Cisco Anomaly Guard Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
Guard モジュール とゾーンの 動作の監視
Guard モジュールとゾーンの動作の監視
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Guard モジュールとゾーンの動作の監視

要約画面の表示

グローバル診断ツールの使用

グローバル カウンタの表示

のカウンタのクリア

Guard のカウンタのリアルタイムでの表示

Guard イベント ログの表示

ゾーンのステータス画面の表示

ゾーンのステータス バー

ゾーンのトラフィック レートのグラフ

ゾーンのステータス テーブル

ゾーンの最近のイベント テーブル

ゾーンの診断ツールの使用

ゾーンのカウンタの表示

トラフィック フローを分析するためのゾーンのカウンタの使用

ゾーン トラフィックの問題の分析

ゾーンのカウンタのクリア

ゾーンのカウンタのリアルタイムでの表示

ゾーンのイベント ログの表示

攻撃の要約レポートの表示

攻撃レポートの詳細の表示

過去の攻撃のレポートの詳細の表示

現在の攻撃の詳細の表示

攻撃レポートの詳細について

一般的な攻撃情報

攻撃に関する統計情報

ドロップまたは返送されたパケット

検出された異常

検出された異常の詳細の表示

軽減された攻撃

軽減された攻撃の詳細の表示

検出された HTTP ゾンビ

攻撃レポートのエクスポート

攻撃レポートの削除

HTTP ゾンビ リストの表示

ポリシーの統計情報のテーブルの表示

ドロップの統計情報のテーブルの表示

Guard モジュールとゾーンの動作の監視

この章では、Cisco Anomaly Guard Module とそのゾーンのステータスを監視するためのタスクを実行する方法について説明します。また、ゾーンのトラフィック フローに関する問題を診断できる WBM 統計ツールについても説明します。

この章は、次の項で構成されています。

Guard モジュール要約画面の表示

Guard モジュール グローバル診断ツールの使用

ゾーンのステータス画面の表示

ゾーンの診断ツールの使用

Guard モジュール要約画面の表示

Guard モジュール要約画面図 10-1 を参照)には、現在の Guard モジュールのアクティビティに関する要約が示されます。この画面は、Guard モジュールの WBM に接続するときに最初に表示されます。Guard モジュール要約画面には、インターフェイス内の次の場所からアクセスできます。

ナビゲーション ペインで Guard Summary を選択する。

情報領域で Home をクリックする。

図 10-1 Guard モジュール要約画面

 

Guard モジュール要約画面には、次の 2 つの領域があります。

Guard Summary 最近 2 時間に Guard モジュール が処理したトラフィックの要約を bps 単位でグラフに示します。保護されているゾーンに Guard モジュール が転送した正当なトラフィックは、緑色で表示されます。 Guard モジュール が検出した悪意のあるトラフィックは、赤色で表示されます。

表10-1 に、グラフの下に表示される情報の説明を示します。

 

表10-1 Guard モジュール要約グラフに含まれるフィールドの説明

フィールド
説明

Min.

最近 2 時間に測定されたトラフィック レートの最小値(bps 単位)。

Max.

最近 2 時間に測定されたトラフィック レートの最大値(bps 単位)。

Avg.

最近 2 時間に測定されたトラフィック レートの平均値(bps 単位)。

Cur.

現在のトラフィック レート(bps 単位)。

この情報は、正当なトラフィックと悪意のあるトラフィックに分けて表示されます。

Currently Protected Zones :Guard モジュールが現在保護しているゾーンのステータス情報を示します。Guard モジュールがここに表示するゾーン情報は、次のゾーン保護モードのどちらをアクティブにするかによって異なります。

Protect :Guard モジュールは、ゾーンが攻撃を受けているかどうかに関係なく、ゾーン情報を表示します。

Protect and Learn :Guard モジュールは、ゾーンが攻撃を受けている場合にのみ、ゾーン情報を表示します。

Guard モジュールでは、ゾーンは攻撃を受けた順にリスト表示されます(最後に攻撃を受けたゾーンがリストの最上部に表示されます)。Guard モジュールが各行に表示する情報をクリックすると、関連するゾーンの要約画面を表示できます。

表10-2 に、現時点で保護されているゾーンに含まれるフィールドの説明を示します。

 

表10-2 現時点で保護されているゾーンに含まれるフィールドの説明

フィールド
説明

Zone

ゾーン名。ゾーン名は、特定のゾーンのステータス画面へのリンクにもなっています。

Activation Time

ゾーン保護がアクティブになった日時。

Attack Start Time

ゾーンに対する攻撃が最後に検出された日時。

#DF

動的フィルタの数。Guard モジュールが動的フィルタを作成するのは異常を検出した場合だけであるため、#DF 値が 0 より大きい場合は、ゾーンに対する攻撃を示します。

#PF

保留動的フィルタの数。インタラクティブ保護モードではなく、自動保護モードでゾーンを実行している場合、画面に N/A と表示されます。

Legitimate Rate

Guard モジュールがゾーンに転送した正当なトラフィックの現時点でのレートで、bps 単位で測定されます。

Malicious Rate

ゾーンを標的とした悪意のあるトラフィックの現時点でのレート(bps 単位)。

ゾーン トラフィックの要約のサムネール

最近 30 分間のゾーン トラフィックの要約を表示するグラフ。トラフィック レートは bps 単位で表示されます。正当なトラフィックのレートは緑色で表示されます。悪意のあるトラフィックのレートは赤色で表示されます。

Guard モジュール グローバル診断ツールの使用

Guard モジュールでは、グローバルなイベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。次の診断ツールは、Guard モジュールの要約メニューから使用できます。

グローバル カウンタの表示

Guard モジュールのカウンタのクリア

Guard のカウンタのリアルタイムでの表示

Guard イベント ログの表示

グローバル カウンタの表示

Counters 画面には、Guard モジュールが Guard モジュールの要約画面に表示するカウンタ情報の詳細な分析が表示されます。Counters 画面では、Guard モジュールがトラフィック レートのグラフに表示する情報を操作できます。

Guard モジュールのカウンタを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Diagnostics > Counters > Guard Counters を選択します。 Guard モジュールの Counters 画面が表示されます。 デフォルトでは、グラフには最近 2 時間の正当なトラフィックと悪意のあるトラフィックが bps 単位で表示されます。

ステップ 3 (オプション)Guard モジュールがトラフィック レートのグラフに表示するカウンタ情報を追加または削除するには、目的のトラフィック カウンタ タイプの隣にあるチェックボックスをクリックしてカウンタ タイプを選択または選択解除してから、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。

トラフィック カウンタのタイプには、次のものがあります。

Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。

Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。

ステップ 4 (オプション)表示された情報の対象期間を変更するには、Graph Period ドロップダウン リストでグラフの対象期間を選択し、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。

