Cisco Traffic Anomaly Detector ユーザ ガイド
用語集
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

 


A
Analysis モジュール
このモジュールは、Detector が検出モードで運用されているときに有効になります。DDoS 攻撃の兆候がないときは、Detector は宛先変更したゾーン トラフィックをこのモジュールに通します。Analysis モジュールは、ゾーンのトラフィックを阻害せずにそのまま転送します。モジュールはフローを分析して、認識モジュールでサンプリングできるようにします。
ARP リダイレクト アタック
ローカル サブネットへの ARP プロトコルを利用した攻撃。

 


B
block-
unauthenticated
未認証トラフィックを処理するスプーフィング防止メカニズムにトラフィックを転送するポリシー アクション。

 


D
Detector
ネットワーク要素を DDoS 攻撃から保護するために設計されたシステム。
DNS TCP
DNS-TCP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。
DNS UDP
DNS-UDP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。

 

 


H
http
ポート 80(デフォルト)またはユーザ設定ポートを経由する HTTP トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。

I
IP トラフィックの宛先変更
1 つまたはそれ以上のゾーンのトラフィックの宛先を透過的に Detector へ変更し、正当でクリーンなトラフィックを Detector から元のデータ パスおよびゾーンに戻すプロセス。トラフィックの宛先変更は、ラーニング目的でも実行されます。

 

 


O
Other protocols
このポリシー テンプレートは、他のポリシー テンプレートによって処理されないプロトコルに関連する一連のポリシーを作成します。

 

 


T
Tcp not auth
このポリシー テンプレートは、Detector のスプーフィング防止メカニズムで認証されていない TCP 接続に関連する一連のポリシーを作成します。
Tcp outgoing
このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。
Tcp services
このポリシー テンプレートは、HTTP および他のポリシー テンプレートに関連しないポート上の TCP サービスに関連する一連のポリシーを作成します。

 


U
Udp services
このポリシー テンプレートは、UDP サービスに関連する一連のポリシーを作成します。

 

 


アクセス コントロール リスト(ACL)
ACL は、ネットワークへのアクセスを制限するための基本的な手段として機能します。一連の許可条件と拒否条件を記述したリストで構成されます。このリストには、デバイス(通常はルータ)を通過できる接続を定義します。

 

 


オンデマンド保護
この保護は、Detector がラーニング フェーズを完了していないときにゾーンが攻撃されると有効になります。この時点では、Guard は必要な保護ポリシーをゾーンのトラフィックに適用していません。

 

 


最大転送単位(MTU)
ネットワーク上で転送できる最大のフレーム サイズ。MTU よりも大きなメッセージは、小さなフレームに分割する必要があります。

 

 


しきい値調整フェーズ
これは、Detector がゾーンのトラフィックをさらに分析し、ポリシー構築フェーズで構築されたポリシーのしきい値を定義するフェーズです。

 

 


スプーフィング防止
IP スプーフィングと呼ばれる手法でネットワークに不正アクセスすることを防止するセキュリティ機能。「IP スプーフィング」を参照してください。
スプーフィングを利用した攻撃
偽の送信元アドレスからの DDoS 攻撃。
スプーフィングを利用しない攻撃
有効な IP アドレスのホストからの DDoS 攻撃。

 

 


ゾーン
検出対象のネットワーク要素。また、検出対象のゾーンに関連するすべてのデータ(設定、ポリシー、フィルタなど)を含んだ Detector ファイル。
ゾンビ
分散型サービス拒絶攻撃(DDoS)において、意識しないままに参加者として機能しているデバイス。
ゾンビ攻撃
ゾンビ攻撃は、意識しないままに参加者として DDoS 攻撃を仕掛けるマシンを利用した攻撃の一種です。攻撃者はまず、最終的なターゲットではない、悪意のない多数のユーザにトロイの木馬を埋め込みます。このトロイの木馬に対して、ゾーンに正当な接続を実行するように指示します。このため、攻撃の本来の送信元の識別が難しくなります。

 

 


動的フィルタ
動的フィルタは、トラフィック フローを分析した結果として Detector が作成します。DDoS 攻撃をフィルタリングして排除するために使用されます。この一連のフィルタは、ゾーンのトラフィックおよび特定の DDoS 攻撃に合わせて継続的に調整されます。
トラフィックの宛先変更
Guard では、トラフィックのラーニングおよび悪意のあるトラフィックのフィルタリングのために、ゾーンのトラフィックを Guard の保護メカニズムに通す宛先変更技術を利用しています。保護メカニズムを通過したトラフィックは、ゾーンへ通じるパスに再び注入されます。

 

 


ネットワーク タイム プロトコル(NTP)
Detector を時刻同期サーバと同期するためのプロトコル。

 

 


バイパス フィルタ
所定のトラフィック フローが Detector の検出メカニズムをバイパスすることを、ユーザが指定できるフィルタ。このフィルタを利用すると、Detector の検出ポリシーに合わせて Detector を適切に適用することができます。

 

 


フレックス フィルタ
フレックス フィルタは、IP ヘッダーおよび TCP ヘッダーのフィールドに基づいたフィルタリングや、コンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能をユーザに提供するバークリー パケット フィルタです。複雑なブール式を使用することができます。フレックス フィルタは、指定したパケット フローをカウントするために使用されます。
分散型サービス拒絶(DDoS)攻撃
複数の送信元から開始される、サイトまたはサーバに対するサービス拒絶攻撃。この攻撃では、密かに制御を奪ったサーバを攻撃伝送用のエージェントとして機能させ、攻撃を実行することがあります。多くの場合、攻撃者はクライアント ソフトウェアを多数の悪意のないリモート コンピュータに配置し、それらのコンピュータを使用して攻撃を開始します。分散型サービス拒絶攻撃は、トラフィックの量が非常に多いために単純なサービス拒絶攻撃よりも脅威が大きく、防止することも困難になります。DDoS 攻撃の例としては、SYN フラッド、Smurf アタック、Targa アタックがあります。

 

 


ポリシー
ポリシーは、特定のトラフィック フローを計測して、しきい値を超過した場合にフローに対してアクションを実行するメカニズムです。たとえば、ポリシーは動的フィルタの作成を Detector に指示します。
ポリシー構築フェーズ
このフェーズでは、ゾーンのトラフィック特性に応じたポリシーを Detector がポリシー テンプレートに基づいて作成します。
ポリシー テンプレート
ポリシー テンプレートはポリシー構築の指針となる規則の集まりです。ポリシー構築フェーズ後の各テンプレートの出力は、一連のポリシーです。