Cisco Traffic Anomaly Detector ユーザ ガイド
概要
概要
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

概要

DDos とは

Cisco Traffic Anomaly Detector

ゾーン

Detector の動作のしくみ

検出のメカニズム

フィルタ

モジュール

概要

この章では、Cisco Traffic Anomaly Detector の概要、コンポーネント、および動作のしくみについて説明します。この章には、次の項があります。

DDos とは

Cisco Traffic Anomaly Detector

ゾーン

Detector の動作のしくみ

検出のメカニズム

DDos とは

Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃は、悪意のある個人が、何千もの信頼のおけないコンピュータ(「ゾンビ」)に自動化されたスクリプトを実行させ、保護されたサーバ(ゾーン)のネットワーク リソースを偽のサービス要求によって使用できなくする攻撃です。このような攻撃には、Web サーバに偽のホームページ要求を大量に送信して正当な消費者がアクセスできないようにしたり、Domain Name System(DNS; ドメイン ネーム システム)サーバの可用性と正確性を損なわせようとするものなどがあります。ゾンビは、多くの場合、個人によって開始されますが、実際に攻撃用コードを実行しているものは、複数の組織によって管理される複数の自律システム上に分散しており、その数は何十万にも及ぶ可能性があります。このような分散攻撃は、大企業も含めた一般的なゾーンで使用される低い帯域幅では処理できない大量のトラフィックを発生させます。

DDoS 攻撃は統計的な現象であるため、詳細で統計的なトラフィック プロファイルの形成が必要になります。DDoS の調査では、DDoS のゾンビは自律システム内に多数分散していること、正当なサービス要求と偽のサービス要求が密に統合されていること、および、DDoS 攻撃ではランダムな設定(IP 送信元アドレスのスプーフィングや TCP フラグのランダム設定など)が使用されていることなどが指摘されています。

DDoS 攻撃は、高度な技術を持つハッカーが新しい有害なプログラムを作成するのに伴い、進化を続けています。さらに、ハッカーによる攻撃スクリプトは、インターネット上で広く使用可能になっており、ネットワーキングに最低限の技術的知識しか持たない個人によって日常的に実行されています。したがって、DDoS 防御テクノロジーは、柔軟で適応力のあるものである必要があります。

つまり、DDoS 防御システムは、近づく DDoS 攻撃を検出し、悪意のあるトラフィックと正常なトラフィックを区別し、攻撃対象となっているネットワーク要素のトラフィック フローを妨げることなくこれらのタスクを実行できるものである必要があります。

Cisco Traffic Anomaly Detector

Cisco Traffic Anomaly Detector は、ハイ パフォーマンス ネットワーク デバイスです。

このデバイスは、サービス拒絶(DoS)検出製品です。この製品は、スイッチ上のトラフィックのコピーを受信してそのトラフィックを分析し、DoS 攻撃を検出すると警告を送信します。Detector は、攻撃を検出して保護メカニズムをアクティブにすることができます。この製品は、Cisco Guard との併用に最も適していますが、単独でも DDoS 検出および警告コンポーネントとして運用できます。Detector は、スイッチのポート ミラーリング機能(SPAN など)またはスプリットのいずれかを使用して、トラフィックのコピーを取得します。その後、Detector は常時トラフィックを監視し、ゾーンのトラフィック特性に合わせて細かく調整された状態で、新たに発生する攻撃パターンに備えます。また、Detector は、設定済みの Cisco Guard をアクティブにして、このような攻撃を軽減することもできます。

このような動作を行うために、Cisco Traffic Anomaly Detector では次のコンポーネントが使用されています。

アルゴリズムに基づいたラーニング システム。このラーニング システムは、ゾーンのトラフィックを学習し、それ自体を特定の特性に適合させ、しきい値とポリシーという形で参考値と指示を与えることにより、Detector の検出メカニズムをサポートします。

Cisco Anomaly Guard をリモートでアクティブにしてゾーン(複数も可)を保護状態に置くか、または Detector の syslog にトラフィックの異常を記録するシステム。

これらのコンポーネントを統合することにより、Detector はバックグラウンドに控えた状態で検出の役割を果たすことができます。

ゾーン

ゾーンは、Detector が DDoS 攻撃の監視の対象とするネットワーク要素です。ゾーンには、ネットワーク サーバ、クライアントやルータ、ネットワーク リンク、サブネット、またはネットワーク全体、個々のインターネット ユーザや企業、インターネット サービス プロバイダー(ISP)、およびこれらのあらゆる組み合せが考えられます。Detector は、DDoS 攻撃を発見すると、リモートの Guard を自動的にアクティブにしてゾーンを攻撃から保護するか、手動で Guard をアクティブにするようにユーザに通知することができます。

