Cisco IOS NetFlow コンフィギュレーション ガイド リリース 15.2M&T
NetFlow を使用したネットワーク脅威の検出 と分析の作業
NetFlow を使用したネットワーク脅威の検出と分析の作業
発行日;2012/05/09 | 英語版ドキュメント(2011/06/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

NetFlow を使用したネットワーク脅威の検出と分析の作業

機能情報の確認

内容

NetFlow を使用したネットワークの脅威の検出および分析の前提条件

NetFlow によるネットワークの脅威の検出と分析に関する情報

NetFlow レイヤ 2 およびセキュリティ モニタリング

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャ

NetFlow トップ トーカー

NetFlow ダイナミック トップ トーカー CLI と NetFlow トップ トーカー機能の比較

NetFlow トラフィックのフィルタリングとサンプリング

NetFlow 入力フィルタ:フロー分類

ランダム サンプル NetFlow:サンプリング モード

ランダム サンプル NetFlow:NetFlow サンプラ マップ

ネットワークの脅威を検出し、分析するための NetFlow の設定方法と使用方法

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認

制約事項

NetFlow ダイナミック トップ トーカー CLI を使用したプロトコル分布の表示

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを送信している送信元 IP アドレス トップ トーカーの表示

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを受信している宛先 IP アドレス トップ トーカーの表示

ネットワークの脅威をモニタするための NetFlow トップ トーカーの設定

NetFlow トップ トーカー フローのモニタリングと分析

NetFlow フィルタリングおよびサンプリングの設定

制約事項

NetFlow フィルタリングおよびサンプリングの確認

サンプリングおよびフィルタリングされた NetFlow トップ トーカー フローのモニタリングおよび分析

ネットワークの脅威を NetFlow で検出および分析するための設定例

シミュレートされた FTP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例

show ip cache verbose flow コマンドを使用した FTP DoS 攻撃の分析:例

NetFlow ダイナミック トップ トーカー CLI を使用した FTP DoS 攻撃の分析:例

シミュレートされた ICMP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例

show ip cache verbose flow コマンドを使用した ICMP ping DoS 攻撃の分析:例

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP ping DoS 攻撃の分析:例

NetFlow フィルタリングおよびサンプリングの設定:例

次の作業

その他の参考資料

関連資料

標準

MIB

RFC

シスコのテクニカル サポート

NetFlow によるネットワークの脅威の検出と分析に関する機能情報

用語集

NetFlow を使用したネットワーク脅威の検出と分析の作業

ここでは、次の NetFlow の機能を使用して、Denial of Service(DoS)攻撃などのネットワークの脅威を検出し、分析する方法について説明します。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート:この機能では、NetFlow で値をキャプチャ可能なフィールドを 9 つ追加することにより、Denial of Service(DoS)攻撃などのネットワークの脅威を検出し、分析する能力が強化されます。たとえば、以下のフィールドの値をキャプチャできます。

IP 存続可能時間フィールド

パケット長フィールド

ICMP のタイプとコードのフィールド

NetFlow ダイナミック トップ トーカー CLI:この機能では、共通のフィールドに関してフローを集約することにより、ネットワーク内で最も容量の大きいトラフィックの概要が得られます。たとえば、宛先プレフィクスでフローを集約することにより、宛先ネットワークに関してすべてのフローを集約できます。最大容量のトラフィックの集約には、20 種類を超えるフローのフィールドを使用できます。たとえば、次のものがあります。

送信元 IP アドレスまたは宛先 IP アドレス

送信元プレフィクスまたは宛先プレフィクス

送信元ポートまたは宛先ポート

ICMP のタイプとコード

NetFlow トップ トーカー:この機能では、ネットワーク内のトラフィックに関して個々のフローを調べることにより、NetFlow ダイナミック トップ トーカー CLI 機能よりも詳細な情報が得られます。NetFlow ダイナミック トップ トーカー CLI 機能は、対象となる大容量のトラフィックを素早く特定するために使用します。NetFlow トップ トーカー機能は、大容量のトラフィック内の各フローについて、より詳細な情報を得るために使用します。

NetFlow 入力フィルタ:この機能では、クラスベースのトラフィック分析とモニタリングを目的として、NetFlow トラフィックの特定のサブセットを追跡します。この機能は、DoS 攻撃などのネットワークの脅威となる可能性のあるトラフィックを集中して分析するために、トップ トーカー機能と組み合わせて使用します。

ランダム サンプル NetFlow:この機能は、通常トラフィック エンジニアリングまたは容量プランニングを目的としたネットワーク トラフィックの統計サンプリングに使用します。この機能は、ネットワークの脅威(DoS 攻撃など)となる可能性のあるトラフィックをモニタするために NetFlow を使用しているルータに対して負荷を軽減することができるため、ネットワークの脅威のモニタおよび分析において使用します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「NetFlow によるネットワークの脅威の検出と分析に関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

NetFlow を使用したネットワークの脅威の検出および分析の前提条件

ネットワークの脅威を検出および分析するために NetFlow を使用するには、NetFlow を理解し、NetFlow を使用して IP トラフィックのステータスおよび統計情報をキャプチャするためのルータの設定方法を理解する必要があります。詳細については、「 Cisco IOS NetFlow Overview 」と『 Configuring NetFlow and NetFlow Data Export 』を参照してください。

NetFlow をイネーブルにする前に、NetFlow および Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)または distributed CEF(dCEF; 分散 CEF)をご使用のシステム上で設定する必要があります。

NetFlow によるネットワークの脅威の検出と分析に関する情報

ネットワークの脅威を NetFlow で検出および分析するには、次の概念を理解する必要があります。

「NetFlow レイヤ 2 およびセキュリティ モニタリング」

「NetFlow トップ トーカー」

「NetFlow トラフィックのフィルタリングとサンプリング」

NetFlow レイヤ 2 およびセキュリティ モニタリング

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でサポートされるレイヤ 3 およびレイヤ 2 フィールドにより、ネットワーク内のトラフィックについて NetFlow で取得できる情報量が拡大します。トラフィック エンジニアリングや使用量ベースの課金などのアプリケーションにこの新しい情報を使用できます。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされるレイヤ 3 IP ヘッダー フィールドは、次のとおりです。

存続可能時間フィールド

パケット長フィールド

ID フィールド

ICMP のタイプとコードのフィールド

フラグメント オフセット

これらのレイヤ 3 フィールドの詳細については、 NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャを参照してください。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされるレイヤ 2 フィールドは、次のとおりです。

NetFlow ルータで受信されるフレームの送信元 MAC アドレス フィールド

NetFlow ルータから送信されるフレームの宛先 MAC アドレス フィールド

NetFlow ルータで受信されるフレームの VLAN ID フィールド

NetFlow ルータから送信されるフレームの VLAN ID フィールド

インターフェイス名

これらのレイヤ 2 フィールドの詳細については、 NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャを参照してください。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 3 フィールドは、DoS 攻撃を識別する NetFlow の機能を強化します。NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 2 フィールドは、DoS 攻撃に使用されているネットワーク内のパスを特定するのに役立ちます。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 3 およびレイヤ 2 フィールドは、キー フィールドではありません。これらからは、既存のフロー内のトラフィックに関する追加情報が得られます。送信元 IP アドレスなどの NetFlow キー フィールドの値がパケット間で変化すると、新しいフローが作成されます。たとえば、NetFlow でキャプチャされた最初のパケットの送信元 IP アドレスが 10.34.0.2 で、次にキャプチャされたパケットの送信元 IP アドレスが 172.16.213.65 の場合、NetFlow によって 2 つの異なるフローが作成されます。

多くの DoS 攻撃では、攻撃者は、ターゲットのシステムを過負荷状態にするために、同じタイプの IP データグラムを何度も繰り返し送信します。そうした場合、着信トラフィックには、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャ可能な 1 つ以上のフィールドが各データグラムで同じ値になるなどの類似した特徴が表れることが多くあります。

多くの DoS 攻撃では、トラフィックを送信しているデバイスの送信元 IP アドレスが偽造されているため、発信者を特定することは容易ではありません。しかし、MAC アドレスと VLAN-ID フィールドを NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャすることにより、そのトラフィックが着信するルータまでネットワーク内を簡単にトレースバックできます。トラフィックが着信するルータで NetFlow がサポートされている場合は、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能をそのルータに設定して、トラフィックが着信するインターフェイスを特定できます。図 1 に、進行中の攻撃の例を示します。

図 1 インターネット経由の DoS 攻撃


) NetFlow でキャプチャされたデータは、ルータから show ip cache verbose flow コマンドを使用して直接分析するか、CNS NetFlow Collector Engine によりリモートで分析できます。


NetFlow フロー内のレイヤ 3 フィールドの分析から DoS 攻撃が行われているという結論に達した場合は、フロー内のレイヤ 2 フィールドを分析して、DoS 攻撃に使用されているネットワーク内のパスを検出できます。

図 1 に示したシナリオでは、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされたデータを分析すると、アップストリームの MAC アドレスが、ルータ C をスイッチ A に接続するインターフェイスのものであることから、DoS 攻撃がルータ C に着信していることがわかります。さらに、NetFlow ルータが電子メール サーバに転送している DoS トラフィックの宛先 MAC アドレスが電子メール サーバの MAC アドレスであることから、ターゲット ホスト(電子メール サーバ)と NetFlow ルータの間にルータが存在しないこともわかります。

ホスト C がトラフィックをルータ C に送信するために使用している MAC アドレスは、ルータ C 上で NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定することにより判明します。送信元 MAC アドレスは、ホスト C からのものとなります。宛先 MAC アドレスは、NetFlow ルータ上のインターフェイスのものとなります。

ホスト C が使用している MAC アドレスと、ルータ C 上でホスト C の DoS 攻撃を着信しているインターフェイスが判明すれば、ホスト C のトラフィックをブロックするようにルータ C を再設定することにより、攻撃を軽減できます。ホスト C が専用インターフェイス上にある場合は、そのインターフェイスをディセーブルにできます。他のユーザからのトラフィックを伝送しているインターフェイスをホスト C が使用している場合は、他のユーザからのトラフィックがルータ C を経由して流れるようにしたまま、ホスト C のトラフィックをブロックするように、ファイアウォールを設定するか、ACL を追加する必要があります。

ネットワークの脅威を NetFlow で検出および分析するための設定例に、進行中の攻撃とその攻撃に使用されているネットワーク内のパスを特定するために NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例が 2 つ示されています。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能は、フロー内のレイヤ 3 IP トラフィックから 5 種類のフィールドをキャプチャすることに対応しています。

存続可能時間フィールド

パケット長フィールド

ID フィールド

ICMP のタイプとコード

フラグメント オフセット

図 2 に、IP パケット ヘッダー内のフィールドを示します。図 3 に、ICMP データグラム内のフィールドを示します。ICMP データグラムは、IP ヘッダーの後、IP データグラムのデータ領域内で伝送されます。

図 2 IP パケット ヘッダー フィールド

 

表 1 IP パケット ヘッダー フィールド

フィールド
説明

バージョン

IP プロトコルのバージョン。このフィールドが 4 に設定されている場合は、IPv4 データグラムになります。このフィールドが 6 に設定されている場合は、IPv6 データグラムになります。

(注) IPv6 ヘッダーは、IPv4 ヘッダーと構造が異なります。

Internet Header Length(IHL)

Internet Header Length は、インターネット ヘッダーの長さを 32 ビット ワード単位で表したものです。つまり、データの開始位置を示します。

(注) 正しいヘッダーでの最小値は 5 です。

ToS

ToS は、必要な Quality of Service の抽象的なパラメータの指標を与えます。これらのパラメータは、ネットワーキング デバイスが特定のネットワークを介してデータグラムを伝送するときに、実際のサービス パラメータの選択をガイドするために使用されます。

合計長

合計長は、インターネット ヘッダーとデータを含めたデータグラムの長さです(オクテット単位)。

識別番号(ID)

ID フィールドの値は、送信者によって入力されます。同じ IP データグラムに属するすべてのフラグメントには、ID フィールドに同じ値が設定されます。同じ送信者からの後続の IP データグラムには、ID フィールドに別の値が設定されます。

ホストでは、フラグメント化された IP データグラムを複数の送信者から同時に受信することがよくあります。また、同じ送信者から複数の IP データグラムを同時に受信することもよくあります。

ID フィールドの値は、IP データグラムの再構成プロセス中に、同じ IP データグラムに属するフラグメントを同じパケット バッファに確実に割り当てるために、宛先ホストで使用されます。また、同じ送信者からの異なる IP データグラムに属する IP データグラム フラグメントが、IP データグラムの再構成プロセス中に受信ホストで混ざり合わないようにするためにも、ID フィールドの一意の値が使用されます。

フラグ

IP データグラム フラグメンテーション パラメータの設定および追跡に使用される 3 ビットのシーケンス。

001 = IP データグラムをフラグメント化できます。現在の IP データグラムには送信中のフラグメントがまだあります。

000 = IP データグラムをフラグメント化できます。これは、現在の IP データグラムの最後のフラグメントです。

010 = IP データグラムをフラグメント化できません。これは、完全な IP データグラムです。

フラグメント オフセット

このフィールドは、このフラグメントがデータグラム内で属する場所を示します。

TTL(存続可能時間)

このフィールドは、データグラムがインターネット システム内に存続できる最大時間を示します。このフィールドの値が 0 になると、データグラムが破棄されます。このフィールドは、インターネット ヘッダーの処理中に変更されます。時間は秒の単位で測定されますが、データグラムを処理するすべてのモジュールは、その処理に 1 秒かからないとしても、TTL を最低でも 1 減らさなくてはならないので、TTL は、データグラムが存在できる時間の上限としてだけ考える必要があります。このフィールドの目的は、配信できないデータグラムが破棄されるようにすること、およびデータグラムのライフタイムの上限を示すことです。

