Cisco Guard コンフィギュレーション ガイド (Software Release 5.1)
Guard の診断ツールの使用
Guard の診断ツールの使用
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Guard の診断ツールの使用

Guard の設定の表示

Guard のゾーンの表示

カウンタを使用したトラフィックの分析

カウンタおよびトラフィック レートの平均の表示

Guard およびゾーンのカウンタのクリア

ゾーンのステータスの表示

Guard のログ管理

オンライン イベント ログの管理

オンライン イベント ログの表示

オンライン イベント ログのエクスポート

ログ ファイルの管理

ログ ファイルの表示

ログ ファイルのエクスポート

ログ ファイルのクリア

BIOS システム ログ ファイルのクリア

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

トラフィックを自動的に記録するように Guard を設定する

トラフィックを手動で記録するように Guard をアクティブにする

Guard によるトラフィックの手動記録の停止

パケットダンプ キャプチャ ファイルのディスク スペースの管理

手動パケットダンプ設定の表示

自動パケットダンプ設定の表示

パケットダンプ キャプチャ ファイルの自動エクスポート

パケットダンプ キャプチャ ファイルの手動エクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルの削除

一般的な診断データの表示

ディスク スペースの管理

ログとレポートの履歴の設定

メモリ消費量の表示

CPU 使用率の表示

システム リソースの監視

ARP キャッシュの管理

ネットワーク統計情報の表示

traceroute の使用

接続の確認

デバッグ情報の取得

Guard の自己保護設定の表示

フレックスコンテンツ フィルタのデフォルト設定

Guard の診断ツールの使用

この章では、Cisco Guard(Guard)に関する統計情報や診断を表示する方法について説明します。この章は、次の項で構成されています。

Guard の設定の表示

Guard のゾーンの表示

カウンタを使用したトラフィックの分析

ゾーンのステータスの表示

Guard のログ管理

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

一般的な診断データの表示

ディスク スペースの管理

メモリ消費量の表示

CPU 使用率の表示

システム リソースの監視

ARP キャッシュの管理

ネットワーク統計情報の表示

traceroute の使用

接続の確認

デバッグ情報の取得

Guard の自己保護設定の表示

Guard の設定の表示

Guard の設定ファイルを表示できます。このファイルには、インターフェイスの IP アドレス、デフォルト ゲートウェイ アドレス、および設定されたゾーンなど、Guard の設定に関する情報が含まれています。

Guard の設定ファイルを表示するには、次のコマンドを使用します。

show running-config [all | Guard | interfaces interface-name | router | self-protection | zones]

表12-1 に、 show running-config コマンドのキーワードを示します。

 

表12-1 show running-config コマンドの引数とキーワード

パラメータ
説明

all

Guard のすべての機能(Guard、ゾーン、インターフェイス、ルータ、および自己保護)の設定ファイルを表示します。

Guard

Guard の設定ファイルを表示します。

interfaces interface-name

Guard のインターフェイスの設定ファイルを表示します。インターフェイス名を入力します。

router

ルータの設定を表示します。

self-protection

Guard の自己保護の設定を表示します。

zones

すべてのゾーンの設定ファイルを表示します。

次の例は、Guard の設定ファイルを表示する方法を示しています。

user@GUARD# show running-config guard
 

設定ファイルは、Guard を現在の設定値で設定するために入力するコマンドで構成されています。Guard の設定ファイルをリモート FTP サーバにエクスポートして、バックアップ用にしたり、別の Guard にその Guard の設定パラメータを実装できるようにすることができます。詳細については、「Guard のゾーンの表示」を参照してください。

Guard のゾーンの表示

グローバル モードで show コマンドを入力することにより、ゾーンの概要を表示して、アクティブなゾーンやゾーンの現在のステータスを確認できます。

表12-2 に、各種のゾーン ステータスを示します。

 

表12-2 ゾーンのステータス

ステータス
説明

Auto protect mode

ゾーン保護がイネーブルで、動的フィルタはユーザの操作なしでアクティブになります。

Guard で、ゾーン保護がイネーブルで、Guard がポリシーのしきい値調整のためにゾーンのトラフィック特性をラーニングしている場合、ゾーン名の隣には (+learning) と表示されます。

Interactive protect mode

ゾーンはインタラクティブ保護モードです。動的フィルタは手動でアクティブになります。

Threshold Tuning phase

ゾーンはしきい値調整フェーズです。Guard は、ゾーンのトラフィックを分析して、ラーニング プロセスのポリシー構築フェーズ中に構築されたポリシーのしきい値を定義します。

Policy Construction phase

ゾーンはポリシー構築フェーズです。ゾーンのポリシーが作成されます。

Standby

ゾーンはアクティブではありません。

次の例は、Guard のゾーンの概要を表示する方法を示しています。

user@GUARD# show
 

カウンタを使用したトラフィックの分析

Guard およびゾーン カウンタを表示することで、Guard が処理している現在のトラフィック上の情報を表示したり、ゾーン トラフィックを分析したり、監視タスクを実行することができます。

この項では、次のトピックについて取り上げます。

カウンタおよびトラフィック レートの平均の表示

Guard およびゾーンのカウンタのクリア

カウンタおよびトラフィック レートの平均の表示

ゾーン カウンタを表示するには、次のコマンドのいずれかを入力します。

show [ zone zone-name ] rates :正当なカウンタと悪意のあるカウンタの平均トラフィック レートを表示します。

show [ zone zone-name ] rates deta ils: すべての Guard カウンタの平均トラフィック レートを表示します。

show [ zone zone-name ] rates history: 過去 24 時間における 1 分ごとの 悪意のあるカウンタと正当なカウンタの平均トラフィック レートを表示します。

show [ zone zone-name ] counters:Guard悪意のあるカウンタと正当なカウンタを表示します。

show [ zone zone-name ] counters details:すべての Guard カウンタを表示します。

show [ zone zone-name ] counters history:過去 1 時間の悪意のあるカウンタおよび正当なカウンタの値を 1 分ごとに表示します。

Guard カウンタを表示するには、グローバル モードまたは設定モードでこのコマンドを使用します。

ゾーン カウンタを表示するには、次のコマンド モードのいずれかでコマンドを使用します。

ゾーン設定モード: zone zone-name キーワードおよび引数を使用しないでください。

グローバル モードまたは設定モード: zone キーワードおよび zone-name 引数を入力してゾーン名を指定します。

レート単位は、ビット/秒(bps) およびパケット/秒(pps)で表されます。


ゾーンのレートは、ゾーン保護をイネーブルにしている場合、またはラーニング プロセスをアクティブにしている場合にだけ使用できます。


カウンタの単位はパケットおよびキロビットです。カウンタは、ゾーン 保護 をアクティブにしたときにゼロにリセットされます。

表12-3 に、Guard のカウンタを示します。

 

表12-3 Guard カウンタ

カウンタ
説明

Malicious

ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたカウンタとスプーフィングされたカウンタ(ゾンビ パケットも含む)の合計です。

Legitimate

Guard によってゾーンに転送された正当なトラフィック。

Received

Guard が受信し、処理したパケット。受信カウンタは、正当なカウンタと悪意のあるカウンタの合計です。

Forwarded

Guard によってゾーンに転送された正当なトラフィック。

Dropped

Guard の保護機能(動的フィルタ、フレックスコンテンツ フィルタ、およびレート リミッタ)によって攻撃の一部と判断され、ドロップされたパケット。

Replied

スプーフィング防止およびゾンビ防止機能の一部として、信頼できるトラフィックと悪意のあるトラフィックのどちらに属するかを確認するために開始クライアントに対して応答が送信されたパケット。

Spoofed

Guard によってスプーフィングされたパケットと判断され、ゾーンに転送されなかったパケット。スプーフィングされたパケットは、応答が送信されたパケット(詳細については上の「Replied カウンタ」を参照)のうち、それに対する応答が受信されなかったものです。ゾンビ パケットは、スプーフィング パケット カウンタにも含まれています。

Invalid zone

保護がイネーブルになっているいずれのゾーンにも宛先変更されなかったトラフィック。この情報は、Guard のカウンタに限り使用可能です( zone キーワードを使用せずにグローバル モードまたは設定モードでコマンドを入力した場合)。

次の例は、Guard の平均トラフィック レートを表示する方法を示しています。

admin@GUARD-conf-zone-scannet# show rates
 

Guard およびゾーンのカウンタのクリア

テストを行う予定で、カウンタにテスト セッションからの情報だけを含める場合は、Guard またはゾーン カウンタをクリアできます。Guard はカウンタおよび平均トラフィック レートをクリアします。

Guard のカウンタをクリアするには、グローバル モードまたは設定モードでこのコマンドを使用します。

clear counters

次の例は、Guard のカウンタをクリアする方法を示しています。

user@GUARD-conf# clear counters
 

ゾーン カウンタをクリアするには、次のコマンドのいずれかを入力します。

clear counters :ゾーン設定モード。

clear zone zone-name counters: グローバル モードまたは設定モード。 zone-name 引数には、ゾーンの名前を指定します。

次の例は、ゾーン カウンタをクリアする方法を示しています。

user@GUARD-conf-zone-scannet# clear counters
 

ゾーンのステータスの表示

ゾーンの概要とそのステータスを表示するには、ゾーン設定モードで show コマンドを使用します。概要には、次の情報が含まれます。

ゾーンのステータス:動作状態を示します。動作状態は、保護モード、保護およびラーニングのモード、しきい値調整モード、ポリシー構築モード、または非アクティブのいずれかです。