デフォルトでは、トラフィック レートのグラフには、最近 2 時間に記録したカウンタ情報が表示されます。

ステップ 5 (オプション)Guard モジュールがトラフィック レートのグラフで使用する測定単位を変更するには、Graph Type ドロップダウン リストで測定単位を選択し、 Update Graph をクリックします。Guard モジュールにより、グラフがアップデートされます。

測定単位は次のとおりです。

pps :パケット/秒

bps :ビット/秒

ステップ 6 (オプション)Guard モジュールのカウンタをクリアするには、 Clear Counters をクリックします。

Guard モジュールが現在のカウンタとトラフィック レートをクリアします。

カウンタにテスト セッションの情報だけが含まれるようにテストを実行する場合は、Guard モジュールのカウンタをクリアできます。


 

表10-3 に、各カウンタに含まれるフィールドの説明を示します。

 

表10-3 カウンタ レポートに含まれるカウンタのフィールドの説明

フィールド
説明

Shown in Graph

トラフィック レートのグラフに表示されるカウンタ情報のタイプ。

Packets

Guard モジュールが再びアクティブにされた後のパケットの総数。

Bits

Guard モジュールが再びアクティブにされた後の総ビット数。

pps

現在のトラフィック レート(パケット/秒単位)。

bps

現在のトラフィック レート(bps 単位)。

グラフの下には、さまざまなカウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。

Guard モジュールのカウンタのクリア

カウンタにテスト セッションの情報だけが含まれるようにテストを実行する場合は、Guard モジュールのカウンタをクリアできます。

Guard モジュールのカウンタをクリアするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Diagnostics > Counters > Guard Counters を選択します。 Guard モジュールの Counters 画面が表示されます。

ステップ 3 Clear Counters をクリックします。

Guard モジュールが現在のカウンタとトラフィック レートをクリアします。


 

Guard のカウンタのリアルタイムでの表示

Guard モジュールでは、グローバル カウンタ情報をリアルタイムに表示できます。


) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(「概要」「Java 2 Runtime Environment のインストール」の項を参照)。


カウンタをリアルタイムで表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Diagnostics > Counters > Real time counters を選択します。 Real time counters 画面が表示されます。

ステップ 3 (オプション)トラフィック レートのグラフの表示を変更する場合は、目的のトラフィック カウンタのタイプ(Show in Graph の下)の隣にあるチェックボックスをオンにして、グラフに追加します。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。

トラフィック カウンタのタイプには、次のものがあります。

Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。

Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。

ステップ 4 (オプション)トラフィック レートのグラフで Guard モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。

bps :ビット/秒

pps :パケット/秒


 

Real Time Global Counter/Rates テーブル内の情報の詳細については、 表10-3 を参照してください。

Guard イベント ログの表示

Guard モジュールは、保護されているゾーンおよび Guard モジュールの動作に関連するシステム アクティビティとイベントを自動的に記録します。Guard モジュールのログを表示して、Guard モジュールのアクティビティを確認および追跡できます。

表10-4 に、さまざまなイベントの重大度レベルの説明を示します。

 

表10-4 イベント ログの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ


) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンのイベント ログの表示」の項を参照してください。


イベント ログの内容を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Diagnostics > Event log を選択します。 Events 画面が表示されます図 10-2 を参照)。 イベント テーブルの上にあるナビゲーション ツールを使用して、表示されたイベントをスクロール表示します。

ステップ 3 (オプション)イベント テーブルに表示するイベントを制御するには、次のいずれかのオプションを選択し、 Filter Events をクリックします。Guard モジュールにより、イベント テーブルがアップデートされます。

Show all Events :すべての重大度レベルのイベントを表示します。

Show events with severity level :選択した重大度レベルのイベントだけを表示します( 表10-4 を参照)。


 

図 10-2 イベント ログ

 

ゾーンのステータス画面の表示

ゾーンのステータス画面(図 10-3 を参照)には、ゾーン動作のステータスの要約が示されます。この画面には、次の方法で移動できます。

ナビゲーション ペインの All Zones リストでゾーンを選択する。

ゾーン保護が現在イネーブルの場合は、ナビゲーション ペインの Protected Zones リストからゾーンを選択する。

ゾーンの特定の画面のナビゲーション パスで、 Zone をクリックする。

ゾーンのリスト( Guard Summary > Zones > Zone list )でゾーンを選択する。

ゾーンのステータス画面は、次の 4 つの領域に分けられています。

ゾーンのステータス バー(「ゾーンのステータス バー」の項を参照)

ゾーンのトラフィック レートのグラフ(「ゾーンのトラフィック レートのグラフ」の項を参照)

ゾーンのステータス テーブル(「ゾーンのステータス テーブル」の項を参照)

ゾーンの最近のイベント テーブル(「ゾーンの最近のイベント テーブル」の項を参照)

ゾーンのステータス画面では、トラフィック レートのグラフの真上に機能ボタンが表示されます。WBM では、ゾーンの現在の動作モードに応じて、異なる機能ボタンが表示されます。

ゾーンがスタンバイの場合、次の機能ボタンが表示されます。

Protect & Learn :ゾーン保護とラーニング機能をアクティブにします。この操作により、ラーニング プロセスのしきい値調整フェーズの実行中に、ゾーンを保護することができます。

Protect :ゾーン保護をアクティブにします。これは、ゾーンのメイン メニューで Protection> Protect を選択するのと同じ操作です。

ゾーン保護または Protect and Learn 機能が現在イネーブルの場合、次の機能ボタンが表示されます。

Deactivate :ゾーン保護を非アクティブにします。これは、ゾーンのメイン メニューで Protection> Deactivate を選択するのと同じ操作です。ゾーン保護とラーニング プロセスがイネーブルの場合、 Deactivate をクリックすると、ゾーン保護、ラーニング、またはその両方の動作を非アクティブにするオプションを使用できます。

Report :現在の攻撃レポートへのリンクを提供します。これは、ゾーンのメイン メニューで Diagnostics > Attack reports > Attack Summary を選択し、現在の攻撃(識別番号(#)が Curr になっている攻撃)をクリックするのと同じ操作です。Report ボタンは、進行中の攻撃がある場合のみ使用できます。詳細については、「現在の攻撃の詳細の表示」の項を参照してください。

図 10-3 ゾーンのステータス画面

ゾーンのステータス バー

ゾーンのステータス バーは、ゾーンのステータス画面の最上部に表示され、現在操作しているゾーンのステータスをすばやく参照することができます。ゾーンのステータス バーでは、次の情報が提供されます。