プロトコル

IP データグラムのデータ部分に含まれるトランスポート パケットのタイプを示します。一般的な値は次のとおりです。

1 = ICMP

6 = TCP

17 = UDP

ヘッダー チェックサム

ヘッダーだけに基づいたチェックサム。いくつかのヘッダー フィールド(存続可能時間フィールドなど)は、IP データグラムが転送されるたびに変化するので、この値は、インターネット ヘッダーが処理されるたびに再計算され、検証されます。

送信元 IP アドレス

送信ステーションの IP アドレス

宛先 IP アドレス

宛先ステーションの IP アドレス

オプションとパディング

オプションとパディングは、データグラム内に存在する場合と存在しない場合があります。存在する場合は、それらがすべての IP モジュール(ホストおよびゲートウェイ)で実装されている必要があります。オプションというのは、実装ではなく、任意の指定したデータグラムでの送信を指します。

図 3 ICMP データグラム

 

表 2 ICMP パケットのフォーマット

タイプ
名前
コード

0

エコー応答

0:なし

1

未割り当て

--

2

未割り当て

--

3

宛先到達不能

0:ネット到達不能

1:ホスト到達不能

2:プロトコル到達不能

3:ポート到達不能

4:フラグメンテーションが必要、DF ビット設定

5:送信元ルート障害

6:宛先ネットワーク未知

7:宛先ホスト未知

8:送信元ホスト分離

9:宛先ネットワークとの通信が管理上禁止

10:宛先ホストとの通信が管理上禁止

11:ToS 宛先ネットワーク到達不能

12:ToS 宛先ホスト到達不能

4

ソース クエンチ(始点抑制要求)

0:なし

5

リダイレクト

0:ネットワークのデータグラムのリダイレクト

1:ホストのデータグラムのリダイレクト

2:TOS とネットワークのデータグラムのリダイレクト

3:TOS とホストのデータグラムのリダイレクト

6

代替ホスト アドレス

0:ホストのアドレスの代替

7

未割り当て

--

8

エコー

0:なし

9

ルータ アドバタイズメント

0:なし

10

ルータ選択

0:なし

11

時間超過

0:送信中の存続可能時間超過

12

パラメータ問題

0:エラーを示すポインタ

1:必要なオプションの欠落

2:無効な長さ

13

タイムスタンプ

0:なし

14

タイムスタンプ応答

0:なし

15

情報要求

0:なし

16

情報応答

0:なし

17

アドレス マスク要求

0:なし

18

アドレス マスク応答

0:なし

19

予備(セキュリティ用)

--

20 ~ 29

予備(ロバストネス試験用)

--

30

トレース ルート

--

31

データグラム変換エラー

--

32

モバイル ホスト リダイレクト

--

33

IPv6 位置確認要求

--

34

IPv6 位置確認応答

--

35

モバイル登録要求

--

36

モバイル登録応答

--

37 ~ 255

予備

--

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能では、フローから MAC アドレス フィールドと VLAN ID フィールドの値をキャプチャできます。サポートされる VLAN タイプは、802.1q とシスコのスイッチ間リンク(ISL)の 2 つです。

レイヤ 2 MAC アドレス フィールドの概要

レイヤ 2 VLAN ID フィールドの概要

レイヤ 2 MAC アドレス フィールドの概要

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされる新しいレイヤ 2 フィールドは、次のとおりです。

NetFlow ルータで受信されるフレームの送信元 MAC アドレス フィールド

NetFlow ルータから送信されるフレームの宛先 MAC アドレス フィールド

NetFlow ルータで受信されるフレームの VLAN ID フィールド

NetFlow ルータから送信されるフレームの VLAN ID フィールド

イーサネット タイプ II フレームおよびイーサネット 802.3 フレームのフォーマットを図 4 に示します。これらのフレームのフォーマット内の宛先アドレス フィールドおよび送信元アドレス フィールドは、NetFlow によって値がキャプチャされる MAC アドレスです。イーサネット フレームのフォーマットの各フィールドについては、表 3 に説明されています。

図 4 イーサネット タイプ II フレームと 802.3 フレームのフォーマット

 

表 3 イーサネット タイプ II フレームと 802.3 フレームのフィールド

フィールド
説明

プリアンブル

プリアンブル フィールド内のエントリは、1 と 0 が交互に続くパターンであり、フレームの着信を受信ステーションに通知します。また、これにより、受信ステーションはクロックを着信ビット ストリームと同期させることができます。

Start of Frame(SOF)

SOF フィールドは、1 と 0 が交互に続くパターンを保持し、最後に 2 つ連続して 1 のビットが続くことにより、その次のビットから宛先 MAC アドレスの先頭バイトのビットが始まることを示します。

宛先アドレス

48 ビットの宛先アドレスにより、LAN 上でフレームを受信するステーションが特定されます。宛先 MAC アドレスの最初の 2 ビットは、特別な機能のために予約されています。

DA フィールドの最初のビットは、アドレスが個別アドレス(0)とグループ アドレス(1)のいずれであるかを示します。

2 番めのビットは、DA がグローバルに管理(0)とローカルに管理(1)のいずれであるかを示します。

残りの 46 ビットは、単一のステーション、ステーションの定義済みグループ、またはネットワーク上のすべてのステーションを示す一意に割り当てられた値になります。

送信元アドレス

48 ビットの送信元アドレスにより、フレームを送信したステーションが特定されます。送信元アドレスは常に個別のアドレスであり、SA フィールドの最も左にあるビットは常に 0 になります。

タイプ

または

長さ

タイプ:イーサネット タイプ II フレームの場合、フレームのこの部分は、タイプ フィールドとして使用されます。タイプ フィールドは、フレーム内の次のレイヤ プロトコルを識別するために使用されます。

長さ:802.3 イーサネット フレームの場合、フレームのこの部分は、長さフィールドとして使用されます。長さフィールドは、イーサネット フレームの長さを指定するために使用されます。値の範囲は、46 ~ 1500 バイトです。

データ

または

802.2 ヘッダーとデータ

(イーサネット タイプ II)46 ~ 1500 バイトのデータ

または

(802.3/802.2)8 バイトのヘッダーと 38 ~ 1492 バイトのデータ

Frame Check Sequence(FCS; フレーム チェック シーケンス)

このフィールドには、32 ビットの Cyclic Redundancy Check(CRC; 巡回冗長検査)値が保存されます。この値は、送信ステーションで作成され、フレームが損傷していないかどうかを確認するために受信ステーションで再計算されます。FCS は、フレームの DA、SA、タイプ、およびデータ フィールドに対して生成されます。フレームのデータ部分は FCS に含まれていません。

レイヤ 2 VLAN ID フィールドの概要

NetFlow では、802.1q タグ付き VLAN およびシスコの ISL カプセル化 VLAN に対して VLAN ID フィールドの値をキャプチャできます。ここでは、これら 2 つのタイプの VLAN について説明します。


) 802.1q と ISL の両方を VLAN カプセル化プロトコルと呼ぶことが一般的になっています。


802.1q VLAN の概要

シスコの ISL VLAN の概要

802.1q VLAN の概要

802.1q を使用するデバイスは、フレームを送信する前に、元のフレームに 4 バイトのタグを挿入します。図 5 に、802.1q タグ付きイーサネット フレームのフォーマットを示します。802.1q VLAN のフィールドについては、表 4 に説明されています。

図 5 802.1q タグ付きイーサネット タイプ II または 802.3 フレーム

 

表 4 802.1q VLAN カプセル化フィールド

フィールド
説明

DA、SA、タイプまたは長さ、データ、および FCS

これらのフィールドについては、表 3 で説明されています。

Tag Protocol ID(TPID; タグ プロトコル ID)

この 16 ビットのフィールドには、フレームが IEEE 802.1q タグ付きフレームであることを示すために 0x8100 の値が設定されます。

プライオリティ

この 3 ビットのフィールドは、ユーザ プライオリティとも呼ばれ、802.1p プライオリティを表します。トラフィックの優先順位付けに使用可能なフレームのプライオリティ レベルを示し、8 つのレベル(0 ~ 7)を表現できます。

タグ制御情報

この 2 バイトのタグ制御情報フィールドは、2 つのサブフィールドで構成されます。

Canonical Format Indicator(CFI):この 1 ビットのフィールドの値が 1 の場合、MAC アドレスは非標準形式です。このフィールドの値が 0 の場合、MAC アドレスは標準形式です。

VLAN ID:この 12 ビットのフィールドにより、フレームが属する VLAN が一意に識別されます。値の範囲は 0 ~ 4095 です。

シスコの ISL VLAN の概要

ISL は、VLAN トランク上でフレームをカプセル化するためのシスコ独自のプロトコルです。ISL を使用するデバイスにより、ISL ヘッダーがフレームに追加されます。このプロセスは、VLAN カプセル化と呼ばれます。802.1Q は、VLAN トランク上でフレームをタギングするための IEEE 標準です。図 6 に、シスコの ISL カプセル化イーサネット フレームのフォーマットを示します。802.1q VLAN のフィールドについては、表 5 に説明されています。

図 6 シスコの ISL タグ付きイーサネット フレーム

 

表 5 ISL VLAN カプセル化

フィールド
説明

DA(宛先アドレス)

この 40 ビットのフィールドは、マルチキャスト アドレスであり、0x01-00-0C-00-00 または 0x03-00-0c-00-00 に設定されます。受信ホストでは、この 40 ビットの DA フィールドが読み取られ、その値が 2 つの ISL マルチキャスト アドレスのいずれかに一致すると、フレームはカプセル化されているものと判断されます。

Type

この 4 ビットのフィールドは、カプセル化されているフレームのタイプを示します。また、将来的には、別のカプセル化を示すために使用される可能性もあります。

TYPE コード:

0000 = イーサネット

0001 = トークン リング

0010 = FDDI

0011 = ATM

USER

この 4 ビットのフィールドは、フレームの TYPE フィールドの意味を拡張するために使用されます。デフォルトの USER フィールドの値は、0000 です。イーサネット フレームの場合、USER フィールドのビット 0 と 1 は、パケットがスイッチを通過するときのプライオリティを示します。トラフィックをより速く処理できるときは必ず、このビットが設定されているパケットが、その速いパスを利用します。ただし、そのようなパスは必須ではありません。

USER コード:

XX00 = ノーマル プライオリティ

XX01 = プライオリティ 1

XX10 = プライオリティ 2

XX11 = 最高プライオリティ

SA

この 48 ビットのフィールドは、ISL パケットの送信元アドレス フィールドです。フレームを送信しているスイッチ ポートの 802.3 MAC アドレスが設定されます。受信デバイスでは、フレームの SA フィールドを無視できます。

LEN

この 16 ビット値のフィールドには、元のパケットの実際のパケット サイズが保管されます。LEN フィールドは、DA、TYPE、USER、SA、LEN、および FCS フィールドを除いたパケットの長さをバイト単位で表します。除外されるフィールドの長さの合計は 18 バイトです。したがって、LEN フィールドは、合計長さから 18 バイトを引いた値を表します。

AAAA03(SNAP)

AAAA03 SNAP フィールドは、24 ビットの定数値 0xAAAA03 です。

HSA

この 24 ビットのフィールドは、SA フィールドの上位 3 バイト(製造業者の ID 部分)を表します。0x00-00-0C が必ず保管されます。

VLAN

この 15 ビットのフィールドは、パケットの仮想 LAN ID です。この値は、異なる VLAN 上のフレームをマーク付けするために使用されます。

BPDU

BPDU フィールドのビットは、ISL フレームによってカプセル化されているすべての BPDU パケットに対して設定されます。BPDU は、ネットワークのトポロジに関する情報を調べるために、スパニング ツリー アルゴリズムによって使用されます。このビットは、カプセル化されている CDP フレームと VTP フレームに対しても設定されます。

INDEX

この 16 ビットのフィールドは、パケットがスイッチから送信されるときの送信元のポート インデックスを示します。診断目的にだけ使用されます。また、他のデバイスによって任意の値に設定される可能性があります。受信されたパケット内では無視されます。

RES

この 16 ビットのフィールドは、トークン リングまたは FDDI のパケットが ISL フレームでカプセル化される場合に使用されます。

カプセル化フレーム

このフィールドには、カプセル化されたレイヤ 2 フレームが保管されます。

FCS

FCS フィールドは 4 バイトで構成されます。32 ビットの CRC 値が保管されます。この値は、送信ステーションで作成され、フレームが損傷していないかどうかを確認するために受信ステーションで再計算されます。FCS では、DA、SA、長さ/タイプ、およびデータ フィールドが考慮されます。ISL ヘッダーがレイヤ 2 フレームに付加されるとき、新しい FCS が ISL パケット全体にわたって計算され、フレームの最後に追加されます。

(注) 新しい FCS の追加により、カプセル化されているフレーム内に保管されている元の FCS が変更されることはありません。

NetFlow トップ トーカー

NetFlow の通常の実装では、NetFlow データがコレクタにエクスポートされます。NetFlow トップ トーカー機能は、トップ トーカーに対するセキュリティ モニタリングまたはアカウンティングのために使用できます。また、ネットワーク内の主要なトラフィックの照合および識別にも使用できます。これらの機能は、従来の NetFlow エクスポート操作が不可能な場所にネットワークがある場合にも有用です。NetFlow トップ トーカー機能では、コレクタがフローに関する情報を取得する必要はありません。代わりに、NetFlow データは、NetFlow ダイナミック トップ トーカー CLI の show ip flow top コマンド、または NetFlow トップ トーカーの show ip flow top-talkers を使用したときにルータ上で表示されます。

