Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
ゾーンの統計情報と診断
ゾーンの統計情報と診断
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンの統計情報と診断

ゾーンのカウンタ

トラフィックの分析

問題の分析

ゾーンのイベント ログ

ゾーン保護の要約レポート

保護のグラフ

攻撃に関する統計情報

攻撃ごとの要約

ゾーン攻撃レポート

全般的な詳細情報

攻撃に関する統計情報

ドロップまたは返送されたパケット

検出された異常

検出された異常の詳細

無力化された攻撃

無力化された攻撃の詳細

検出された HTTP ゾンビ

HTTP ゾンビ

ポリシーの統計情報の表示

ドロップの統計情報

ゾーンの統計情報と診断

ここでは、Web-Based Management(WBM)を使用して Cisco Guard でゾーンを監視し、ゾーンのさまざまな統計情報と診断を表示する方法について説明します。

この章は、次の項で構成されています。

ゾーンのカウンタ

ゾーンのイベント ログ

ゾーン保護の要約レポート

ゾーン攻撃レポート

HTTP ゾンビ

ポリシーの統計情報の表示

ドロップの統計情報

ゾーンのカウンタ

ゾーンのカウンタ(図 8-1)を利用すると、ゾーンのトラフィックを分析してゾーンのステータスを確認し、ゾーンで保護が適切に機能しているかどうかを判断できます。ゾーンのカウンタでは、一定期間(設定可能)中の推移をグラフとして表示し、ゾーンで保護がどのように進行しているかを確認できます。この情報は、現在のゾーンに関するものです。

ゾーンのカウンタを表示するには、対象となるゾーンを選択し、ゾーンのメイン メニューの Diagnostics > Counters を選択します。

次のカウンタが表示されます。

Legitimate :Guard がゾーンに転送した正当なトラフィック。

Malicious :ゾーンが送信先となっていた悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard が受信して処理したパケットの合計。受信パケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard が攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard によってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答されたパケット(返送されたパケット、詳細については上の Replied カウンタを参照)のうち、応答が受信されなかったパケットです。ゾンビ パケットは、スプーフィング パケット カウンタにも含まれています。

図 8-1 ゾーンのカウンタ

 

各カウンタでは、次の情報を入手できます。

Shown in Graph :カウンタをグラフに表示するかどうかを指定します。

Packets :カウンタが有効になった時点からの、ゾーンが送信先となっていたパケットの総数。

Bits :カウンタがリロードされた時点からの、ゾーンが送信先となっていた総ビット数。

pps :ゾーンが送信先となっているトラフィックの現在のレート(パケット/秒単位)。

bps :ゾーンが送信先となっているトラフィックの現在のレート(bps 単位)。

デフォルトでは、最近 2 時間の正当なトラフィックと悪意のあるトラフィックのカウンタが bps 単位で表示されます。

グラフの設定を変更するには、次の手順を実行します。


ステップ 1 カウンタのチェックボックスをオンにして、グラフに表示するカウンタを追加します。

ステップ 2 グラフの対象期間をドロップダウン リストから選択します。

ステップ 3 タイプをドロップダウン リストから選択します。

ステップ 4 Update Graph をクリックして、グラフを新しい設定でアップデートします。


 

グラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが、選択した単位で表示されます。

トラフィックの分析

トラフィックがゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。ここでは、発生する可能性のある問題とその解決策を示し、トラフィック フローの分析に役立つ情報を提供します。

受信したパケットと正当な(ゾーンに転送された)パケットの数が 0 を超えている場合は、Guard の宛先変更メカニズムが適切に機能していることを示します。

受信したパケットの数が正当なパケットの数を上回り、悪意のあるパケットの数が 0 を超えている場合は、保護が適切に機能していることを示します。これは絶対的な指標ではないため、動的フィルタも確認してください。