ゾーンの基本設定:保護モード(自動またはインタラクティブ)、しきい値、タイマー、および IP アドレスなど、ゾーンの基本的な設定を示します。

詳細については、「ゾーンのアトリビュートの設定」を参照してください。

ゾーンのフィルタ:フレックスコンテンツ フィルタの設定、ユーザ フィルタの設定、およびアクティブな動的フィルタの数を含みます。ゾーンがインタラクティブ保護モードの場合、概要には推奨事項の数が表示されます。

詳細については、「フレックスコンテンツ フィルタの設定」および 「ユーザ フィルタの設定」を参照してください。

ゾーンのトラフィック レート:ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。

詳細については、「カウンタを使用したトラフィックの分析」を参照してください。

次の例は、ゾーン ステータスを表示する方法を示しています。

user@GUARD-conf-zone-scannet# show
 

Guard のログ管理

Guard は、システムのアクティビティおよびイベントを自動的にログに記録します。Guard のログを表示して、Guard のアクティビティを確認および追跡できます。

表12-4 に、イベント ログのレベルを示します。

 

表12-4 イベント ログのレベル

イベント レベル
数値コード
説明

Emergencies

0

システムが使用不能

Alerts

1

ただちに対処が必要

Critical

2

深刻な状態

Errors

3

エラー状態

Warnings

4

警告状態

Notifications

5

通常、ただし注意が必要

Informational

6

情報メッセージ

Debugging

7

デバッグ メッセージ

ログ ファイルには、すべてのログ レベル(emergencies、alerts、critical、errors、warnings、notification、informational、および debugging)が表示されます。Guard のログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。

イベント ログは、ローカルで表示することも、リモート サーバから表示することもできます。この項では、次のトピックについて取り上げます。

オンライン イベント ログの表示

ログ ファイルの管理

オンライン イベント ログの管理

この項では、Guard のイベントのリアルタイム ロギングを管理する方法について説明します。この項では、次のトピックについて取り上げます。

オンライン イベント ログの表示

オンライン イベント ログのエクスポート

オンライン イベント ログの表示

Guard の監視機能をアクティブにして、リアルタイム イベント ログを表示すると、Guard イベントのオンライン ロギングを表示できます。オンライン イベント ログを表示するには、次のコマンドを使用します。

event monitor

次の例は、モニタリングをアクティブにする方法を示しています。

user@GUARD# event monitor
 

画面は新しいイベントを表示するために、定期的にアップデートされます。


) モニタリングを非アクティブにするには、no event monitor コマンドを使用してください。


オンライン イベント ログのエクスポート

Guard のオンライン イベント ログ をエクスポートして、ログファイルに登録された Guard の動作を表示できます。また、Guard のログ ファイルに登録されている Guard のイベントをリモート ホストから表示できます。Guard のログ ファイルは、syslog メカニズムを使用してエクスポートされます。Guard のログ ファイルを複数の syslog サーバにエクスポートし、追加サーバを指定できるため、1 つのサーバがオフラインになっても、他のサーバがメッセージを受信できます。

Guard のオンライン ログのエクスポートは、リモート syslog サーバだけに適用できます。リモート syslog サーバが使用できない場合は、 copy log コマンドを使用して、Guard のログ情報をファイルにエクスポートしてください。

次に、イベント ログの例を示します。

Sep 11 16:34:40 10.4.4.4 cm: scannet, 5 threshold-tuning-start: Zone activation completed successfully.
 

システム log メッセージの構文は、次のとおりです。

event-date event-time Guard-IP-address protection-level zone-name event-severity-level event-type event-description

オンライン イベント ログをエクスポートするには、次の手順を実行します。


ステップ 1 (オプション)設定モードで次のコマンドを入力して、ロギング パラメータを設定します。

logging {facility | trap}
 

表12-5 に、logging コマンドのキーワードを示します。

 

表12-5 logging コマンドのキーワード

パラメータ
説明

facility

エクスポート syslog ファシリティ。リモート syslog サーバは、ロギング ファシリティを使用してイベントをフィルタリングします。たとえば、ロギング ファシリティを使用すると、リモート ユーザは、Guard イベントを 1 つのファイルで受信し、他のネットワーク デバイスからのイベントを別のファイルで受信できます。

使用できるファシリティは、local0 ~ local7 です。デフォルトは local4 です。

trap

リモート syslog に送信する syslog トラップの重大度。重大度のトラップ レベルには、それより高い重大度のレベルが含まれます。たとえば、トラップ レベルを warning に設定すると、error、critical、alerts、および emergencies も送信されます。指定できるトラップ レベルは、高い方から順に emergencies、alerts、critical、errors、warnings、notification、informational、および debugging です。デフォルトは notification です。


動的フィルタの追加および削除に関するイベントを受信するには、トラップ レベルを informational に変更してください。


ステップ 2 次のコマンドを入力して、リモート syslog サーバの IP アドレスを設定します。

logging host remote-syslog-server-ip

remote-syslog-server-ip 引数には、リモート syslog サーバの IP アドレスを指定します。

ロギング メッセージを受信する syslog サーバのリストを作成するには、logging host コマンドを複数回入力してください。


 

次の例は、重大度レベルが notification より高いトラップを送信するように Guard を設定する方法を示しています。Guard は、ファシリティ local3 を使用して、IP アドレス 10.0.0.191 の syslog サーバにトラップを送信します。

user@GUARD-conf# logging facility local3
user@GUARD-conf# logging trap notifications
user@GUARD-conf# logging host 10.0.0.191
 

Guard がオンライン イベント ログのエクスポートに使用する設定を表示するには、 show logging コマンドまたは show log export-ip コマンドを使用します。

ログ ファイルの管理

この項では、Guard のログ ファイルを管理する方法について説明します。この項では、次のトピックについて取り上げます。

ログ ファイルの表示

ログ ファイルのエクスポート

ログ ファイルのクリア

BIOS システム ログ ファイルのクリア

ログ ファイルの表示

診断または監視のために Guard のログを表示できます。Guard のログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。

Guard のログを表示するには、グローバル モードで次のコマンドを使用します。

show log

次の例は、Guard のログを表示する方法を示しています。

user@GUARD# show log
 

ゾーンのログを表示して、指定したゾーンだけに関連するイベントを確認できます。

ゾーンのログを表示するには、 show log [ sub-zone-name ] コマンドをゾーン設定モードで使用します。 sub-zone-name 引数には、ゾーンから作成されたサブゾーンの名前を指定します。詳細については、「サブゾーンについて」を参照してください。

ログ ファイルのエクスポート

グローバル モードで次のいずれかのコマンドを入力することにより、監視または診断を行うために、Guard のログ ファイルをネットワーク サーバにエクスポートできます。

copy [ zone zone-name ] log ftp server full-file-name [ login [ password ]]

copy [ zone zone-name ] log { sftp | scp } server full-file-name login


logging host コマンドを使用すると、イベント ログを自動的にエクスポートするように Guard を設定できます。詳細については、「オンライン イベント ログのエクスポート」を参照してください。


SFTP および SCP は、セキュアな通信では Secure Shell(SSH; セキュア シェル)を使用するため、 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵が設定されていない場合、Guard はパスワードの入力を要求します。Guard がセキュアな通信に使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表12-6 に、 copy log ftp コマンドの引数とキーワードを示します。

 

表12-6 copy log ftp コマンドの引数とキーワード

パラメータ
説明

zone zone-name

(オプション)ゾーン名。ゾーンのログ ファイルをエクスポートします。 デフォルトでは、Guard のログ ファイルがエクスポートされます。

log

ログ ファイルをエクスポートします。

ftp

ログを FTP ネットワーク サーバにエクスポートします。

sftp

ログを SFTP ネットワーク サーバにエクスポートします。

scp

ログを SCP ネットワーク サーバにエクスポートします。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。

次の例は、Guard のログ ファイルを FTP サーバにエクスポートする方法を示しています。

user@GUARD# copy log ftp 10.0.0.191 log.txt <user> <password>
 

ログ ファイルのクリア

Guard またはゾーンのログ ファイルが大きい場合、またはテストを行う予定で、ログ ファイルにテスト セッションからの情報だけが含まれるようにする場合は、ログ ファイルをクリアすることができます。

Guard またはゾーンのログ ファイルのエントリをすべてクリアするには、設定モードまたはゾーン設定モードで次のコマンドを使用します。

clear [ zone zone-name ] log

zone-name 引数には、ゾーン名を指定します。デフォルトでは、Guard のログ ファイルがクリアされます。 clear log コマンドをゾーン設定モードで入力する場合、 zone zone-name キーワードと引数は使用できません。現在のゾーン ログの全エントリをクリアするには、ゾーン設定モードで clear log コマンドを使用します。