ゾーンの名前。

Guard モジュールがゾーン保護を実行する方法:Guard モジュールがゾーンに対して自動保護モードで動作するか、インタラクティブ保護モードで動作するかを示します。ゾーンの動作モード設定の詳細については、「自動およびインタラクティブ ゾーン動作モード」および「Guard モジュールが実行するゾーン保護の方法の設定」の項を参照してください。

ゾーンの動作ステータス:ゾーンの動作状態。動作ステータスには、
Protected、Protected/Tuning Thresholds、Inactive、Constructing Policy、または Tuning Thresholds があります。

新しい推奨事項の通知:新しい動的フィルタの推奨事項が利用可能になっていることを示します。この通知は、ゾーンの動作モードが interactive に設定されている場合のみ利用可能です。

ゾーンのトラフィック レートのグラフ

ゾーンのトラフィック レートのグラフには、ゾーンに関連する最近 2 時間のトラフィック レートが bps 単位で表示されます。Guard モジュールがゾーンに転送した正当なトラフィックは、緑色で表示されます。ゾーンがターゲットとなっていた、Guard モジュールがドロップした悪意のあるトラフィックは、赤色で表示されます。

表10-5 に、ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明を示します。

 

表10-5 ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明

フィールド
説明

Min

最近 2 時間に測定されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に測定されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に測定されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

ゾーンのステータス テーブル

ゾーンのステータス テーブルでは、次の情報が提供されます。

Active Dynamic filters :アクティブになっている動的フィルタの数。

Dynamic filters 画面を表示するには、 Active Dynamic filters をクリックします。動的フィルタの詳細については、「動的フィルタの管理」の項を参照してください。

Pending Dynamic filters:保留動的フィルタの数。保留動的フィルタの数は、ゾーンがインタラクティブ保護モードになっていて新しい推奨事項がある場合は、1 以上になります。

Recommendations 画面を表示するには、Pending Dynamic filters をクリックします。動的フィルタの詳細については、「動的フィルタの管理」の項を参照してください。Guard モジュールの推奨事項の詳細については、「Guard モジュールが実行するゾーン保護の方法の設定」の項を参照してください。

Last attack time :ゾーンが最後に攻撃を受けた日時。

Activation time :ゾーン保護がアクティブになった日時。

ゾーンの最近のイベント テーブル

最近のイベント テーブルには、 notify 以上の重大度を持つ、報告されるゾーン イベントが表示されます。また、Guard モジュールはイベントをゾーンのイベント ログと Guard モジュールのイベント ログに記録します。

ゾーンの診断ツールの使用

Guard モジュールでは、ゾーン イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。この項では、次の診断ツールについて説明します。

ゾーンのカウンタの表示

ゾーンのカウンタのクリア

ゾーンのカウンタのリアルタイムでの表示

ゾーンのイベント ログの表示

攻撃の要約レポートの表示

攻撃レポートの詳細の表示

攻撃レポートの詳細について

攻撃レポートのエクスポート

攻撃レポートの削除

HTTP ゾンビ リストの表示

ポリシーの統計情報のテーブルの表示

ドロップの統計情報のテーブルの表示

ゾーンのカウンタの表示

ゾーンのカウンタを利用すると、ゾーン固有のトラフィック情報を分析してゾーンのステータスを確認し、ゾーンで保護が適切に機能しているかどうかを判断できます。ゾーンのカウンタのグラフ表示の期間を変更することで、ゾーン保護がどのように進行しているかを確認できます。

ゾーンのカウンタ情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters > Zone Counters を選択します。ゾーンの Counters 画面が表示されます。

デフォルトでは、グラフには最近 2 時間の正当なトラフィックと悪意のあるトラフィックが bps 単位で表示されます。

ステップ 3 (オプション)トラフィック レートのグラフの表示を変更するには、グラフに追加する目的のカウンタ情報の隣にあるチェックボックスをオンにして、 Update Graph をクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。

トラフィック カウンタのタイプには、次のものがあります。

Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。

Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。

ステップ 4 (オプション)Guard モジュールが表示する情報の対象期間を変更するには、
Graph Period ドロップダウン リストで目的の期間を選択し、 Update Graph をクリックします。Guard モジュールにより、画面がアップデートされます。

デフォルトでは、トラフィック レートのグラフには、過去 2 時間に記録したカウンタ情報が表示されます。

ステップ 5 (オプション)Guard モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Guard モジュールにより、画面がアップデートされます。

測定単位は次のとおりです。

pps :パケット/秒

bps :ビット/秒

ステップ 6 (オプション)ゾーンのカウンタをクリアするには、 Clear Counters をクリックします。

Guard モジュールが、現在のゾーンのカウンタとトラフィック レートをクリアします。

カウンタにテスト セッションの情報だけが含まれるようにテストを実行する場合は、ゾーンのカウンタをクリアできます。


 

Zone Current Counters/Rates テーブルには、次の情報が表示されます。

Shown in Graph :カウンタをグラフに表示するかどうかを指定します。

Counter :使用可能なカウンタのタイプ。

Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。

Bits :カウンタがリロードされた時点からの、ゾーンが宛先となっていた総ビット数。

pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。

bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。

トラフィック レートのグラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。

トラフィック フローを分析するためのゾーンのカウンタの使用

トラフィックがアクティブなゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。次の情報では、トラフィック フローの分析方法、発生する可能性のある問題の認識方法、およびその解決策について説明しています。

受信したパケットと正当なパケットの数が 0 を超えている場合は、Guard モジュールのトラフィックの宛先変更メカニズムが適切に機能していることを示します。

受信したパケットの数が正当なパケットの数を上回り、悪意のあるパケットの数が 0 を超えている場合は、ゾーンが攻撃を受け、ゾーン保護が適切に機能していることを示します。ゾーンが攻撃されているかどうかを確認するには、ゾーンの要約画面を参照して、Guard モジュールが攻撃を処理するために動的フィルタを作成しているかどうかを確認します(「ゾーンのステータス画面の表示」の項を参照)。

ネットワーク トラフィックに関する経験と知識に基づいて、次の事項に該当した場合は細心の注意を払ってください。

ドロップ パケットが存在している場合は、信頼された送信元 IP アドレスが動的フィルタによってブロックされていないかどうかを確認してください。送信元 IP アドレスからのトラフィックに Guard モジュールのフィルタをバイパスさせることを検討してください(「バイパス フィルタの管理」の項を参照)。

非常に大量の IP フローをドロップする動的フィルタをポリシーが作成した場合は、正当だと思われる送信元 IP アドレスがしきい値を上回るレートでトラフィックを送信し、そのフローをフィルタがブロックしていないかどうかを確認する必要があります。トラフィックがブロックされている場合は、ポリシーのしきい値を大きくするか、ポリシーを非アクティブにして追加の動的フィルタが作成されないようにします。ゾーンのポリシーの変更の詳細については、「ゾーンのポリシーの管理」を参照してください。

