Cisco Traffic Anomaly Detector コンフィギュレーション ガイド Software Release 6.1
攻撃レポートの使用方法
攻撃レポートの使用方法
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

攻撃レポートの使用方法

レポートのレイアウトについて

General Details

Attack Statistics

Detected Anomalies

レポートのパラメータについて

攻撃レポートの表示

攻撃レポートのエクスポート

攻撃レポートの自動エクスポート

すべてのゾーンの攻撃レポートのエクスポート

ゾーン レポートのエクスポート

攻撃レポートの削除

攻撃レポートの使用方法

この章では、Cisco Traffic Anomaly Detector(Detector)が生成する攻撃レポートについて説明します。この章は、次の項で構成されています。

レポートのレイアウトについて

レポートのパラメータについて

攻撃レポートの表示

攻撃レポートのエクスポート

攻撃レポートの削除

レポートのレイアウトについて

Detector は、攻撃の包括的な概要を把握するのに役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Detector によって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる特性が記載されます。以前の攻撃と進行中の攻撃のレポートを表示できます。また、File Transfer Protocol(FTP; ファイル転送プロトコル)、Secure FTP(SFTP)、または Secure Copy Protocol(SCP)を使用するネットワーク サーバにレポートをエクスポートできます。

この項では、次のトピックについて取り上げます。

General Details

Attack Statistics

Detected Anomalies

General Details

攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。

表10-1 に、レポートのこのセクションのフィールドを示します。

 

表10-1 攻撃レポートの General Details セクションのフィールド説明

フィールド
説明

Report ID

レポートの識別番号。 current という値は、進行中の攻撃があることを示します。

Attack Start

攻撃が開始された日時。

Attack End

攻撃が終了した日時。 Attack in progress という値は、進行中の攻撃があることを示します。

Attack Duration

攻撃の期間。

Attack Statistics

攻撃レポートの Attack Statistics セクションには、受信したトラフィック フローの一般的な分析が記載されます。

Detected Anomalies

攻撃レポートの Detected Anomalies セクションには、Detector がゾーン トラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。通常、このような異常は頻繁に発生しません。頻繁に発生する場合は、体系的な DDoS 攻撃(分散型サービス拒絶攻撃)となる可能性があります。Detector は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。

表10-2 に、検出された異常の各タイプを示します。

 

表10-2 検出された異常のタイプ

タイプ
説明

dns (tcp)

攻撃している DNS-TCP プロトコル フロー。

dns (udp)

攻撃している DNS-UDP プロトコル フロー。

fragments

断片化されたトラフィックが異常な量であることが検出されたフロー。

http

異常な HTTP トラフィック フロー。

ip_scan

多くのゾーン宛先 IP アドレスにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

other_protocols

攻撃している TCP/UDP 以外のプロトコル フロー。

port_scan

多くのゾーン ポートにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

tcp_connections

データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

tcp_incoming

TCP サービスを攻撃していることが検出されたフロー。

tcp_outgoing

ゾーンがクライアントである場合に、ゾーンによって開始された接続に対する SYN-ACK フラッドまたは他のパケット攻撃で構成されていることが検出されたフロー。

tcp_ratio

異なるタイプの TCP パケット間の比率が異常であること(たとえば、FIN/RST パケットに対する高い比率の SYN パケット)が検出されたフロー。

udp

攻撃している UDP プロトコル フロー。

unauthenticated_tcp

Detector のスプーフィング防止機能が認証に成功しなかった検出済みのフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

user

ユーザ定義によって検出された異常なフロー。

worm_tcp

TCP/IP プロトコルを介したワームの攻撃。

レポートのパラメータについて

この項では、レポートの各セクションに関連する、トラフィック フローのさまざまな特性について説明します。

表10-3 で、 Attack Statistics のフィールドについて説明します。

 

表10-3 Attack Statistics のフィールド説明

フィールド
説明

Total Packets

攻撃パケットの合計数。

Average pps

平均トラフィック レート。単位はパケット/秒。

Average bps

平均トラフィック レート。単位はビット/秒。

Max. pps

パケット/秒単位で測定した最大トラフィック レート。

Max. bps

ビット/秒単位で測定した最大トラフィック レート。

表10-4 で、 Detected Anomalies のフロー統計情報について説明します。

 

表10-4 フロー統計情報のフィールド説明

フィールド
説明

ID

検出された異常の識別番号。

Start time

異常が検出された日時。

Duration

異常の期間(時間、分、秒)。

Type

異常のタイプ。

Triggering rate

ポリシーのしきい値を超過した異常トラフィック レート。

% Threshold

Triggering rate がポリシーのしきい値を上回っているパーセンテージ。

Flow

異常フロー。この特性には、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートが含まれています。このフィールドは、トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