NetFlow ダイナミック トップ トーカー CLI と NetFlow トップ トーカー機能の比較

ネットワーク内で最も容量の大きいトラフィックをモニタするために、2 つのよく似た NetFlow 機能を使用できます。それぞれの機能の名前は、次のとおりです。

NetFlow ダイナミック トップ トーカー CLI

NetFlow トップ トーカー

NetFlow ダイナミック トップ トーカー CLI

この機能は、12.4(4)T で導入されました。NetFlow ダイナミック トップ トーカー CLI 機能は、ネットワーク内で最も容量の大きいトラフィック(トップ トーカー)の概要を得るために使用されます。NetFlow ダイナミック トップ トーカー CLI 機能を使用するときに選択した集約フィールドに基づいてキャッシュ内のフローを集約することにより、トラフィックの概要が与えられます。

NetFlow ダイナミック トップ トーカー CLI 機能では、ルータの設定に対して変更を行う必要はありません。NetFlow ダイナミック トップ トーカー CLI 機能を使用するために必要なコマンドは、 show ip flow top コマンドだけです。NetFlow ダイナミック トップ トーカー CLI のすべてのオプションは、必要なときにいつでも show ip flow top コマンドから直接呼び出せます。


) NetFlow ダイナミック トップ トーカー CLI 機能を使用して分析する情報は、キャッシュ内に存在している必要があります。たとえば、フロー内の MAC アドレスを識別できるようにするには、ip flow-capture mac-addresses コマンドを先に設定して、トラフィック内の MAC アドレス フィールドから値をキャプチャしておく必要があります。


NetFlow ダイナミック トップ トーカー CLI 機能では、フローが集約され、それらを表示するためにソートできます。フローは、送信元または宛先 IP アドレス、ICMP のタイプとコード値など、キャッシュ内のフィールドに基づいて集約できます。フローの集約に使用可能なフィールドの完全なリストについては、Cisco IOS NetFlow のコマンド リファレンス マニュアルに記載された show ip flow top コマンドを参照してください。

集約されたトップ トーカー フローは、次のいずれかの基準でソートできます。

表示データ内の集約フィールド

表示データ内のバイト数

表示データ内のフロー数

表示データ内のパケット数

昇順または降順(最も使用されていないトップ トーカーを見つけるため)

トップ トーカーのソートに加えて、トップ トーカーが一致しなければならない基準(送信元や宛先の IP アドレスやポートなど)を指定することにより、出力をさらに整理できます。この基準の指定には、 match キーワードを使用します。選択可能な一致基準の完全なリストについては、Cisco IOS NetFlow のコマンド リファレンス マニュアルに記載された show ip flow top コマンドを参照してください。

NetFlow ダイナミック トップ トーカー CLI 機能では、設定の変更が必要ないため、DoS 攻撃などのセキュリティの脅威に関連したトラフィックを素早く特定できます。関係するトラフィックについてさらに詳しく調べるときは、集約されたフロー内のネットワークの脅威をオンザフライで特定し、分析するために、NetFlow ダイナミック トップ トーカー CLI オプションを変更できます。たとえば、 show ip flow top 10 aggregate icmp コマンドを使用して、ネットワーク内に大量の ICMP トラフィックが存在することを確認した後、 show ip flow top 10 aggregate icmp match destination-prefix 172.0.0.0/8 コマンドを使用して、トラフィックの送信先の IP ネットワークについて調べることができます。


) ICMP トラフィックが大量にある場合は、ICMP ベースの DoS 攻撃が進行中である可能性があります。


show ip flow top コマンドには、次の特徴があります。

トップ トーカーを表示するときに、追加の NetFlow コンフィギュレーション コマンドを必要としない。したがって、 show ip flow top コマンドを使用してネットワーク トラフィックをモニタする管理者に、コンフィギュレーション モードのパスワードを教える必要がありません。 show ip flow top コマンドを使用するための前提条件は、ルータ上の少なくとも 1 つのインターフェイスで NetFlow を設定しておくことだけです。

選択された集約方法に基づいて、ネットフロー集約キャッシュとは無関係に、フローを自動的に集約する。

ルータの設定を変更しなくても、コマンドのパラメータ(表示するフローの数、表示の順序、一致基準など)をコマンドを使用するたびにオンザフライで変更できる。

表示出力を次の基準に基づいて昇順または降順にソートできる。

集約されたフィールド

バイト数

フロー数

パケット数

show ip flow top と show ip cache verbose flow

show ip cache verbose flow コマンドの表示出力で示される値の多くは、16 進数です。 match キーワードを指定した show ip flow top コマンドを使用してこれらの値と一致させるには、一致させるフィールド値を 16 進数で入力する必要があります。たとえば、次の表示出力内の宛先ポート 00DC について show ip cache verbose flow コマンドから以外で一致させるには、 show ip flow top コマンドのキーワードと引数に match destination-port 0x00DC を使用します。

SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.10.11.4 Et1/0.1 172.16.10.8 06 00 00 209
00DC /0 0 00DC /0 0 0.0.0.0 40 281.4
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0

show ip flow top コマンドで使用する一致基準

show ip flow top コマンドで表示されるトップ トーカーを、 match キーワードと引数を使用して制限できます。たとえば、224.0.0.0 のプレフィクスを持つ IP 宛先アドレス トップ トーカーを、 show ip flow top 10 aggregate destination-address match destination-prefix 224.0.0.0/3 コマンドを使用して表示できます。

選択可能な一致基準の完全なリストについては、『 Cisco IOS NetFlow Command Reference 』に記載されている show ip flow top コマンドを参照してください。一致基準を設定しなければ、すべてのフローが、トラフィック量に基づいてトップ トーカーとして集約される候補となります。

集約が行われる順序

flows キーワードの場合を除いて、すべての一致は、集約の前に実行されます。したがって、一致したフローだけが集約されます。たとえば、 show ip flow top 5 aggregate destination-address match destination-prefix 172.16.0.0/16 コマンドでは、宛先アドレスが destination-prefix 値の 172.16.0.0/16 と一致するフローをすべて見つけて、すべての有効なフローが分析されます。一致が見つかると、それらは集約されます。その後、集約された destination-address フローの数が表示されます。これは、コマンドで要求したトップ トーカーの数と等しくなります(この例では 5)。

flows キーワードでは、集約後、集約されたフローの数が一致されます。たとえば、 show ip flow top 2 aggregate destination-address match 6 コマンドでは、すべてのフローが宛先 IP アドレス フィールドの値に基づいて集約され、その後、6 本の集約フローを持つトップ トーカーが表示されます。

一致したフローの数

一致基準を指定しなかった場合、フローの集約に使用したフィールドを含むトラフィックがフロー内に存在すると、すべてのフローが一致します。たとえば、IP トラフィックを持つフローがルータに 20 本存在する場合、 show ip flow top 10 aggregate destination-address コマンドを入力すると、20 本のフローのうち 20 本一致したことが表示によって示され、10 個のトップ トーカーが表示されます。

match キーワードを使用して、集約されるフローを宛先プレフィクスが 224.0.0.0/3 のフローに限定した場合、この基準に一致するフローが 1 本しかないとすると、6 本のフローのうち 1 本一致したことが出力によって示されます。たとえば、IP トラフィックを持つフローがルータに 6 本存在し、そのうちの 1 本だけが 224.0.0.0/3 の宛先プレフィクスを持つ場合、 show ip flow top 10 aggregate destination-address match destination-prefix 224.0.0.0/3 コマンドを入力すると、6 本のフローのうち 1 本一致したことが表示によって示されます。

トップ トーカーの合計数が、コマンドで要求したトップ トーカーの数よりも少ない場合は、トップ トーカーの合計数が出力されます。たとえば、表示するトップ トーカーの数に 5 を入力した場合、使用した基準に一致するトップ トーカーが 3 つしか存在しないと、表示されるのは 3 つのトップ トーカーだけです。

一致基準を show ip flow top コマンドに含めた場合、出力として「N of M flows matched」が表示されます。ここで、N <= M、N = 一致したフローの数、M = 検出されたフローの合計数です。トップ トーカー機能がキャッシュをスイープしているとき、いくつかの分析済みのフローがキャッシュから削除され、新しいフローが現時点よりも前に作成された場合、検出されたフローの数は、キャッシュ内のフローの合計数を超える可能性があります。そのため、M はキャッシュ内のフローの合計数ではなく、観測されたフローの数になっています。

トップ トーカーを表示するとき、それらをキャッシュ内に存在しないフィールドに基づいて集約しようとすると、「% aggregation-field" is not available for this cache」というメッセージが表示されます。たとえば、 show ip flow top 5 aggregate s ource-vlan コマンドを使用する場合、フローからの VLAN ID のキャプチャをイネーブルにしていなければ、「% VLAN id is not available for this cache」メッセージが表示されます。

NetFlow トップ トーカー

この機能は、12.3(11)T で導入されました。NetFlow トップ トーカーは、キャッシュ内の個々のフローに関する情報を取得するために使用されます。NetFlow ダイナミック トップ トーカー CLI 機能とは異なり、フローは集約されません。

NetFlow トップ トーカー機能では、すべてのフローが比較され、トラフィック容量の大きい順で上位に位置するフロー(トップ トーカー)に関する情報が個々に表示されます。 show ip flow top-talkers コマンドを使用する場合は、NetFlow トップ トーカー コンフィギュレーション コマンドを使用して、ルータを事前に設定しておく必要があります。

ip flow-top-talkers :NetFlow トップ トーカー コンフィギュレーション モードを開始します。

sort-by :表示出力におけるフローのソート順序を選択します。

bytes :各フロー内のバイト数に基づいてフローをソートします。

packets :各フロー内のパケット数に基づいてフローをソートします。

top :モニタするトップ トーカーの数を指定します。

match (任意):トップ トーカーの候補となるためにフロー内で一致しなければならない追加の基準(IP アドレス、ポート番号など)を指定します。

選択可能な一致基準の完全なリストについては、『 Cisco IOS NetFlow Command Reference 』に記載されている ip flow top-talkers コマンドを参照してください。一致基準を設定しなければ、すべてのフローが、トラフィック量に基づいてトップ トーカーの候補となります。

show ip flow top talkers [ verbose ]:フローを表示します。

NetFlow トップ トーカー機能の詳細については、「 Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP Commands 」を参照してください。

NetFlow トラフィックのフィルタリングとサンプリング

NetFlow では、Cisco ルータにおいてフロー単位の非常に細かいトラフィック統計情報が提供されます。フローとは、同じサブインターフェイス上でルータに到着し、送信元と宛先の IP アドレス、レイヤ 4 プロトコル、送信元と宛先の TCP/UDP ポート、および IP ヘッダー内の Type of Service(ToS; タイプ オブ サービス)バイトが同一である単方向のパケットのストリームです。ルータにより NetFlow 統計情報が NetFlow キャッシュに蓄積され、蓄積された情報は、外部デバイス(Cisco Networking Service(CNS)NetFlow Collection Engine など)にエクスポートしてさらに処理できます。

フル NetFlow では、イネーブルのサブインターフェイスに入ってくるすべてのトラフィックが記録されます。しかし、場合によっては、このトラフィックのサブセットに関してだけ、NetFlow データを収集することがあります。ランダム サンプル NetFlow 機能および NetFlow 入力フィルタ機能では、NetFlow で処理するために、着信トラフィックを関係のあるトラフィックだけに制限できます。ランダム サンプル NetFlow では、連続した n 個のパケットごとにランダムに選択された 1 個のパケットだけを処理することにより、Cisco ルータ内のトラフィックのサブセットが NetFlow データとして提供されます。NetFlow 入力フィルタ機能では、ユーザが定義した特定のトラフィックのサブセットに関してだけ NetFlow データを収集できます。


) ランダム サンプル NetFlow は、サンプル NetFlow よりも統計的に正確です。NetFlow でパケットをサンプリングする機能は、サンプル NetFlow 機能によって最初に提供されました。サンプル NetFlow 機能で使用される方法論は、決定論的なサンプリングです。この方法では、インターフェイスごとに毎回 n 番めのパケットが NetFlow で処理するために選択されます。たとえば、サンプリング レートを 100 パケットごとに 1 つとして設定すると、1 番め、101 番め、201 番め、301 番めと続くパケットがサンプル NetFlow によってサンプリングされます。サンプル NetFlow では、ランダムなサンプリングはできません。そのため、トラフィックが一定のパターンで到着する場合は、統計情報が不正確になる可能性があります。



) ランダム サンプル NetFlow アルゴリズムは、入力フィルタリングの後に適用されます。


表 6 に、NetFlow 入力フィルタ機能と NetFlow ランダム サンプル機能の比較を示します。

 

表 6 NetFlow 入力フィルタ機能とランダム サンプル NetFlow 機能の比較

比較カテゴリ
NetFlow 入力フィルタ機能
ランダム サンプル NetFlow 機能

簡単な説明

この機能では、NetFlow データをトラフィックの特定のサブセットにだけ基づいて収集できます。フィルタを作成して NetFlow で処理するフローを選択することにより実行します。たとえば、特定のホスト グループからのフローを選択できます。また、この機能では、選択されたフローに対してさまざまなサンプリング レートを選択することもできます。

この機能では、連続した n 個のパケット(n はユーザが設定可能なパラメータ)ごとにランダムに選択される 1 個のパケットだけを処理することにより、Cisco ルータ内のトラフィックのサブセットが NetFlow データとして提供されます。パケットは、到着時にサンプリングされます(これらのパケットに対して NetFlow キャッシュ エントリが作成される前)。

主な用途

この機能は、クラスベースのトラフィック分析およびネットワーク上またはネットワーク外のトラフィックのモニタに使用できます。

また、トラフィックが多すぎて、分析するトラフィックを制限しなければならない場合にも、この機能は役に立ちます。

この機能は、トラフィック エンジニアリングや容量プランニング、およびフル NetFlow でなくてもネットワーク トラフィックの正確なビューが得られるアプリケーションに使用できます。