受信したパケットの現在のレート(pps および bps)が 0 である場合、または正当なパケットの数が長期間にわたって変化しない場合、問題が発生する恐れがあります。このような状況に関するトラブルシューティング情報については、「ゾーン トラフィックの問題の分析」の項を参照してください。

ゾーン トラフィックの問題の分析

受信トラフィック カウンタ(パケットまたはビット)または正当トラフィック カウンタ(パケットまたはビット)が 0 になっている場合は、次の状況のいずれかまたは両方に関連する問題が発生している恐れがあります。

ゾーンが宛先となっているパケットを Guard モジュールが受信していない(受信トラフィック カウンタ = 0):これは、ゾーン トラフィックの宛先変更またはネットワーク設定に問題があることを示しています。

Guard モジュール は宛先変更されたゾーン パケットを受信しているものの、ブロックしてゾーンに転送していない(長期間にわたって、受信トラフィック カウンタは 0 を超え、正当なトラフィックの現在のレート(pps または bps)は 0 になっている) これは、正当なトラフィックが悪意のあるトラフィックとして誤認識され、ドロップされていることを示します。

図 10-4 のグラフの例は、ゾーンが宛先になっているトラフィックがほぼすべてドロップされている状況を示します。Guard モジュールが作成した動的フィルタにドロップ アクション フィルタがないかどうかを確認し、次の方法で対処することを検討してください。

ドロップ アクションを持つ動的フィルタを削除する。

ドロップ アクションを持つ動的フィルタを作成したポリシーを非アクティブにして、ポリシーがドロップ アクションを持つ動的フィルタを作成できないようにする。このように設定しない場合、フィルタを削除しようとするとドロップ アクション フィルタが再び表示されます。

図 10-4 問題の分析:Rcv >0、Legitimate = 0

 

 


注意 ポリシーを非アクティブにすると、Guard モジュールがポリシーをトラフィック フローに適用しなくなるため、ゾーン保護のレベルが低下する場合があります。

ゾーンのカウンタのクリア

カウンタにテスト セッションの情報だけが含まれるようにテストを実行する場合は、ゾーンのカウンタをクリアできます。

ゾーンのカウンタをクリアするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters > Zone Counters を選択します。ゾーンの Counters 画面が表示されます。

ステップ 3 Clear Counters をクリックします。

Guard モジュールが現在のゾーンのカウンタとトラフィック レートをクリアします。


 

ゾーンのカウンタのリアルタイムでの表示

Guard モジュールでは、ゾーンのカウンタ情報をリアルタイムに表示できます。


) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(「概要」「Java 2 Runtime Environment のインストール」の項を参照)。


カウンタをリアルタイムで表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters > Real time Counters を選択します。ゾーンの Real Time Counters/Rates 画面が表示されます。

ステップ 3 (オプション)トラフィック レートのグラフの表示を変更する場合は、目的のトラフィック カウンタのタイプ(Show in Graph の下)の隣にあるチェックボックスをオンにして、グラフに追加します。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。

トラフィック カウンタのタイプには、次のものがあります。

Legitimate :Guard モジュールがゾーンに転送した正当なトラフィック。

Malicious :ゾーンを宛先とする悪意のあるトラフィック。悪意のあるトラフィックは、ドロップされたパケットとスプーフィング パケット(ここにはゾンビ パケットも含まれます)の合計です。

Received :Guard モジュールが受信して処理したパケット。受信されたパケットは、正当なトラフィックと悪意のあるトラフィックの合計です。

Dropped :Guard モジュールが攻撃の一部と見なし、ドロップしたパケット。

Replied :正当なトラフィックの一部であるか攻撃の一部であるかを確認するために、スプーフィング防止メカニズムまたはゾンビ防止メカニズムによる処理の一環として、開始側のクライアントに応答が送信されたパケット。

Spoofed :Guard モジュールによってスプーフィング パケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答された(返送された)パケットのうち、応答を受信しなかったパケットです。スプーフィング パケットにはゾンビ パケットが含まれます。

ステップ 4 (オプション)トラフィック レートのグラフで Guard モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Guard モジュールにより、トラフィック レートのグラフがアップデートされます。

bps :ビット/秒

pps :パケット/秒


 

ゾーンのトラフィックと問題を分析するためのカウンタ情報の使用については、「トラフィック フローを分析するためのゾーンのカウンタの使用」および「ゾーン トラフィックの問題の分析」の項を参照してください。

ゾーンのイベント ログの表示

Guard モジュールは、システム アクティビティとイベントを自動的に記録します。Guard モジュールのログを表示して、Guard モジュールのアクティビティを確認および追跡できます。

表10-6 に、さまざまなイベントの重大度レベルの説明を示します。

 

表10-6 イベント ログの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

ゾーンのイベント ログの内容を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Event log を選択します。 ゾーンの Events 画面が表示されます( 図 10-5 を参照)。

ステップ 3 (オプション)表示するイベントを管理するには、次のいずれかのオプションを選択し、 Filter Events をクリックして表示をアップデートします。

Show all Events :すべての重大度レベルのイベントを表示します。

Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します( 表10-6 を参照)。


 

図 10-5 ゾーンのイベント ログ

 

攻撃の要約レポートの表示

Guard モジュールでは、ゾーンで Guard モジュールが検出したすべての攻撃を明確にわかりやすく提示するために、ゾーンごとのハイレベルな攻撃要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Guard モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをさまざまなカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。また、Guard モジュールは、攻撃データをグラフ形式でも表示します。

ゾーン攻撃の要約レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択します。Attacks summary 画面が表示されます。デフォルトでは、レポートに先月分の攻撃情報が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから選択することもできます。


 

Attack Summary Report 画面は、次の領域で構成されています。

保護のグラフ:ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。

図 10-6 ゾーン保護の要約レポート:保護のグラフ

 

X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。

攻撃の詳細を表示するには、グラフで攻撃バーをクリックし、攻撃レポートを開きます(「攻撃レポートの詳細の表示」の項を参照)。

攻撃に関する統計情報のテーブル:ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます。

表10-7 に、攻撃に関する統計情報のテーブルに含まれるフィールドの説明を示します。

 

