング プロセスを停止しますが、ゾーンの検出は続行します。この結果、Detector モジュールでは悪意のあるトラフィックのしきい値がラーニングされなくなります。Detector モジュールは、攻撃が終了すると、ラーニング プロセスを再開します。

ポリシーは、Detector モジュール統計エンジンの構成要素です。各ゾーンには、ゾーンのトラフィック パターンに合せて調整されたポリシーのセットがあります。これらのポリシーは、悪意となる可能性のある異常をトレースするために、Detector モジュールがゾーンのトラフィックと比較する基礎となります。ポリシーは、トラフィック フローを持続的に測定し、特定のトラフィック フローが悪意のあるものまたは異常であると判断すると、そのフローに対してアクションを実行します。このアクションは、フローがポリシーのしきい値を超過すると発生します。

トラフィックのラーニングの詳細については、 第 5 章「ゾーンの設定」 を参照してください。ゾーンのポリシーの詳細については、 第 7 章「ポリシー テンプレートとポリシーの設定」 を参照してください。

トラフィック フローがポリシーのしきい値を超過すると、Detector はトラフィックを異常または悪意のあるトラフィックと識別します。次に、一連のフィルタ(動的フィルタ)を動的に設定して、そのトラフィックを攻撃の重大度に応じて適切な検出モジュールに誘導します。

Detector の保護は、次の方法でアクティブにできます。

自動保護モード:動的フィルタはユーザの操作なしでアクティブになります。

インタラクティブ保護モード:動的フィルタは、手動でインタラクティブにアクティブにされます。動的フィルタは推奨事項としてグループ化され、ユーザの決定を待ちます。ユーザは、これらの推奨事項を確認して、どの推奨事項を受け入れるか、無視するか、自動アクティベーションに切り替えるかを決定できます。

詳細については、 第 8 章「インタラクティブ検出モード」 を参照してください。

Detector は、ゾーンのステータスを明確につかめるようにするために、すべてのゾーンの攻撃レポートを提供します。攻撃レポートでは、最初の動的フィルタの生成から保護の終了まで、攻撃の詳細な情報が提供されます。

検出のメカニズム

Detector の保護システムでは、次のメカニズムが使用されます。

フィルタ

検出モジュール

フィルタ

ゾーンのフィルタは、ゾーン トラフィックのコピーを Detector の検出モジュールに誘導するためのメカニズムです。Detector では、ユーザがフィルタを設定して、カスタマイズされたトラフィック誘導や DDoS 攻撃の検出メカニズムをさまざまに設計できるようになっています。Detector では、次のタイプのフィルタが使用されます。

バイパス フィルタ:特定のトラフィック フローが Detector の保護メカニズムによって処理されないようにします。

フレックスコンテンツ フィルタ:指定されたパケット フローをカウントします。フレックスコンテンツ フィルタは、バークリー パケット フィルタとパターン フィルタを組み合せたもので、IP ヘッダーと TCP ヘッダーのフィールドに基づいたフィルタリングやコンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能をユーザに提供します。

動的フィルタ:指定されたトラフィック フローを関連する Detector の保護モジュールに誘導します。Detector は、トラフィック フローの分析結果として動的フィルタを作成します。動的フィルタは、Detector の syslog にイベントを記録するか、リモート Guard をアクティブにします。動的フィルタは有効期間が限定されており、攻撃が終了すると消去されます。

検出モジュール

Detector には 2 つの検出モジュールがあり、これらが密接に協調しながら検出を行います。

分析検出モジュール:ゾーンのトラフィック フローを分析します。

認識および統計検出モジュール:この検出モジュールは、ポリシーとフィルタ システム間の調整を行います。また、ゾーンのポリシーを適用し、ゾーンのトラフィックの異常を監視します。