Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
ゾーンの統計情報と診断
ゾーンの統計情報と診断
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンの統計情報と診断

ゾーンのカウンタ

トラフィックの分析

ゾーンのイベント ログ

ゾーンでの検出の要約レポート

検出のグラフ

攻撃に関する統計情報

攻撃ごとの要約

ゾーン攻撃レポート

全般的な詳細情報

攻撃に関する統計情報

検出された異常

検出された異常の詳細

ポリシーの統計情報の表示

ゾーンの統計情報と診断

ここでは、Web-Based Management (WBM)を使用して Cisco Traffic Anomaly Detector でゾーンを監視し、ゾーンのさまざまな統計情報と診断を表示する方法について説明します。

この章は、次の項で構成されています。

ゾーンのカウンタ

ゾーンのイベント ログ

ゾーンでの検出の要約レポート

ゾーン攻撃レポート

ポリシーの統計情報の表示

ゾーンのカウンタ

ゾーンのカウンタ(図 8-1)を利用すると、ゾーンのトラフィックを分析してゾーンのステータスを確認し、ゾーンで検出が適切に機能しているかどうかを判断できます。ゾーンのカウンタでは、一定期間(設定可能)中の推移をグラフとして表示し、ゾーンで検出がどのように進行しているかを確認できます。この情報は、現在のゾーンに関するものです。

ゾーンのカウンタを表示するには、対象となるゾーンを選択し、ゾーンのメイン メニューの Diagnostics > Counters を選択します。

図 8-1 ゾーンのカウンタ

 

 

Received カウンタは、現在のゾーンに関して Detector で受信および処理した合計パケットに関する情報を提供します。

Received カウンタでは、次の情報を入手できます。

Packets :カウンタが有効になった時点からの、ゾーンが送信先となっていたパケットの総数。

Bits :カウンタがリロードされた時点からの、ゾーンが送信先となっていた総ビット数。

pps :ゾーンが送信先となっているトラフィックの現在のレート(パケット/秒単位)。

bps :ゾーンが送信先となっているトラフィックの現在のレート(bps 単位)。

デフォルトでは、最近 2 時間の正当なトラフィックと悪意のあるトラフィックのカウンタが bps 単位で表示されます。

グラフの設定を変更するには、次の手順を実行します。


ステップ 1 カウンタのチェックボックスをオンにして、グラフに表示するカウンタを追加します。

ステップ 2 グラフの対象期間をドロップダウン リストから選択します。

ステップ 3 タイプをドロップダウン リストから選択します。

ステップ 4 Update Graph をクリックして、グラフを新しい設定でアップデートします。


 

グラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが、選択した単位で表示されます。

トラフィックの分析

トラフィックがゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。ここでは、発生する可能性のある問題とその解決策を示し、トラフィック フローの分析に役立つ情報を提供します。

Received packets が 0 を超えている場合は、トラフィック フローがゾーンに適切に送信されていることを示します。

Received packets が 0 である場合は、次のいずれかに該当している可能性があります。

Detector で受信したパケットの現在のレート(pps または bps)、またはスイッチ/ルータ上の同じポートに接続されているゾーンで受信したパケットの現在のレート(pps または bps)も 0 である場合は、次のいずれかの問題が発生している可能性があります。

ポート ミラーリングの設定。

ゾーンが送信先となっているトラフィックが、Detector の接続先のス
イッチまたはルータに到達する前にブロックされている。

Detector で受信したパケットの現在のレート(pps または bps)、またはスイッチ/ルータ上の同じポートに接続されている他のゾーンで受信したパケットの現在のレート(pps または bps)が 0 を超えている場合は、ゾーンにバイパス フィルタが定義されていないことを確認してください。

 

ゾーンのイベント ログ

ゾーンのイベント ログ(図 8-2)には、監視とトラブルシューティングに役立つ情報が提供されます。

ゾーンのイベント ログを表示するには、ゾーンのメイン メニューの Diagnostics > Event log を選択します。

図 8-2 ゾーンのイベント ログ

 

表 8-1 に、さまざまな重大度レベルの説明を示します。

 

表 8-1 イベント ログの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

イベントを重大度レベルに基づいてフィルタリングするには、必要な重大度レベルのチェックボックスをオンにし、 Filter Events をクリックします。

指定した重大度レベルを持つイベントのみが表示されます。

ゾーンでの検出の要約レポート

Detector では、ゾーンで検出された攻撃を明確にわかりやすく提示するために、ゾーンごとの検出の要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Detector は、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。データはグラフ形式でも表示されます。

ゾーンでの検出の要約レポートを表示するには、ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。

ゾーンでの検出の要約レポートが表示されます。レポートには、次の 3 つのセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。

検出のグラフ

攻撃に関する統計情報

攻撃ごとの要約

デフォルトでは、先月分に関するレポートが表示されます。

検出の要約レポートの期間を変更するには、次の手順を実行します。


ステップ 1 レポートの Period from および to に日付を入力します。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 2 Get Reports をクリックします。