次の例は、Guard ログをクリアする方法を示しています。

user@GUARD-conf# clear log
 

BIOS システム ログ ファイルのクリア

主にハードウェアに関連したイベント メッセージ(デバイスの電源を切るか再起動した回数など)が含まれる BIOS システム ログをクリアできます。

BIOS システム ログをクリアするには、設定モードで次のコマンドを使用します。

clear log bios

次の例は、BIOS ログをクリアする方法を示しています。

user@GUARD-conf# clear log bios
 

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

ネットワークの動作を阻害しないタップを使用して、ネットワークから直接トラフィックを記録するように Guard を設定できます。記録されたトラフィックからデータベースを作成できます。記録されたトラフィックのデータベースのクエリーによって、過去のイベントの分析、攻撃シグニチャの生成、ネットワークの現在のトラフィック パターンと Guard で以前に正常のトラフィック状態で記録されたトラフィック パターンとの比較などを行うことができます。

フィルタを設定すると、特定の基準を満たすトラフィックだけを Guard で記録することや、すべてのトラフィック データを記録して、Guard に表示するトラフィックをフィルタリングするように指定できます。

Guard は、トラフィックを gzip(GNU zip)プログラムで圧縮された PCAP 形式で保存し、記録されたデータを説明する Extensible Markup Language(XML)形式のファイルを添付します。

記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに共通のパターンまたはシグニチャが見られるかどうかを判断するというものです。Guard には、記録されたトラフィックを分析して、シグニチャを抽出する機能が備わっています。シグニチャを使用すると、そのシグニチャと一致するパケット ペイロードを含むすべてのトラフィックをブロックするようにフレックスコンテンツ フィルタを設定できます。

Guard では、次の 2 つの方法でトラフィックを記録できます。

自動:トラフィック データは持続的にパケットダンプ キャプチャ ファイルに記録されます。

手動:ユーザがアクティブにしている場合に、トラフィックがパケットダンプ キャプチャ ファイルに記録されます。

以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録されたトラフィックを保存するには、Guard でトラフィックの記録を再開する前に、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。

1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Guard では、同時に 10 ゾーンまでのトラフィックを手動で記録できます。

デフォルトでは、Guard は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 GB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 GB まで保存できます。将来のパケットダンプ キャプチャ ファイル用にディスク スペースを開放するため、古いファイルを削除する必要があります。

この項では、次のトピックについて取り上げます。

トラフィックを自動的に記録するように Guard を設定する

トラフィックを手動で記録するように Guard をアクティブにする

Guard によるトラフィックの手動記録の停止

パケットダンプ キャプチャ ファイルのディスク スペースの管理

手動パケットダンプ設定の表示

自動パケットダンプ設定の表示

パケットダンプ キャプチャ ファイルの自動エクスポート

パケットダンプ キャプチャ ファイルの手動エクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルの削除

トラフィックを自動的に記録するように Guard を設定する

Guard は、自動的にネットワーク トラフィックを記録するようにアクティブにすることができます。これにより、ネットワークに問題や攻撃が発生したときに、分析または比較に使用できるトラフィックの記録を入手できます。パケットダンプ キャプチャ フィルタを使用して、指定した基準を満たすトラフィックだけが記録されるように Guard を設定できます。また、すべてのトラフィックを記録し、その記録済みのトラフィックを表示するときにパケットダンプ キャプチャ フィルタを適用することもできます。

Guard では、トラフィックがキャプチャ バッファに記録されます。キャプチャ バッファのサイズが 50MB に到達するか、または 10 分が経過すると、Guard はバッファを圧縮形式のローカル ファイルに保存し、バッファをクリアしてから、トラフィックの記録を継続します。

Guard では、複数の自動パケットダンプ キャプチャ ファイルが保存されます。Guard によって記録されたトラフィックは、トラフィックの処理方法に基づいて分割されるため、複数の自動パケットダンプ キャプチャ ファイルを 1 つの時間枠から取得できます。自動パケットダンプ キャプチャ ファイルの名前には、Guard でトラフィックが記録された日時およびトラフィックの処理方法に関する情報が含まれます。

表12-7 に、自動パケットダンプ キャプチャ ファイルの名前セクションを示します。

 

表12-7 自動パケットダンプ キャプチャ ファイルの名前のセクション

セクション
説明

機能

パケットダンプ キャプチャの際に実行される Guard の機能のタイプ。

protect:Guardはゾーン保護中にトラフィックを記録。

learn:Guard はゾーンのラーニング プロセス中または保護およびラーニング プロセス中にトラフィックを記録。

キャプチャ開始時刻

Guard でトラフィックの記録が開始した時刻。

キャプチャ終了時刻

(オプション)Guard でトラフィックの記録が終了した時刻。Guard で現在トラフィックがファイルに記録されている場合、終了時刻は表示されません。

処理

Guard がトラフィックの処理に使用する方式。この方式は次のいずれかになります。

forwarded:Guard はトラフィックを正当であると識別して、ゾーンに転送する。

dropped:Guard はトラフィックを悪意があるトラフィックであると識別して、削除する。

replied:Guard は、スプーフィング防止およびゾンビ防止機能の一部として、信頼できるトラフィックと悪意のあるトラフィックのどちらに属するかを確認するために開始クライアントに対して応答を送信する。

ラーニング プロセスまたは保護およびラーニング機能をイネーブルにすると、Guard で作成されたすべてのパケットダンプ キャプチャ ファイルが保存されます。ゾーン保護をイネーブルにすると、Guard は過去のパケットダンプ キャプチャ ファイルを 1 セット分だけ保存します。ゾーン保護がイネーブルのときに、すべてのパケットダンプ キャプチャ ファイルを保存するには、Guard で作成されたパケットダンプ キャプチャ ファイルが自動的にネットワーク サーバにエクスポートされるように設定します。

ゾーン保護をアクティブにするか、Guard でネットワーク トラフィックが自動的に記録されるように設定すると、保護プロセス中に記録された以前のパケットダンプ キャプチャ ファイルがすべて消去され、新しいファイルが作成されます。

ネットワーク トラフィックが自動的に記録されるように Guard を設定するには、次の手順を実行します。


ステップ 1 ゾーン トラフィックが自動的に記録されるように Guard を設定します。ゾーン設定モードで次のコマンドを入力します。

packet-dump auto-capture
 

ステップ 2 (オプション)パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。

「トラフィックを自動的に記録するように Guard を設定する」を参照してください。


 

次の例は、自動的にゾーン トラフィックを記録するように Guard を設定する方法を示しています。

user@GUARD-conf-zone-scannet# packet-dump auto-capture
 

Guard によるゾーン トラフィック データの自動キャプチャを停止するには、 no packet-dump auto-capture コマンドを使用します。

現在のパケットダンプ設定を表示するには、 show packet-dump コマンドを使用します。

トラフィックを手動で記録するように Guard をアクティブにする

トラフィックの記録を開始するように Guard をアクティブにできるため、特定の期間のトラフィックを記録したり、Guard がトラフィックの記録に使用する基準を変更することができます。

Guard は指定した数のパケットが記録されるか、またはラーニング プロセスとゾーン保護のいずれかが終了した時点で、トラフィックの記録を停止し、手動パケットダンプ キャプチャをファイルに保存します。

1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Guard では、同時に 10 ゾーンまでの手動パケットダンプ キャプチャを記録できます。

手動パケットダンプ キャプチャをアクティブにするには、ゾーン設定モードで次のコマンドを使用します。

packet-dump capture [ view ] capture-name pdump-rate pdump-count { all | dropped | forwarded | replied } [ tcpdump-expression ]


トラフィックをキャプチャする間は、CLI セッションが停止します。キャプチャの進行中に作業を継続するには、Guard との新しいセッションを確立します。


表12-8 に、 packet-dump コマンドの引数とキーワードを示します。

 

表12-8 packet-dump コマンドの引数とキーワード

パラメータ
説明

view

(オプション)Guard でリアルタイムに記録されているトラフィックを表示します。

capture-name

パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

pdump-rate

サンプル レート(pps)。1 ~ 10000 の値を入力します。


) Guard では、同時に発生するすべての手動キャプチャについて、最大で 10,000 パケット/秒の累積パケットダンプ キャプチャ レートがサポートされます。


高いサンプル レート値を設定したパケットダンプ キャプチャは、多くのリソースを消費します。パフォーマンスに悪影響を与える可能性があるため、高いレート値を設定するときは注意してください。

pdump-count

記録対象のパケットの数。Guard が指定した数のパケットの記録を終了した時点で、手動パケットダンプ キャプチャ バッファがファイルに保存されます。1 ~ 5000 の整数を入力します。

all

すべてのトラフィックをキャプチャします。

dropped

Guard でドロップされたトラフィックだけをキャプチャします。

forwarded

Guard からゾーンに転送された正当なトラフィックだけをキャプチャします。

replied

検証の試行で Guard のスプーフィング防止機能およびゾンビ防止機能によって送信元に返送されたトラフィックだけをキャプチャします。

tcpdump-expression

(オプション)記録対象のトラフィックを指定するために適用するフィルタ。Guard では、フィルタの式に適合するトラフィックだけがキャプチャされます。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。