受信したパケットの数が正当なパケットの数を上回り、動的フィルタが作成されている場合は、Guard が攻撃を検出したことを示します。

ネットワーク トラフィックに関する経験と知識に基づいて、次の事項に該当した場合は注意してください。

ドロップ パケットが存在している場合は、信頼済みの IP 送信元が動的フィルタによってブロックされていないかどうかを確認してください。その送信元 IP が Guard のフィルタをバイパスするように設定する必要があります。詳細については、「バイパス フィルタの設定」を参照してください。

非常に大量の IP フローをドロップするフィルタをポリシーが作成した場合は、正当だと思われる送信元 IP アドレスがしきい値を上回るレートでトラフィックを送信し、そのフローをフィルタがブロックしていないかどうかを確認する必要があります。トラフィックがブロックされている場合は、ポリシーのしきい値を大きくするか、ポリシーを無効にしてフィルタが作成されないようにする必要があります。詳細については、「ゾーンのポリシー」を参照してください。

受信したパケットの現在のレート(pps および bps)が 0 である場合、または正当なパケットの数が長期間にわたって変化しない場合は、「問題の分析」を参照してください。

問題の分析

受信トラフィック カウンタ(パケットまたはビット)または正当トラフィック カウンタ(パケットまたはビット)が 0 になっている場合は、問題が発生しているおそれがあります。次のいずれかまたは両方が原因になっている可能性があります。

ゾーンが送信先となっているパケットを Guard が受信していない(受信トラフィック カウンタ = 0)。これは、宛先変更またはネットワーク設定に問題があることを示しています。詳細については、『 Cisco Guard User Guide 』を参照してください。

Guard は宛先変更されたゾーン パケットを受信しているものの、ブロックしてゾーンに転送していない(長期間にわたって、受信トラフィック カウンタは 0 を超え、正当なトラフィックの現在のレート(pps または bps)は 0 になっている)。これは、正当なトラフィックが悪意のあるトラフィックとして誤認識され、ドロップされていることを示します。

図 8-2 の例は、ゾーンが送信先になっているトラフィックがほぼすべてドロップされている状況を示します。Guard が作成した動的フィルタにドロップ アクション フィルタがないかどうかを確認し、次の方法で対処することを検討してください。

ドロップ アクションを持つ動的フィルタを消去する。

ドロップ アクションを持つ動的フィルタを作成した保護ポリシーを無効にして、そのようなフィルタを作成するタイプのポリシーが再作成されないようにする。このように設定しない場合は、ドロップ アクション フィルタが再び表示されます。

図 8-2 問題の分析:Rcv >0、Legitimate = 0

 


注意 動的フィルタを作成した保護ポリシーを無効にすると、ゾーンの保護レベルが低下します。

次の状況に陥っている場合は、このタイプの問題が発生している可能性があります。

保護されているゾーンが、トラフィックをまったく受信していない。

Guard で、ゾーンが送信先となっているトラフィックがすべて悪意のあるトラフィックとして識別されている。


ヒント このような状況は、試験環境で比較的発生しやすく、実稼働ネットワークで発生することはあまりありません。


ゾーンのイベント ログ

ゾーンのイベント ログ(図 8-3)には、監視とトラブルシューティングに役立つ情報が提供されます。

ゾーンのイベント ログを表示するには、ゾーンのメイン メニューの Diagnostics > Event log を選択します。

図 8-3 ゾーンのイベント ログ

 

表 8-1 に、さまざまな重大度レベルの説明を示します。

 

表 8-1 イベント ログの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

イベントを重大度レベルに基づいてフィルタリングするには、必要な重大度レベルのチェックボックスをオンにし、 Filter Events をクリックします。

指定した重大度レベルを持つイベントのみが表示されます。

ゾーン保護の要約レポート

Guard では、ゾーンで検出された攻撃を明確にわかりやすく提示するために、ゾーンごとの保護の要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Guard は、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。データはグラフ形式でも表示されます。

ゾーンでの保護の要約レポートを表示するには、ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。

ゾーンでの保護の要約レポートが表示されます。レポートには、次の 3 つのセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。

