Cisco Traffic Anomaly Detector ユーザ ガイド
攻撃レポート
攻撃レポート
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

攻撃レポート

レポートのレイアウト

General Details

Attack Statistics

Detected Anomalies

レポートのパラメータ

攻撃レポートの表示

攻撃レポートのエクスポート

攻撃レポート

この章では、Detector が生成する攻撃レポートについて説明します。この章では、次のトピックについて取り上げます。

レポートのレイアウト

レポートのパラメータ

攻撃レポートの表示

攻撃レポートのエクスポート

レポートのレイアウト

Detector は、攻撃を明確に把握するために役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は最初の動的フィルタの生成時で、攻撃の終了は新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる面が記載されます。過去の攻撃および進行中の攻撃のレポートを表示できます。また、レポートを ftp サーバにエクスポートすることもできます。

レポートには、次のセクションがあります。

General Details

Attack Statistics

Detected Anomalies

General Details

攻撃レポートのこのセクションには、攻撃に関する一般的な情報が記載されます。 表 8-1 で、レポートのこのセクションのフィールドについて説明します。

 

表 8-1 攻撃レポートの General Details セクションのフィールド説明

フィールド
説明

Report ID

レポートの識別番号。

Attack Start

攻撃が開始された日時を表示します。

Attack End

攻撃が終了した日時を表示します。 Attack in progress は、進行中の攻撃があることを示します。

Attack Duration

攻撃の期間を表示します。

Attack Statistics

Attack Statistics には、受信したトラフィック フローの一般的な分析が記載されます。

Detected Anomalies

攻撃レポートの Detected Anomalies セクションには、Detector がゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。このような異常はあまり発生しないか、または体系的な DDoS 攻撃となる可能性があります。Detector は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。 表 8-2 で、検出された異常のさまざまなタイプについて説明します。

 

表 8-2 検出された異常のタイプ

タイプ
説明

tcp_connections

データを持つまたは持たない、TCP 同時接続数が異常であることが検出されたフロー。

http

異常な HTTP トラフィック フロー。

tcp_incoming

TCP サービスを攻撃していることが検出されたフロー。

tcp_outgoing

ゾーンがクライアントである場合に、ゾーンによって開始された接続に対する SYN-ACK フラッドまたは他のパケット攻撃で構成されていることが検出されたフロー。

unauthenticated_tcp

Detector のアンチスプーフィング メカニズムが認証に成功しなかったことが検出されたフロー。たとえば、認証されていないパケットの ACK フラッド、FIN フラッド、または他のフラッド。

dns (udp)

攻撃している DNS-UDP プロトコル フロー。

dns (tcp)

攻撃している DNS-TCP プロトコル フロー。

udp

攻撃している UDP プロトコル フロー。

other_protocols

攻撃している TCP/UDP 以外のプロトコル フロー。

fragments

断片化されたトラフィックが異常な量であることが検出されたフロー。

tcp_ratio

異なるタイプの TCP パケット間(たとえば、SYN パケット対 FIN/RST パケット)の比率が異常であることが検出されたフロー。

ip_scan

多くのゾーン宛先 IP アドレスにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

port_scan

多くのゾーン ポートにアクセスしようとした送信元 IP アドレスから開始されたことが検出されたフロー。

user

ユーザ定義によって検出された異常なフロー。

レポートのパラメータ

表 8-3

レポートの異なるセクションには、トラフィック フローの異なる面が記載されます。

表 8-4 で、 Attack Statistics のフィールドについて説明します。

 

表 8-4 Attack Statistics のフィールド説明

フィールド
説明

Total Packets

攻撃パケットの合計数。

Average pps

平均トラフィック レート(パケット/秒)。

Average bps

平均トラフィック レート(ビット/秒)。

Max. pps

最大トラフィック レート(パケット/秒)。

Max. bps

最大トラフィック レート(ビット/秒)。

表 8-5 で、Detected Anomalies のフロー統計情報について説明します。

 

表 8-5 フロー統計情報のフィールド説明

フィールド
説明

ID

検出された異常の識別番号(ID)を示します。

Start time

異常が検出された日時を示します。

Duration

異常の期間(時間、分、秒)を示します。

Type

異常のタイプを示します。

Triggering rate

ポリシーのしきい値を超えた異常なトラフィック レートを示します。

% Threshold

Triggering rate がポリシーのしきい値を上回っているパーセンテージを示します。

Flow

異常なフローを示します。この特性は、プロトコル番号、送信元 IP、送信元ポート、宛先 IP、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 Any は、断片化されているトラフィックと断片化されていないトラフィックの両方があることを示します。

任意のパラメータの * という値は、次のいずれかを示します。

値が特定されていない。

異常のパラメータに対して複数の値が測定された。

任意のパラメータの # という値(数値の前にある)は、そのパラメータに対して測定された値の数を示します。

攻撃レポートの表示

特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、 show コマンドを使用します。このコマンドの構文は、次のとおりです。

show reports [current | report-id ] [details]

表 8-6 で、 show reports コマンドのキーワードと引数について説明します。

表 8-6 show reports コマンドの引数とキーワード

パラメータ
説明

current

進行中の攻撃。

進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。

report-id

レポートの識別番号。

details

(オプション)フローの詳細を表示します。

たとえば、ゾーンに対するすべての攻撃のリストを表示するには、次のように入力します。

admin@DETECTOR-conf-zone-scannet# show reports

レポートには、各攻撃の期間、攻撃の開始日時および終了日時の情報を示す次のような出力が表示されます。

 