次の例は、手動パケットダンプ キャプチャをアクティブにして、10 pps のサンプルレートで 1000 パケットを記録して、キャプチャしたパケットを表示する方法を示しています。

user@GUARD-conf-zone-scannet# packet-dump capture view 10 1000 all
 

Guard によるトラフィックの手動記録の停止

Guard では、キャプチャをアクティブにしたときに指定したパケット数が記録された時点で、手動パケットダンプ キャプチャが停止します。ただし、指定した数のパケットが記録される前に、手動パケットダンプ キャプチャを停止できます。

トラフィックの手動記録を停止するには、次のいずれかのアクションを実行します。

開かれている CLI セッションで Ctrl+C キーを押す。

新しい CLI セッションを開き、関連するゾーン設定モードで次のコマンドを入力する。

no packet-dump capture capture-name

capture-name 引数には、停止するキャプチャの名前を指定します。

Guard は、パケットダンプ キャプチャ ファイルを保存します。

パケットダンプ キャプチャ ファイルのディスク スペースの管理

デフォルトでは、Guard は、ゾーンの自動パケットダンプ キャプチャ ファイル用に 2 GB のディスク スペースを割り当てています。

Guard によってゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの容量を変更するには、ゾーン設定モードで次のコマンドを使用します。

packet-dump disk-space disk-space

引数 disk-space には、ゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てるディスク スペースの容量を MB 単位で指定します。1 ~ 51200 の整数を入力します。

次の例は、Guard がゾーンの自動パケットダンプ キャプチャ ファイルに割り当てるディスク スペースの総計を設定する方法を示しています。

user@GUARD-conf-zone-scannet# packet-dump disk-space 500
 

Guard は過去のパケットダンプ キャプチャ ファイルを、gzip(GNU zip)プログラムを使用して圧縮および符号化した PCAP 形式で保存します。

割り当てられたディスク スペースの現在の容量を表示する方法については、「手動パケットダンプ設定の表示」を参照してください。

手動パケットダンプ設定の表示

手動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの現在の容量を表示するには、設定モードまたはグローバル モードで show packet-dump コマンドを使用します。Guard では、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に、単一ブロックのディスク スペースが割り当てられます。

次の例は、Guard がゾーンの手動パケットダンプ キャプチャ ファイルに割り当てるディスク スペースの現在の総計を表示する方法を示しています。

user@GUARD-conf# show packet-dump
 

表12-9 に、 show packet-dump コマンド出力のフィールドを示します。

 

表12-9 手動の show packet-dump コマンド出力のフィールドの説明

フィールド
説明

Allocated disk-space

すべてのゾーンの手動パケットダンプ キャプチャ用に割り当てられたディスク スペースの総容量を MB 単位で指定します。

Occupied disk-space

割り当てられたディスク スペースのうち、すべてのゾーンからの手動パケット ダンプ ファイルによって消費されたパーセンテージを示します。

自動パケットダンプ設定の表示

ゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの現在の容量を表示するには、ゾーン設定モードで show packet-dump コマンドを使用します。

次の例は、ゾーンの自動パケットダンプ キャプチャ ファイルに割り当てられているディスク スペースの現在の総計を表示する方法を示しています。

user@GUARD-conf-zone-scannet# show packet-dump
 

表12-10 に、 show packet-dump コマンド出力フィールドを示します。

 

表12-10 自動の show packet-dump コマンド出力のフィールドの説明

フィールド
説明

Automatic-capture

自動パケットダンプ キャプチャ プロセスの状態。

Allocated disk-space

Guard が自動パケットダンプ キャプチャ用に割り当てたディスク スペースの容量(MB)。

Occupied disk-space

割り当てられたディスク スペースのパーセンテージ(自動パケットダンプ キャプチャによる現在の使用量)。

パケットダンプ キャプチャ ファイルの自動エクスポート

FTP、Secure FTP(SFTP)、または Secure Copy(SCP)を使用してファイルを転送するネットワーク サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートするように Guard を設定できます。自動エクスポート機能をイネーブルにすると、Guard でパケットダンプ バッファの内容がローカル ファイルに保存されるたびに、パケットダンプ キャプチャ ファイルがエクスポートされます。Guard は、「gzip」(GNU zip)プログラムで圧縮、符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。次の URL にある Cisco.com のソフトウェア センターからこのバージョンに付属の xsd ファイルをダウンロードできます。

http://www.cisco.com/public/sw-center/

Guard がパケットダンプ キャプチャ ファイルを自動的にエクスポートするように設定するには、設定モードで次のコマンドを使用します。

export packet-dump file-server-name

file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。SFTP または SCP を使用するようにネットワーク サーバを設定する場合は、Guard が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。

次の例は、パケットダンプ キャプチャ ファイルを自動的にエクスポートする方法を示しています。

user@GUARD-conf# export packet-dump Corp-FTP-Server
 

パケットダンプ キャプチャ ファイルの手動エクスポート

FTP、SFTP、または SCP を使用してファイルを転送するネットワーク サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートするように設定できます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。Guard は、gzip(GNU zip)プログラムで圧縮、符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。次の URL にある Cisco.com のソフトウェア センターからこのバージョンに付属の xsd ファイルをダウンロードできます。

http://www.cisco.com/public/sw-center/

パケットダンプ キャプチャ ファイルをネットワーク サーバに手動でエクスポートするには、グローバル モードで次のいずれかのコマンドを使用します。

copy zone zone-name packet-dump captures [ capture-name] ftp server remote-path [login [password]]

copy zone zone-name packet-dump captures [ capture-name] { sftp | scp } server remote-path login

copy zone zone-name packet-dump captures [ capture-name] file-server-name

SFTP および SCP はセキュアな通信では SSH を使用するため、 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵が設定されていない場合、Guard はパスワードの入力を要求します。Guard がセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表12-11 に、 copy zone packet-dump コマンドの引数とキーワードを示します。

 

表12-11 copy zone packet-dump コマンドの引数とキーワード

パラメータ
説明

zone zone-name

既存のゾーンの名前。

packet-dump captures

パケットダンプ キャプチャ ファイルのエクスポート。

capture-name

(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、すべてのゾーンのパケットダンプ キャプチャ ファイルがエクスポートされます。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。

ftp

パケットダンプ キャプチャ ファイルを FTP ネットワーク サーバにエクスポートします。

sftp

パケットダンプ キャプチャ ファイルを SFTP ネットワーク サーバにエクスポートします。

scp

パケットダンプ キャプチャ ファイルを SCP ネットワーク サーバにエクスポートします。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

remote-path

Guard がパケットダンプ キャプチャ ファイルを保存する場所の完全なパス名。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。

SFTP または SCP を使用してネットワーク サーバを設定する場合は、Guard が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。

詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。

次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを FTP サーバ 10.0.0.191 にエクスポートする方法を示しています。

user@GUARD# copy zone scannet packet-dump captures ftp 10.0.0.191 <user> <password>
 

次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを file-server コマンドを使用して定義されたネットワーク サーバに手動でエクスポートする方法を示しています。

user@GUARD# copy zone scannet packet-dump captures cap-5-10-05 Corp-FTP-Server
 

パケットダンプ キャプチャ ファイルのインポート

ネットワーク サーバからパケットダンプ キャプチャ ファイルを Guard にインポートできるため、過去のイベントを分析することや、現在のネットワーク トラフィック パターンと Guard が以前に通常のトラフィック状態で記録したトラフィック パターンとを比較することができます。Guard では、パケットダンプ キャプチャ ファイルが XML と PCAP の両方の形式でインポートされます。

パケットダンプ キャプチャ ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを使用します。

copy ftp zone zone-name packet-dump captures server full-file-name [login [password]]

copy { sftp | scp } zone zone-name packet-dump captures server full-file-name login

copy file-server-name zone zone-name packet-dump captures capture-name

SFTP および SCP は安全な通信の SSH に従うので、Guard は sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵を設定しない場合、パスワードの入力を求めます。Guard が安全な通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表12-12 に、 copy zone packet-dump コマンドの引数とキーワードを示します。

 

表12-12 copy zone packet-dump コマンドの引数とキーワード

パラメータ
説明

ftp

パケットダンプ キャプチャ ファイルを FTP ネットワーク サーバからインポートします。

sftp

パケットダンプ キャプチャ ファイルを SFTP ネットワーク サーバからインポートします。

scp

パケットダンプ キャプチャ ファイルを SCP ネットワーク サーバからインポートします。

zone zone-name

パケットダンプ キャプチャ ファイルをインポートする既存のゾーンの名前。

packet-dump captures

パケットダンプ キャプチャ ファイルのインポート。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

full-file-name

インポート対象のファイルの完全なパスとファイル名。ファイル拡張子は除きます。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。


) ファイル拡張子を指定しないでください。指定すると、インポート プロセスが失敗する場合があります。


login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。

SFTP または SCP を使用してネットワーク サーバを設定する場合は、Guard が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。

詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。

capture-name

インポートするファイルの名前。Guard は、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。

次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを FTP サーバ 10.0.0.191 からインポートする方法を示しています。

user@GUARD# copy ftp zone scannet packet-dump captures 10.0.0.191 /root/scannet/captures/capture-1 <user> <password>
 