また、トラフィックが多すぎて、分析するトラフィックを制限しなければならない場合にも、この機能は役に立ちます。

エクスポート フォーマットのサポート

この機能は、バージョン 5 およびバージョン 9 の NetFlow エクスポート フォーマットでサポートされています。

この機能は、バージョン 5 およびバージョン 9 の NetFlow エクスポート フォーマットでサポートされています。

Cisco IOS Release のサポート

12.3(4)T

12.3(2)T、12.2(18)S、および 12.0(26)S

サブインターフェイスのサポート

物理インターフェイス単位でだけでなく、サブインターフェイス単位でも NetFlow 入力フィルタを設定できます。

サブインターフェイスごとに複数のフィルタを選択し、すべてのフィルタを同時に実行できます。

物理インターフェイス単位でだけでなく、サブインターフェイス単位でもランダム サンプル NetFlow 機能を設定できます。

同じサブインターフェイス上では、フル NetFlow とランダム サンプル NetFlow を同時に実行できません。サブインターフェイス上でフル NetFlow をディセーブルにしてから、ランダム サンプル NetFlow を有効にする必要があります。

トラフィックは、ランダム サンプル NetFlow が設定されているサブインターフェイス上でだけ収集されます。フル NetFlow の場合と同様に、ランダム サンプル NetFlow を物理インターフェイス上でイネーブルにしても、サブインターフェイス上のランダム サンプル NetFlow が自動でイネーブルになることはありません。サブインターフェイス上で明示的に設定する必要があります。

メモリへの影響

この機能には、追加のメモリは必要ありません。フローの本数が大幅に減少するため、フル NetFlow よりも小さい NetFlow キャッシュを使用できます。この機能では、設定した NetFlow フィルタごとに少量のメモリが必要になります。

この機能では、分析されるパケットの数が減ることにより、キャッシュ内のフローの本数も減る場合は、フル NetFlow よりも小さい NetFlow キャッシュを作成できます。この機能では、設定した NetFlow サンプラごとに少量のメモリが必要になります。

パフォーマンス上の影響

分類されたトラフィックのアカウンティングによって、処理およびエクスポートの対象となるフローの本数が減少するので、ルータのリソースが節約されます。節約される帯域幅の量は、使用状況とクラス マップ基準に依存します。

ただし、ポリシーに設定されたクラス マップの数と複雑さによっては、パフォーマンスが低下する可能性もあります。

統計的なトラフィックのサンプリングによって、価値のある NetFlow データが得られるとともに、ルータ リソースの消費が大幅に削減されます(特に CPU リソース)。

この機能により、NetFlow データ エクスポートがインターフェイス トラフィックに与える影響が大幅に減少します。たとえば、100 パケットごとに 1 つのサンプリング レートでは、NetFlow データのエクスポートが約 99% 減少します。

NetFlow 入力フィルタ:フロー分類

NetFlow 入力フィルタ機能では、送信元と宛先の IP アドレス、レイヤ 4 プロトコルとポート番号、着信インターフェイス、MAC アドレス、IP Precedence、DSCP 値、レイヤ 2 情報(フレームリレー DE ビットやイーサネット 802.1p ビットなど)、および Network-Based Application Recognition(NBAR)情報に基づいてパケットを分類できます。パケットは、上記の基準に基づいて分類(フィルタリング)され、サブインターフェイス上でフロー アカウンティングが適用されます。

フィルタリング メカニズムでは、フローの分類に Modular QoS Command-Line Interface(MQC)が使用されます。サブインターフェイスごとに複数のフィルタをマッチング サンプラとともに作成できます。たとえば、サブインターフェイス トラフィックをタイプ オブ サービス(ToS)値または宛先プレフィクス(あるいは両方)に基づいて複数のクラスに分割できます。高プライオリティのクラスには高いレートを使用し、低プライオリティのクラスには低いレートを使用して、クラスごとに異なるレートでサンプリングを設定することもできます。

MQC には、帯域幅の速度やキューイング管理などの多くのポリシー(アクション)があります。これらのポリシーは、サブインターフェイスに適用されているクラス マップ内の基準にパケットが一致した場合に限り、適用されます。クラス マップは、match 句とその評価方法に関する指示のセットを保管しており、ポリシーのフィルタとして働きます。ポリシーは、パケットの内容が match 句を満たしている場合に限り適用されます。NetFlow 入力フィルタ機能では、NetFlow アカウンティングが MQC インフラストラクチャに追加されます。つまり、パケットが match 句を満たしている場合に限り、フロー アカウンティングがパケットに対して実行されます。

2 種類のフィルタを使用できます。

ACL ベースのフローマスク フィルタ

フィルタのフィールド(送信元 IP アドレス、宛先 IP アドレス、送信元アプリケーション ポート、宛先アプリケーション ポート、ポート プロトコル、ToS ビット、および TCP フラグ)

MQC の詳細については、『 Cisco IOS Quality of Service Solutions Configuration Guide 』を参照してください。

ランダム サンプル NetFlow:サンプリング モード

サンプリング モードでは、NetFlow で処理するためのトラフィックのサブセットを選択するアルゴリズムが使用されます。ランダム サンプル NetFlow 機能で使用されるランダム サンプリング モードでは、連続した n 個のパケットにつき平均的に 1 つのパケットが NetFlow の処理用に選択されるように、着信パケットがランダムに選択されます。たとえば、サンプリング レートを 100 パケットごとに 1 つとして設定すると、NetFlow によって 5 番めのパケットがサンプリングされ、その後に、120 番め、230 番め、302 番めというようにサンプリングされる可能性があります。この設定例では、全トラフィックの 1% に対する NetFlow データが得られます。n の値はパラメータであり、パケット数として 1 ~ 65535 を設定できます。

ランダム サンプル NetFlow:NetFlow サンプラ マップ

ランダム サンプル NetFlow は、トラフィックが多すぎて、分析するトラフィックを制限しなければならない場合に役に立ちます。NetFlow サンプラ マップは、 flow-sampler-map sampler-map-name コマンドによって作成されます。サンプラ マップ用のサンプリング モードは、 mode random one-out-of sampling-rate コマンドによって設定されます。 sampling-rate 引数の値の範囲は、1 ~ 65535 です。各 NetFlow サンプラ マップは、物理インターフェイスだけでなく、1 つ以上のサブインターフェイスにも適用できます。サンプラ マップは、 flow-sampler sampler-map-name コマンドで 1 つのインターフェイスまたはサブインターフェイスに適用されます。最大で 8 つの NetFlow サンプラ マップを定義できます。

ネットワークの脅威を検出し、分析するための NetFlow の設定方法と使用方法

NetFlow を使用してネットワークの脅威を検出し、分析するには、コンフィギュレーション コマンドと show コマンドを組み合わせて使用する必要があります。追加の非キー フィールドの値をフローからキャプチャするように NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定することから始めます。これにより、NetFlow show コマンドによってそれらをキャッシュ内で表示できるようになります。追加の非キー フィールドの値をキャプチャすることは、トラフィックがネットワーク内で使用しているパス、および TTL 値やパケット長などのトラフィックの他の特徴を識別できるようになるために必要です。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定した後、NetFlow ダイナミック トップ トーカー CLI コマンドを使用して、ルータが転送しているトラフィック フローの概要を取得します。この概要には、フロー内のプロトコル分布、フローを送信している送信元 IP アドレス、フローの送信先のネットワークなどの情報が表示されます。

注目するフローのタイプ(ICMP トラフィックなど)および送信元 IP アドレスや宛先ネットワーク プレフィクスなどの他の特徴を特定した後、個々のフローに関する詳細な情報を入手するために NetFlow トップ トーカー機能を使用します。NetFlow トップ トーカー機能は、特定したタイプのトラフィックを集める一致基準で設定します。ルータで複数のフローが追跡されていて、それらのうちの一部の分析だけが必要な場合は、NetFlow で追跡するフローを制限するために NetFlow 入力フィルタを使用できます。

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを設定する前に、CEF または dCEF がグローバルに(および NetFlow を実行するインターフェイス上で)設定されている必要があります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを設定する前に、ルータ内の少なくとも 1 つのインターフェイス上で NetFlow をイネーブルにする必要があります。

ip flow-capture fragment-offset コマンドを使用して IP トラフィック内の IP ヘッダーからレイヤ 3 IP フラグメント オフセット フィールドの値をキャプチャする場合は、ルータで Cisco IOS 12.4(2)T 以降を実行している必要があります。

ここでは、次の手順について説明します。

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認」

「NetFlow ダイナミック トップ トーカー CLI を使用したプロトコル分布の表示」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを送信している送信元 IP アドレス トップ トーカーの表示」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを受信している宛先 IP アドレス トップ トーカーの表示」

「ネットワークの脅威をモニタするための NetFlow トップ トーカーの設定」

「NetFlow トップ トーカー フローのモニタリングと分析」

「NetFlow フィルタリングおよびサンプリングの設定」

「NetFlow フィルタリングおよびサンプリングの確認」

「サンプリングおよびフィルタリングされた NetFlow トップ トーカー フローのモニタリングおよび分析」

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定するには、次の作業を実行します。

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング機能でキャプチャされたデータをエクスポートするには、NetFlow バージョン 9 データ エクスポート フォーマットを使用するように NetFlow を設定する必要があります。

手順の概要

1. enable

2. configure terminal

3. ip flow-capture fragment-offset

4. ip flow-capture icmp

5. ip flow-capture ip-id

6. ip flow-capture mac-addresses

7. ip flow-capture packet-length

8. ip flow-capture ttl

9. ip flow-capture vlan-id

10. interface interface-type interface-number

11. ip flow ingress
および/または
ip flow egress

12. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip flow-capture fragment-offset

 

Router(config)# ip flow-capture fragment-offset

フロー内の最初のフラグメント化された IP データグラムからの IP フラグメント オフセット フィールドの値のキャプチャをイネーブルにします。

ステップ 4

ip flow-capture icmp

 

Router(config)# ip flow-capture icmp

フロー内の最初の ICMP データグラムから ICMP のタイプとコードのフィールドの値をキャプチャできるようにします。

ステップ 5

ip flow-capture ip-id

 

Router(config)# ip flow-capture ip-id

フロー内の最初の IP データグラムから IP-ID フィールドの値をキャプチャできるようにします。

ステップ 6

ip flow-capture mac-addresses

 

Router(config)# ip flow-capture mac-addresses

フロー内の最初のレイヤ 2 フレームから送信元および宛先の MAC アドレスの値をキャプチャできるようにします。

ステップ 7

ip flow-capture packet-length

 

Router(config)# ip flow-capture packet-length

フロー内の IP データグラムからパケット長フィールドの最小値と最大値をキャプチャできるようにします。

ステップ 8

ip flow-capture ttl

 

Router(config)# ip flow-capture ttl

フロー内の IP データグラムから存続可能時間(TTL)フィールドの最小値と最大値をキャプチャできるようにします。

ステップ 9

ip flow-capture vlan-id

 

Router(config)# ip flow-capture vlan-id

トランク ポート上で受信または送信されるフロー内の最初の VLAN カプセル化レイヤ 2 フレームから 802.1q または ISL VLAN-ID フィールドをキャプチャできるようにします。

ステップ 10

interface type interface-type interface-number ]

 

Router(config)# interface ethernet 0/0

コマンドで指定したインターフェイス タイプのインターフェイス コンフィギュレーション モードを開始します。

ステップ 11

ip flow ingress

および/または

ip flow egress

 

Router(config-if)# ip flow ingress

および/または

 

Router(config-if)# ip flow egress

インターフェイス上で入力 NetFlow データ収集をイネーブルにします。

および/または

インターフェイス上で出力 NetFlow データ収集をイネーブルにします。

ステップ 12

end

 

Router(config)# end

特権 EXEC モードに戻ります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認

この作業では、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートが正しく設定されていることを確認します。 show ip cache verbose flow コマンドにより、NetFlow メイン キャッシュ内にあるフローのステータスおよび統計情報の詳細が表示されます。各フローには、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で設定した NetFlow 非キー フィールドの値が含まれています。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャするように設定したフィールドの値を確認するには、それらのフィールドの基準を満たす IP トラフィックがルータによって転送されている必要があります。たとえば、 ip flow-capture vlan-id コマンドを設定する場合は、フロー内で IP データグラムを伝送しているレイヤ 2 フレームから VLAN-ID 値をキャプチャするために、ルータは、VLAN トランクとして設定されているインターフェイスを介して IP データグラムを転送している必要があります。

制約事項

分散シスコ エクスプレス フォワーディングが稼動しているプラットフォーム上での NetFlow キャッシュ情報の詳細表示

dCEF が稼動しているプラットフォームの場合、NetFlow キャッシュ情報は、各ラインカードまたは Versatile Interface Processor 上に保持されます。 show ip cache verbose flow コマンドを使用して、分散プラットフォーム上でこの情報を表示するには、コマンドをラインカード プロンプトに入力する必要があります。

Cisco 7500 シリーズ プラットフォーム

分散 dCEF が稼動している Cisco 7500 シリーズ ルータ上で NetFlow キャッシュ情報の詳細を表示するには、次の一連のコマンドを入力します。

Router# if-con slot-number
LC-slot-number# show ip cache verbose flow
 

Cisco IOS Release 12.3(4)T、12.3(6)、および 12.2(20)S 以降では、次のコマンドを入力して、NetFlow キャッシュ情報の詳細を表示します。

Router# execute-on slot-number show ip cache verbose flow

Cisco 12000 シリーズ プラットフォーム

Cisco 12000 シリーズ インターネット ルータ上で NetFlow キャッシュ情報の詳細を表示するには、次の一連のコマンドを入力します。

Router# attach slot-number
LC-slot-number# show ip cache verbose flow
 

Cisco IOS Release 12.3(4)T、12.3(6)、および 12.2(20)S 以降では、次のコマンドを入力して、NetFlow キャッシュ情報の詳細を表示します。