Detector は、ゾーンのネットワーク アドレスの範囲が重なっていなければ、複数のゾーンのトラフィックを同時に分析できます。

ゾーンは Detector 上でのネットワーク要素の定義で、Detector はこの設定されたゾーンに対する DDoS 攻撃を検出することができます。この定義は、ネットワーク アドレスや検出ポリシーなどの設定で構成されます。ゾーンには、名前を割り当て、この名前を使用してゾーンを参照します。

Detector の動作のしくみ

Detector は、スプリットまたはポート ミラーリングによってゾーンのトラフィックのコピーを受信します。Detector は、近づく DDoS 攻撃の新たな兆候がないか、トラフィックを分析します。トラフィックの異常を検出すると、Detector はそのイベントを自身の syslog に記録するか、リストにある Guard をリモートでアクティブにします。これらの Guard は、ゾーンを新たに発生する DDoS 攻撃から保護します。図 1-1 に、検出の動作を示します。

図 1-1 Cisco Traffic Anomaly Detector の動作

 

ゾーンのトラフィックを比較する際の基準を作り、悪意の攻撃となる可能性のあるあらゆる異常をトレースするために、Detector はゾーンのトラフィックの特性を学習します。

ラーニング プロセスは、次の 2 つのフェーズで構成され、この中で Detector はゾーンのトラフィックを学習し、自身を特定の特性に適合させます。

1. ポリシー構築フェーズ :このフェーズでは、Detector のポリシー テンプレートを使用して、ゾーンのポリシーが作成されます。ポリシー テンプレートは、ポリシーの構築に使用されるルールを提供します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。

2. しきい値調整フェーズ :このフェーズでは、ゾーンのサービスのトラフィック レートに合わせてポリシーが調整されます。トラフィックが透過的に Detector を通過し、Detector はポリシー構築フェーズ中に検出されたサービスのしきい値を調整できます。

ポリシーは、特定のトラフィック フローを測定し、しきい値超過の結果としてそのフローに対してアクションを起こすメカニズムです。このアクションは、リモートで Guard をアクティブにするか、該当のイベントを Detector の syslog に記録するかのいずれかです。検出ポリシーは、ポリシー テンプレートから構築されます。

トラフィックのラーニングの詳細については、 第 4 章「ゾーンの設定」 を参照してください。ゾーンのポリシーの詳細については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照してください。

Detector のポリシーが(しきい値の超過によって)異常なトラフィックや悪意のあるトラフィックを検知すると、ポリシーは動的に一連のフィルタ(動的フィルタ)を設定して、そのトラフィックを攻撃の重大度に従って適切なモジュールに誘導します。

Detector の保護は、次の方法でアクティブにできます。

自動モード:動的フィルタはユーザの操作なしでアクティブになります。

インタラクティブ モード:動的フィルタは、手動で対話的にアクティブになります。動的フィルタは推奨事項としてグループ化され、ユーザの決定を待ちます。ユーザは、これらの推奨事項を確認して、受け入れ、無視、または自動的なアクティブ化を決定します。

詳細については、 第 7 章「インタラクティブ推奨モード」 を参照してください。

Detector は、ゾーンのステータスを明確につかめるようにするために、すべてのゾーンの攻撃レポートを提供します。攻撃レポートでは、最初の動的フィルタの生成から保護の終了まで、攻撃の詳細な情報が提供されます。

検出のメカニズム

Detector の保護システムでは、次のメカニズムが使用されます。

フィルタ

モジュール

フィルタ

ゾーンのフィルタは、ゾーンのミラーリングされたトラフィックを Detector の検出モジュールに誘導するためのメカニズムです。Detector では、ユーザがフィルタを設定して、カスタマイズされたトラフィック誘導や DDoS 攻撃の検出メカニズムをさまざまに設計できるようになっています。Detector では、次のタイプのフィルタが使用されます。

バイパス フィルタ:バイパス フィルタは、特定のトラフィック フローが Detector の保護メカニズムによって処理されないようにする場合に使用されます。

フレックス フィルタ:フレックス フィルタは、指定したパケット フローのカウントに使用されます。これは、IP および TCP ヘッダーのフィールドに従ったフィルタリングや、コンテンツのバイト数に従ったフィルタリングのように、きわめて柔軟なフィルタ機能を提供するバークリー パケット フィルタです。複雑なブール式を使用できますが、フレックス フィルタを設定できるのはゾーンごとに 1 つだけです。

動的フィルタ:トラフィック フローの分析の結果、Detector によって作成される動的なフィルタです。動的フィルタは、イベントを Detector の syslog に記録するか、リモートで Guard をアクティブにします。

モジュール

Detector には 2 つのモジュールがあり、これらが密接に協調しながら検出を行います。

分析モジュール:ゾーンのトラフィック フローを分析します。

認識および統計モジュール:ゾーンのトラフィックの異常を監視します。