次の例は、ネットワーク サーバからパケットダンプ キャプチャ ファイルをインポートする方法を示しています。

user@GUARD# copy CorpFTP running-config capture-1
 

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルのリスト、または 1 つのパケットダンプ キャプチャ ファイルの内容を表示できます。デフォルトでは、Guard はすべてのゾーンのパケットダンプ キャプチャ ファイルのリストを表示します。

パケットダンプ キャプチャ ファイルを表示するには、ゾーン設定モードで次のコマンドを使用します。

show packet-dump captures [ capture-name [ tcpdump-expression ]]

表12-13 に、show packet-dump captures コマンドの引数を示します。

 

表12-13 show packet-dump captures コマンドの引数

パラメータ
説明

capture-name

(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Guard はすべてのゾーンのパケットダンプ キャプチャ ファイルのリストを表示します。コマンド出力のフィールドの説明については、 表12-14 を参照してください。

パケットダンプ キャプチャ ファイルの名前を指定した場合は、ファイルが TCPDump 形式で表示されます。

tcpdump-expression

(オプション)Guard でパケットダンプ キャプチャ ファイルを表示する際に使用されるフィルタ。Guard では、パケットダンプ キャプチャ ファイルでフィルタリング基準を満たす部分だけが表示されます。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。

次の例は、パケットダンプ キャプチャ ファイルのリストを表示する方法を示しています。

user@GUARD-conf-zone-scannet# show packet-dump captures
 

表12-14 に、 show packet-dump captures コマンド出力フィールドを示します。

 

表12-14 show packet-dump captures コマンド出力のフィールドの説明

フィールド
説明

Capture -name

パケットダンプ キャプチャ ファイルの名前。自動パケットダンプ キャプチャ ファイルの名前の説明については、 表12-7 を参照してください。

Size (MB)

パケットダンプ キャプチャ ファイルのサイズ(MB)。

Filter

Guard がトラフィックの記録時に使用するユーザ定義のフィルタ。このフィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

攻撃シグニチャは、攻撃パケットのペイロードに見られる共通パターンを記述するものです。Guard をアクティブにして異常なトラフィックのシグニチャを生成し、この情報を使用して同じタイプの将来の攻撃をすばやく識別できます。この機能を使用すると、シグニチャが発行される前であっても(アンチウィルス ソフトウェアのメーカーやメーリング リストなどから)、新しい DDoS 攻撃(分散型サービス拒絶攻撃)やインターネット ワームを検出することができます。

Guard では、フレックスコンテンツ フィルタのパターン式の構文を使用して、攻撃シグニチャが生成されます。このシグニチャをフレックスコンテンツ フィルタのパターンで使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。

トラフィックが通常状態のときに Guard が記録したパケットダンプ キャプチャ ファイルを、参照のために追加で指定できます。参照用のパケットダンプ キャプチャ ファイルを指定した場合、Guard では、異常なトラフィックのシグニチャが生成され、トラフィックが通常状態のときに記録されたトラフィックの中に、シグニチャが存在している時間の割合が特定されます。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。

攻撃のシグニチャを生成するには、次の手順を実行します。


ステップ 1 packet-dump capture コマンドを使用して、Guard をアクティブにし、攻撃中のトラフィックを記録します。

詳細については、「トラフィックを手動で記録するように Guard をアクティブにする」を参照してください。

ステップ 2 攻撃進行中に Guard で記録されたパケットダンプ キャプチャ ファイルを特定します。パケットダンプ キャプチャ ファイルのリストを表示するには、 show packet-dump captures コマンドを使用します。

詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。

ステップ 3 攻撃トラフィックのシグニチャが生成されるように Guard をアクティブにします。ゾーン設定モードで次のコマンドを入力します。

show packet-dump signatures capture-name [reference-capture-name]
 

表12-15 に、 show packet-dump signatures コマンドの引数を示します。

 

表12-15 show packet-dump signatures コマンドの引数

パラメータ
説明

capture-name

シグニチャの生成元である既存のパケットダンプ キャプチャ ファイルの名前。

reference-capture-name

(オプション)トラフィックが通常状態のときに記録された既存のパケットダンプ キャプチャ ファイルの名前。参照用のパケットダンプ キャプチャ ファイルを指定した場合は、シグニチャが参照用のパケットダンプ キャプチャ ファイルに存在する時間の割合が表示されます。

表12-16 に、 show packet-dump signatures コマンド出力フィールドを示します。

 

表12-16 show packet-dump signatures コマンド出力のフィールドの説明

フィールド
説明

Start Offset

パケット ペイロード開始からのオフセット(バイト単位)。ここでパターンが開始します。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの start-offset 引数にコピーします。

End Offset

パケット ペイロード開始からのオフセット(バイト単位)。ここでパターンが終了します。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの end-offset 引数にコピーします。

Pattern

Guard で生成されたシグニチャ。Guard では、フレックスコンテンツ フィルタのパターン式の構文を使用して、シグニチャが生成されます。詳細については、「パターン式構文の設定」を参照してください。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーできます。

Percentage

シグニチャが reference-capture-name ファイルに存在する時間の割合。


 

次の例は、手動パケットダンプ キャプチャ ファイルからシグニチャを生成する方法を示しています。

user@GUARD-conf-zone-scannet# show packet-dump signatures PDumpCapture
 

パケットダンプ キャプチャ ファイルのコピー

1 つのパケットダンプ キャプチャ ファイル、または 1 つのファイルの一部を、新しい名前でコピーできます。既存の自動パケットダンプ キャプチャ ファイルは、新しいファイルで上書きされます。自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルをコピーする場合、Guard はこれらのファイルを手動ファイルとして保存します。ディスク スペースを解放する必要がある場合は、そのコピーを手動で削除します。詳細については、「パケットダンプ キャプチャ ファイルの削除」を参照してください。

パケットダンプ キャプチャ ファイルをコピーするには、設定モードで次のコマンドを使用します。

copy zone zone-name packet-dump captures capture-name [ tcpdump-expression ] new-name

表12-17 に、copy zone packet-dump captures コマンドの引数とキーワードを示します。

 

表12-17 copy zone packet-dump captures コマンドの引数とキーワード

パラメータ
説明

zone zone-name

既存のゾーンの名前。

packet-dump

パケットダンプ キャプチャ ファイルのコピー。

captures capture-name

既存のパケットダンプ キャプチャ ファイルの名前。

tcpdump-expression

(オプション)Guard でパケットダンプ キャプチャ ファイルのコピーに使用されるフィルタ。Guard では、パケットダンプ キャプチャ ファイルでフィルタリング基準を満たす部分だけがコピーされます。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。

new-name

新しいパケットダンプ キャプチャ ファイルの名前。

名前は、1 ~ 63 文字の英数字の文字列で、スペースを含めることはできませんが、アンダースコアを含めることはできます。

次の例は、パケットダンプ キャプチャ ファイル capture-1 の一部で capture-2 という名前のキャプチャ ファイルに適合する部分をコピーする方法を示しています。

user@GUARD-conf# copy zone scannet capture-1 “tcp and dst port 80 and not src port 1000” capture-2
 

パケットダンプ キャプチャ ファイルの削除

デフォルトでは、Guard は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 GB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 GB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。

ゾーンごとに保存できる手動パケットダンプ キャプチャ ファイルは 1 つだけです。また、Guard に保存できるパケットダンプ キャプチャ ファイルは 10 個までです。新しい手動パケットダンプ キャプチャ ファイルのためのスペースを解放するには、古いファイルを削除する必要があります。

自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルを削除するには、次のいずれかのコマンドを使用します。

clear zone zone-name packet-dump captures { * | name }(設定モードで)

clear packet-dump captures { * | name }(ゾーン設定モードで)

表12-18 に、clear packet-dump コマンドの引数とキーワードを示します。

 

表12-18 clear packet-dump コマンドの引数とキーワード

パラメータ
説明

zone zone-name

既存のゾーンの名前。

packet-dump captures

パケットダンプ キャプチャ ファイルの削除。

*

すべてのパケットダンプ キャプチャ ファイルを消去します。

name

削除対象のパケットダンプ キャプチャ ファイルの名前。

次の例は、すべての手動パケットダンプ キャプチャ ファイルを削除する方法を示しています。

user@GUARD-conf# clear packet-dump captures *
 

一般的な診断データの表示

一般的な診断データを表示するには、次のコマンドを使用します。

show diagnostic-info [ details ]

診断データには、次の情報があります。

Accelerator card CPU speed:アクセラレータ カードの CPU 速度。

Accelerator card revision:アクセラレータ カードのリビジョン番号。

Accelerator card serial:アクセラレータ カードのシリアル番号。

CFE version:CFE のバージョン番号。


) CFE のバージョンを変更するには、新しいフラッシュ バージョンをインストールする必要があります。CFE の新しいバージョンを焼き付けるには、flash-burn コマンドを使用します。詳細については、「Guard のソフトウェア バージョンのアップグレード」を参照してください。


Recognition Average Sample Loss:計算済みの平均パケット サンプル損失。

Forward failures (no resources):システム リソースが不足しているために転送されなかったパケット数。


) Recognition Average Sample Loss または Forward failures の値が大きい場合、Guard のトラフィックが過負荷の状態に陥っています。負荷分散型の構成で複数の Guard をインストールすることをお勧めします。