Router# execute-on slot-number show ip cache verbose flow

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを確認するには、次の手順を実行します。

手順の概要

1. show ip cache verbose flow

手順の詳細


ステップ 1 show ip cache verbose flow

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートが適切に動作している例を示します。フロー内のレイヤ 3 およびレイヤ 2 の非キー フィールドから値がキャプチャされています。フロー内でキャプチャされた値は、 太字 で示されています。

Router# show ip cache verbose flow
IP packet size distribution (33978 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.856 .143 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
14 active, 4082 inactive, 59 added
12452 ager polls, 0 flow alloc failures
Active flows timeout in 10 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
28 active, 996 inactive, 148 added, 59 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-SMTP 2 0.0 1730 40 3.6 600.7 0.2
UDP-other 31 0.0 1 54 0.0 3.6 16.8
ICMP 12 0.0 1728 28 22.0 600.1 0.1
Total: 45 0.0 538 29 25.7 189.2 11.6
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
.
.
.
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 00 10 696
0000 /0 0 0C01 /0 0 0.0.0.0 28 241.4
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 


 

NetFlow ダイナミック トップ トーカー CLI を使用したプロトコル分布の表示

プロトコル分布を表示することにより、ネットワーク内のトラフィックの概要を素早く確認できます。この作業を実行して、次の 3 つの IPv4 プロトコル タイプのトップ トーカー(集約されたフロー)を表示します。

1:ICMP

6:TCP

17:UDP

手順の概要

1. show ip flow top number aggregate aggregate-field sorted-by packets descending

手順の詳細


ステップ 1 show ip flow top number aggregate aggregate-field sorted-by packets descending

最大で 3 つのトップ トーカーを見つけ出し、それらをプロトコル フィールドに基づいて集約し、パケットでソートし、降順に出力を表示する例を示します。

Router# show ip flow top 3 aggregate protocol sorted-by packets descending
 
There are 3 top talkers:
 
IPV4 PROT bytes pkts flows
========= ========== ========== ==========
1 406196 14507 12
6 96560 2414 2
17 52 1 1
 
 
15 of 15 flows matched.
 

表 7 に、この表示出力で示されている重要なフィールドについて説明します。

 

表 7 show ip flow top 3 aggregate protocol sorted-by packets descending のフィールドの説明

フィールド
説明

There are 3 top talkers

トップ トーカーの数が表示されます。

IPV4 PROT

表示出力内のこの位置には、フローを集約するために選択したフィールドが表示されます。

protocol キーワードでは、フロー内の IPv4 トラフィックが IPv4 プロトコル タイプに基づいて集約されます。この例では、フロー内に 3 つの IPv4 プロトコル タイプが存在します。

1:ICMP

6:TCP

17:UDP

bytes

集約されたフローのバイト数をトップ トーカーごとに表示します。

pkts

集約されたフローのパケット数をトップ トーカーごとに表示します。

flows

集約されたフローの数をトップ トーカーごとに表示します。

15 of 15 flows matched.

コマンドの条件に一致したフローの数を表示します。

ルータ内の 15 本すべてのフローが 3 つのトップ トーカーに集約されています。この例では、すべてのフロー トラフィックがトップ トーカー トラフィックになっています。

トラフィックのほとんどが、ICMP トラフィック(IP プロトコル タイプ 1)になっています。したがって、ICMP DoS 攻撃が進行中である可能性があります。


 

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを送信している送信元 IP アドレス トップ トーカーの表示

NetFlow ダイナミック トップ トーカー CLI を使用したプロトコル分布の表示で使用した show ip flow top 10 aggregate protocol sorted-by packets descending の表示出力では、ICMP ベースの DoS 攻撃が進行中である可能性が示されています。次に実行すべき手順は、ICMP トラフィックを送信しているフローを特定することです。この場合、送信元 IP アドレスに基づいてフローを集約します。

手順の概要

1. show ip flow top number aggregate aggregate-field sorted-by packets match match-field match-value

手順の詳細


ステップ 1 show ip flow top number aggregate aggregate-field sorted-by packets match match-field match-value

次のコマンドにより、最大で 20 個のトップ トーカーを見つけ出し、それらを送信元 IP アドレスに基づいて集約し、パケットでソートし、プロトコル icmp について一致確認します。

Router# show ip flow top 20 aggregate source-address sorted-by packets match protocol icmp
 
There are 6 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.132.221.111 90440 3230 1
10.10.12.1 90440 3230 1
10.251.138.218 90440 3230 1
10.71.200.138 90384 3228 1
10.231.185.254 90384 3228 1
10.106.1.1 90356 3227 1
 
 
6 of 15 flows matched.
 
 
Router
 

表 8 に、この出力で表示される重要なフィールドについて説明します。

 

表 8 show ip flow top 20 aggregate source-address sorted-by packets match protocol icmp のフィールドの説明

フィールド
説明

There are 6 top talkers

トップ トーカーの数が表示されます。

(注) 20 個のトップ トーカーを要求しましたが、キャッシュ内にある 15 本のフローのうち 6 本しか指定した基準と一致しなかったため、6 つのトップ トーカーしか表示されていません。指定した 20 の数は、トップ トーカーが 20 個を超えたときに適用される上限値となります。

IPV4 SRC-ADDR

表示出力内のこの位置には、フローを集約するために選択したフィールドが表示されます。

source-address キーワードでは、フローが送信元 IP アドレスに基づいて集約されます。この例では、フローが集約された送信元 IP アドレスは、6 つあります。それぞれの IP アドレスにはフローが 1 本しかないので、集約は行われなかったことになります。

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

10.231.185.254

10.106.1.1

bytes

集約されたフローのバイト数をトップ トーカーごとに表示します。

pkts

集約されたフローのパケット数をトップ トーカーごとに表示します。

flows

集約されたフローの数をトップ トーカーごとに表示します。

6 of 15flows matched.

コマンドの条件に一致したフローの数を表示します。

ICMP トラフィックは、6 つのトップ トーカー(送信元 IP アドレス)に集約されています。各トップ トーカーにはフローが 1 本あります。送信元 IP アドレスとフローの関係が 1 対 1 になっているため、このトラフィックに対して集約は行われていません。


 

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを受信している宛先 IP アドレス トップ トーカーの表示

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを送信している送信元 IP アドレス トップ トーカーの表示で使用した show ip flow top 5 aggregate source-address sorted-by packets match protocol icmp コマンドの表示出力では、12 本の ICMP トラフィック フローを送信している 6 つのトップ トーカー(送信元 IP アドレス)が示されました。次に実行すべき手順は、ICMP トラフィックのターゲットであるフローを特定することです。この場合、宛先 IP アドレスに基づいてフローを集約します。

手順の概要

1. show ip flow top number aggregate aggregate-field sorted-by packets match match-field match-value

手順の詳細


ステップ 1 show ip flow top number aggregate aggregate-field sorted-by packets match match-field match-value

次のコマンドにより、最大で 20 個のトップ トーカーを見つけ出し、それらを宛先 IP アドレスに基づいて集約し、パケットでソートし、プロトコル icmp について一致確認します。

Router# show ip flow top 20 aggregate destination-address sorted-by packets match protocol icmp
 
There is 1 top talker:
 
IPV4 DST-ADDR bytes pkts flows
=============== ========== ========== ==========
172.16.10.2 407456 14552 6
 
 
6 of 14 flows matched.
 
 
Router
 

表 9 に、この出力で表示される重要なフィールドについて説明します。

 

表 9 show ip flow top 20 aggregate destination-address sorted-by packets match protocol icmp のフィールドの説明

フィールド
説明

There is 1 top talker

トップ トーカーの数が表示されます。

ICMP トラフィックは、1 つの宛先 IP アドレスの 6 本のフローに集約されています。

IPV4 DST-ADDR

表示出力内のこの位置には、フローを集約するために選択したフィールドが表示されます。

destination-address キーワードでは、フローが宛先 IP アドレスに基づいて集約されます。この例では、フローが集約された宛先 IP アドレスは、3 つあります。これらの IP アドレスには、8 本の集約されたフローがあります。

172.16.10.2

bytes

集約されたフローのバイト数をトップ トーカーごとに表示します。

pkts

集約されたフローのパケット数をトップ トーカーごとに表示します。

flows

集約されたフローの数をトップ トーカーごとに表示します。

6 of 14 flows matched.

コマンドの条件に一致したフローの数を表示します。

前回の作業では、送信元 IP アドレスに基づいて 6 つの ICMP トップ トーカーが特定され、それぞれに 1 つのフローが存在しました。今回の作業では、宛先 IP アドレスに基づいて 1 つの ICMP トップ トーカーが存在することが確認されました。このトップ トーカーは、6 本の個別フローのターゲットになっています。送信元 IP アドレスに基づいて集約されたトップ トーカー内の ICMP フローの数と宛先 IP アドレスに基づいて集約されたトップ トーカー内の ICMP フローの数の間には 1 対 1 の関係が存在します。172.16.10.2 の IP アドレスを持つホストに対して ICMP ベースの DoS 攻撃が進行中である可能性が高いです。


 

ネットワークの脅威をモニタするための NetFlow トップ トーカーの設定

前回の作業(「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを受信している宛先 IP アドレス トップ トーカーの表示」)では、172.16.10.2 の IP アドレスを持つホストに対して ICMP ベースの DoS 攻撃が行われている可能性があることを確認しました。今回の作業では、NetFlow トップ トーカー機能を使用して、ルータが個々の ICMP フローを追跡することにより、DoS 攻撃をモニタするように設定します。DoS 攻撃のトラフィックに集中するように NetFlow トップ トーカー機能を設定した後は、 show ip flow top-talkers verbose コマンドを使用して、DoS トラフィックがネットワーク内で使用しているパスを特定できます。

次の作業を実行して、NetFlow トップ トーカー機能を設定します。

手順の概要

1. enable

2. configure terminal

3. ip flow-top-talkers

4. match destination address ip-address / prefix-mask

5. top number

6. sort by [ bytes | packets ]

7. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip flow-top-talkers

 

Router(config)# ip flow-top-talkers

NetFlow トップ トーカー コンフィギュレーション モードを開始します。

ステップ 4

match destination address ip-address / prefix-mask
 

Router(config-flow-top-talkers) # match destination address 172.16.10.2/32

一致させる宛先 IP アドレスを指定します。

ステップ 5

top number

 

Router(config-flow-top-talkers)# top 50

NetFlow トップ トーカーのクエリーによって取得されるトップ トーカーの最大数を指定します。

ステップ 6

sort-by [ bytes | packets ]

 

Router(config-flow-top-talkers)# sort-by packets

トップ トーカーのソート基準を指定します。

トップ トーカーは、各トップ トーカーの合計パケット数または各トップ トーカーの合計バイト数のいずれかでソートできます。

ステップ 7

end

 

Router(config-flow-top-talkers)# end

特権 EXEC モードに戻ります。

NetFlow トップ トーカー フローのモニタリングと分析

NetFlow トップ トーカー フローをモニタし、分析するには、次の手順を実行します。

手順の概要

1. show ip flow top-talkers verbose

手順の詳細


ステップ 1 show ip flow top-talkers verbose

172.16.10.2 の IP アドレスを持つホストに送信されている 6 本のトラフィック フローの詳細を表示する例を示します。

Router# show ip flow top-talkers verbose
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Bytes
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0800 /0 0 0.0.0.0 28 116.3
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0800 /0 0 0.0.0.0 28 116.4
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0C01 /0 0 0.0.0.0 28 116.4
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0C01 /0 0 0.0.0.0 28 116.4
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0C01 /0 0 0.0.0.0 28 116.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 01 00 10 9408
0000 /0 0 0C01 /0 0 0.0.0.0 28 116.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
6 of 50 top talkers shown. 6 of 8 flows matched.
 