表10-7 攻撃に関する統計情報のテーブルに含まれるフィールドの説明

フィールド
説明

Attacks Mitigated

軽減された攻撃の数。

Attacks Duration

軽減された攻撃の持続期間の集計。

Max. Traffic Rate

ゾーンが宛先となっていた悪意のあるトラフィックの最大レート。

Total Rx

ゾーンが宛先となっていて、Guard モジュールが受信したトラフィックの総量。

Total Blocked

ゾーンが宛先となっていて、Guard モジュールがドロップしたトラフィックの総量。

Legitimate vs. Malicious Traffic

ゾーンの総トラフィックについて、悪意のあるトラフィック(赤色で表示)と正当なトラフィック(青色で表示)の割合を表示する円グラフ。

攻撃ごとの要約テーブル:定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます。攻撃ごとの要約テーブルに現在表示されている情報を削除(「攻撃レポートの削除」の項を参照)、または攻撃レポートの内容をエクスポート(「攻撃レポートのエクスポート」の項を参照)できます。

表10-8 に、攻撃ごとの要約テーブルのカラムに含まれるフィールドの説明を示します。

 

表10-8 要約レポートに含まれるフィールドの説明

フィールド
説明

#

軽減された攻撃の識別番号(ID)。Guard モジュールは、進行中の攻撃に Curr という値を表示します。

Start time

軽減された攻撃の発生日時。

Duration

軽減された攻撃の持続期間(時、分、および秒)。

Type

軽減された攻撃のタイプ。表示される値は、次のいずれかです。

Client Attack :スプーフィング以外のすべてのトラフィック異常。

Malformed Packets :悪意のある不正形式パケットと見なされたすべてのトラフィック異常。

Spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされたトラフィック異常。

User Defined :ユーザ フィルタが処理したすべての異常。これらのフィルタは、デフォルト設定で動作することも、ユーザが動作を設定することもできます。

Zombie :ゾンビが発信元であると見なされたトラフィック異常。

Hybrid :特性の異なる複数の攻撃で構成された攻撃。

Traffic Anomaly :短期間のみ検出され、軽減を必要としなかった異常。

Peak (pps)

攻撃レートの最大値(パケット/秒単位)。

Received Pkts

攻撃の進行中に Guard モジュールが処理した、ゾーンが宛先となっていたパケットの総数。

Legitimate vs. Malicious Traffic

攻撃進行中の総トラフィックについて、悪意のあるトラフィック(赤色で表示)と正当なトラフィック(青色で表示)の割合を表示する円グラフ。


) 攻撃の詳細を表示するには、攻撃ごとの要約テーブルのいずれかの行をクリックします(「攻撃レポートの詳細の表示」の項を参照)。


サブゾーンのレポート:サブゾーンのリストが提示されます。サブゾーンは、ゾーンの一部(ソース ゾーンのすべての IP アドレス範囲を含まないゾーン)を保護するために Guard モジュールが作成したゾーンです。サブゾーンの保護が終了すると、Guard モジュールはサブゾーンを消去します。サブゾーンの攻撃レポートを表示するには、サブゾーン名をクリックします。サブゾーンの詳細については、「ゾーンの作成と設定」「サブゾーンについて」の項を参照してください。

攻撃レポートの詳細の表示

Guard モジュールでは、Attacks Summary 画面に表示された攻撃レポートの詳細を表示できます。攻撃レポートには、最初の動的フィルタが作成された時点から、ユーザによる指示またはタイムアウト パラメータのアクションによって保護が終了するまでの、攻撃の詳細が示されています。

Guard モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。過去および現在の攻撃の詳細を表示できます。

過去の攻撃のレポートの詳細の表示

過去のゾーン攻撃のレポートの詳細を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択します。Attacks summary 画面が表示され、前月の攻撃情報が示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから選択することもできます。

ステップ 4 次のいずれかの方法で、攻撃レポートの詳細を表示します。

保護のグラフの攻撃バーをクリックします。

攻撃ごとの要約テーブルに表示されている攻撃のいずれかのフィールドをクリックします。

Attack report 画面が表示されます。


 

現在の攻撃の詳細の表示

ゾーンに対する攻撃が進行中の場合、Guard モジュールは、攻撃を受けているゾーンのステータス画面上に Report ボタンを表示します。

ゾーンの現在の攻撃レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、攻撃を受けているゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。

ステップ 2 次のいずれかの方法で、ゾーンの現在の攻撃レポートを表示します。

ゾーンのステータス画面で Report をクリックします。

ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択し、攻撃ごとの要約テーブルにある進行している攻撃のいずれかのフィールドをクリックします。Guard モジュールは、進行中の攻撃の識別番号(#)に Curr という値を表示します。


 

攻撃レポートの詳細について

この項では、詳細な攻撃レポートにおいて、Guard モジュールが表示する以下の情報について説明します。

一般的な攻撃情報

攻撃に関する統計情報

ドロップまたは返送されたパケット

検出された異常

軽減された攻撃

検出された HTTP ゾンビ

一般的な攻撃情報

攻撃レポートの最初のセクションには、攻撃の日時に関する情報(攻撃の開始日時、終了日時、および持続期間を含む)が示されます。

レポートの詳細を表示するには、 i または Show details for all events をクリックします。

カウンタは、レートを除いてすべて整数値です。画面の一般的な攻撃情報領域から、統計情報の測定単位を選択することができます。

統計情報の測定単位を変更するには、次の手順を実行します。


ステップ 1 Statistics units ドロップダウン リストから、使用する目的の単位を選択します。

ステップ 2 Set units をクリックします。Guard モジュールにより、画面がアップデートされます。


 

攻撃に関する統計情報

攻撃に関する統計情報テーブルには、次のタイプのパケットに関する情報が示されます。

Received :Guard モジュールが受信した、ゾーンが宛先となっているトラフィック。

Forwarded :Guard モジュールがゾーンに転送した正当なトラフィック。

Replied :Guard モジュールのスプーフィング防止機能およびゾンビ防止機能による処理の一環として、クライアントに送信されたトラフィック。

Dropped :ゾーンが宛先となっていて、Guard モジュールによってドロップされたパケットの総数。

表10-9 に、各パケットタイプに含まれる情報の説明を示します。

 

表10-9 攻撃に関する統計情報

フィールド
説明

Total

このカテゴリに該当するパケットの総数。

Max Rate

測定されたパケット レートの最大値。

Average Rate

パケット レートの平均値。

%

受信したパケットの中で、このパケットが占める割合。

トラフィック レートは、一般的な攻撃情報セクションのドロップダウン リストで選択した単位で表示されます。

ドロップまたは返送されたパケット

ドロップまたは返送されたパケット テーブルには、Guard モジュールが悪意のあるトラフィックとして識別し、ドロップまたは応答(返送)したパケットに関する統計情報が示されます。パケットは、パケットを識別した Guard モジュールのメカニズムに基づいて分類されています。

