Cisco Traffic Anomaly Detector コンフィギュレーション ガイド Software Release 6.1
製品概要
製品概要
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

製品概要

について

DDos 攻撃について

スプーフィング攻撃について

非スプーフィング攻撃について

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

ゾーンについて

ゾーン ポリシーについて

ラーニング プロセスについて

異常検出プロセスについて

トラフィック フィルタについて

さまざまな異常検出モードについて

およびラーニング機能について

攻撃レポートについて

製品概要

この章では、Cisco Traffic Anomaly Detector(Detector)の概要について説明します。概要には、Detector の主要コンポーネントについての説明、および悪意のある攻撃トラフィックを検出してネットワーク要素を保護するための主要コンポーネントの連携方法についての説明などが含まれます。

この章は、次の項で構成されています。

Detector Module について

DDos 攻撃について

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

異常検出プロセスについて

Detector Module について

Detector は、サーバ、ファイアウォール インターフェイス、ルータ インターフェイスなどのネットワーク要素( ゾーン )に対する Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃の兆候を継続的に警戒しながら、ネットワーク トラフィックのコピーを監視します。

ポート ミラーリングまたは光ファイバ回線スプリッタを使用して、スイッチまたはルータが、ゾーンに送信されるトラフィックのコピーをキャプチャし、そのコピーを Detector に渡すように設定します。

Detector は、DDoS を検出して警告するコンポーネントとして単独でも運用できますが、Detector の関連製品である Cisco Guard(Guard)との併用が最適です。


) Guard は、DDoS 攻撃検出および軽減デバイスです。トラフィックが通過するときにゾーン トラフィックをクリーンにして、攻撃トラフィックをドロップし、正当なトラフィックをネットワークに注入します。Detector は、ゾーンが攻撃を受けていると判断した時点で、Guard の攻撃軽減サービスをアクティブにできます。また、Detector は Guard とゾーン設定を同期させることができます。Guard の詳細については、『Cisco Anomaly Guard Module Configuration Guide』または『Cisco Guard Configuration Guide』を参照してください。


Detector は、ゾーン ポリシーのセットを使用して、すべてのインバウンド ゾーン トラフィックのコピーを分析します。ゾーン ポリシーにより、Detector は、ゾーンに対する攻撃を示すトラフィック異常を識別します。Detector は、トラフィック異常を識別すると、syslog メッセージを発行して攻撃の発生をユーザに通知するか、または Guard をアクティブにして攻撃を軽減することができます。

Detector では、次のタスクを実行できます。

トラフィックのラーニング:アルゴリズムに基づくプロセスを使用して、通常のゾーン トラフィックの特性(サービスおよびトラフィック レート)をラーニングします。Detector は、ラーニング プロセス中、デフォルトのゾーン トラフィック ポリシーおよびポリシーしきい値を通常のゾーン トラフィックの特性に合うように変更します。トラフィック ポリシーおよびしきい値は、ゾーン トラフィックが正常か異常(ゾーンに対する攻撃の可能性)かを判別するために Detector が使用する参照ポイントを定義します。

トラフィック異常の検出:通常のトラフィック特性に基づいて、ゾーン トラフィックの異常を検出します。

図1-1 に、ネットワークでの適用例を示します。ここで、 Detector は、分析のためにネットワーク トラフィックのコピーを受信しています。

図1-1 Cisco Traffic Anomaly Detector の動作

 

DDos 攻撃について

DDoS 攻撃は、正当なユーザが特定のコンピュータまたはネットワーク リソースにアクセスできないようにします。このような攻撃は、何者かが悪意のある要求をターゲットに送信してネットワーク サービスの質を低下させ、サーバやネットワーク デバイスのネットワーク サービスを妨害し、不要なトラフィックでネットワーク リンクを飽和状態にすることで発生します。

この項では、次のトピックについて取り上げます。

スプーフィング攻撃について

非スプーフィング攻撃について

スプーフィング攻撃について

スプーフィング攻撃は DDoS 攻撃の一種で、パケットのヘッダーに送信元デバイスの実際の IP アドレスではない IP アドレスが含まれます。スプーフィングされたパケットの送信元 IP アドレスは、ランダムである場合も、特定の限定されたアドレスを持つ場合もあります。スプーフィング攻撃は、ターゲット サイトのリンクおよびサーバ リソースを飽和状態にします。コンピュータ ハッカーは、1 つのデバイスからでも、大量のスプーフィング攻撃を簡単に生成できます。

非スプーフィング攻撃について

非スプーフィング攻撃(クライアント攻撃)は、ほとんどの場合、実際の TCP 接続による TCP ベースの攻撃です。非スプーフィング攻撃は、ネットワーク リンクやオペレーティング システムではなく、サーバ上のアプリケーション レベルを利用不能にできます。

多数のクライアント(ゾンビ)からのクライアント攻撃は、個々のクライアントが異常を作り出さなくても、サーバ アプリケーションを利用不能にすることができます。ゾンビ プログラムは、ターゲット サイトにアクセスする正当なブラウザのふりをしようとします。

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

この項では、Detector のゾーンとは何か、ゾーン ポリシーがトラフィック異常を検出する方法、および Detector がゾーンのトラフィック特性をラーニングする方法について説明します。

この項では、次のトピックについて取り上げます。

ゾーンについて

ゾーン ポリシーについて

ラーニング プロセスについて

ゾーンについて

Detector がトラフィック異常を監視するゾーンは、次のいずれかの要素です。

ネットワーク サーバ、クライアント、またはルータ

ネットワーク リンク、サブネット、またはネットワーク全体

個々のインターネット ユーザまたは企業

インターネット サービス プロバイダー(ISP)