) 8 本のフローのうち 6 本しかマッチしていません。残りのフローがトップ トーカー フローではないためです。



) 上位 50 本のフローが要求されましたが、キャッシュ内には 8 本のフローしかありません。


この表示出力には、DoS 攻撃のトラフィックがネットワーク内で使用しているパスを調べるのに必要な情報が含まれています。この情報を使用して、影響を受けているインターフェイスにアクセス リストなどのセキュリティ対策を追加することにより、DoS 攻撃に対処します。表 10 に、DoS トラフィックが使用しているネットワーク パスを調べるために、 show ip flow top-talkers verbose コマンドによって表示される重要なフィールドについて説明します。

 

表 10 show ip flow top-talkers verbose の重要なフィールドの説明

フィールド
説明

SrcIf

パケットが受信されたインターフェイス

すべての ICMP DoS トラフィックが Et0/0.1 上で受信されています。

SrcIPaddress

6 つのトップ トーカー内のトラフィックの送信元 IP アドレスです。このトラフィックでは、6 つの異なる送信元 IP アドレスが使用されています。

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

10.231.185.254

10.106.1.1

DstIf

パケットが送信されたインターフェイス

すべての ICMP DoS トラフィックが Et1/0.1 経由で送信されています。

(注) アスタリスク(*)が DstIf フィールドの直後に続く場合、表示されているフローは出力フローです。

ICMP タイプ

ICMP データグラム タイプ

8:エコー

12:パラメータの問題

ICMP コード

ICMP コード

0:なし(適用されない)

1:ICMP タイプによって異なります。

ICMP タイプが 12 の場合、1 のコード値は、必要なオプションの欠落を意味します。

DstIPaddress

トラフィックの宛先 IP アドレスです。

(注) 172.17.10.2 が、攻撃されている IP アドレスです。

MAC

トラフィックの送信元および宛先の MAC アドレスです。出力内で送信元および宛先の MAC アドレスは左から右の順で表示されています。

このトラフィックは、MAC アドレス aaa.bbb.cc03 から受信されています。

(注) この MAC アドレスは、ルータ R2 のインターフェイス 1/0.1 です。

このトラフィックは、MAC アドレス aaa.bbb.cc06 に送信されています。

(注) この MAC アドレスは、ルータ R4 のインターフェイス 1/0.1 です。

VLAN id

送信元および宛先の VLAN ID です。出力内で送信元および宛先の VLAN ID は左から右の順で表示されています。

このトラフィックは、VLAN 5 から受信されています。

このトラフィックは、VLAN 6 に送信されています。

この例のフローでは、172.16.10.2 の IP アドレスを持つホスト宛ての ICMP DoS 攻撃のトラフィックだけが示されます。これらのフローは、この作業を説明するために特に作成されたものです。実際のネットワークでは、攻撃を受けているホストは、E メールや Web サイトなどの正当なアプリケーションを使用している他のホストとも通信している可能性があります。その場合、「ネットワークの脅威をモニタするための NetFlow トップ トーカーの設定」で設定した宛先 IP アドレスに対するトップ トーカー一致フィルタ( match destination address 172.16.10.2/32 )では、 show ip flow top-talkers コマンドの表示を ICMP DoS 攻撃のトラフィックに限定できません。


show ip cache verbose flow コマンドの表示出力内のフィールドの詳細については、『Cisco IOS NetFlow Command Reference』を参照してください。


トップ トーカー機能を使用してネットワークの脅威を分析するとき、基本的な一致フィルタを使用しても show ip flow top-talkers コマンドの表示を分析対象のトラフィックに限定できない場合は、NetFlow フィルタリングおよびサンプリングを使用して、 show ip flow top-talkers コマンドの表示に含まれるトラフィックを限定できます。NetFlow フィルタリングおよびサンプリングの設定プロセスは、「NetFlow フィルタリングおよびサンプリングの設定」で説明されています。


 

NetFlow フィルタリングおよびサンプリングの設定

show ip cache flow コマンドまたは show ip cache verbose flow コマンドを使用してキャッシュ内のフローを表示すると、イーサネット 0/0.1 上において NetFlow フィルタリングおよびサンプリングによって選択された ICMP フロー、および NetFlow が稼動している他のすべてのインターフェイス上において NetFlow でサポートされるすべてのトラフィック タイプのフローが表示されます。 show ip flow top-talker [ verbose ] コマンドは、サービス ポリシーを適用したインターフェイスに対して一致基準で設定したトラフィック タイプのフローのステータスと統計情報を表示するために使用します。たとえば、この例では、イーサネット 0/0.1 に着信し、172.16.10.2 を宛先として送信される任意のホストからの ICMP トラフィックに一致するように、トップ トーカーを設定しました。

この作業では、トップ トーカー機能を、トラフィックの容量が最も大きいフローを表示するフィルタとしてではなく、ルータで検出されるすべてのフローから対象のフローを分離するフロー フィルタとしてさらに使用します。この例では、容量の大きいフローだけではなく、すべての ICMP DoS 攻撃のフローが対象となるため、トップ トーカーをこの方法で使用します。トップ トーカー コンフィギュレーションで top キーワードに大きい値を割り当てるのはそのためです。ルータによって追跡される ICMP DoS 攻撃のフローの最大数が 12 のときに top キーワードを 50 に設定するので、すべての ICMP DoS 攻撃のフローが確実に追跡されます。

DoS 攻撃に関係するフローがルータで非常に多く検出される場合は、 top キーワードの値をフローの合計数よりも小さい数に設定して、 show ip flow top-talkers コマンドを実行したときに表示されるフローの本数を制限することもあります。それにより、容量の大きさが上位の DoS 攻撃トラフィックを持つフローが表示されるようになります。ただし、すべてのフローのトラフィック容量が同じ場合は、 show ip flow top-talkers コマンドでそれらを区別できません。キャッシュ内の最初のフローから順に、 top キーワードに設定した本数のフローが表示されます。

次の作業を実行して、NetFlow フィルタリングおよびサンプリングを設定します。

制約事項

NetFlow 入力フィルタの制約事項

Cisco 7500 プラットフォームの場合、NetFlow 入力フィルタ機能は、分散モードでしかサポートされていません。

ランダム サンプル NetFlow の制約事項

フル NetFlow がインターフェイス上でイネーブルになっている場合、フル NetFlow がランダム サンプル NetFlow よりも優先されます(したがって、ランダム サンプル NetFlow は無効になります)。インターフェイス上でランダム サンプル NetFlow をイネーブルにする前に、そのインターフェイス上のフル NetFlow をディセーブルにしてください。

物理インターフェイス上でランダム サンプル NetFlow をイネーブルにしても、サブインターフェイス上でランダム サンプル NetFlow が自動的にイネーブルになることはありません。サブインターフェイス上で明示的に設定する必要があります。また、ランダム サンプル NetFlow を物理インターフェイス(またはサブインターフェイス)上でディセーブルにしても、フル NetFlow がイネーブルになることはありません。この制約事項は、フル NetFlow への移行によって物理インターフェイス(またはサブインターフェイス)に過剰な負荷がかかるのを防いでいます。フル NetFlow が必要な場合は、明示的にイネーブルにする必要があります。

サンプラ オプション テンプレートを使用する場合、または NetFlow サンプラ ID を表示する場合は、NetFlow バージョン 9 を使用する必要があります。

手順の概要

1. enable

2. configure terminal

3. flow-sampler-map sampler-map-name

4. mode random one-out-of packet-interval

5. exit

6. class-map [ match-al l | match-any ] class-map-name

7. match access-group a ccess-group

8. exit

9. policy-map policy-map-name

10. class { class-name | class-default}

11. netflow-sampler sampler-map-name

12. exit

13. exit

14. interface interface-type interface-number

15. no [ ip route-cache flow | ip flow ingress ]

16. service-policy { input | output } policy-map-name

17. exit

18. ip flow-top-talkers

19. top number

20. sort-by packets

21. match class-map class-name

22. no match destination address ip-address/prefix-mask

23. exit

24. access-list access-list-number permit icmp source destination

25. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

flow-sampler-map sampler-map-name

 

Router(config)# flow-sampler-map icmp-dos-fs-map

統計的なサンプリングの NetFlow エクスポート フロー サンプラ マップを定義します。

sampler-map-name 引数は、定義されるフロー サンプラ マップの名前です。

flow-sampler-map コマンドを入力すると、フロー サンプラ コンフィギュレーション モードがイネーブルになります。

ステップ 4

mode random one-out-of packet-interval

 

Router(config-sampler-map)# mode random one-out-of 2

統計的なサンプリングの NetFlow エクスポート ランダム サンプリング モードとパケット間隔を指定します。

random キーワードは、サンプリングにランダム サンプリング モードを使用することを指定します。

one-out-of packet-interval の引数とキーワードのペアは、サンプリングを行うパケット間隔( n パケットごとに 1 つ)を指定します。 n には、1 ~ 65535(パケット)を指定できます。

ステップ 5

exit

 

Router(config-sampler-map)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

class-map class-map-name [ match-all | match-any ]

 

Router(config)# class-map match-any icmp-dos-class-map

指定したクラスへのパケットのマッチングに使用するクラス マップを作成します。

class-map-name 引数は、クラス マップ用のクラスの名前です。名前には最大 40 文字までの英数字を指定できます。クラス名は、クラス マップに対して、およびポリシー マップ内でクラスのポリシーを設定するために使用されます。

match-all | match-any キーワードは、複数の一致基準が存在するときのパケットの評価方法を決定します。パケットは、クラスのメンバーとして見なされるために、すべての一致基準( match-all )または一致基準の 1 つだけ( match-any )のいずれかを満たす必要があります。

class-map コマンドを入力すると、クラス マップ コンフィギュレーション モードがイネーブルになります。このモードでは、match コマンドの 1 つを入力して、このクラスの一致基準を設定できます。

ステップ 7

match access-group access-group

 

Router(config-cmap)# match access-group 101

指定した Access Control List(ACL; アクセス コントロール リスト)に基づいて、クラス マップの一致基準を設定します。

access-group 引数は、パケットがこのクラスに属するかどうかを判定するための一致基準として使用される番号付き ACL です。ACL 番号の範囲は、1 ~ 2699 です。

ステップ 8

exit

 

Router(config-cmap)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 9

policy-map policy-map-name
 

Router(config)# policy-map icmp-dos-policy-map

1 つ以上のインターフェイスに対応付けることができるポリシー マップを作成または修正し、サービス ポリシーを指定します。

policy-map-name 引数は、ポリシー マップの名前です。名前には最大 40 文字までの英数字を指定できます。

policy-map コマンドを入力すると、Quality of Service(QoS)ポリシー マップ コンフィギュレーション モードがイネーブルになります。このモードでは、指定したポリシー マップのクラス ポリシーを設定または変更できます。

ステップ 10

class { class-name | class-default}

 

Router(config-pmap)# class icmp-dos-class-map

作成または変更するポリシーのクラス名を指定するか、ポリシーを指定する前にデフォルト クラス(一般に class-default クラスといいます)を指定します。

class-name 引数は、ポリシーを設定または変更するクラスの名前です。

class-default キーワードは、デフォルト クラスのポリシーを設定または変更できるようにデフォルト クラスを指定します。

class コマンドを入力すると、QoS ポリシー マップ クラス コンフィギュレーション モードがイネーブルになります。

ステップ 11

netflow-sampler sampler-map-name
 

Router(config-pmap-c)# netflow-sampler icmp-dos-fs-map

NetFlow 入力フィルタ サンプラをイネーブルにします。

sampler-map-name 引数は、クラスに適用する NetFlow サンプラ マップの名前です。

1 つのクラスには、1 つの NetFlow 入力フィルタ サンプラしか割り当てられません。同じクラスに NetFlow 入力フィルタ サンプラをもう 1 つ割り当てると、前のものは上書きされます。

ステップ 12

exit

 

Router(config-pmap-c)# exit

ポリシー マップ コンフィギュレーション モードに戻ります。

ステップ 13

exit

 

Router(config-pmap# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 14

interface interface-type interface-number [. subinterface number ]
 

Router(config)# interface Ethernet0/0.1

インターフェイスを指定し、サブインターフェイス コンフィギュレーション モードを開始します。

interface-type 引数は、設定されるインターフェイスのタイプです。

interface-number 引数は、インターフェイスの番号です。スロット情報およびポート情報については、該当するハードウェア マニュアルを参照してください。

ステップ 15

no [ ip route-cache flow | ip flow ingress ]
 

Router(config-subif)# no ip flow ingress

既存の NetFlow コマンドをインターフェイスから削除します。

(注) NetFlow サンプリングおよびフィルタリングは、NetFlow をイネーブルにしているインターフェイス上に他のコマンドが存在すると、開始できません。

ステップ 16

service-policy { input | output } policy-map-name

 

Router(config-subif)# service-policy input icmp-dos-policy-map

インターフェイスまたは Virtual Circuit(VC; 仮想回線)のサービス ポリシーとして使用されるポリシー マップを入力のインターフェイスまたは VC(あるいは出力のインターフェイスまたは VC)に付加します。

input キーワードは、指定されたポリシー マップを入力インターフェイスまたは入力 VC に付加します。

output キーワードは、指定されたポリシー マップを出力インターフェイスまたは出力 VC に付加します。

policy-map-name は、付加されるサービス ポリシー マップ( policy-map コマンドを使用して作成される)の名前です。名前には最大 40 文字までの英数字を指定できます。

ステップ 17

exit

 

Router(config-subif)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 18

ip flow-top-talkers
 

Router(config)# ip flow-top-talkers

NetFlow トップ トーカー コンフィギュレーション モードを開始します。

ステップ 19

top number
 

Router(config-flow-top-talkers)# top 50

NetFlow トップ トーカーのクエリーによって取得されるトップ トーカーの最大数を指定します。

ステップ 20

sort-by packets
 

Router(config-flow-top-talkers)# sort-by packets

トップ トーカーのソート基準を指定します。

トップ トーカーは、各トップ トーカーの合計パケット数または各トップ トーカーの合計バイト数のいずれかでソートできます。

ステップ 21

match class-map class-name
 

Router(config-flow-top-talkers)# match class-map icmp-dos-class-map

クラス マップから取得する一致基準を指定します。

ステップ 22

no match destination address ip-address / prefix-mask

 

Router(config-flow-top-talkers)# no match destination address 172.16.10.2/32

(任意)宛先アドレスの一致エントリがまだ残っている場合は、そのエントリを削除して、クラス名の一致基準だけが使用されるようにします。

ステップ 23

exit

 

Router(config-sampler-map)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 24

access-list access-list-number permit icmp source destination

 

Router(config)# access-list 101 permit icmp any host 172.16.10.2

ICMP トラフィックを 172.16.10.2 に送信しているホストを追跡するために使用される拡張アクセス リストを作成します。

ステップ 25

end

 

Router(config)# end

特権 EXEC モードに戻ります。

NetFlow フィルタリングおよびサンプリングの確認

フィルタリングおよびサンプリングが正しく動作していることを確認するには、次の手順を実行します。

手順の概要

1. show flow-sampler

手順の詳細


ステップ 1 show flow-sampler

次の表示出力内にある非ゼロの値は、フィルタリングとサンプリングがアクティブであることを示しています。

Router# show flow-sampler
 
Sampler : icmp-dos-fs-map, id : 1, packets matched : 63226, mode : random sampling mode
sampling interval is : 2
Router


 

サンプリングおよびフィルタリングされた NetFlow トップ トーカー フローのモニタリングおよび分析

フィルタリングおよびサンプリングされた NetFlow トップ トーカー フローをモニタし、分析するには、次の手順を実行します。

手順の概要

1. show ip flow top-talkers

2. show ip flow top-talkers verbose

手順の詳細


ステップ 1 show ip flow top-talkers

172.16.10.2 の IP アドレスを持つホストに送信されている 6 本のトラフィック フローを出力している例を示します。

Router# show ip flow top-talkers
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Bytes
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 01 0000 0C01 5460
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 0000 0800 5124
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 01 0000 0800 5012
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 01 0000 0C01 4844
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.2 01 0000 0C01 4704
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 0000 0C01 4396
6 of 50 top talkers shown. 6 of 7 flows matched.
 