保護のグラフ

攻撃に関する統計情報

攻撃ごとの要約

デフォルトでは、先月分に関するレポートが表示されます。

保護の要約レポートの期間を変更するには、次の手順を実行します。


ステップ 1 レポートの Period from および to に日付を入力します。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 2 Get Reports をクリックします。


 

保護のグラフ

保護のグラフには、ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。

図 8-4 ゾーン保護の要約レポート:保護のグラフ

 

X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。


) 攻撃レポートにアクセスするには、攻撃バーをクリックします(「ゾーン攻撃レポート」を参照)。


攻撃に関する統計情報

攻撃に関する統計情報のテーブル(図 8-5)には、ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます。

図 8-5 ゾーン保護の要約レポート:攻撃に関する統計情報

 

表 8-2 に、レポートに含まれているフィールドの説明を示します。

 

表 8-2 攻撃に関する統計情報のレポートに含まれているフィールドの説明

フィールド
説明

Attacks Mitigated

無力化された攻撃の数。

Attacks Duration

保護された攻撃の持続期間の集計。

Max. Traffic Rate

ゾーンが送信先となっていた悪意のあるトラフィックの最大レート。

Total Rx

ゾーンが送信先となっていたトラフィックの合計レート。

Total Blocked

ゾーンが送信先となっていて、Guard によってドロップされたトラフィックの総量。

Legitimate vs. Malicious Traffic

ゾーンの総トラフィックについて、悪意のあるトラフィック(赤色で表示)と正当なトラフィック(青色で表示)の割合を表示する円グラフ。

攻撃ごとの要約

攻撃ごとの要約では、定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます。

図 8-6 ゾーン保護の要約レポート:攻撃ごとの要約

 

表 8-3 に、テーブルのカラムに含まれているフィールドの説明を示します。

 

表 8-3 要約レポートに含まれているフィールドの説明

フィールド
説明

#

保護された攻撃の識別番号(ID)。

Start time

保護された攻撃の発生日時。

Duration

保護された攻撃の持続期間(時、分、および秒)。

Type

無力化された攻撃のタイプ。表示される値は、次のいずれかです。

Client Attack :スプーフィング以外のすべてのトラフィック異常。

Malformed Packets :悪意のある不正形式パケットと見なされたすべてのトラフィック異常。

Spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされたトラフィック異常。

User Defined :ユーザ フィルタが処理したすべての異常。これらのフィルタは、デフォルト設定で動作することも、ユーザが動作を設定することもできます。

Zombie :ゾンビが発信元であると見なされたトラフィック異常。

Hybrid :特性の異なる複数の攻撃で構成された攻撃。

Traffic Anomaly :短期間のみ検出され、無力化を必要としなかった異常。

Peak (pps)

攻撃レートの最大値(パケット/秒単位)。

Received Pkts

攻撃進行中に Guard が処理した、ゾーンが送信先となっていたパケットの総数。

Legitimate vs. Malicious Traffic

攻撃進行中の総トラフィックについて、悪意のあるトラフィック(赤色で表示)と正当なトラフィック(青色で表示)の割合を表示する円グラフ。


) 攻撃レポートにアクセスするには、いずれかのフィールドをクリックします(「ゾーン攻撃レポート」を参照)。


ゾーン攻撃レポート

Guard では、すべてのゾーンに対する攻撃を明確にわかりやすく提示するために、攻撃レポートを提供しています。攻撃レポートには、最初の動的フィルタが作成された時点から、ユーザによる指示またはタイムアウト パラメータのアクションによって保護が終了するまでの、攻撃の詳細が示されています。Guard は、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。攻撃レポートは、過去および現在の攻撃について入手できます。

ゾーンの攻撃レポートを表示するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。

ステップ 3 攻撃の詳細を表示するには、次のいずれかの手順を実行します。

「保護のグラフ」の攻撃バーをクリックします。

または、次の操作を行います。

「攻撃ごとの要約」のテーブルに含まれている攻撃のいずれかのフィールドをクリックします。


 