上記の要素の任意の組み合せ

新しいゾーンを作成するときは、ゾーンに名前を割り当て、ネットワーク アドレスを設定します。ゾーン トラフィックの異常を検出するデフォルトのポリシーおよびポリシーしきい値のセットが Detector によりゾーンに設定されます。

Detector は、ゾーンのネットワーク アドレス範囲が重なっていなければ、複数のゾーンを同時に保護できます。

ゾーンの詳細については、「ゾーンの設定」を参照してください。

ゾーン ポリシーについて

Detector は、ゾーン設定に関連付けられているポリシーによって、ゾーン トラフィックの異常を検出できます。トラフィック フローがポリシーのしきい値を超えると、Detector はこれを異常または悪意のあるトラフィックとして認識し、フィルタ セット(動的フィルタ)を動的に設定し、攻撃の重大度に応じて適切な検出レベルをこのトラフィック フローに適用します。

ゾーン ポリシーの詳細については、「ゾーンの設定」を参照してください。

ラーニング プロセスについて

Detector は、ラーニング プロセスにより、通常のゾーン トラフィックを分析し、ゾーン固有のポリシーおよびポリシーしきい値のセットを作成できます。このセットにより、Detector は、ゾーン トラフィックの異常をより正確に検出できます。

ラーニング プロセスにより、デフォルトのゾーン ポリシー セットを置き換えることができます。また、現在のゾーン ポリシー セットが現在の正常なトラフィック サービスとトラフィック量を認識するように正しく設定されていない可能性がある場合、そのポリシー セットをアップデートすることもできます。ポリシーしきい値が、現在の正常なトラフィック量に比べて大きすぎる値に設定されていると、Detector がトラフィック異常(攻撃)を検出できない可能性があります。ポリシーしきい値が小さすぎると、Detector が正常なトラフィックを攻撃トラフィックと取り違えてしまう可能性があります。

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

ポリシー構築フェーズ:ゾーン トラフィックが使用する主なサービスのゾーン ポリシーを作成します。ゾーン ポリシーを作成する場合、Detector は、各ゾーン設定に含まれるポリシー テンプレートによって設定された規則に従います。

しきい値調整フェーズ:ゾーン ポリシーのしきい値を、ゾーン サービスの通常のトラフィック レートを認識するための適切な値に調整します。

ラーニング プロセスの詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

異常検出プロセスについて

この項では、Detector がゾーン トラフィックの異常を検出する方法、および攻撃レポートを生成する方法について説明します。

この項では、次のトピックについて取り上げます。

トラフィック フィルタについて

さまざまな異常検出モードについて

検出およびラーニング機能について

攻撃レポートについて

トラフィック フィルタについて

Detector は、3 種類のトラフィック フィルタを使用して、必要な異常検出レベルをゾーン トラフィックに適用します。これらのフィルタは、トラフィック フローをカスタマイズし、DDoS 検出操作を制御するように設定できます。

Detector では、次のタイプのトラフィック フィルタが使用されます。

バイパス フィルタ:Detector が特定のトラフィック フローに DDoS 検出措置を適用しないようにします。

フレックスコンテンツ フィルタ:指定されたトラフィック フローをカウントします。IP ヘッダーと TCP ヘッダー内のフィールドに応じたフィルタリング、およびコンテンツ バイト数に応じたフィルタリングを実行します。

動的フィルタ:分析検出レベルをトラフィック フローに適用します。Detector が分析プロセス中に異常を検出すると、syslog にイベントを記録するか、または Guard をアクティブにしてゾーンを保護するかが 動的フィルタによって Detector に指示されます。

Detector は、ゾーン トラフィックの異常を監視するゾーン ポリシーの動作とゾーン フィルタを調整します。

フィルタの詳細については、「ゾーンのフィルタの設定」を参照してください。

さまざまな異常検出モードについて

Detector の異常検出動作は、次の方法でアクティブにできます。

自動検出モード:Detector は、自身が作成する動的フィルタを自動的にアクティブにします。

インタラクティブ検出モード:Detector は、作成する動的フィルタのキューを作成し、推奨処置として動的フィルタをグループ化します。ユーザは、これらの推奨事項を確認して、推奨事項を受け入れるか、無視するか、自動アクティベーションの対象にするかを決定します。

インタラクティブ検出モードの詳細については、「インタラクティブ検出モードの使用方法」を参照してください。

検出およびラーニング機能について

ラーニング プロセスのしきい値調整フェーズとゾーン異常検出を同時にアクティブにして(検出およびラーニング機能)、新しいゾーン ポリシーのしきい値のラーニングと、現在のしきい値によるトラフィック異常の監視を Detector が同時に行うようにできます。Detector は、攻撃を検出するとラーニング プロセスを停止しますが、トラフィック異常の監視は継続します。このプロセスにより、Detector では、攻撃中に悪意のあるトラフィックのしきい値がラーニングされなくなります。

検出およびラーニング機能の詳細については、「検出およびラーニング機能のイネーブル化」を参照してください。

攻撃レポートについて

Detector は、各ゾーンの攻撃レポートを提供します。攻撃レポートでは、最初の動的フィルタの生成から異常検出の終了まで、ゾーンのステータス情報と攻撃の詳細な情報が提供されます。

攻撃レポートの詳細については、「攻撃レポートの使用方法」を参照してください。