Fan Speeds:各ファンの速度。この値は、最大 RPM のパーセンテージです。

Maximum Fans:システムがサポートするファンの最大数。

Installed Fans:システムに現在搭載されているファンの数。

Running Fans:動作中のファンのリスト。

The number of system restarts:システムが再起動された回数。

System UUID:システムの Universal Unique ID(UUID)。

CPU Temperature:搭載されている各 CPU の現在の温度(摂氏)。

DASD Temperature:ハード ディスク ドライブの現在の温度(摂氏)。

Ambient Temperature:システムの周囲温度(摂氏)。

Guard には、内部の動作ステータスを示すいくつかの LED があります。これらの LED は、通常、オフになっています。LED が点灯している場合は、ハードウェアの障害を示します。LED が点灯している場合、Guard は syslog メッセージと SNMP トラップを送信して、ユーザにメッセージを通知します。

ディスク スペースの管理

Guard は、アクティビティ ログおよびゾーン攻撃レポートを保持します。ディスクの使用率が 75% を超えている場合、または Guard に多数のゾーン(500 を超える)が定義されている場合は、ファイル履歴パラメータの値を小さくすることをお勧めします。使用されているディスク スペースがディスクの最大キャパシティの約 80% に達すると、Guard は syslog に警告メッセージを表示します。

Guard が警告メッセージを表示した場合は、次のタスクを実行できます。

Guard またはゾーン ログをネットワーク サーバにエクスポートして、ログをクリアする(「ログ ファイルのエクスポート」および 「ログ ファイルのクリア」を参照)。

ゾーン攻撃レポートをネットワーク サーバにエクスポートして、古い攻撃レポートを削除する(「攻撃レポートのエクスポート」および 「攻撃レポートの削除」を参照)。

パケットダンプ キャプチャ ファイルをエクスポートして、古いパケットダンプ キャプチャ ファイルを削除する(「パケットダンプ キャプチャ ファイルの自動エクスポート」「パケットダンプ キャプチャ ファイルの手動エクスポート」、および 「パケットダンプ キャプチャ ファイルの削除」を参照)。

ログ ファイルおよび攻撃レポートの履歴サイズを小さくする(「ログとレポートの履歴の設定」を参照)。

自動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの容量を削減する(「パケットダンプ キャプチャ ファイルのディスク スペースの管理」を参照)。

Guard のレコードをネットワーク サーバに定期的に格納してから、ログをクリアすることをお勧めします。


) ディスク使用率がディスクの最大キャパシティの 80% に達すると、Guard は情報を消去して、ディスク使用率を約 75% に減らします。


ディスク使用率を表示するには、グローバル モードで次のコマンドを使用します。

show disk-usage

次の例は、ディスク使用率を表示する方法を示しています。

user@GUARD# show disk-usage
2%
 

ログとレポートの履歴の設定

Guard が Guard とゾーンの両方のログおよび攻撃レポートを記録しておく期間を設定できます。Guard は古いログとレポートを削除します。

レポートおよびログの履歴を設定するには、次のコマンドを使用します。

history { logs | reports } days [ enforce-now ]

表12-19 に、 history コマンドの引数とキーワードを示します。

 

表12-19 history コマンドの引数とキーワード

パラメータ
説明

logs

Guard およびゾーンのログの履歴パラメータを設定します。

reports

ゾーン攻撃レポートの履歴パラメータを設定します。

days

履歴期間。ログの履歴期間は 1 ~ 7 日です。レポートの履歴期間は 1 ~ 60 日です。

デフォルトの履歴期間は、ログの場合 7 日、レポートの場合 30 日です。

enforce-now

(オプション)記録されたログおよびレポートの履歴の記録キャパシティを、現在のコマンド パラメータにすぐに適合させます(必要に応じてログおよびレポートを消去します)。

履歴レポートを短い期間に設定した場合は、ログ ファイルおよびレポート ファイルのサイズを小さくして、新しく設定したサイズに合せます。サイズを削減するには、次のコマンドのいずれかを入力します。

history コマンド

enforce-now キーワードを使用すると、現在のコマンド パラメータに記録されたログおよびレポートの履歴の記録キャパシティをすぐに消去できます。

disk-clean コマンド

このコマンドは、後で新しく設定したサイズに合うように、格納されているログおよびレポートを消去します。

メモリ消費量の表示

Guard は次の情報を表示します。

メモリ使用量(KB 単位)。

Guard 統計エンジンが Anomaly Detection Engine Used Memory フィールドとして使用するメモリのパーセンテージ。

異常検出エンジンのメモリ使用量は、アクティブなゾーンの数および各ゾーンが監視するサービスの数に影響されます。


異常検出エンジンのメモリ使用率が 95% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。


Guard のメモリ消費量を表示するには、次のコマンドを使用します。

show memory

次の例は、Guard のメモリ消費量を表示する方法を示しています。

user@GUARD# show memory
total used free shared buffers cached
In KBytes: 2065188 146260 1918928 0 2360 69232
 
Anomaly detection engine used memory: 0.3%
 

) Guard の空きメモリの合計量は、空きメモリとキャッシュ メモリの合計です。


CPU 使用率の表示

Guard はユーザ モード、システム モード、ナイス値が負のタスク(負のナイス値を持つタスク、ナイス値はプロセスの優先順位を表す)、およびアイドル状態の CPU 時間のパーセンテージを表示します。ナイス値が負のタスクは、システム時間およびユーザ時間の両方でカウントされるため、CPU 使用率の合計が 100% を超えることがあります。

現在の CPU 使用率を表示するには、次のコマンドを使用します。

show cpu

Guard は両方のプロセッサの CPU 使用率を表示します。

次の例は、現在の CPU 使用率の表示方法を示しています。

user@GUARD# show cpu
Host CPU1: 0.0% user, 0.1% system, 0.1% nice, 98.0% idle
Host CPU2: 0.0% user, 7.0% system, 0.0% nice, 92.0% idle
 

システム リソースの監視

グローバル モードまたは設定モードで次のコマンドを入力することで、Guard がシステム ステータスの分析および監視の支援に使用しているリソースの概要を表示できます。

show resources

次の例は、システム リソースを表示する方法を示しています。

user@GUARD# show resources
 

表12-20 に、show resources コマンド出力フィールドを示します。

 

表12-20 show resources コマンド出力のフィールドの説明

フィールド
説明

Host CPU1

ユーザ モード、システム モード、ナイス値が負のタスク(負のナイス値を持つタスクで、プロセスの優先順位を表す)、およびアイドル状態における CPU1 の CPU 時間のパーセンテージ。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。

Host CPU2

ユーザ モード、システム モード、ナイス値が負のタスク(負のナイス値を持つタスクで、プロセスの優先順位を表す)、およびアイドル状態における CPU2 の CPU 時間のパーセンテージ。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。

Disk space usage

Guard が使用している、割り当て済みのディスク スペースのパーセンテージ。

ディスク スペースの使用率がディスクの最大キャパシティの約 75% に達すると、Guard は syslog に警告メッセージを表示し、トラップを送信します。


) ディスク使用率がディスクの最大キャパシティの 80% に達すると、Guard は情報を消去して、ディスク使用率を約 75% に減らします。


Disk space usage( 続き

Guard のレコードをネットワーク サーバに定期的に格納してから、古いレポートを削除することをお勧めします。

ディスク使用率が 80% に達すると、次のタスクを実行できます。

Guard またはゾーンのログをネットワーク サーバにエクスポートして、ログをクリアする(「ログ ファイルのエクスポート」および 「ログ ファイルのクリア」を参照)。

ゾーン攻撃レポートをネットワーク サーバにエクスポートして、古い攻撃レポートを削除する(「攻撃レポートのエクスポート」および 「攻撃レポートの削除」を参照)。

パケットダンプ キャプチャ ファイルをエクスポートして、古いパケットダンプ キャプチャ ファイルを削除する(「パケットダンプ キャプチャ ファイルの自動エクスポート」「パケットダンプ キャプチャ ファイルの手動エクスポート」、および 「パケットダンプ キャプチャ ファイルの削除」を参照)。

ログ ファイルおよび攻撃レポートの履歴サイズを小さくする:「ログとレポートの履歴の設定」を参照

ゾーン自動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの容量を削減する(「パケットダンプ キャプチャ ファイルのディスク スペースの管理」を参照)。

Accelerator card memory usage

アクセラレータ カードが使用しているメモリのパーセンテージ。

アクセラレータ カードのメモリ使用率が 85 パーセントを超えると、Guard は SNMP トラップを生成します。値が大きいときは、Guard が大量のトラフィックを監視している場合があります。

Accelerator card CPU utilization

アクセラレータ カードの CPU 使用率のパーセンテージ。

アクセラレータ カードの CPU の使用率が 85 パーセントを超えた場合、Guard は SNMP トラップを生成します。値が大きいときは、Guard が大量のトラフィックを監視している場合があります。

