Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
用語集
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

 


A
Analysis モジュール
このモジュールは、Detector が保護モードで運用されているときに有効になります。DDoS 攻撃の兆候がないときは、Detector は宛先変更したゾーン トラフィックをこのモジュールに通します。Analysis モジュールは、ゾーンのトラフィックを阻害せずにそのまま転送します。モジュールはフローを分析して、認識モジュールでサンプリングできるようにします。
ARP リダイレクト アタック
ローカル サブネットへの ARP プロトコルを利用した攻撃。

 


D
DDoS
「分散型サービス拒絶(DDoS)攻撃」を参照してください。
Detector イベント ログ
Detector のアクティビティ、現在のイベント、実行したアクション、および対応手段を記録したログ ファイル。
Detector ユーザ コミュニティ(権限ドメイン)
Detector は、いくつかのユーザ グループ(Show、Dynamic、Configuration、および
Administrator)に対してアクセス ドメインをイネーブルにします。これらのグループは、権限、つまり操作の実行可能範囲によって分類されています。最高かつ最大の権限を付与されているのは Administrator で、権限が最も小さいのは Show ユーザ レベルです。
dns_tcp
DNS-TCP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。
dns_udp
DNS-UDP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。
DNS アタック
DNS サーバを飽和状態にする DNS 要求のフラッド。

 


F
404 File Not Found フラッド
無効なコンテンツまたはファイルを要求する、Web サーバを直接のターゲットとした有効な HTTP 要求のフラッド。セキュリティ ポリシーを確認し、エンド ユーザに対する効果を測定するために使用されます。
FIN フラッド
無効な送信元からターゲット ノードに送信される接続リセットのフラッド。標的となるターゲットのネットワーク リソースを消費させます。FIN フラッドは、ファイアウォール ポリシーまたはルータ ポリシーが適切かどうかを確認するためにも使用されます。
Fraggle アタック
ブロードキャスト アドレスに返信先指定付きの UDP 要求を送信します。偽装された要求送信元アドレスが、攻撃のターゲットになります。返信先指定の付いたブロードキャスト要求を受信した側は、要求に応答し、ターゲット ネットワークをフラッドで飽和させます。この攻撃は Smurf アタックに似ていますが、ICMP ではなくブロードキャスト アドレス宛の UDP をトラフィック増幅に使用します。
fragments
断片化されたトラフィックに関連する一連のポリシーを作成するポリシー テンプレート。

 


G
Guard
ネットワーク要素を DDoS 攻撃から保護するために設計されたシステム。
GUI
グラフィカル ユーザ インターフェイスの略称。

 


H
http
ポート 80 (またはユーザ設定ポート)を経由する HTTP トラフィック(デフォルト)に関連する一連のポリシーを作成するポリシー テンプレート。
HTTP 接続フラッド
Web サーバの接続リソースをターゲットとした HTTP ハーフ要求のフラッド。また、ファイアウォール ポリシー(送信元に基づいて接続を制限するポリシー)が適切かどうかを確認するためにも使用されます。Web サーバまたは OS でネットワーク レベルの障害が発生し、クライアント側でも接続の失敗として現れ、ネットワークの耐障害性に影響を及ぼします。
https
(Hypertext Transfer Protocol over Secure Socket Layer、または HTTP over SSL)ユーザのページ要求、および Web サーバから返信されるページを暗号化および復号化するための、Netscape 社が開発したブラウザ組み込み Web プロトコル。HTTPS では、通常の HTTP アプリケーション レイヤの下で Secure Socket Layer (SSL)をサブレイヤとして使用します(下層の TCP/IP との対話には、HTTP ポート 80 ではなくポート 443 を使用します)。

 