ワイルドカードとして使用されるアスタリスク(*)がパラメータのいずれかに表示された場合、次のいずれかを意味します。

値が特定されていない。

異常のパラメータに対して複数の値が測定された。

数値の前にあるナンバー記号(#)は、そのパラメータに対して測定された値の数を示します。

Detector は、フローの説明の右側に、notify という値を表示することがあります。notify の値は、その行が説明するトラフィック タイプの通知を Detector が生成することを示します。Detector は値が notify の場合、アクションを実行しません。

攻撃レポートの表示

特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、ゾーン設定モードで次のコマンドを使用します。

show reports [current | report-id ] [details]

表10-5 に、 show reports コマンドの引数とキーワードを示します。

 

表10-5 show reports コマンドの引数とキーワード

パラメータ
説明

current

(オプション)進行中の攻撃のレポートを表示します。進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。

report-id

(オプション)レポートの識別番号。

details

(オプション)フローの詳細を表示します。

次の例は、ゾーン上のすべての攻撃のリストの表示方法を示しています。

user@DETECTOR-conf-zone-scannet# show reports
 

表10-6 に、 show reports コマンド出力のフィールドを示します。

 

表10-6 show reports コマンド出力のフィールドの説明

フィールド
説明

Report ID

レポートの識別番号。 current という値は、進行中の攻撃があることを示します。

Attack Start

攻撃が開始された日時。

Attack End

攻撃が終了した日時。 Attack in progress という値は、進行中の攻撃があることを示します。

Attack Duration

攻撃の期間。

Attack Type

検出された攻撃のタイプ。指定できる値は、次のとおりです。

tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

http :異常な HTTP トラフィック フロー。

tcp_incoming :TCP サービスを攻撃していることが検出されたフロー。

tcp_outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

unauthenticated_tcp :Detector のスプーフィング防止機能が認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

dns (udp) :攻撃している DNS-UDP プロトコル フロー。

dns (tcp) :攻撃している DNS-TCP プロトコル フロー。

udp :攻撃している UDP プロトコル フロー。

other_protocols :攻撃している TCP 以外および UDP 以外のプロトコル フロー。

fragments :異常な量の断片化されたトラフィックが検出されたフロー。

hybrid :特性の異なる複数の攻撃で構成された攻撃。

ip_scan :多くのゾーン宛先 IP アドレスにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

port_scan :多くのゾーン ポートにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

user_detected :ユーザ定義によって検出された異常なフロー。

worm_tcp :TCP/IP プロトコルを介したワームの攻撃。

Peak Malicious Traffic

このフィールドは Guard のみに関連し、Detector には適用されません。

次の例は、ゾーン上の現在の攻撃のレポートの表示方法を示しています。

user@DETECTOR-conf-zone-scannet# show reports current
 

攻撃レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。

 

Report ID
:
current
Attack Start
:
Feb 26 2004 09:58:54
Attack End
:
Attack in progress
Attack Duration
:
00:08:34
Attack Statistics:
 
Total Packets
Average pps
Average bps
Max pps
Max bps
 
Received
95878
186.53
110977.74
1455.44
914428.24
N/A
Detected Anomalies:
ID
Start Time
Duration
Type
Triggering Rate
%Threshold
1
Feb 26 09:58:54
00:08:34
HTTP
997.44
897.44
 
Flow: 6 *
*
92.168.100.34 80
no fragments

異常が検出されたフローに関する詳細なレポートを表示するには、 details オプションを使用します。

表10-7 に、詳細なレポートに含まれているフローのフィールドを示します。

 

表10-7 詳細なレポートのフローのフィールド説明

フィールド
説明

Detected Flow

動的フィルタが生成される原因となったフロー。検出されたフローが特定の送信元 IP アドレスの特定の送信元ポートを示す場合があります。このフローの特性は、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

Action Flow

動的フィルタによって処理されたフロー。アクション フローが特定の送信元 IP アドレスのすべての送信元ポートを示す場合があります。アクション フローは、検出されたフローよりも広範囲であることがあります。

このフローの特性は、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。

攻撃レポートのエクスポート

監視および診断のために、攻撃レポートをネットワーク サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。

この項では、次のトピックについて取り上げます。

攻撃レポートの自動エクスポート

すべてのゾーンの攻撃レポートのエクスポート

ゾーン レポートのエクスポート

攻撃レポートの自動エクスポート

攻撃レポートを XML 形式でエクスポートするように Detector を設定できます。ゾーンへの攻撃が終了すると、 Detector はいずれかのゾーンのレポートをエクスポートします。XML スキーマは、
http://www.cisco.com/public/sw-center/ のソフトウェア センターからダウンロードできる
ExportedReports.xsd ファイルに記述されています。