Anomaly detection engine used memory

Guard 統計エンジンが使用するメモリのパーセンテージを指定。異常検出エンジンのメモリ使用率は、アクティブなゾーンの数、各ゾーンが監視するサービスの数、Guard が監視しているスプーフィングされていないトラフィックの合計に影響されます。

異常検出エンジンのメモリ使用率が 95% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。

Dynamic filters used

すべてのゾーンでアクティブな動的フィルタの総数。Guard は、アクティブな動的フィルタの数と、Guard がサポートする動的フィルタの総数(150,000)に対するアクティブな動的フィルタのパーセンテージを表示します。アクティブな動的フィルタの数が 150,000 に到達すると、Guard は重大度 EMERGENCY の SNMP トラップを生成します。アクティブな動的フィルタの数が 135,000 に到達すると、Guard は、重大度 WARNING の SNMP トラップを生成します。

値が大きいときは、Guard が大量の DDoS 攻撃のトラフィックを監視していることを示します。

Guard が生成するトラップの詳細については、表3-13 を参照してください。

ARP キャッシュの管理

ARP キャッシュを表示または操作して、アドレス マッピング エントリを消去または手動で定義できます。ARP キャッシュを管理するには、次のコマンドのいずれかを入力します。

arp [-evn] [-H type] [-i if] -a [hostname]

arp [-v] [-i if] -d hostname [pub]

arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]

arp [-v] [-H type] [-i if] -s hostname hw_addr [netma sk nm] pub

arp [-v] [-H type] [-i if] -Ds hostname if a [netmask nm] pub

arp [-vnD ] [-H type] [-i if] -f [filename]


) キーワードを完全に入力することも、キーワードの省略形を入力することもできます。キーワードの省略形には、先頭にダッシュ(-)が付きます。完全なキーワードには先頭にダッシュが 2 つ(--)付きます。


表12-21 に、 arp コマンドの引数とキーワードを示します。

 

表12-21 arp コマンドの引数とキーワード

パラメータ名の省略形
パラメータの完全な名前
説明
-H type , -t type
--hw-type type

(オプション)Guard がチェックするエントリのクラスを指定します。デフォルトのタイプ値は、ether(IEEE 802.3 10Mbps イーサネットに対応するハードウェア コード 0x01)です。

-i If
--device If
 

(オプション)インターフェイスを指定します。ARP キャッシュをダンプすると、指定したインターフェイスに一致するエントリだけが出力されます。永続的または一時的な ARP エントリを設定する場合、このインターフェイスがそのエントリに関連付けられます。このオプションを使用しない場合、Guard はルーティング テーブルに基づいてインターフェイスを決定します。 pub キーワードを使用する場合、このインターフェイスは Guard が ARP 要求に応えるインターフェイスで、IP データグラムのルーティング先のインターフェイスとは異なる必要があります。

-s hostname hw_addr
--set hostname hw_addr

ハードウェア アドレスを hw_addr クラス値に設定して、hostname の ARP アドレス マッピング エントリを作成します。 temp フラグを入力しなければ、エントリは ARP キャッシュ内に永続的に保存されます。

-a [ hostname ]
--display [ hostname ]

指定したホストのエントリを代替(BSD)形式で表示します。デフォルトでは、すべてのエントリが表示されます。

-v
--verbose

(オプション)出力を詳細に表示します。

-n
--numeric

数値アドレスを表示します。

-d hostname
--delete hostname

指定したホストのエントリを削除します。

-D
--use-device

インターフェイス if a のハードウェア アドレスを使用します。

-e
 

エントリをデフォルトの形式で表示します。

-f filename
--file filename

ARP アドレス マッピング エントリを作成します。情報は、filename ファイルから取得されます。ファイル形式は、ホスト名とハードウェア アドレスが空白で区切られた ASCII テキスト行です。pub、temp、および netmask フラグを使用することもできます。ホスト名を入力するどの場所にも、ドット区切り 10 進表記で IP アドレスを入力できます。


注意 Guard の ARP キャッシュを設定するには、Guard システムとネットワークに精通している必要があります。

次の例は、デフォルトの形式で ARP エントリを表示する方法を示しています。

user@GUARD# arp -e
 
Address HWtype HWaddress Flags Mask Iface
10.10.1.254 ether 00:02:B3:C0:61:67 C eth1
10.10.8.11 ether 00:02:B3:45:B9:F1 C eth1
10.10.8.253 ether 00:D0:B7:46:72:37 C eth1
10.10.10.54 ether 00:03:47:A6:44:CA C eth1
 

ネットワーク統計情報の表示

ホスト ネットワーク接続、ルーティング テーブル、インターフェイス統計情報、およびマルチキャスト メンバシップを表示してネットワークの問題をデバッグするには、次のいずれかのコマンドを入力します。

netstat [address_family_options] [--tcp | -t] [--udp | -u] [--raw | -w] [--listening | -l] [--all | -a] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--symbolic | -N] [--extend | -e [--extend | -e]] [--timers | -o] [--program | -p] [--verbose | -v] [--continuous | -c] [delay]

netstat {--route | -r} [address_family_options] [--extend | -e [--extend | -e]] [--verbose | -v] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]

netstat {--interfaces | -i} [iface] [--all | -a] [--extend | -e [--extend | -e]] [--verbose | -v] [--program | -p] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]

netstat {--groups | -g} [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]

netstat {--masquerade | -M} [--extend | -e] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]

netstat {--statistics | -s} [--tcp | -t] [--udp | -u] [--raw | -w] [delay]

netstat {--version | -V}

netstat {--help | -h}


) アドレス ファミリを指定しない場合、Guard は設定されているすべてのアドレス ファミリのアクティブなソケットを表示します。


表12-22 に、 netstat コマンドの引数とキーワードを示します。


) キーワードを完全に入力することも、キーワードの省略形を入力することもできます。キーワードの省略形には、先頭にダッシュ(-)が付きます。完全なキーワードには先頭にダッシュが 2 つ(--)付きます。


 

表12-22 netstat コマンドの引数とキーワード

パラメータ名の省略形
パラメータの完全な名前
説明

address_family_
options

(オプション)アドレス ファミリ オプションは、次のいずれかです。

[--protocol={inet,unix,ipx,ax25,netrom,ddp}[,...]]

[--unix|-x] [--inet|--ip] [--ax25] [--ipx] [--netrom]

[--ddp]

-r

--route

Guard のルーティング テーブルを表示します。

-g

--groups

IPv4 および IPv6 のマルチキャスト グループ メンバシップ情報を表示します。

-i iface

--interface iface

すべてのネットワーク インターフェイスまたはオプションの iface 値のテーブルを表示します。

-M

--masquerade

Network Address Translation(NAT; ネットワーク アドレス変換)が使用されたマスカレード接続のリストを表示します。

-s

--statistics

各プロトコルのサマリー統計情報を表示します。

-v

--verbose

(オプション)出力を詳細に表示します。

-n

--numeric

(オプション)数値アドレスを表示します。

--numeric-hosts

(オプション)数値ホスト アドレスを表示しますが、ポートまたはユーザ名の解決には影響を与えません。

--numeric-ports

(オプション)数値ポート番号を表示しますが、ホストまたはユーザ名の解決には影響を与えません。

--numeric-users

(オプション)数値ユーザ ID を表示しますが、ホストまたはポート名の解決には影響を与えません。

-c

--continuous

(オプション)選択した情報を 1 秒ごとに継続的に表示します。

-e

--extend

(オプション)追加情報を表示します。最も詳しい情報を表示するには、このオプションを 2 回使用します。

-o

--timers

(オプション)ネットワーキング タイマーに関連する情報を表示します。

-p

--program

(オプション)各ソケットが属するプログラムの PID および名前を表示します。

-l

--listening

(オプション)リスニング ソケットだけを表示します。デフォルトでは、これらのソケットは省略されます。

-a

--all

(オプション)リスニング ソケットおよび非リスニング ソケットの両方を表示します。

delay

(オプション)delay 秒ごとに、netstat が統計情報からの出力を繰り返します。


) 1 つのコマンドに最大 13 の引数とキーワードを入力できます。


次の例は、netstat 情報を詳細に表示する方法を示しています。

user@GUARD# netstat -v
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:1111 localhost:32777 ESTABLISHED
tcp 0 0 localhost:8200 localhost:32772 ESTABLISHED
.
.
.
tcp 0 0 localhost:33464 localhost:8200 TIME_WAIT
tcp 1 0 localhost:1113 localhost:33194 CLOSE_WAIT
.
.
.
Active UNIX domain sockets (w/o servers)
unix 2 [ ] STREAM CONNECTED 928
unix 3 [ ] STREAM CONNECTED 890 /tmp/.zserv
.
.
.
user@GUARD#
 

traceroute の使用

次のコマンドを入力することで、ネットワーク問題をデバッグするために、パケットがネットワーク ホストに到達するまでに取るルートを決定できます。

traceroute ip-address [-F] [-f first_ttl] [-g gateway] [-i iface]
[-m max_ttl] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [packetlen]


traceroute コマンドでは IP アドレスだけが表示され、名前は表示されません。


表12-23 に、 traceroute コマンドの引数とキーワードを示します。

 