I
ICMP リダイレクト アタック
ICMP リダイレクトによって、ターゲットとなったシステムでデータ過負荷が発生することがあります。
ICMP 到達不能アタック
攻撃者が、スプーフィングされたアドレスからホストに ICMP 到達不能パケットを送信します。この結果、ホストからスプーフィングされたアドレスへの正当な TCP 接続がすべて強制終了します。結果として、TCP セッションが再試行されてさらに多くの ICMP 到達不能パケットが送信されるため、DoS 状態が発生します。
ip_scan
IP スキャニング(送信元の IP が、ゾーン内の多数の宛先 IP にアクセスしようとしている状況)に関連する一連のポリシーを作成するポリシー テンプレート。「IP スキャニング」を参照してください。
IP フラグメンテーション アタック
Web サーバをターゲットとした、非常に細かく断片化された有効な HTTP 要求のフラッド。IDS に負荷をかけます。IDS システムの復旧能力とスケーラビリティを測定するために使用されます。
IP スキャニング
攻撃者がネットワークのホストに大量のクエリーを送信して、トラフィック送信先にできるホスト(IP アドレス)を見つけ出そうとする行為。IP スキャニングは、攻撃に対して脆弱なターゲットを見つけ出すためにインターネット上でしばしば使用されます。
IRDP アタック
ICMP Router Discovery Protocol はスプーフィングされる可能性があり、Window マシンに偽りのルーティング エントリが入力されることがあります。IRDP では認証が発生しません。Microsoft Windows 95 または Microsoft Windows 98 を実行するシステムは、起動すると常に 3 つの ICMP ルータ送信要求パケットを 224.0.0.2 マルチキャスト アドレスに送信します。このマシンは、DHCP クライアントとして設定されていない場合、ホストに返信されるルータ アドバタイズメントをすべて無視します。ただし、DHCP クライアントとして設定されている場合は、Windows マシンは返信されるルータ アドバタイズメントをすべて受け入れ、処理します。

 


L
Land アタック
送信されたパケットの送信元 IP アドレスと宛先 IP アドレスが同一になっていて、応答のループが発生します。

 


N
notify
ポリシーのしきい値を超過した場合に、ユーザに通知するポリシー アクション。

 


O
open/close アタック
open/close アタックは、inetd を使用して外部サービスによってサービスされているいずれかのポートに対して、接続を頻繁にオープンおよびクローズするものです。許容される接続の数は、inetd の内部にハード コーディングされています。
other_protocols
TCP および UDP 以外のプロトコルに関連する一連のポリシーを作成するポリシー テンプレート。

 


P
ping フラッド
ICMP echo 要求のフラッド。ルータ、ファイアウォール、ロード バランサ、および Web サーバに負荷をかけます。エンドユーザに対する応答時間の増大や接続の失敗が発生し、耐障害性に影響を及ぼします。
Ping of Death
65536 バイトを超える大きな ICMP パケット。Ping of Death アタックによってシステムがダウンすることがあります。
port_scan
ポート スキャニング(送信元の IP が、ゾーン内の多数の宛先ポートにアクセスしようとしている状況)に関連する一連のポリシーを作成するポリシー テンプレート。「ポート スキャニング」を参照してください。

 


S
Secure Shell (SSH)による管理
ユーザは、Secure Shell (SSH)を利用してあらゆるネットワークから Detector にアクセスし、Detector を制御することができます。
Smurf フラッド
ブロードキャスト アドレスに送信される、返信先指定付きの ICMP (インターネット制御メッセージ プロトコル) ping 要求。偽装された要求送信元アドレスが、攻撃のターゲットになります。返信先指定の付いたブロードキャスト ping 要求を受信した側は、要求に応答し、ターゲット ネットワークをフラッドで飽和させます。
SYN フラッド
無効な送信元からターゲット ノードに送信される接続要求のフラッド。標的となるターゲットのネットワーク リソースを消費させます。また、ファイアウォール ポリシーまたはルータ ポリシーが適切かどうかを確認するためにも使用されます。

 


T
Targa アタック
無効な ICMP パケット、UDP パケット、および TCP パケットのフラッド。
tcp_connections
TCP 接続の特性に関連する一連のポリシーを作成するポリシー テンプレート。
TCP_NO_PROXY ポリシー テンプレート
TCP プロキシを使用しないゾーン用に設計されたテンプレート。このテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。
tcp_not_auth
Detector のスプーフィング防止メカニズムで認証されていない TCP 接続に関連する一連のポリシーを作成するポリシー テンプレート。
tcp_outgoing
このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。
tcp_ratio
このポリシー テンプレートは、さまざまなタイプの TCP パケットの比率(SYN パケットと FIN/RST パケットの比率など)に関連する一連のポリシーを作成します。
tcp_services
HTTP (ポート 80 やポート 8080 など)に関連しないポート上の TCP サービスに関連する一連のポリシーを作成するポリシー テンプレート。
TCP フラッド
TCP 通信では、TCP 接続ごとに一定のリソースが割り当てられます。悪意のあるホストが TCP 接続の確立と放棄を繰り返すと、サーバの大量のリソースを停滞させることができます。
TCP セグメンテーション
Web サーバまたはアプリケーション サーバをターゲットとした、非常に細かくセグメント化された TCP パケットのフラッド。この攻撃は、IDS とターゲット マシンの TCP スタックの両方に負荷をかけます。
Teardrop アタック
重複する IP フラグメントを送信します。
to-user-filters
トラフィックをユーザ フィルタに転送するアクション(ポリシーまたは動的フィルタで設定)。