Report ID
Attack Start
Attack End
Attack Duration
current
Feb 26 2004 09:58:54
Attack in progress
N/A
4
Feb 25 2004 15:48:25
Feb 25 2004 18:23:46
02:35:21
3
Feb 25 2004 15:38:45
Feb 25 2004 15:48:18
00:09:33
2
Feb 25 2004 15:11:39
Feb 25 2004 15:29:40
00:18:01
1
Feb 25 2004 13:09:10
Feb 25 2004 13:15:28
00:06:18

ゾーンに対する現在の攻撃のレポートを表示するには、次のように入力します。

admin@DETECTOR-conf-zone-scannet# show reports current

レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウト」を参照してください。

 

Attack Start
:
Feb 26 2004 09:58:54
Attack End
:
Attack in progress
Attack Duration
:
00:08:34
Attack Statistics:
 
Total Packets
Average pps
Average bps
Max pps
Max bps
 
Received
95878
186.53
110977.74
1455.44
914428.24
N/A
Detected Anomalies:
ID
Start Time
Duration
Type
Triggering Rate
%Threshold
1
Feb 26 09:58:54
00:08:34
HTTP
997.44
897.44
 
Flow: 6 *
*
92.168.100.34 80
no fragments

異常が検出されたフローに関する詳細なレポートを表示するには、 details オプションを使用します。

表 8-7 に、詳細なレポートに表示されるフローのフィールドのリストを示します。

 

表 8-7 詳細なレポートのフローのフィールド説明

フィールド
説明

Detected Flow

この行には、動的フィルタが生成される原因となったフローが表示されます。

Action Flow

この行には、動的フィルタによって処理されたフローが表示されます。アクション フローは、検出されたフローよりも広範囲であることがあります。たとえば、検出されたフローが特定の送信元 IP の特定の送信元ポートを示し、アクション フローが特定の送信元 IP のすべての送信元ポートを示すことがあります。

攻撃レポートのエクスポート

監視および診断のために、攻撃レポートを ftp サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。


show running-config で、ftp サーバのユーザ名とパスワードが表示されます。匿名 ftp アカウントを使用することをお勧めします。


レポートを ftp サーバに手動でコピーするには、 copy コマンドを使用します。すべてのゾーンの攻撃レポートをコピーすることも、特定のゾーンのレポートをコピーすることもできます。

このコマンドの構文は、次のとおりです。

copy reports [xml] [details] ftp server full-file-name [ login ] [ password ]

表 8-8 で、 copy reports コマンドの引数とキーワードについて説明します。

 

表 8-8 copy reports コマンドのキーワードと引数

パラメータ
説明

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。デフォルトでは、レポートはテキスト形式でエクスポートされます。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

details

(オプション)フロー、および攻撃の送信元 IP の詳細をエクスポートします。

server

ftp サーバの IP アドレス。

full-file-name

レポート リストの完全なファイル名。パスを指定しない場合、デフォルトで、ログイン ユーザのホーム ディレクトリが使用されます。

login

(オプション)ftp サーバのログイン名。ログイン名を入力しない場合、ftp サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート ftp サーバのパスワード。

たとえば、ログイン名 user1 とパスワード password1 を使用して、Detector によって処理されたすべての攻撃のリストをテキスト形式で IP アドレス 10.0.0.191 の ftp サーバにコピーするには、次のように入力します。

admin@DETECTOR# copy reports ftp 10.0.0.191 Guard-reports.txt user1 password1
 

特定のゾーンの攻撃レポートを ftp サーバにコピーするには、グローバル コマンド グループ レベルで次のように入力します。

copy zone zone-name reports [current | report-id ] [xml] [details] ftp server full-file-name [l ogin ] [ password ]

表 8-9 で、 copy zone reports コマンドのキーワードと引数について説明します。

 

表 8-9 copy zone reports コマンドのキーワードと引数

パラメータ
説明

zone-name

既存のゾーンの名前。

current

(オプション)進行中の攻撃のレポートをエクスポートします(該当する場合)。

デフォルトでは、すべてのゾーン レポートがエクスポートされます。

report-id

(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Guard によってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。

デフォルトでは、すべてのゾーン レポートがエクスポートされます。

xml

(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。デフォルトでは、レポートはテキスト形式でエクスポートされます。

XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。

details

(オプション)フロー、および攻撃の送信元 IP の詳細をエクスポートします。

server

ftp サーバの IP アドレス。

full-file-nam e

レポート リストの完全なファイル名。パスを指定しない場合、デフォルトで、ログイン ユーザのホーム ディレクトリが使用されます。

login

(オプション)ftp サーバのログイン名。

ログイン名を入力しない場合、ftp サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート ftp サーバのパスワード。

たとえば、ログイン名 user1 とパスワード password1 を使用して、ゾーンのすべての攻撃レポートを IP アドレス 10.0.0.191 の ftp サーバにコピーするには、次のように入力します。

admin@DETECTOR# copy zone scannet reports ftp 10.0.0.191 ScannetCurrentReport.txt user1 password1