 

検出のグラフ

検出のグラフには、ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。

図 8-3 ゾーンでの検出の要約レポート:検出のグラフ

 

 

X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。


) 攻撃レポートにアクセスするには、攻撃バーをクリックします(「ゾーン攻撃レポート」を参照)。


攻撃に関する統計情報

攻撃に関する統計情報のテーブル(図 8-4)には、ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます。

図 8-4 ゾーンでの検出の要約レポート:攻撃に関する統計情報

 

表 8-2 に、レポートに含まれているフィールドの説明を示します。

表 8-2 攻撃に関する統計情報のレポートに含まれているフィールドの説明

フィールド
説明

Attacks Detected

検出された攻撃の数。

Attacks Duration

検出された攻撃の持続期間の集計。

Max. Traffic Rate

ゾーンが送信先となっていた悪意のあるトラフィックの最大レート。

Total Rx

ゾーンが送信先となっていたトラフィックの合計レート。

攻撃ごとの要約

攻撃ごとの要約では、定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます。

図 8-5 ゾーンでの検出の要約レポート:攻撃ごとの要約

 

表 8-3 に、テーブルのカラムに含まれているフィールドの説明を示します。

表 8-3 要約レポートに含まれているフィールドの説明

フィールド
説明

#

検出された攻撃の識別番号(ID)。

Start time

検出された攻撃の発生日時。

Duration

検出された攻撃の持続期間(時、分、および秒)。

Type

検出された攻撃のタイプ。表示される値は、次のいずれかです。

Tcp connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Detector のスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Fragments :異常な量の断片化トラフィックが検出されたフロー。

Hybrid :特性の異なる複数の攻撃で構成された攻撃。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザが検出した異常フロー。

Peak (pps)

攻撃レートの最大値(パケット/秒単位)。

Received Pkts

攻撃進行中に Detector が処理した、ゾーンが送信先となっていたパケットの総数。


) 攻撃レポートにアクセスするには、いずれかのフィールドをクリックします(「ゾーン攻撃レポート」を参照)。


ゾーン攻撃レポート

Detector では、すべてのゾーンに対する攻撃を明確にわかりやすく提示するために、攻撃レポートを提供しています。攻撃レポートには、最初の動的フィルタが作成された時点から、ユーザによる指示またはタイムアウト パラメータのアクションによって検出が終了するまでの、攻撃の詳細が示されています。Detector は、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。攻撃レポートは、過去および現在の攻撃について入手できます。

ゾーンの攻撃レポートを表示するには、次の手順を実行します。


ステップ 1 対象となるゾーンを選択します。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。

ステップ 3 攻撃の詳細を表示するには、次のいずれかの手順を実行します。

「検出のグラフ」の攻撃バーをクリックします。

または、次の操作を行います。

「攻撃ごとの要約」のテーブルに含まれている攻撃のいずれかのフィールドをクリックします。


 


) 攻撃が進行しているときは、攻撃を受けているゾーンのホーム ページに Report ボタンが表示されます。


現在の攻撃レポートを表示するには、次のいずれかの手順を実行します。

ゾーンのホーム ページの Report をクリックします。

または、次の操作を行います。

ゾーンのメイン メニューの Diagnostics > Attack Reports を選択し、「攻撃ごとの要約」テーブルにある進行している攻撃のいずれかのフィールドをクリックします。

攻撃レポートには、次のセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。

全般的な詳細情報

攻撃に関する統計情報

検出された異常

全般的な詳細情報

レポートの最初のセクション(図 8-6)には、攻撃の日時に関する情報が示されます。攻撃の開始日時、終了日時、および持続期間が含まれています。

レポートの詳細を表示するには、 i または Show details for all events をクリックします。

図 8-6 攻撃レポート:全般的な詳細情報

 

 

カウンタは、レートを除いてすべて整数値です。統計情報の単位は、ドロップダウン リストから選択することができます。

統計情報の単位を変更するには、ドロップダウン リストから単位を選択し、 Set units をクリックします。

攻撃に関する統計情報

Attack Statistics には、受信したパケットに関する情報が示されます。 表 8-4 に、提供される情報の説明を示します。

表 8-4 攻撃に関する統計情報

フィールド
説明

Total

このカテゴリに該当するパケットの総数。

Max Rate

計測されたパケット レートの最大値。

Average Rate

平均のパケット レート。

トラフィック レートは、「全般的な詳細情報」セクションのドロップダウン リストで選択した単位で表示されます。

検出された異常

Detected Anomalies テーブル(図 8-7)には、Detector がゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの作成を必要とするフローは、トラフィック異常として分類されます。これらの異常は頻繁に発生するものではなく、組織的な DDoS 攻撃に変化する可能性があります。Detector では、タイプとフロー パラメータ(送信元 IP アドレス、宛先ポートなど)が同じトラフィック異常を 1 つのトラフィック異常タイプとしてまとめます。

図 8-7 攻撃レポート:検出された異常

 

