Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
トラフィックの異常の検出
トラフィックの異常の検出
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

トラフィックの異常の検出

概要

ゾーンの検出

検出の有効化

検出の無効化

動的フィルタ

動的フィルタの詳細

動的フィルタの削除

インタラクティブ推奨モード

インタラクティブ推奨モードの有効化

新しい推奨事項の表示

Detector の推奨事項への対応

保留中の動的フィルタ

トラフィックの異常の検出

ここでは、Web-Based Management (WBM)を使用して Cisco Traffic Anomaly Detector でゾーン トラフィックの異常および DDoS 攻撃を検出する方法について説明します。

トラフィックの異常を検出するには、ここまでの説明に従って Cisco Traffic Anomaly Detector とゾーンをあらかじめ設定しておく必要があります。

この章は、次の項で構成されています。

概要

ゾーンの検出

動的フィルタ

インタラクティブ推奨モード

概要

ゾーンで検出を有効にする前に、Detector でゾーンのトラフィック パターンをラーニングすることをお勧めします。監視機能を利用すると、Detector で各ゾーンのトラフィック パターンをラーニングし、トラフィックを統計的に分析するための一連の推奨しきい値を作成することができます。

ゾーンのトラフィック特性をラーニングすると、Detector はゾーンのトラフィックの異常を検出できる状態になります。ゾーンの設定を完了したら、すぐに検出を開始するように Detector に指示できます。指示を出すと、Detector は検出ポリシーの適用を開始します。

検出は、次の 2 つの方法で有効にできます。

自動検出モード :動的フィルタは、ユーザが介入しなくても有効になります。

インタラクティブ検出モード :インタラクティブ モードでは、動的フィルタはユーザが手動で有効にします。動的フィルタは推奨事項としてグループ化され、ユーザの決定待ちになります。これらの推奨事項を確認して、どの推奨事項を受け入れるか、無視するか、自動有効化に切り替えるかを手動で決定できます。

詳細については、「ゾーンの管理」を参照してください。

検出ポリシーは、異常または悪意のあるトラフィックを示すしきい値超過を感知すると、一連のフィルタを動的に設定して適切なアクションを実行します。

ゾーンの検出

ゾーンのトラフィック特性をラーニングすると、Detector はゾーンのトラフィックの異常を検出できる状態になります。ゾーン検出実行中には、Detector は検出ポリシーを適用します。

図 7-1 検出のメニュー

 

検出の有効化

ゾーン検出を有効にするには、次のいずれかの手順を実行します。

ゾーンのホーム ページで、 Detect をクリックします。

ゾーンのメイン メニューの Detection > Detect を選択します。

検出の無効化

ゾーン検出を無効にするには、次のいずれかの手順を実行します。

ゾーンのホーム ページで、 Deactivate をクリックします。

ゾーンのメイン メニューの Detection > Deactivate を選択します。

動的フィルタ

Detector でゾーンのトラフィックを分析すると、その結果に基づいて一連のフィルタが編成されます。これらのフィルタは、ゾーンのトラフィックおよび各種の DDoS 攻撃に合わせて継続的に調整されます。この一連のフィルタは、動的フィルタで構成されています。異常なトラフィックが検出されると、動的フィルタは Detector の syslog に通知するか、1 つまたはそれ以上のリモート Guard を有効にします。

動的フィルタの詳細については、 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

動的フィルタを表示するには、次のいずれかの手順を実行します。

ゾーンのメイン メニューの Detection > Dynamic filters を選択します。

ゾーンのホーム ページで、ゾーンのステータス要約テーブルの Active dynamic filters をクリックします。

図 7-2 動的フィルタのテーブル

 

動的フィルタのテーブル(図 7-2)には、動的フィルタを作成したポリシーに基づいてフィルタリングされた動的フィルタが示され、進行中の攻撃に関する情報が表示されます。 表 7-1 に、動的フィルタに含まれているフィールドの説明を示します。

 

表 7-1 動的フィルタに含まれているフィールドの説明

フィールド
説明

Created by

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシー」を参照してください。

Activation

フィルタが有効になった日時。

Expiration

フィルタの有効期限が満了する時刻。この時刻を過ぎると、フィルタは消去されます。

Src IP

動的フィルタの適用対象となる送信元 IP アドレス。

Protocol

動的フィルタの適用対象となるプロトコルの番号。

Dst Port

動的フィルタの適用対象となる宛先ポート。

Fragments

攻撃ストリームの中に、断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。

Rate (pps)

概算の攻撃レート。

Details

このフィルタに関する追加情報が存在するかどうかを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

フィルタのパラメータとして、複数の値が計測された。

フィルタの詳細情報を表示するには、Details カラムの i をクリックします。

詳細については、「動的フィルタの詳細」を参照してください。

動的フィルタの詳細

動的フィルタの詳細には、動的フィルタに関する詳細情報が示されます。

動的フィルタの詳細テーブルを表示するには、動的フィルタ テーブルの Details カラムにある i をクリックします。

図 7-3 動的フィルタの詳細

 