) 攻撃が進行しているときは、攻撃を受けているゾーンのホーム ページに Report ボタンが表示されます。


現在の攻撃レポートを表示するには、次のいずれかの手順を実行します。

ゾーンのホーム ページの Report をクリックします。

または、次の操作を行います。

ゾーンのメイン メニューの Diagnostics > Attack Reports を選択し、「攻撃ごとの要約」テーブルにある進行している攻撃のいずれかのフィールドをクリックします。

攻撃レポートには、次のセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。

全般的な詳細情報

攻撃に関する統計情報

ドロップまたは返送されたパケット

検出された異常

無力化された攻撃

検出された HTTP ゾンビ

全般的な詳細情報

レポートの最初のセクション(図 8-7)には、攻撃の日時に関する情報が示されます。攻撃の開始日時、終了日時、および持続期間が含まれています。

レポートの詳細を表示するには、 i または Show details for all events をクリックします。

図 8-7 攻撃レポート:全般的な詳細情報

 

 

カウンタは、レートを除いてすべて整数値です。統計情報の単位は、ドロップダウン リストから選択することができます。

統計情報の単位を変更するには、ドロップダウン リストから単位を選択し、 Set units をクリックします。

攻撃に関する統計情報

Attack Statistics テーブル(図 8-8)には、次のタイプのパケットに関する情報が示されます。

Received :Guard が受信した、ゾーンが送信先となっているトラフィック。

Forwarded :ゾーンに転送された、クリーンで正当なトラフィック。

Replied :Guard のスプーフィング防止メカニズムおよびゾンビ防止メカニズムによる処理の一環として、クライアントに応答が送信されたトラフィック。

Dropped :ゾーンが送信先となっていて、Guard によってドロップされたパケットの総数。

図 8-8 攻撃レポート:攻撃に関する統計情報

 

表 8-4 に、各パケット タイプについて提供される情報の説明を示します。

 

表 8-4 攻撃に関する統計情報

フィールド
説明

Total

このカテゴリに該当するパケットの総数。

Max Rate

計測されたパケット レートの最大値。

Average Rate

平均のパケット レート。

%

受信したパケットの中で、このパケットが占める割合。

トラフィック レートは、「全般的な詳細情報」セクションのドロップダウン リストで選択した単位で表示されます。

ドロップまたは返送されたパケット

Dropped/Bounced packet テーブル(図 8-9)には、悪意のあるトラフィックとして識別され、ドロップまたは応答(返送)されたパケットに関する統計情報が示されます。パケットは、パケットを識別したメカニズムに基づいて分類されています。

図 8-9 攻撃レポート:ドロップまたは返送されたパケット

 

テーブルの行には、次のフィルタが表示されます。

Rate limiter:ゾーンのレート リミッタによって、またはレート リミッタが設定されていたフィルタによってドロップされたパケット。レート リミッタは、ゾーンが送信先となっているトラフィックのレートを制限するものです。詳細については、「ゾーンの管理」を参照してください。

Flex filter:フレックス フィルタによってドロップされたパケット。フレックス フィルタは、特定のパケット フローをカウントまたはドロップするために使用します。詳細については、「フレックス フィルタの設定」を参照してください。

User filter:ユーザ フィルタによってドロップされたパケット。ユーザ フィルタは、特定のトラフィック フローを目的の Guard 保護モジュールに転送するために使用します。詳細については、「ユーザ フィルタの設定」を参照してください。

Dynamic filter:動的フィルタによってドロップされたパケット。動的フィルタは、トラフィック フローを分析した結果として Guard が作成します。詳細については、「動的フィルタ」を参照してください。

Spoofed:Guard によって、スプーフィング パケットまたは発信元がゾンビであるパケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答が受信されなかったパケットです。

Malformed:形式が不正だと分析されたため、ドロップされたゾーン宛てパケット。

表 8-5 に、各パケットについて提供される情報の説明を示します。

 