テーブルの行には、次のフィルタが表示されます。

Rate Limiter:ゾーンのレート リミッタによって、またはレート リミッタが設定されていたフィルタによってドロップされたパケット。レート リミッタは、Guard モジュールによってゾーンに再び注入された正当なトラフィックのトラフィック レートを制限します。レート リミッタの設定の詳細については、「ゾーン テンプレートからのゾーンの作成」「ゾーン テンプレートからのゾーンの作成」の項を参照してください。

Flex-Content filter:フレックスコンテンツ フィルタによってドロップされたパケット。フレックスコンテンツ フィルタは、特定のパケット フローをカウントまたはドロップするために使用します。フレックスコンテンツ フィルタの使用の詳細については、「ゾーンのフィルタの設定」「フレックスコンテンツ フィルタの管理」の項を参照してください。

User filter:ユーザ フィルタによってドロップされたパケット。ユーザ フィルタは、特定のトラフィック フローを、目的の Guard モジュールの保護モジュールに転送するために使用します。ユーザ フィルタの使用の詳細については、「ゾーンのフィルタの設定」「ユーザ フィルタの管理」の項を参照してください。

Dynamic filter:動的フィルタによってドロップされたパケット。動的フィルタは、トラフィック フローを分析した結果として Guard モジュールが作成します。動的フィルタの使用の詳細については、「ゾーン保護のアクティブ化」「動的フィルタの管理」の項を参照してください。

Spoofed:Guard モジュールによって、スプーフィング パケットまたは発信元がゾンビであるパケットと見なされ、ゾーンに転送されなかったパケット。スプーフィング パケットは、応答が受信されなかったパケットです。

Malformed:形式が不正であると Guard モジュールが判断したため、ドロップされたゾーン宛てのパケット。

表10-10 に、各パケットタイプに含まれる情報の説明を示します。

 

表10-10 ドロップまたは返送されたパケットに含まれるフィールドの説明

フィールド
説明

Total

ドロップまたは返送されたパケットの総数。

Max Rate

測定されたパケット レートの最大値。

Average Rate

パケット レートの平均値。

%

ドロップまたは返送された合計パケットがパケット数に占める割合。

トラフィック レートは、一般的な攻撃情報セクションのドロップダウン リストで選択した単位で表示されます。

検出された異常

検出された異常のテーブルには、Guard モジュールがゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの生成が必要となった場合、Guard モジュールはトラフィックを異常があるものと分類します。このような異常はあまり発生しないか、または体系的な DDoS 攻撃となる可能性があります。Guard モジュールでは、タイプとフロー パラメータ(送信元 IP アドレスや宛先ポートなど)が同じトラフィック異常を 1 つのタイプとしてまとめます。

表10-11 に、それぞれの異常について、提供される情報の説明を示します。

 

表10-11 検出された異常に含まれるフィールドの説明

フィールド
説明

#

検出された異常の識別番号(ID)。

Start time

異常を検出した日時。

Duration

異常の持続期間(時、分、および秒)。

Type

検出した異常のタイプ。表示される値は、次のいずれかです。

Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Guard モジュールのスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Type (続き)

Fragments :異常な量の断片化トラフィックが検出されたフロー。

TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザ定義によって検出された異常フロー。

SIP (UDP) :VoIP セッションの確立に Session Initiation Protocol(SIP)over UDP を使用する、検出済み Voice over IP(VoIP)異常フロー。

Triggering rate

ポリシーのしきい値を超過した異常トラフィックのレート。

% Threshold

ポリシーのしきい値をトリガー レートが上回った割合。

Anomaly Flow

異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

異常フローが特定のポートで発生している場合は、dst= ip address : port と表示されます。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「検出された異常の詳細の表示」の項を参照)。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が特定されていない。

異常なパラメータに対して複数の値が測定された。

パラメータの値が # になっている場合は、その異常なパラメータとして測定された値の数を示します。

検出された異常の詳細の表示

検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。

検出された異常の詳細のテーブルを表示するには、検出された異常のテーブルで、トラフィック異常の Details カラムにある i をクリックします。

表10-12 に、Guard モジュールが提供する異常の詳細情報の説明を示します。

 

表10-12 検出された異常の詳細に含まれるフィールドの説明

フィールド
説明

Start time

異常を検出した日時。

End time

動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :検出された異常が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

検出され、動的フィルタの作成原因となった攻撃フローについて、次の情報を示します。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :アクション フローの断片化特性を示します。

Type :検出された異常のタイプ。

Action flow

動的フィルタによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の送信元 IP の特定の送信元ポートを示すのに対して、アクション フローは特定の送信元 IP のすべての送信元ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :アクション フローの断片化特性を示します。

軽減された攻撃

検出された異常テーブルで説明されているように、軽減された攻撃テーブルには、ゾーンに有害であると判明したトラフィック異常に対して Guard モジュールが実行したアクションの詳細が示されます。これらのアクションは、スプーフィング防止メカニズムまたはゾンビ防止メカニズム、ドロップ アクションを持つユーザ フィルタ、レート制限などです。Guard モジュールは、同じタイプおよびフロー パラメータを持つ軽減アクションをグループ化し、まとめて表示します。

表10-13 に、軽減された攻撃のテーブルに含まれるフィールドの説明を示します。

 

表10-13 軽減された攻撃のテーブルに含まれるフィールドの説明

フィールド
説明

#

軽減された攻撃に Guard モジュールが割り当てた識別番号。

Start time

軽減された攻撃の発生日時。

Duration

軽減された攻撃の持続期間(時、分、および秒)。

Attack Type

軽減された攻撃のタイプ。表示される値は、次のいずれかです。

Spoofed :スプーフィングされた送信元からの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

Client Attack :未認証の送信元 IP アドレスからの DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

User Defined :ユーザ定義のフィルタによって識別された DDoS 攻撃、およびユーザ定義に従ってドロップされたすべてのパケット(ユーザ フィルタによって処理されたトラフィック異常など)が含まれます。ユーザ フィルタの使用の詳細については、「ゾーンのフィルタの設定」「ユーザ フィルタの管理」の項を参照してください。

Zombie :ゾンビが発信した DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

Malformed Packets :悪意のある不正形式パケットによる DDoS 攻撃と見なされた、すべてのトラフィック異常が含まれます。

保護レベル(basic または strong)がカッコの中に示されます。

Triggering rate

軽減された攻撃のトラフィック レート。トリガー レートは、クライアント攻撃またはユーザ定義攻撃にのみ適用されます。スプーフィングおよび不正な形式のパケットを利用した攻撃には、適用されません。

% Threshold

ポリシーしきい値に対する割合で表した、軽減された攻撃のレート。

Anomaly Flow

軽減された異常トラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

Action flow

攻撃軽減後のトラフィック フローの特性。このフローに共通する特性のパラメータが表示されます。

Dropped

攻撃軽減中にドロップされたトラフィックのカウンタ。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「軽減された攻撃の詳細の表示」の項を参照)。