動的フィルタの詳細画面(図 7-3)には、次の 3 つのテーブルが含まれています。

フィルタを作成したポリシーに関する情報。

攻撃フローに関する情報。

フィルタを作成したトリガーに関する情報。 表 7-2 を参照してください。

 

表 7-2 トリガーに含まれているフィールドの説明

フィールド
説明

Policy Threshold

ポリシーで定義され、攻撃によって超過したしきい値。

Triggering Rate

動的フィルタの作成原因となった攻撃の概算レート。

動的フィルタの削除

動的フィルタを削除するには、動的フィルタの詳細テーブル(図 7-2 を参照)で、フィルタの隣にあるチェックボックスをオンにし、 Delete をクリックします。

動的フィルタは、すべて削除することができます。ただし、削除が有効になる期間は限られています。Detector は保護運用モードになっている場合、継続的に新しい動的フィルタを設定して、動的に変化するトラフィック状態に合わせて保護レベルを調整するためです。


) 必要のない動的フィルタが再作成されないようにするには、それらのフィルタを作成しているポリシーを無効にします。詳細については、「ポリシーの設定」を参照してください。不要な動的フィルタを作成したポリシーを発見するには、この章の動的フィルタの表示に関する項を参照してください。

または、次のいずれかの手順を実行します。

対象となるトラフィック フローにバイパス フィルタを設定する。詳細については、「バイパス フィルタの設定」を参照してください。

不要な動的フィルタを作成したポリシーのしきい値を大きくする。詳細については、「パラメータの設定」を参照してください。


 

インタラクティブ推奨モード

インタラクティブ推奨モードでは、Detector でポリシーのどのフィルタを有効にするかについて、推奨事項が発生したときに決定できます。Detector は、フィルタの有効化を受け入れるか無視するかについて、ユーザの決定に従って動作します。このため、Detector で実行するアクションをリアルタイムで決定することができます。インタラクティブ モードでは、Detector で保護手段を有効にするかどうかを DDoS 攻撃の進行中に制御できます。

推奨事項は、動的フィルタを作成したポリシーに基づいて保留になっている、動的フィルタの要約です。この情報には、推奨事項を提示したポリシーの名前、ポリシー有効化の原因になった異常なトラフィックのデータ、保留中のフィルタの数、および推奨アクションが含まれています。

インタラクティブ推奨モードの詳細については、『 Cisco Traffic Anomaly Detector
User Guide
』を参照してください。

インタラクティブ推奨モードの有効化

運用モードは、ゾーンごとに設定します。

インタラクティブ推奨モードを有効にするには、次の手順を実行します。


ステップ 1 ゾーンのメイン メニューの Configuration > General を選択します。

ステップ 2 最初のテーブルの下にある Config ボタンをクリックします。

ステップ 3 運用モードを interactive に設定し、 OK をクリックします。


 

詳細については、「ゾーンの管理」を参照してください。

インタラクティブ モードは、いつでも運用を停止して自動運用モードに戻すことができます。Detector は、インタラクティブ モードで決定した設定をすべて破棄します。ポリシーは、再びフィルタを自動的に作成して有効にするようになり、保留になっている動的フィルタおよび推奨事項もすべて自動的に受け入れます。

新しい推奨事項の表示

次のアイコンは、新しい推奨事項があることを示しています。

推奨事項のアイコンは、次の位置に表示されます。

ナビゲーション ペインにある、 All Zones リストのゾーン アイコンの隣

ナビゲーション ペインにある、 Under detection リストのゾーン アイコンの隣

ゾーンのホーム ページにある、ゾーンのステータス バー

ゾーン リストのテーブル

Detector に新しい推奨事項がある場合は、保留中の動的フィルタの数が 0 を超えています。このフィルタは、ゾーンのホーム ページにあるゾーンのステータス要約の Pending Dynamic filters で確認できます。

新しい推奨事項を表示するには、次のいずれかの手順を実行します。

ゾーンのメイン メニューの Detection > Recommendations を選択します。

ゾーンのホーム ページで、ゾーンのステータス要約の Pending Dynamic
filters
をクリックします。

図 7-4 推奨事項

 

表 7-3 に、推奨事項テーブル(図 7-4)に含まれているフィールドの説明を示します。

表 7-3 推奨事項に含まれているフィールドの説明

フィールド
説明

ID

保護に関する推奨事項の ID 番号。

Recommendation

推奨されているアクション。

Created By

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「パラメータの設定」を参照してください。

# of PFs

推奨事項を構成している保留中の動的フィルタの数。保留になっている各フィルタは、トラフィック フローがポリシーのしきい値を超過した結果、作成されたものです。数値をクリックすると、推奨事項を構成している保留中の動的フィルタが表示されます。

Attack flow

攻撃フローに関する情報を提供します。

Src IP :攻撃ストリームの送信元 IP アドレス。

Protocol :攻撃ストリームのプロトコル番号。

Dst Port :攻撃ストリームの宛先ポート。

Dst IP :攻撃ストリームの宛先 IP アドレス。

Thr.