表 8-5 Dropped/Bounced packet に含まれているフィールドの説明

フィールド
説明

Total

ドロップまたは返送されたパケットの総数。

Max Rate

計測されたパケット レートの最大値。

Average Rate

平均のパケット レート。

%

ドロップまたは返送された合計パケットがパケット数に占める割合。

トラフィック レートは、「全般的な詳細情報」セクションのドロップダウン リストで選択した単位で表示されます。

検出された異常

Detected Anomalies テーブル(図 8-10)には、Guard がゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの作成を必要とするフローは、トラフィック異常として分類されます。これらの異常は頻繁に発生するものではなく、組織的な DDoS 攻撃に変化する可能性があります。Guard では、タイプとフロー パラメータ(送信元 IP アドレス、宛先ポートなど)が同じトラフィック異常を 1 つのトラフィック異常タイプとしてまとめます。

図 8-10 攻撃レポート:検出された異常

 

それぞれの異常について、次の情報が提供されます。

 

表 8-6 Detected Anomalies に含まれているフィールドの説明

フィールド
説明

#

検出された異常の識別番号(ID)。

Start time

異常を検出した日時。

Duration

異常の持続期間(時、分、および秒)。

Type

検出した異常のタイプ。表示される値は、次のいずれかです。

Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Guard のスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Fragments :異常な量の断片化トラフィックが検出されたフロー。

TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザ定義によって検出された異常フロー。

Triggering rate

ポリシーのしきい値を超過した異常トラフィックのレート。

% Threshold

ポリシーのしきい値をトリガー レートが上回った割合。

Anomaly Flow

異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

異常フローが特定のポートで発生している場合は、dst= ip address : port と表示されます。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

異常トラフィックのパラメータとして、複数の値が計測された。

パラメータの値が # になっている場合は、その異常トラフィックのパラメータとして計測された値の数を示します。

検出された異常の詳細

検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。

検出された異常の詳細のテーブルを表示するには、Detected Anomalies テーブルで、トラフィック異常の Details カラムにある i をクリックします。

次の情報が提供されます。

 

表 8-7 検出された異常の詳細に含まれているフィールドの説明

フィールド
説明

Start time

異常を検出した日時。

End time

動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :検出された異常が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

検出され、動的フィルタの作成原因となった攻撃フローについて、次の情報を示します。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :検出されたトラフィック フローの断片化特性を示します。

Type :検出された異常のタイプ。詳細については、『 Cisco Guard User Guide 』を参照してください。

Action flow

動的フィルタによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の送信元 IP の特定の送信元ポートを示すのに対して、アクション フローは特定の送信元 IP のすべての送信元ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :アクション フローの断片化特性を示します。

無力化された攻撃

Mitigated Attacks テーブル(図 8-11)には、検出された異常テーブルで説明されている、ゾーンに有害であると判明したトラフィック異常に対して Guard が実行したアクションの詳細が示されます。これらのアクションは、スプーフィング防止メカニズムまたはゾンビ防止メカニズム、ドロップ アクションを持つユーザ フィルタ、レート制限などです。Guard は、同じタイプおよびフロー パラメータを持つ無力化アクションをグループ化し、まとめて表示します。

図 8-11 攻撃レポート:無力化された攻撃

 

 

表 8-8 Mitigated Attacks テーブルに含まれているフィールドの説明

フィールド
説明

#

無力化された攻撃の識別番号(ID)。

Start time

無力化された攻撃の発生日時。

Duration

無力化された攻撃の持続期間(時、分、および秒)。

Attack Type

無力化された攻撃のタイプ。表示される値は、次のいずれかです。

Spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

Client Attack :未認証の IP 送信元からの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

User Defined :ユーザ定義のフィルタによって識別された DDoS 攻撃、およびユーザ定義に従ってドロップされたすべてのパケット(ユーザ フィルタによって処理されたトラフィック異常など)が含まれます。詳細については、「ユーザ フィルタの設定」を参照してください。

Zombie :ゾンビが発信した DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

Malformed Packets :悪意のある不正形式パケットによる DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

保護モジュール(basic または strong)がカッコの中に示されます。

各攻撃タイプのサブタイプの詳細については、『 Cisco Guard User Guide 』を参照してください。

Triggering rate

無力化された攻撃のトラフィック レート。トリガー レートは、クライアント攻撃またはユーザ定義攻撃にのみ適用されます。スプーフィングおよび不正な形式のパケットを利用した攻撃には、適用されません。