アクション フローまたは異常フローのパラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が特定されていない。

異常トラフィックのパラメータとして、複数の値が測定された。

アクション フローまたは異常フローのパラメータの値が # になっている場合は、その軽減された攻撃のパラメータとして測定された値の数を示します。

軽減された攻撃の詳細の表示

軽減された攻撃の詳細のテーブルには、攻撃の軽減に使用されたメカニズムに関する追加情報が示されます。

軽減された攻撃の詳細のテーブルを表示するには、軽減された攻撃のテーブルで、対象となる攻撃の Details カラムにある i をクリックします。

表10-14 に、Guard モジュールが軽減された攻撃の詳細テーブルに表示する情報の説明を示します。

 

表10-14 軽減された攻撃の詳細テーブルに含まれるフィールドの説明

フィールド
説明

Start time

軽減された攻撃の発生日時。

End time

アクティブになった動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :軽減された攻撃が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

軽減された検出済みフローに関する次の情報が示されます。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :検出されたトラフィック フローの断片化特性を示します。

Type :検出された異常のタイプ。

Action flow

軽減メカニズムによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の宛先 IP アドレスの特定の宛先ポートを示すのに対して、アクション フローは特定の宛先 IP アドレスのすべての宛先ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :アクション フローの断片化特性を示します。

検出された HTTP ゾンビ

HTTP ゾンビ攻撃が検出されたことを示すインジケータは、一般的な攻撃情報セクション(図 10-7 を参照)に表示されます。

図 10-7 検出された HTTP ゾンビ

 

検出された HTTP ゾンビのリストを表示するには、 i または Show HTTP detected zombies をクリックします。このタイプのトラフィック異常に関する詳細については、「HTTP ゾンビ リストの表示」の項を参照してください。

攻撃レポートのエクスポート

攻撃レポートをネットワーク サーバにエクスポートするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択します。Attacks summary 画面が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 4 攻撃ごとの要約テーブルで、エクスポートする攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。

ステップ 5 Export をクリックします。Export File Server Parameters ウィンドウが表示されます。

ステップ 6 Select File Server Parameters フォームで、次のいずれかのオプションから使用するネットワーク サーバを選択して定義します。

Use automatic export file server definitions :CLI コマンド export reports を使用して、Guard モジュールの設定で定義したネットワーク サーバに攻撃レポートをエクスポートします。

Use the following server definition :定義したネットワーク サーバに攻撃レポートをエクスポートします。ネットワーク サーバに関する次の情報を入力します。

Transfer method :使用する転送プロトコルを選択します。

Guard モジュールは転送方式として FTP をサポートします。

Address :ネットワーク サーバの IP アドレス。

Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリに 1 つ以上のファイルを保存します。

Username :ネットワーク サーバのログイン名。サーバのログイン名。
FTP サーバを定義する場合、username 引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Guard モジュールはパスワードを入力するように求めます。

ステップ 7 OK をクリックして、攻撃レポートをネットワーク サーバにエクスポートします。


 

攻撃レポートの削除

攻撃レポートを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択します。Attacks summary 画面が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 4 攻撃ごとの要約テーブルで、削除する攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。

ステップ 5 Delete をクリックします。

Guard モジュールが攻撃レポートを削除します。


 

HTTP ゾンビ リストの表示

HTTP ゾンビ リストを使用すると、ゾーンのトラフィックを分析し、攻撃を開始したゾンビのリストを表示できます。ゾンビに対してアクションを実行できます。

HTTP ゾンビ リストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > HTTP Zombies を選択します。HTTP ゾンビ リストの画面が表示されます。


 

表10-15 に、Guard モジュールが HTTP ゾンビ テーブルに表示する情報の説明を示します。

 

表10-15 HTTP ゾンビ リストに含まれるフィールドの説明

フィールド
説明

IP

ゾンビの IP アドレス。

Start Time

ゾンビの接続が最初に識別された日時。

Duration

ゾンビ攻撃の持続期間。

“get” Requests

ゾンビによって送信された HTTP get 要求の数。

ポリシーの統計情報のテーブルの表示

ポリシーの統計情報のテーブルを使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。

ポリシーの統計情報のテーブルを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Statistics > Policy Statistics を選択します。 Policies statistics 画面が表示されます。

ステップ 3 (オプション)この画面でフィルタを設定するには、次の手順を実行します。

a. Set Screen Filter をクリックします。 Policy Filter ウィンドウが表示されます。

b. Policy Filter ウィンドウのドロップダウン リストから、パラメータの値を選択します。

c. OK をクリックします。Policy statistics 画面がアップデートされ、選択したパラメータだけが表示されます。 選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。


 

ポリシーの統計情報のテーブルでは、3 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。

Rate ポリシーを通過するトラフィック フローのレート。

Ratio SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。

Connections :同時接続または送信元 IP アドレスの数。この情報は、tcp_connections ポリシーおよび次のパケット タイプについてのみ表示されます。

分析保護モジュールの in_nodata_conns

強化保護モジュールの in_conns

表示された情報の管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。


) 表示パラメータのいずれかを変更すると、Guard モジュールは、変更されたパラメータの下に表示されているすべてのパラメータを自動的に消去します。消去されたパラメータに対して新しい値を入力する必要があります。


表10-16 に、ポリシーの統計情報に含まれるフィールドの説明を示します。

 

表10-16 ポリシーの統計情報

フィールド
説明

Policy template

ポリシーの構築に使用されたポリシー テンプレート。

Service

ポリシーに関連付けられているサービス。

Level

Guard モジュールがトラフィック フローに適用した保護レベル。表示される値は、次のいずれかです。

Analysis

Basic

Strong

Type

パケット タイプ。表示される値は、次のいずれかです。

auth_pkts :TCP ハンドシェイクまたは UDP 認証を受けたパケット。

auth_tcp_pkts :TCP ハンドシェイクを受けたパケット。

auth_udp_pkts :UDP 認証を受けたパケット。

in_conns :ゾーンへの着信接続。

in_pkts :ゾーンに着信する DNS クエリー パケット。

in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。

num_sources :ゾーンが宛先になっている、Guard モジュールのスプーフィング防止メカニズムによって認証済みの TCP 送信元 IP アドレスの数。

out_pkts :ゾーンに着信する DNS 応答パケット。

reqs :データ ペイロードを含んだ要求パケット。

syns :同期パケット。つまり、TCP SYN フラグの付いたパケット。

syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。SYN フラグの付いたパケット数と FIN フラグの付いたパケット数の比率を確認します。