超過したポリシーしきい値。

Min.

攻撃レートの最小値。いくつかの保留中フィルタを含んでいる推奨事項において、保留中のフィルタの最小のレートが表示されます。

Max.

攻撃レートの最大値。いくつかの保留中フィルタを含んでいる推奨事項において、保留中のフィルタの最大のレートが表示されます。

Creation

推奨事項が作成された日時。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

フィルタのパラメータとして、複数の値が計測された。

Detector の推奨事項への対応

Detector では、推奨事項にどう対応するかをユーザが決定できます。決定した内容によって、保留中のフィルタが有効になるか、無効になるかが決まります。特定のポリシーで保留になったフィルタを、常に自動的に有効にすることもできます。このように設定すると、Detector はそのポリシーのフィルタを決定対象として表示しなくなります。

Detector では、ポリシーが推奨事項(および保留フィルタ)を作成しないように指定することができます。ポリシーが推奨事項を作成しないようにするには、ポリシーをディセーブルにするか、無効にします。詳細については、「パラメータの設定」を参照してください。

DDoS 攻撃は持続的なもので、その特性も変化するため、Detector のポリシーは継続的に推奨事項を作成し、表示してユーザの対応を待ちます。攻撃の進行中に、運用モードを自動運用モードに変更することもできます。

Detector では、ポリシーが作成した動的フィルタは少なくともユーザが定義した
期間中( Filters timeout )は有効になります。詳細については、「動的フィルタ」を参照してください。

Detector の推奨事項への対応を決定するには、次の手順を実行します。


ステップ 1 フィルタのタイムアウトを Filters timeout ボックスに入力します。

ステップ 2 推奨事項の隣にあるチェックボックスをオンにします。

ステップ 3 必要なアクションを選択します。


 

表 7-4 に、推奨事項への対応として実行するアクションの説明を示します。

表 7-4 推奨事項への対応アクション

アクション
説明

Accept

特定の推奨事項を受け入れます。推奨されている保留中のフィルタが有効になります。

Always accept

特定の推奨事項を受け入れます。この推奨事項を作成したポリシーが新しい推奨事項を作成するたびに、自動的に受け入れます。

Detector は、 always-accept 推奨事項を表示しません。

Always ignore

特定の推奨事項を無視します。この推奨事項に基づく動的フィルタおよびフィルタは作成されません。この推奨事項を作成したポリシーが作成する将来の推奨事項は、すべて自動的に無視されます。

将来の動的フィルタは、現在の検出でのみ無視されます。ポリシーが推奨事項を作成しないようにするには、ポリシーをディセーブルにするか、無効にします。

推奨事項を受け入れるのではなく、保留中の動的フィルタの一部を選択して受け入れることもできます。

保留中の動的フィルタ

保留中の動的フィルタは、しきい値を超過した各フローを計測します。同じポリシーが作成した保留中の動的フィルタは、1 つの推奨事項として表示されます。

保留中の動的フィルタを表示するには、推奨事項テーブル(図 7-4 を参照)にある保留中フィルタの数( # of PFs カラム)をクリックします。

図 7-5 保留中の動的フィルタ

 

表 7-5 に、保留中の動的フィルタに含まれているフィールド(図 7-5)の説明を示します。

表 7-5 保留中の動的フィルタに含まれているフィールドの説明

パラメータ
説明

Created by

フィルタを作成したポリシーを示します。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシー」を参照してください。

Activation

フィルタが作成された日時。

Src IP

攻撃ストリームの送信元 IP アドレス。

Protocol

攻撃ストリームのプロトコル番号。

Dst Port

攻撃ストリームの宛先ポート。

Fragments

攻撃ストリームの中に、断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。

Recent rate

現在の攻撃レート。

Trig.Rate (pps)

トリガー レート(動的フィルタの作成原因となった攻撃の概算レート)。

Details

このフィルタに関する追加情報が存在するかどうかを示します。 i をクリックすると、追加情報が表示されます。

保留中の動的フィルタの一部を選択して受け入れるには、必要なフィルタの隣にあるチェックボックスをオンにし、 Accept をクリックします。

動的フィルタに対しては、タイムアウトを定義できます( Filters timeout )。ポリシーによって作成された動的フィルタは、ユーザの定義した期限まで有効になります。詳細については、「動的フィルタ」を参照してください。

フィルタの詳細情報を表示するには、Details カラム(図 7-6)の i をクリックします。

図 7-6 保留中の動的フィルタの詳細

 

保留中の動的フィルタの詳細には、次の 3 つのテーブルが含まれています。

フィルタを作成したポリシーに関する情報。

攻撃フローに関する情報。

フィルタを作成したトリガーに関する情報。 表 7-2 を参照してください。