% Threshold

ポリシーしきい値に対する割合で表した、無力化された攻撃のレート。

Anomaly Flow

無力化された異常トラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

Action flow

攻撃無力化後のトラフィック フローの特性。このフローに共通する特性のパラメータが表示されます。

Dropped

攻撃無力化中にドロップされたトラフィックのカウンタ。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます。

アクション フローまたは異常フローのパラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

異常トラフィックのパラメータとして、複数の値が計測された。

アクション フローまたは異常フローのパラメータの値が # になっている場合は、その無力化された攻撃のパラメータとして計測された値の数を示します。

無力化された攻撃の詳細

無力化された攻撃の詳細のテーブルには、攻撃の無力化に使用されたメカニズムに関する追加情報が示されます。

無力化された攻撃の詳細のテーブルを表示するには、Mitigated Attacks テーブルで、対象となる攻撃の Details カラムにある i をクリックします。

次の情報が提供されます。

 

表 8-9 Detailed Mitigated Attack テーブルに含まれているフィールドの説明

フィールド
説明

Start time

無力化された攻撃の発生日時。

End time

有効になった動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :無力化された攻撃が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

無力化された検出済みフローに関する次の情報が示されます。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :検出されたトラフィック フローの断片化特性を示します。

Type :検出された異常のタイプ。詳細については、『 Cisco Guard User Guide 』を参照してください。

Action flow

無力化メカニズムによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の宛先 IP の特定の宛先ポートを示すのに対して、アクション フローは特定の宛先 IP のすべての宛先ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :アクション フローの断片化特性を示します。

検出された HTTP ゾンビ

HTTP ゾンビ攻撃が検出されたことを示すインジケータは、「全般的な詳細情報」セクション(図 8-12を参照)に表示されます。

図 8-12 検出された HTTP ゾンビ

 

検出された HTTP ゾンビのリストを表示するには、 i または Show HTTP detected zombies をクリックします。

詳細については、「HTTP ゾンビ」を参照してください。

HTTP ゾンビ

HTTP Zombies リスト(図 8-13)を使用すると、ゾーンのトラフィックを分析し、攻撃を開始したゾンビのリストを表示できます。ゾンビに対してアクションを実行できます。

HTTP Zombies リストを表示するには、ゾーンのメイン メニューの Diagnostics > HTTP Zombies を選択します。

図 8-13 HTTP Zombies リスト

 

 

表 8-10 HTTP Zombies リストに含まれているフィールドの説明

フィールド
説明

IP

ゾンビの IP アドレス。

Start Time

ゾンビの接続が最初に識別された日時。

Duration

ゾンビ攻撃の持続期間。

“get” Requests

ゾンビが送信した HTTP get 要求の数。

ポリシーの統計情報の表示

ポリシーの統計情報のテーブル(図 8-14)を使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。

ポリシーの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。

図 8-14 ポリシーの統計情報のテーブル

 

ポリシーの統計情報のテーブルでは、3 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。

Rate ポリシーを通過するトラフィック フローのレート。

Ratio SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。

Connections :同時接続または送信元 IP の数。この情報は、tcp_connections ポリシーおよび次のパケット タイプについてのみ表示されます。

analysis モジュールの in_nodata_conns

strong モジュールの in_conns

管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。

画面フィルタを設定するには、 Set Screen Filter をクリックし、パラメータの値を Policy Filter のドロップダウン リストから選択して、 OK をクリックします。

指定した基準を満たすポリシーのリストが表示されます。選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。


) いずれかのパラメータを変更すると、その下に表示されているパラメータがすべて自動的に消去されるため、新しい値を入力する必要があります。


表 8-11 に、ポリシーの統計情報に含まれているフィールドの説明を示します。

 