ステップ 2 show ip flow top-talkers verbose

172.16.10.2 の IP アドレスを持つホストに送信されている 6 本のトラフィック フローの詳細を出力している例を示します。

Router# show ip flow top-talkers verbose
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Bytes
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 10 2884
0000 /0 0 0800 /0 0 0.0.0.0 28 64.6
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 01 00 10 2828
0000 /0 0 0800 /0 0 0.0.0.0 28 64.6
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 01 00 10 2716
0000 /0 0 0C01 /0 0 0.0.0.0 28 64.6
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 00 10 2548
0000 /0 0 0C01 /0 0 0.0.0.0 28 58.0
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 01 00 10 2436
0000 /0 0 0C01 /0 0 0.0.0.0 28 64.6
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.2 01 00 10 2352
0000 /0 0 0C01 /0 0 0.0.0.0 28 57.7
Sampler: 1 Class: 1
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 28 Max plen: 28
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
6 of 50 top talkers shown. 6 of 7 flows matched.
 


 

ネットワークの脅威を NetFlow で検出および分析するための設定例

ここでは、次の設定例について説明します。

「シミュレートされた FTP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例」

「show ip cache verbose flow コマンドを使用した FTP DoS 攻撃の分析:例」

「NetFlow ダイナミック トップ トーカー CLI を使用した FTP DoS 攻撃の分析:例」

「シミュレートされた ICMP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例」

「show ip cache verbose flow コマンドを使用した ICMP ping DoS 攻撃の分析:例」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP ping DoS 攻撃の分析:例」

「NetFlow フィルタリングおよびサンプリングの設定:例」

シミュレートされた FTP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例

FTP サーバを過負荷状態にするために疑似 FTP トラフィックを送信しているホストによってネットワークが攻撃されていないかどうかを調べるために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例を示します。この攻撃により、エンド ユーザは、FTP サーバにおける新規接続の受け入れ能力や既存接続へのサービス提供能力の低下を体験する可能性があります。

この例では、図 7 に示されているネットワークを使用します。ホスト A は、疑似 FTP パケットを FTP サーバに送信しています。

この例では、トラフィックの送信元とトラフィックがネットワーク内で使用しているパスを調べるために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能によってキャプチャされたレイヤ 2 データを使用する方法も示します。

図 7 テスト ネットワーク


ヒント ネットワーク内のデバイスの MAC アドレスと IP アドレスを追跡します。それらを使用して、攻撃を分析し、問題を解決できます。


) この例には、ICMP のタイプとコードのフィールドの値をキャプチャする ip flow-capture icmp コマンドは含まれていません。ip flow-capture icmp コマンドの使用方法は、 シミュレートされた ICMP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例で説明されています。


R2

!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
 

show ip cache verbose flow コマンドを使用した FTP DoS 攻撃の分析:例

show ip cache verbose flow コマンドにより、NetFlow フローが表示されます。この表示出力を使用して、ホスト A からの FTP トラフィックが、R3 によって受信され、送信されるときに使用しているパスを特定できます。


show ip flow cache verbose flow コマンドからの出力の表示スペースを減らすために、FTP フローだけが表示されています。



ヒント FTP が含まれるフローを探し、それらのインターフェイス、MAC アドレス、および VLAN(該当する場合)を書き留めます。

R3# show ip cache verbose flow
IP packet size distribution (189118 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.043 .610 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .173 .000 .173 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
25 active, 4071 inactive, 615 added
263794 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
50 active, 974 inactive, 1648 added, 615 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-FTP 12 0.0 895 40 0.9 1363.8 5.5
TCP-FTPD 12 0.0 895 40 0.9 1363.8 5.6
Total: 590 0.0 317 383 16.1 430.1 12.4
 
Et0/0.1 192.168.87.200 Et1/0.1 172.16.10.2 06 00 00 63
0015 /0 0 0015 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 192.168.87.200 Et1/0.1 172.16.10.2 06 00 00 63
0014 /0 0 0014 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
 
Et0/0.1 10.10.10.2 Et1/0.1 172.16.10.2 06 00 00 64
0015 /0 0 0015 /0 0 0.0.0.0 40 96.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.10.10.2 Et1/0.1 172.16.10.2 06 00 00 64
0014 /0 0 0014 /0 0 0.0.0.0 40 96.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.234.53.1 Et1/0.1 172.16.10.2 06 00 00 63
0015 /0 0 0015 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.234.53.1 Et1/0.1 172.16.10.2 06 00 00 63
0014 /0 0 0014 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 172.30.231.193 Et1/0.1 172.16.10.2 06 00 00 63
0015 /0 0 0015 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 172.30.231.193 Et1/0.1 172.16.10.2 06 00 00 63
0014 /0 0 0014 /0 0 0.0.0.0 40 94.5
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 40 Max plen: 40
Min TTL: 59 Max TTL: 59
IP id: 0
 

この出力内には 8 本の FTP フローが表示されています。 ip flow-capture コマンドでキャプチャされたフロー内のレイヤ 2 情報を使用して、ネットワーク内でトラフィックが使用しているパスを特定できます。この例では、トラフィックは、VLAN 5 上で R2 から R3 へ送信されています。送信元 MAC アドレス(aaaa.bbb.cc03)が R2 上のインターフェイス 1/0.1 に属していることから、R2 が 1/0.1 経由でトラフィックを送信していることが実証されます。宛先 MAC アドレス(aaaa.bbbb.cc06)が R4 上のインターフェイス 1/0.1 に属していることから、R3 がインターフェイス 1/0.1 上の VLAN 6 を使用して R4 上のインターフェイス 1/0.1 へトラフィックを送信していることが実証されます。


ip flow-capture コマンド、および show ip cache verbose flow コマンドの表示出力内のフィールドの詳細については、『Cisco IOS NetFlow Command Reference』を参照してください。


この情報を使用して、この攻撃を軽減できます。この攻撃を軽減するために考えられる方法の 1 つは、ホスト A がスプーフィングしている送信元 IP アドレスからのすべての FTP トラフィックをブロックする拡張 IP アクセス リストを設定し、それを R2 上のイーサネット 0/0 に適用することです。

NetFlow ダイナミック トップ トーカー CLI を使用した FTP DoS 攻撃の分析:例

NetFlow ダイナミック トップ トーカー CLI 機能を使用して、FTP DoS 攻撃のトラフィックを送信している可能性のあるネットワーク トラフィックの FTP トップ トーカーを素早く特定できます。これにより、ホスト A が DoS 攻撃のトラフィックを送信するときに使用している送信元 IP アドレスがわかります。

R3# show ip flow top 50 aggregate source-address sorted-by bytes descending match destination-port min 20 max 21
 
There are 5 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.231.185.254 5640 141 2
10.132.221.111 3680 92 2
10.10.12.1 3640 91 2
10.251.138.218 3600 90 2
10.71.200.138 1880 47 1
 
 
9 of 34 flows matched.
 

match destination-port min 20 max 21 基準により、FTP トラフィックの送信元 IP アドレスだけが表示されています。これらの送信元アドレスは、最も関連性のある送信元だけが表示されるように、集約されています。



) 34 本のフローのうち 9 本だけが一致しました。残りのフローは FTP フローではないため、一致基準(match destination-port min 20 max 21)を満たしていません。



ヒント トップ トーカーは、デフォルトでは、集約フィールドの降順で表示されます。


ヒント ポート番号は、示されているように 10 進数値で入力できます。また、それらに対応する 16 進数値 0x14 および 0x15 でも入力できます。

FTP トップ トーカー トラフィックを特定した後、攻撃を受けていると考えられるホストに送信されている IP トラフィックの送信元 IP アドレスを特定する必要があります。

R3# show ip flow top 50 aggregate source-address match destination-prefix 172.16.10.2/32
 
There are 6 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.251.138.218 6642 18 4
10.231.185.254 5068 28 4
10.132.221.111 14818 25 4
10.106.1.1 12324 12 2
10.71.200.138 12564 18 3
10.10.12.1 560 14 2
 
 
19 of 33 flows matched.
 

ヒント match destination-prefix コマンドで 32 のプレフィクス値を使用することにより、攻撃を受けていると考えられるホストを指定できます。


) 33 本のフローのうち 19 本だけが一致しました。残りのフローは、172.16.10.2 の IP アドレスを持つホストを宛先としたトラフィックを含んでいないため、一致基準(match destination-prefix 172.16.10.2/32)を満たしていません。


最後の手順として、攻撃を受けているホストに何らかの IP トラフィックを送信しているすべてのホストの送信元 IP アドレスを FTP トップ トーカーの送信元 IP アドレスのリストと照合します。この手順が必要なのは、 show ip flow top コマンドで複数の一致基準がサポートされていないためです。つまり、単一の show ip flow top コマンドで、トップ トーカーを、特定のホストに送信されている FTP トラフィックに限定することができません( match destination-port min 20 max 21 および match destination-prefix 172.16.10.2/32 )。

10.106.1.1 の IP アドレスを持つホストは、その IP アドレスが show ip flow top 50 a ggregate source-address sorted-by bytes descending match destination-port min 20 max 21 コマンドの表示出力内に存在しないため、この DoS 攻撃と無関係であることは明らかです。つまり、攻撃を受けているホストに FTP トラフィックを送信していません。

結果として、この FTP DoS 攻撃に関係しているホストの IP アドレスは、次のようになります。

10.231.185.254

10.132.221.111

10.10.12.1

10.251.138.218

10.71.200.138

これで、FTP トラフィックの送信元アドレスがわかったので、これらのアドレスからの FTP トラフィックをブロックする拡張アクセス リストを設定し、設定した拡張アクセス リストを、トラフィックがネットワークに入ってくるポイントに最も近いインターフェイスに適用できます。


) ご使用のネットワークの正当な IP アドレスではない IP アドレスを見分けられない限り、正当な FTP トラフィックを FTP DoS 攻撃のトラフィックと区別できない場合があります。


シミュレートされた ICMP 攻撃のトラフィックをキャプチャする NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定:例

ネットワークが ICMP トラフィックによって攻撃されていることを検出するために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例を示します。図 8 に示されているネットワークを使用します。ホスト A は、ICMP ping パケットを FTP サーバに送信しています。

図 8 テスト ネットワーク


ヒント ネットワーク内のデバイスの MAC アドレスと IP アドレスを追跡します。それらを使用して、攻撃を分析し、問題を解決できます。

R2

!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
 

show ip cache verbose flow コマンドを使用した ICMP ping DoS 攻撃の分析:例

show ip cache verbose flow コマンドにより、NetFlow フローが表示されます。この表示出力を使用して、ホスト A からの ICMP トラフィックが、R3 によって受信され、送信されるときに使用しているパスを特定できます。


show ip flow cache verbose flow コマンドからの出力の表示スペースを減らすために、ICMP フローだけが表示されています。



ヒント ICMP が含まれるフローを探し、それらのインターフェイス、MAC アドレス、および VLAN(該当する場合)を書き留めます。

R3# show ip cache verbose flow
IP packet size distribution (122369 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.065 .665 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .134 .000 .134 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
24 active, 4072 inactive, 404 added
176657 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 25736 bytes
48 active, 976 inactive, 1088 added, 404 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
ICMP 27 0.0 1131 763 3.9 1557.4 3.6
Total: 380 0.0 267 257 13.0 382.8 12.6
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 10 864
0000 /0 0 0800 /0 0 0.0.0.0 1500 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.200 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 01 00 10 864
0000 /0 0 0800 /0 0 0.0.0.0 1500 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 0
 
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.200 01 00 10 864
0000 /0 0 0C01 /0 0 0.0.0.0 1500 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 01 00 10 864
0000 /0 0 0C01 /0 0 0.0.0.0 1500 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 01 00 10 864
0000 /0 0 0C01 /0 0 0.0.0.0 1500 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 01 00 00 864
0000 /0 0 0000 /0 0 0.0.0.0 554 1089.9
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 554 Max plen: 554
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 0 FO: 185
 
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 01 00 10 864
0000 /0 0 0C01 /0 0 0.0.0.0 1500 1090.0
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 12 ICMP code: 1
IP id: 0
 

この出力内には 12 本の ICMP フローが表示されています。 ip flow-capture コマンドでキャプチャされたフロー内のレイヤ 2 情報を使用して、ネットワーク内でトラフィックが使用しているパスを特定できます。この例では、トラフィックは、VLAN 5 上で R2 から R3 へ送信されています。送信元 MAC アドレス(aaaa.bbb.cc03)が R2 上のインターフェイス 1/0.1 に属していることから、R2 が 1/0.1 経由でトラフィックを送信していることが実証されます。宛先 MAC アドレス(aaaa.bbbb.cc06)が R4 上のインターフェイス 1/0.1 に属していることから、R3 がインターフェイス 1/0.1 上の VLAN 6 を使用して R4 上のインターフェイス 1/0.1 へトラフィックを送信していることが実証されます。


ip flow-capture コマンド、および show ip cache verbose flow コマンドの表示出力内のフィールドの詳細については、『Cisco IOS NetFlow Command Reference』を参照してください。


この情報を使用して、この攻撃を軽減できます。この攻撃を軽減するために考えられる方法の 1 つは、ホスト A がスプーフィングしている送信元 IP アドレスからのすべての ICMP トラフィックをブロックする拡張 IP アクセス リストを設定し、それを R2 上のイーサネット 0/0 に適用することです。

NetFlow ダイナミック トップ トーカー CLI を使用した ICMP ping DoS 攻撃の分析:例

NetFlow ダイナミック トップ トーカー CLI 機能を使用して、ICMP ping DoS 攻撃のトラフィックを送信している可能性のあるネットワーク トラフィックの ICMP トップ トーカーを素早く特定できます。これにより、ホスト A が DoS 攻撃のトラフィックを送信するときに使用している送信元 IP アドレスがわかります。

R3# show ip flow top 50 aggregate icmp
 
There are 3 top talkers:
 
ICMP TYPE ICMP CODE bytes pkts flows
========= ========= ========== ========== ==========
12 1 2466000 1644 4
8 0 1233000 822 2
0 0 1366164 2466 6
 
 
12 of 25 flows matched.
 