表12-23 traceroute コマンドの引数とキーワード

パラメータ
説明

ip-address

ルートがトレースされる IP アドレス。

-F

(オプション)don't fragment ビットを設定します。

-f first_ttl

(オプション)最初の発信プローブ パケットで使用される最初の Time-To-Live(TTL; 存続可能時間)を設定します。

-g gateway

(オプション)ルース ソース ルート ゲートウェイを指定します(最大 8 個)。各ゲートウェイに対して -g を使用することで、2 つ以上のゲートウェイを指定できます。ゲートウェイの最大数は 8 個です。

-i iface

(オプション)発信プローブ パケットの送信元 IP アドレスを取得するネットワーク インターフェイスを指定します。これは通常、マルチホーム ホストで役立ちます。

-m max_ttl

(オプション)発信プローブ パケットで使用される最大存続可能時間(最大ホップ数)を設定します。デフォルトは 30 ホップです。

-p port

(オプション)プローブで使用されるベース UDP ポート番号を設定します。デフォルトは 33434 です。

-q nqueries

(オプション)ttl 値に対して定義されるプローブの数を設定します。デフォルトは 3 です。

-s src_addr

(オプション)IP アドレス src_addr を発信プローブ パケットで送信元 IP アドレスとして設定します。

-t tos

(オプション)プローブ パケットのタイプ オブ サービスを、tos の値に設定します。デフォルトはゼロです。

-w waittime

(オプション)プローブに対する応答を待つ時間(秒)を設定します。デフォルトは 5 秒です。

packetlen

(オプション)プローブ パケットの長さを設定します。

次の例は、IP アドレス 10.10.10.34 へのルートをトレースする方法を示しています。

user@GUARD# traceroute 10.10.10.34
traceroute to 10.10.10.34 (10.10.10.34), 30 hops max, 38 byte packets
1 10.10.10.34 (10.10.10.34) 0.577 ms 0.203 ms 0.149 ms
 

接続の確認

次のコマンドを入力することにより、ネットワーク ホストに ICMP ECHO_REQUEST パケットを送信して、接続を確認できます。

ping ip-address [-c count] [-i interval] [-l preload] [-s packetsize] [-t ttl] [-w deadline] [-F flowlabel] [-I interface]
[-Q tos] [-T timestamp option] [-W timeout]

表12-24 に、 ping コマンドの引数とキーワードを示します。

 

表12-24 ping コマンドの引数とキーワード

パラメータ
説明

ip-address

宛先 IP アドレスを指定します。

-c count

(オプション)ECHO_REQUEST パケットを count 個送信します。deadline オプションが指定されている場合、このコマンドはタイムアウトになるまで count 個の ECHO_REPLY パケットを待ちます。

-i interval

(オプション)パケットの送信を待ちます。この間隔は秒で表されます。デフォルトでは、1 秒に設定されます。

-l preload

(オプション)応答を待たずに preload 個のパケットを送信します。

-s packetsize

(オプション)送信するデータ バイト数を指定します。デフォルトは 56 です。

-t ttl

(オプション)IP の TTL を設定します。

-w deadline

(オプション)送受信されたパケット数に関係なく ping が終了するまでのタイムアウト(秒)を指定します。

-F flow label

(オプション)各エコー要求パケットに 20 ビットのフロー ラベルを割り当てて設定します値がゼロの場合は、ランダムなフロー ラベルが使用されます。

-I interface

(オプション)送信元 IP アドレスを、指定したインターフェイス アドレスに設定します。

-Q tos

(オプション)ICMP データグラムに Type of Service(ToS; タイプ オブ サービス)関連のビットを設定します。

-T timestamp option

(オプション)特別な IP タイムスタンプ オプションを設定します。

-W timeout

(オプション)応答を待つ時間(秒)。

1 つのコマンドに最大 10 の引数とキーワードを入力できます。

次の例は、1 つの ICMP ECHO_REQUEST パケットを IP アドレス 10.10.10.30 に送信する方法を示しています。

user@GUARD# ping 10.10.10.30 -n 1
 

デバッグ情報の取得

Guard に動作上の問題が発生した場合は、シスコのテクニカルサポートがお客様に Guard の内部デバッグ情報のコピーを送信するようお願いすることがあります。Guard のデバッグ コア ファイルには、Guard の誤動作のトラブルシューティング情報が含まれています。このファイルの出力は暗号化されており、Cisco TAC の担当者のみが使用するよう意図されています。

デバッグ情報を FTP サーバに抽出するには、次の手順を実行します。


ステップ 1 Guard ログ ファイルを表示します。

詳細については、「ログ ファイルの表示」を参照してください。

ステップ 2 デバッグ情報を抽出する時期を判断するため、問題を示す最初のログ メッセージを識別します。Guard は、指定した時間から現在の時間までのデバッグ情報を抽出します。

ステップ 3 グローバル モードで次のコマンドを入力して、FTP サーバにデバッグ情報を抽出します。

copy debug-core time ftp server full-file-name [login [password]]
 

表12-25 に、 copy debug-core コマンドの引数とキーワードを示します。

 

表12-25 copy debug-core コマンドの引数とキーワード

パラメータ
説明

time

デバッグ情報が必要となった原因のイベントの時刻。時刻の文字列では、MMDDhhmm[[CC]YY][.ss] という形式を使用します。

MM:月(数値)。

DD:日。

hh:時(24 時間表記)。

mm:分。

CC:(オプション)年の最初の 2 桁(たとえば 20 05)。

YY:(オプション)年の最後の 2 桁(たとえば 20 05 )。

.ss:(オプション)秒(小数点が必要)。

ftp server

FTP サーバの IP アドレス。

full-file-name

バージョン ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

(オプション)FTP サーバのログイン名。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。


 

次の例は、今年の 11 月 9 日 午前 6:45 のデバッグ情報を FTP サーバ 10.0.0.191 に抽出する方法を示しています。

user@GUARD# copy debug-core 11090645 ftp 10.0.0.191 /home/debug/debug-file <user> <password>
 

Guard の自己保護設定の表示

独立した IP アドレスを持つネットワーク要素としての Guard は、潜在的な DDoS 攻撃の危険にさらされています。Guard のデフォルトの設定では、このような攻撃に対する保護が提供されます。ユーザは、この自己防衛保護設定にアクセスし、変更することができます。


注意 Guard の自己防衛保護のデフォルト設定は変更しないことを強くお勧めします。不要な設定を行うと、Guard の自己保護機能に大きな支障をきたす場合があります。

Guard の自己防衛保護設定を変更するには、自己保護設定モードに入る必要があります。

自己保護設定モードに入るには、設定モードで次のコマンドを使用します。

self-protection

Guard の自己防衛保護に使用できるコマンドのセットは、通常のゾーンで使用するコマンドと同じです。ゾーンの設定の詳細については、 第5章「ゾーンの設定」 第6章「ゾーンのフィルタの設定」 第7章「ポリシー テンプレートとポリシーの設定」 、および 第10章「インタラクティブ保護モードの使用方法」 を参照してください。

Guard の自己保護設定ファイルを表示するには、 show running-config コマンドを使用します。詳細については、「Guard の設定の表示」を参照してください。

フレックスコンテンツ フィルタのデフォルト設定

デフォルトでGuard flex-content filter が設定されていると、明示的に指定されない限り、すべてのトラフィック フローをブロック(ドロップ)します。

表12-26 に、Guard が適切に機能するために必要な通信を可能にするためのフレックスコンテンツ フィルタのデフォルト設定を示します。

 

表12-26 フレックスコンテンツ フィルタのデフォルト設定

サービス
IP プロトコル
送信元ポート
宛先ポート
同期の許可

ftp-control

6

21

*

no

ftp-data

6

20

*

yes

tacacs

6

49

*

yes

ssh

6

22

*

no

ssh

6

*

22

yes

https

6

*

443

yes

icmp

1

*

*

--

snmp

17

*

161

--

ssl

6

*

3220

no

ssl

6

3220

*

yes

ntp

17

*

123

--

ntp

17

123

*

--

bgp

6

179

*

no

ospf

89

*

*

--

rip

17

520

*

--

rip

17

*

520

--

gre

47

*

*

--

フレックスコンテンツ フィルタのデフォルト設定は、次の内容で構成されます。

Guard によって開始される FTP サーバとの FTP 通信をイネーブル化し、送信元ポート 21 で着信 FTP 制御 SYN パケットをブロックする。

認証、認可、アカウンティングのために TACACS+ サーバとの TACACS 通信をイネーブルにし、送信元ポート 49 からの着信 SYN パケットをブロックする。

着信および発信 SSH 通信をイネーブルにする。

着信 HTTPS 通信をイネーブルにする。

ICMP 通信をイネーブルにする。

SNMP 通信をイネーブルにする。

SSL 通信をイネーブルにする。

NTP 通信をイネーブルにする。

ポート 179 で、Guard によって開始される BGP 通信をイネーブル化し、送信元ポート 179 の着信 SYN パケットをブロックする。この設定により、Guard によって開始されるトラフィックの宛先変更元ルータへの BGP 接続が可能になります。

OSPF 通信をイネーブルにする。

RIP 通信をイネーブルにする。

GRE 通信をイネーブルにする。