unauth_pkts :TCP ハンドシェイクを受けていないパケット。

pkts :同じ保護レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。

Policy

ポリシー名。

Key

ポリシーの集計に使用されたキー(トラフィックの特性)。

表示される値は、次のいずれかです。

dst_ip :ゾーンの IP アドレスが宛先となっているトラフィック。

dst_ip_ratio :特定の IP アドレスが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

dst_port_ratio :特定のポートが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。

src_ip :送信元 IP アドレスに基づいて集約された、ゾーンが宛先となっているトラフィック。

dst_port :ゾーンの特定のポートが宛先となっているトラフィック。

protocol :プロトコルに基づいて集計された、ゾーンが宛先となっているトラフィック。

src_ip_many_dst_ips :IP スキャニングに使用されるキー。1 つの IP アドレスから多くのゾーン IP アドレスに宛てたトラフィックです。

src_ip_many_port :ポート スキャニングに使用されるキー。1 つの IP アドレスから多くのゾーンのポートに宛てたトラフィックです。

Value

接続のレート、比率、または数。テーブルのセクションに応じて異なります。各セクションの情報は値に基づいてソートされ、最も大きい値が最初に表示されます。

ドロップの統計情報のテーブルの表示

ドロップの統計情報のテーブルを使用すると、進行中の攻撃について、ドロップされたパケットの持続期間をレートおよびカウンタごとに表示できます。

ドロップの統計情報のテーブルを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Statistics > Drop Statistics を選択します。 Drop statistics 画面が表示されます。

ステップ 3 (オプション)表示される統計情報の測定単位を変更するには、ドロップダウン リストから目的の測定単位を選択し、 Set units をクリックします。


 

ドロップされたパケットは、タイプ別に次の 2 つのテーブルに表示されます。

表10-17 および 表10-18 に、ドロップの統計情報のテーブルの内容の説明を示します。

 

表10-17 ドロップ統計情報

タイプ
説明

Total dropped

ドロップされたトラフィックの総量。

Dynamic filters

動的フィルタによってドロップされたトラフィックの量。

User filters

ユーザ フィルタによってドロップされたトラフィックの量。

Flex filter

フレックス フィルタによってドロップされたトラフィックの量。

Rate limit

レート リミッタによってドロップされたトラフィックの量。

Incoming TCP unauthenticated basic

基本的な TCP スプーフィング防止メカニズムによって認証されなかったためにドロップされたトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Incoming TCP unauthenticated-strong

強力な TCP スプーフィング防止メカニズムによって認証されなかったためにドロップされたトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Outgoing TCP unauthenticated

TCP スプーフィング防止メカニズムによって認証されなかったためにドロップされた、ゾーンで開始された接続のトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

UDP unauthenticated-basic

基本的なスプーフィング防止メカニズムによって認証されなかったためにドロップされた UDP トラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

UDP unauthenticated-strong

強力なスプーフィング防止メカニズムによって認証されなかったためにドロップされた UDP トラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Other protocols unauthenticated

Guard モジュールのスプーフィング防止メカニズムによって認証されなかったためにドロップされた、TCP および UDP 以外のトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

TCP fragments unauthenticated

Guard モジュールのスプーフィング防止メカニズムによって認証されなかったためにドロップされた、断片化された TCP パケット。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

UDP fragments unauthenticated

Guard モジュールのスプーフィング防止メカニズムによって認証されなかったためにドロップされた、断片化された UDP パケット。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Other protocols fragments unauthenticated

Guard モジュールのスプーフィング防止メカニズムによって認証されなかったためにドロップされた、TCP および UDP 以外の断片化されたパケット。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

DNS malformed replies

Guard モジュールの保護メカニズムによってドロップされた不正な形式の DNS 応答。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

DNS spoofed replies

Guard モジュールのスプーフィング防止メカニズムによってドロップされた、ゾーンで開始された接続に応答する着信 DNS パケット。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

DNS short queries

Guard モジュールの保護メカニズムによってドロップされた短い(不正な形式の)DNS クエリー。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

Non DNS packets to/from DNS port

Guard モジュールの保護機能がドロップした、DNS ポートを宛先または送信元とする非 DNS トラフィック。攻撃レポートでは、このようなパケットは Malicious Packets Statistics テーブル内で不正な形式のパケットとしてカウントされます。

Bad packets to proxy addresses

Guard モジュールの保護メカニズムによってドロップされた、Guard モジュールのプロキシ IP アドレス宛ての不正形式トラフィック。

TCP anti-spoofing mechanisms related pkts

Guard モジュールの TCP スプーフィング防止機能が実行した副次的な動作が原因でドロップされたパケットの数。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

DNS anti-spoofing mechanisms related pkts

Guard モジュールの DNS スプーフィング防止機能が実行した副次的な動作が原因でドロップされたパケットの数。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

Anti-spoofing internal errors

Guard モジュールのスプーフィング防止機能のエラーのためにドロップされたパケットの数。攻撃レポートでは、このようなパケットは Packets テーブルでカウントされます。

Land attack

送信元 IP アドレスと宛先 IP アドレスが同じであるためにドロップされたパケットの数。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

Malformed packets

ヘッダーの形式が不正だったためにドロップされたパケットの数。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

Malformed SIP packets

不正な形式であるために Guard モジュールの保護機能がドロップした Session Initiation Protocol(SIP)over UDP パケット。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

SIP anti-spoofing features related pkts

副次的な動作が原因で、Guard モジュールのスプーフィング防止機能がスプーフィングであると見なしてドロップした Session Initiation Protocol(SIP)over UDP パケットの数。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内で不正な形式のパケットとしてカウントされます。

 

表10-18 スプーフィングの統計情報

タイプ
説明

Total spoofed

スプーフィングされたトラフィックの総量。

Spoofed incoming TCP basic

基本的な TCP スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed incoming TCP strong

強力な TCP スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed outgoing TCP basic

基本的な TCP スプーフィング防止メカニズムが認証に失敗した、ゾーンが開始した接続トラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed outgoing TCP strong

強力な TCP スプーフィング防止メカニズムが認証に失敗した、ゾーンが開始した接続トラフィック。攻撃レポートでは、このようなパケットは Dropped/Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed incoming DNS

着信 DNS (クエリー)スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed outgoing DNS basic

発信 DNS (応答)基本スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed outgoing DNS strong

発信 DNS (応答)強化スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed zombie

ゾンビ スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。

Spoofed incoming SIP

着信 Session Initiation Protocol(SIP)over UDP スプーフィング防止メカニズムが認証に失敗したトラフィック。攻撃レポートでは、このようなパケットは Dropped/ Replied Packets テーブル内でスプーフィングされたパケットとしてカウントされます。