) 25 本のフローのうち 12 本だけが一致しました。残りのフローが ICMP フローではなかったためです。



ヒント トップ トーカーは、デフォルトでは、集約フィールドの降順で表示されます。

ネットワーク トラフィック内の ICMP のタイプとコードの値を特定した後、FTP サーバに送信されている ICMP トラフィックの送信元 IP アドレスを調べる必要があります。

R3# show ip flow top 50 aggregate source-address match icmp type 12 code 1
 
There are 4 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.251.138.218 867000 578 1
10.231.185.254 865500 577 1
10.71.200.138 865500 577 1
10.10.12.1 867000 578 1
 
 
4 of 24 flows matched.
 

match icmp type 12 code 1 基準により、ICMP トラフィックの送信元 IP アドレスだけが表示されています。各 IP アドレスに対してフローが 1 本しかないため、送信元 IP アドレスに対する集約は行われていません。



) 24 本のフローのうち 4 本だけが一致しました。残りのフローが一致基準(match icmp type 12 code 1)を満たさなかったためです。


R3# show ip flow top 50 aggregate source-address match icmp type 8 code 0
 
There are 2 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.132.221.111 1095000 730 1
10.106.1.1 1095000 730 1
 
 
2 of 24 flows matched.
 

match icmp type 8 code 0 基準により、ICMP トラフィックの送信元 IP アドレスだけが表示されています。各 IP アドレスに対してフローが 1 本しかないため、送信元 IP アドレスに対する集約は行われていません。



) 24 本のフローのうち 2 本だけが一致しました。残りのフローが一致基準(match icmp type 8 code 0)を満たさなかったためです。


R3# show ip flow top 50 aggregate source-address match icmp type 0 code 0
 
There are 6 top talkers:
 
IPV4 SRC-ADDR bytes pkts flows
=============== ========== ========== ==========
10.251.138.218 416608 752 1
10.231.185.254 416608 752 1
10.132.221.111 416608 752 1
10.106.1.1 416608 752 1
10.71.200.138 416608 752 1
10.10.12.1 416608 752 1
 
 
6 of 24 flows matched.
 

match icmp type 0 code 0 基準により、ICMP トラフィックの送信元 IP アドレスだけが表示されています。各 IP アドレスに対してフローが 1 本しかないため、送信元 IP アドレスに対する集約は行われていません。



) 24 本のフローのうち 6 本だけが一致しました。残りのフローが一致基準(match icmp type 0 code 0)を満たさなかったためです。


次の手順として、ホスト A が使用している送信元 IP アドレスのリストを作成します。

10.251.138.218

10.231.185.254

10.71.200.138

10.10.12.1

10.132.221.111

10.106.1.1

ICMP DoS 攻撃のトラフィックの送信元アドレスがわかったので、これらのアドレスからの ICMP トラフィックをブロックする拡張アクセス リストを設定し、そのリストをトラフィックがネットワークに入ってくるポイントに最も近いインターフェイスに適用することで、この攻撃を軽減できます。

NetFlow フィルタリングおよびサンプリングの設定:例

NetFlow ルータ上で NetFlow フィルタリングおよびサンプリングを使用するために必要なコンフィギュレーション コマンドが含まれる設定例を示します。

!
hostname Router
!
ip cef
!
flow-sampler-map icmp-dos-fs-map
mode random one-out-of 2
!
!
class-map match-any icmp-dos-class-map
match access-group 101
!
!
policy-map icmp-dos-policy-map
class icmp-dos-class-map
netflow-sampler icmp-dos-fs-map
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
service-policy input icmp-dos-policy-map
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip flow egress
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
ip flow-top-talkers
top 5
sort-by bytes
match class-map icmp-dos-class-map
!
access-list 101 permit icmp any host 172.16.10.2
!
end
 

次の作業

その他の NetFlow の機能およびサービスに関する設定情報へのリンクについては、「関連資料」を参照してください。

その他の参考資料

ここでは、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートに関する関連資料について説明します。

関連資料

関連項目
参照先

Cisco IOS NetFlow の概要

「Cisco IOS NetFlow Overview」

マニュアル タイトル 』に記載されている機能のリスト

「Cisco IOS NetFlow Features Roadmap」

NetFlow および NetFlow データ エクスポートの設定に必要な作業の最小限の情報

「Getting Started with Configuring NetFlow and NetFlow Data Export」

ネットワーク トラフィック データをキャプチャし、エクスポートするための NetFlow の設定作業

『Configuring NetFlow and NetFlow Data Export』

MPLS 認識 NetFlow の設定作業

「Configuring MPLS Aware NetFlow」

MPLS 出力 NetFlow アカウンティングの設定作業

「Configuring MPLS Egress NetFlow Accounting and Analysis」

NetFlow 入力フィルタの設定作業

「Using NetFlow Filtering or Sampling to Select the Network Traffic to Track」

ランダム サンプル NetFlow の設定作業

「Using NetFlow Filtering or Sampling to Select the Network Traffic to Track」

NetFlow 集約キャッシュの設定作業

『Configuring NetFlow Aggregation Caches』

NetFlow BGP ネクスト ホップ サポートの設定作業

「Configuring NetFlow BGP Next Hop Support for Accounting and Analysis」

NetFlow マルチキャスト サポートの設定作業

「Configuring NetFlow Multicast Accounting」

NetFlow の SCTP を使用した信頼性のあるエクスポートの設定作業

「NetFlow Reliable Export With SCTP」

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定作業

「NetFlow Layer 2 and Security Monitoring Exports」

SNMP NetFlow MIB の設定作業

「Configuring SNMP and using the NetFlow MIB to Monitor NetFlow Data」

NetFlow MIB およびトップ トーカー機能の設定作業

「Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP Commands」

CNS NetFlow Collection Engine のインストール、開始、および設定に関する情報

Cisco CNS NetFlow Collection Engine のマニュアル

標準

標準
タイトル

この機能に関連する新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能に関連する新しい MIB や変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能に関連する新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/en/US/support/index.html

NetFlow によるネットワークの脅威の検出と分析に関する機能情報

表 11 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1) または 12.0(3)S 以降のリリースで導入または変更された機能だけを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

ここに記載されていないこのテクノロジーの機能情報については、「 Cisco IOS NetFlow Features Roadmap 」を参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、フィーチャ セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索できます。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスするには、Cisco.com のアカウントが必要です。アカウントをお持ちでない場合や、ユーザ名やパスワードを忘れた場合は、ログイン ダイアログボックスで [Cancel] をクリックし、表示される説明に従ってください。


表 11 に、特定の Cisco IOS ソフトウェア リリース トレインの中で特定の機能のサポートが導入された Cisco IOS ソフトウェア リリースだけを示します。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 11 NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの機能情報

機能名
リリース
機能の設定情報

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート

12.3(14)T

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能により、アカウンティングおよびセキュリティ分析用の IP トラフィックのレイヤ 3 およびレイヤ 2 のフィールドからの値のキャプチャをイネーブルにします。

この機能に関する詳細については、次の各項を参照してください。

「NetFlow レイヤ 2 およびセキュリティ モニタリング」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認」

この機能により、 ip flow-capture ip flow-export 、および show ip cache verbose flow の各コマンドが変更されました。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートに追加される IP ヘッダーのフラグメント オフセット フィールドからの値のキャプチャのサポート 1

12.4(2)T

ip flow-capture コマンドの fragment-offset キーワードにより、フロー内の最初のフラグメント化された IP データグラムからの IP フラグメント オフセット フィールドの値のキャプチャを イネーブル にします。

NetFlow トップ トーカー

12.3(11)T、

12.2(25)S

このマニュアルでは、トップ トーカー機能の説明を NetFlow MIB およびトップ トーカー機能のマニュアルから引用しています。

この機能の使用方法の詳細については、『 Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP Commands 』を参照してください。

トップ トーカーは、NetFlow の機能を使用して、ネットワーク内で最も重いトラフィック パターンと最も使用されているアプリケーションに関する情報を取得します。

この機能に関する詳細については、次の各項を参照してください。

「ネットワークの脅威をモニタするための NetFlow トップ トーカーの設定」

この機能により、 cache-timeout ip flow-top-talkers match show ip flow top-talkers sort-by 、および top の各コマンドが導入されました。

NetFlow ダイナミック トップ トーカー CLI

12.4(4)T

NetFlow ダイナミック トップ トーカー CLI では、送信元 IP アドレス、宛先プレフィクスなどのフィールドに基づいてフローを集約することにより、トラフィックの特徴の概要を確認できます。

この機能に関する詳細については、次の各項を参照してください。

「NetFlow ダイナミック トップ トーカー CLI を使用したプロトコル分布の表示」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを送信している送信元 IP アドレス トップ トーカーの表示」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP トラフィックを受信している宛先 IP アドレス トップ トーカーの表示」

「NetFlow トップ トーカー フローのモニタリングと分析」

「NetFlow ダイナミック トップ トーカー CLI を使用した FTP DoS 攻撃の分析:例」

「NetFlow ダイナミック トップ トーカー CLI を使用した ICMP ping DoS 攻撃の分析:例」

NetFlow 入力フィルタ

12.3(4)T、12.2(25)S

このマニュアルでは、NetFlow 入力フィルタ機能の説明を NetFlow フィルタリングおよびサンプリング機能のマニュアルから引用しています。

この機能の使用方法の詳細については、『 Using NetFlow Filtering or Sampling to Select the Network Traffic to Track 』を参照してください。

この機能に関する詳細については、次の各項を参照してください。

「NetFlow フィルタリングおよびサンプリングの設定」

「NetFlow フィルタリングおよびサンプリングの設定:例」

ランダム サンプル NetFlow

12.3(4)T、12.2(18)S、12.0(26)S

このマニュアルでは、ランダム サンプル NetFlow 機能の説明を NetFlow フィルタリングおよびサンプリング機能のマニュアルから引用しています。

この機能の使用方法の詳細については、『 Using NetFlow Filtering or Sampling to Select the Network Traffic to Track 』を参照してください。

この機能に関する詳細については、次の各項を参照してください。

「NetFlow フィルタリングおよびサンプリングの設定」

1.これはマイナーな拡張です。マイナーな拡張は、通常 Feature Navigator に記載されません。

用語集

NetFlow :フロー単位の情報を保持する Cisco IOS アカウンティング機能。

NetFlow Collection Engine (以前の NetFlow FlowCollector):Cisco ルータおよび Catalyst シリーズ スイッチで NetFlow と一緒に使用するシスコのアプリケーション。NetFlow Collection Engine によって、NetFlow を実行するルータからパケットが収集され、それらのパケットが復号、集約、および格納されます。NetFlow Collection Engine で設定できる各種の集約で、レポートを生成できます。

NetFlow v9 :NetFlow エクスポート フォーマットのバージョン 9。ネットワーク ノードからコレクタに NetFlow レコードを送信するための柔軟で拡張可能な手段。NetFlow バージョン 9 には定義可能なレコード タイプが用意されています。また、自己記述型で、NetFlow Collection Engine の設定を容易にします。

NetFlow 集約 :NetFlow Collection Engine などの NetFlow データ収集装置にデータをエクスポートする前に、IOS ルータで NetFlow エクスポート データを要約する NetFlow の機能。この機能により、NetFlow エクスポート データの帯域幅要件が減少し、NetFlow データ収集装置のプラットフォーム要件も減少します。

エクスポート パケット :NetFlow サービスがイネーブルのデバイス(ルータなど)によって作成されるパケットのタイプ。このパケットは、別のデバイス(NetFlow Collection Engine など)にアドレス指定されます。このパケットには、NetFlow 統計情報が含まれています。この他方のデバイスによってパケットが処理されます(IP フローの情報の解析、集約、および格納)。

データ フローセット :エクスポート パケットにグループ化されたデータ レコードの集合。

テンプレート :データ フローセットのレイアウトを記述します。

テンプレート フローセット :エクスポート パケットにグループ化されたテンプレート レコードの集合。

フロー :送信元 IP アドレス、宛先 IP アドレス、プロトコル、送信元ポートと宛先ポート、タイプ オブ サービス、およびフローがモニタされるインターフェイスがすべて同一のパケットの集合。入力フローは入力インターフェイスに関連付けられ、出力フローは出力インターフェイスに関連付けられます。

フローセット :エクスポート パケットのパケット ヘッダーに続くフロー レコードの集合。フローセットには、NetFlow Collection Engine で解析し、解釈する必要がある情報が含まれます。フローセットには、テンプレート フローセットとデータ フローセットの 2 種類があります。エクスポート パケットには、1 つまたは複数のフローセットが含まれます。テンプレート フローセットとデータ フローセットの両方が 1 つのエクスポート パケットに混在する場合もあります。