それぞれの異常について、次の情報が提供されます。

 

表 8-5 Detected Anomalies に含まれているフィールドの説明

フィールド
説明

#

検出された異常の識別番号(ID)。

Start time

異常を検出した日時。

Duration

異常の持続期間(時、分、および秒)。

Type

検出した異常のタイプ。表示される値は、次のいずれかです。

Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Detector のスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Fragments :異常な量の断片化トラフィックが検出されたフロー。

TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザ定義によって検出された異常フロー。

Triggering rate

ポリシーのしきい値を超過した異常トラフィックのレート。

% Threshold

ポリシーのしきい値をトリガー レートが上回った割合。

Anomaly Flow

異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

異常フローが特定のポートで発生している場合は、dst= ip address : port と表示されます。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

異常トラフィックのパラメータとして、複数の値が計測された。

パラメータの値が # になっている場合は、その異常トラフィックのパラメータとして計測された値の数を示します。

検出された異常の詳細

検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。

検出された異常の詳細のテーブルを表示するには、Detected Anomalies テーブルで、トラフィック異常の Details カラムにある i をクリックします。

次の情報が提供されます。

 

表 8-6 検出された異常の詳細に含まれているフィールドの説明

フィールド
説明

Start time

異常を検出した日時。

End time

動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :検出された異常が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

検出され、動的フィルタの作成原因となった攻撃フローについて、次の情報を示します。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :検出されたトラフィック フローの断片化特性を示します。

Type :検出された異常のタイプ。詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

Action flow

動的フィルタによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の送信元 IP の特定の送信元ポートを示すのに対して、アクション フローは特定の送信元 IP のすべての送信元ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP。

Src Port :送信元ポート。

Dst IP :宛先 IP。

Dst Port :宛先ポート。

frag. :アクション フローの断片化特性を示します。

ポリシーの統計情報の表示

ポリシーの統計情報のテーブル(図 8-8)を使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。

ポリシーの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。

図 8-8 ポリシーの統計情報のテーブル

 

ポリシーの統計情報のテーブルでは、3 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。

Rate ポリシーを通過するトラフィック フローのレート。

Ratio SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。

Connections :同時接続または送信元 IP の数。この情報は、tcp_connections ポリシーおよび次のパケット タイプについてのみ表示されます。

analysis モジュールの in_nodata_conns

管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。

画面フィルタを設定するには、 Set Screen Filter をクリックし、パラメータの値を Policy Filter のドロップダウン リストから選択して、 OK をクリックします。

指定した基準を満たすポリシーのリストが表示されます。選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。


) いずれかのパラメータを変更すると、その下に表示されているパラメータがすべて自動的に消去されるため、新しい値を入力する必要があります。


表 8-7 に、ポリシーの統計情報に含まれているフィールドの説明を示します。

表 8-7 ポリシーの統計情報

フィールド
説明

Policy template

ポリシーの構築に使用されたポリシー テンプレート。

Service

ポリシーに関連付けられているサービス。

Level

トラフィック フローの処理に使用されたモジュール。

Type

パケットのタイプ。表示される値は、次のいずれかです。

auth_pkts :TCP ハンドシェイクまたは UDP 認証を受けたパケット。

in_nodata_conns :接続でデータ転送が発生していない、ゾーンへの着信接続(データ ペイロードを含んでいないパケット)。

in_pkts :ゾーンに着信する DNS クエリー パケット。

in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。

out_pkts :ゾーンに着信する DNS 応答パケット。

reqs :データ ペイロードを含んだ要求パケット。

syns :同期パケット(TCP の SYN フラグ付きパケット)。

syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。SYN フラグ付きパケット数と FIN フラグ付きパケット数の比率を確認してください。

unauth_pkts :TCP ハンドシェイクを受けていないパケット。

pkts :同じ検出レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。

Policy

ポリシー。

Key

ポリシーの集約に使用されたキー(トラフィックの特性)。表示される値は、次のいずれかです。

dst_ip :ゾーンの IP アドレスが送信先となっているトラフィック。

dst_ip_ratio :特定の IP アドレスが送信先となっている
SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

dst_port_ratio :特定のポートが送信先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。

src_ip :送信元 IP アドレスに基づいて集約された、ゾーンが送信先となっているトラフィック。

src_net :送信元サブネットの IP アドレスに基づいて集約された、ゾーンが送信先となっているトラフィック。

dst_port :ゾーンの特定のポートが送信先となっているトラフィック。

protocol :プロトコルに基づいて集約された、ゾーンが送信先となっているトラフィック。

src_ip_many_dst_ips :これは IP スキャニングに使用されるキーです。単一の IP からゾーンの多数の IP アドレスに送信されるトラフィックです。

src_ip_many_port :これはポート スキャニングに使用されるキーです。単一の IP からゾーンの多数のポートに送信先されるトラフィックです。

Value

接続のレート、比率、または数。テーブルのセクションに応じて異なります。各セクションの情報は値に基づいてソートされ、最も大きい値が最初に表示されます。