Detector が攻撃レポートを自動的にエクスポートするように設定するには、ゾーン設定モードで次のコマンドを使用します。

export reports file-server-name

file-server-name 引数には、 file-server コマンドを使用して設定したネットワーク サーバの名前をファイルのエクスポート先として指定します。ネットワーク サーバに Secure FTP(SFTP)または Secure Copy(SCP)を設定する場合は、Detector が SFTP 通信および SCP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「ファイルの自動エクスポート」を参照してください。

次の例は、ネットワーク サーバへの攻撃が終了したら、レポート(XML 形式)を自動的にエクスポートする方法を示しています。

user@DETECTOR-conf# export reports Corp-FTP-Server

すべてのゾーンの攻撃レポートのエクスポート

グローバル モードで次のいずれかのコマンドを入力することにより、すべてのゾーンのレポートをテキスト形式または XML 形式でエクスポートできます。

copy reports [ details ] [ xml ] ftp server full-file-name [ login ] [ password ]

copy reports [ details ] [ xml ] { sftp | scp } server full-file-name login

copy reports [ details ] [ xml ] file-server-name dest-file-name

SFTP および SCP は安全な通信を SSH に依存しています。 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector が使用する鍵を設定していない場合、Detector はパスワードの入力を要求します。Detector が安全な通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表10-8 に、 copy reports コマンドの引数とキーワードを示します。

 

表10-8 copy reports コマンドの引数とキーワード

パラメータ
説明

details

(オプション)フロー、および攻撃の送信元 IP アドレスの詳細をエクスポートします。

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください( www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートはテキスト形式でエクスポートされます。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

ネットワーク サーバの IP アドレス。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。

file-server-name

file-server コマンドを使用して定義したネットワーク サーバの名前。

SFTP または SCP を使用するネットワーク サーバを設定する場合は、Detector が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。

詳細については、「ファイルの自動エクスポート」を参照してください。

dest-file-name

ファイルの名前。Detector は、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。

次の例は、ログイン名 user1 とパスワード password1 を使用して、Detector によって処理されたすべての攻撃のリストをテキスト形式で IP アドレス 10.0.0.191 の FTP サーバにコピーする方法を示しています。

user@DETECTOR# copy reports ftp 10.0.0.191 admreports.txt user1 password1
 

次の例は、 file-server コマンドを使用して定義したネットワーク サーバに、Detector によって処理されたすべての攻撃のリストをテキスト形式でコピーする方法を示しています。

user@DETECTOR# copy reports Corp-FTP-Server AttackReports.txt

ゾーン レポートのエクスポート

特定のゾーンの攻撃レポートをネットワーク サーバにコピーするには、グローバル モードで次のいずれかのコマンドを入力します。

copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]

copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] { sftp | scp } server full-file-name login

copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] file-server-name dest-file-name

SFTP および SCP は安全な通信を SSH に依存しています。 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector が使用する鍵を設定していない場合、Detector はパスワードの入力を要求します。Detector が安全な通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表10-9 に、 copy zone reports コマンドの引数とキーワードの説明を示します。

 

表10-9 copy zone reports コマンドの引数とキーワード

パラメータ
説明

zone-name

既存のゾーンの名前。

current

(オプション)進行中の攻撃のレポートをエクスポートします(該当する場合)。

デフォルトでは、すべてのゾーン レポートをエクスポートします。

report-id

(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Detector によってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。

デフォルトでは、すべてのゾーン レポートをエクスポートします。

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください( www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートをテキスト形式でエクスポートします。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

details

(オプション)フロー、および攻撃の送信元 IP アドレスの詳細をエクスポートします。

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

サーバの IP アドレス、およびファイルが保存されるディレクトリの完全パス。

login

(オプション)サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。

SFTP または SCP を使用するネットワーク サーバを設定する場合は、Detector が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。

詳細については、「ファイルの自動エクスポート」を参照してください。

dest-file-name

ファイルの名前。Detector は、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。

次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにゾーンのすべての攻撃レポートをコピーする方法を示しています。

user@DETECTOR# copy zone scannet reports ftp 10.0.0.191 ScannetCurrentReport.txt user1 password1
 

次の例は、 file-server コマンドを使用して定義したネットワーク サーバに現在の攻撃のレポートを XML 形式でコピーする方法を示しています。

user@DETECTOR# copy zone scannet reports current xml Corp-FTP-Server AttackReport-5-10-05.txt
 
 

攻撃レポートの削除

古い攻撃レポートを削除して、空きディスク スペースを得ることができます。

攻撃レポートを削除するには、ゾーン設定モードで次のコマンドを使用します。

no reports report-id

report-id 引数には、既存のレポートの ID を指定します。すべての攻撃レポートを削除するには、アスタリスク(*)を入力します。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。


) 進行中の攻撃の攻撃レポートは削除できません。


次の例は、すべてのゾーン攻撃レポートを削除する方法を示しています。

user@DETECTOR-conf-zone-scannet# no reports *