表 8-11 ポリシーの統計情報

フィールド
説明

Policy template

ポリシーの構築に使用されたポリシー テンプレート。

Service

ポリシーに関連付けられているサービス。

Level

トラフィック フローの処理に使用された保護モジュール。表示される値は、次のいずれかです。

Analysis

Basic

Strong

Type

パケットのタイプ。表示される値は、次のいずれかです。

auth_pkts :TCP ハンドシェイクまたは UDP 認証を受けたパケット。

auth_tcp_pkts :TCP ハンドシェイクを受けたパケット。

auth_udp_pkts :UDP 認証を受けたパケット。

in_nodata_conns :接続でデータ転送が発生していない、ゾーンへの着信接続(データ ペイロードを含んでいないパケット)。

in_conns :ゾーンへの着信接続。

in_pkts :ゾーンに着信する DNS クエリー パケット。

in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。

num_sources :ゾーンが送信先になっている、Guard のスプーフィング防止メカニズムによって認証済みの TCP 送信元 IP の数。

out_pkts :ゾーンに着信する DNS 応答パケット。

reqs :データ ペイロードを含んだ要求パケット。

syns :同期パケット(TCP の SYN フラグ付きパケット)。

syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。SYN フラグ付きパケット数と FIN フラグ付きパケット数の比率を確認してください。

unauth_pkts :TCP ハンドシェイクを受けていないパケット。

pkts :同じ保護レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。

Policy

ポリシー。

Key

ポリシーの集約に使用されたキー(トラフィックの特性)。表示される値は、次のいずれかです。

dst_ip :ゾーンの IP アドレスが送信先となっているトラフィック。

dst_ip_ratio :特定の IP アドレスが送信先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

dst_port_ratio :特定のポートが送信先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。

src_ip :送信元 IP アドレスに基づいて集約された、ゾーンが送信先となっているトラフィック。

src_net :送信元サブネットの IP アドレスに基づいて集約された、ゾーンが送信先となっているトラフィック。

dst_port :ゾーンの特定のポートが送信先となっているトラフィック。

protocol :プロトコルに基づいて集約された、ゾーンが送信先となっているトラフィック。

src_ip_many_dst_ips :これは IP スキャニングに使用されるキーです。単一の IP からゾーンの多数の IP アドレスに送信されるトラフィックです。

src_ip_many_port :これはポート スキャニングに使用されるキーです。単一の IP からゾーンの多数のポートに送信先されるトラフィックです。

Value

接続のレート、比率、または数。テーブルのセクションに応じて異なります。各セクションの情報は値に基づいてソートされ、最も大きい値が最初に表示されます。

ドロップの統計情報

ドロップの統計情報のテーブル(図 8-15)を使用すると、進行中の攻撃について、ドロップされたパケットの持続期間をレートおよびカウンタごとに表示できます。

ドロップの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Drop Statistics を選択します。

統計情報の単位は、ドロップダウン リストから選択することができます。

統計情報の単位を変更するには、ドロップダウン リストから単位を選択し、 Set units をクリックします。

図 8-15 ドロップの統計情報のテーブル

 

ドロップされたパケットは、タイプ別に次の 2 つのテーブルに表示されます。

 

表 8-12 Drop Statistics

タイプ
説明

Total dropped

ドロップされたトラフィックの総量。

Dynamic filters

動的フィルタによってドロップされたトラフィックの量。

User filters

ユーザ フィルタによってドロップされたトラフィックの量。

Flex filter

フレックス フィルタによってドロップされたトラフィックの量。

Rate limit

レート リミッタによってドロップされたトラフィックの量。

Incoming TCP unauthenticated-basic

認証できなかったため、TCP basic スプーフィング防止メカニズムがドロップしたトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Incoming TCP unauthenticated-strong

認証できなかったため、TCP strong スプーフィング防止メカニズムがドロップしたトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Outgoing TCP unauthenticated

認証できなかったために TCP のスプーフィング防止メカニズムがドロップした、ゾーンが開始した接続トラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

UDP unauthenticated-basic

認証できなかったため、Basic スプーフィング防止メカニズムがドロップした UDP トラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

UDP unauthenticated-strong

認証できなかったため、Strong スプーフィング防止メカニズムがドロップした UDP トラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Other protocols unauthenticated

認証できなかったために Guard のスプーフィング防止メカニズムがドロップした、TCP および UDP 以外のトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

TCP fragments unauthenticated

認証できなかったため、Guard のスプーフィング防止メカニズムがドロップした TCP 断片化パケット。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

UDP fragments unauthenticated

認証できなかったため、Guard のスプーフィング防止メカニズムがドロップした UDP 断片化パケット。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Other protocols fragments unauthenticated

認証できなかったために Guard のスプーフィング防止メカニズムがドロップした、TCP 断片化パケットおよび UDP 断片化パケット以外の断片化パケット。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

DNS malformed replies

Guard の保護メカニズムがドロップした、不正な形式の DNS 応答。攻撃レポートでは、これらのパケットは不正形式パケットとして Dropped/Replied Packets テーブルにカウントされます。

DNS spoofed replies

ゾーンが開始した接続の応答として送信され、Guard のスプーフィング防止メカニズムがドロップした DNS パケット。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

DNS short queries

Guard の保護メカニズムがドロップした、短い(不正な形式の) DNS クエリー。攻撃レポートでは、これらのパケットは不正形式パケットとして Dropped/Replied
Packets テーブルにカウントされます。

NON DNS packets to DNS port

DNS ポートが送信先となっている、Guard の保護メカニズムがドロップした DNS 以外のトラフィック。攻撃レポートでは、これらのパケットは不正形式パケットとして Dropped/Replied Packets テーブルにカウントされます。

Bad packets to proxy addresses

Guard のプロキシ IP アドレスが送信先となっている、Guard の保護メカニズムがドロップした不正な形式のトラフィック。

TCP anti-spoofing mechanisms related pktsó

Guard の TCP スプーフィング防止メカニズムの副次的効果によってドロップされたパケットの数。攻撃レポートでは、これらのパケットは不正形式パケットとして
Dropped/Replied Packets テーブルにカウントされます。

DNS anti-spoofing mechanisms related pkts

Guard の DNS スプーフィング防止メカニズムの副次的効果によってドロップされたパケットの数。攻撃レポートでは、これらのパケットは不正形式パケットとして
Dropped/Replied Packets テーブルにカウントされます。

Anti-spoofing internal errors

Guard のスプーフィング防止メカニズムのエラーによってドロップされたパケットの数。攻撃レポートでは、これらのパケットは Packets テーブルにカウントされます。

Land attack

送信元 IP アドレスと宛先 IP アドレスが同一だったためにドロップされたパケットの数。攻撃レポートでは、これらのパケットは不正形式パケットとして
Dropped/Replied Packets テーブルにカウントされます。

Malformed packets

ヘッダーの形式が不正だったためにドロップされたパケットの数。攻撃レポートでは、これらのパケットは不正形式パケットとして Dropped/Replied Packets テーブルにカウントされます。

表 8-13 スプーフィングの統計情報

タイプ
説明

Total spoofed

スプーフィングされたトラフィックの総量。

Spoofed incoming TCP basic

TCP basic スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Spoofed incoming TCP strong

TCP strong スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Spoofed outgoing TCP basic

TCP basic スプーフィング防止メカニズムが認証に失敗した、ゾーンが開始した接続トラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Spoofed outgoing TCP strong

TCP strong スプーフィング防止メカニズムが認証に失敗した、ゾーンが開始した接続トラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied Packets テーブルにカウントされます。

Spoofed incoming DNS

着信 DNS(クエリー)スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして
Dropped/Replied Packets テーブルにカウントされます。

Spoofed outgoing DNS basic

発信 DNS(応答) basic スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして
Dropped/Replied Packets テーブルにカウントされます。

Spoofed outgoing DNS strong

発信 DNS(応答) strong スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして
Dropped/Replied Packets テーブルにカウントされます。

Spoofed zombie

ゾンビ スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、これらのパケットはスプーフィング パケットとして Dropped/Replied
Packets テーブルにカウントされます。