 


U
UDP フラッド アタック
ルータ、ファイアウォール、ロード バランサ、および IDS システムをターゲットとした、多数の未加工 UDP (ユーザ データグラム プロトコル)パケットのフラッド。この攻撃は、ネットワークのリソースを停滞させます。
udp_services
UDP サービスに関連する一連のポリシーを作成するテンプレート。
UDP リフレクタ アタック
Web サーバ、DNS サーバ、およびルータは、SYN などの TCP パケットに応答して SYN 確認応答または RST を返し、クエリー要求に応答してクエリー応答を返し、特定の IP パケットに応答して ICMP Time Exceeded または ICMP Host Unreachable を返すため、すべてリフレクタです。スレーブ側の IP アドレスがスプーフィングされると、大量の DDoS 攻撃が実行されるおそれがあります。
URL アタック
URL アタックは、さまざまな手法で HTTP サーバを過負荷状態にしようとする攻撃です。たとえば、HTTP ボムを使用する、同じホーム ページや大規模な Web ページに持続的に要求を送信する、ページの表示更新要求を送信してプロキシ サーバをバイパスするなどの手口があります。これらの攻撃の多くは、ゾンビ攻撃ではなく人間が数百人規模で同時に実行するものです。

 


V
VPN アタック
特殊な細工を施した GRE パケットまたは IPIP パケットを使用して、VPN の宛先アドレスを攻撃します。

 


W
WBM
「Web Based Management」を参照してください。
Web Based Management
ブラウザを使用して Web 経由で Detector 保護およびゾーンを管理できるようにする(Detector の設定手順を除く)、HTTP を利用した Detector GUI インターフェイス。

 


アクセス コントロール リスト(ACL)
ACL は、ネットワークへのアクセスを制限するための基本的な手段として機能します。一連の許可条件と拒否条件を記述したリストで構成されます。このリストには、デバイス(通常はルータ)を通過できる接続を定義します。

 


インタラクティブ
ゾーンの検出モードの 1 つ。ユーザは、動的フィルタをインタラクティブ方式で有効にします。ポリシーの推奨する動的フィルタが推奨事項として表示され、ユーザは、実行するアクションをフィルタごとに指定します。

 


クライアント攻撃
正当な送信元からの攻撃。ハーフ接続を開いてサーバを過負荷状態にします。

 


検出ポリシー
Detector のポリシーは、特定のトラフィック フローを計測して、しきい値を超過した場合にアクションを実行するメカニズムです。ポリシーは、動的フィルタの作成を Detector に指示するなどのアクションを実行します。動的フィルタで実行できるアクションは、単なる通知から、リモート Guard を有効にしてゾーンを DDoS 攻撃から保護することにまで及びます。

 


コマンドライン インターフェイス(CLI)
ユーザが操作を実行するためのプロンプトライン インターフェイス。
コンビネーション攻撃
マルチプラットフォームの DoS 攻撃。BONK、JOLT、Land、Nestea、Netear、SynDrop、および Winnuke を統合して 1 つの攻撃に編成したものです。ルータ、ファイアウォール、Web サーバ、IDS システムなどのあらゆるネットワーク ノードをターゲットにします。

 


サービス拒絶(DoS)攻撃
コンピュータ通信プロトコルを利用して、コンピュータ ネットワーク通信を妨害する行為の一種。この攻撃の目的は、偽りのデータを使用してターゲットを過負荷にし、正当な接続試行を失敗させることです。DoS 攻撃では、ターゲット システムに侵入することを目的とした攻撃とは異なり、機密データが攻撃者の手に渡ることはありません。この種の攻撃では、高度な技術を持った攻撃者が重要なネットワーク ジャンクションを攻撃し、ネットワークとサーバをダウンさせることを狙います。攻撃が成功すると、資金およびリソースを大きく損失します。DoS 攻撃の例としては、SYN フラッド、トライブ フラッド ネットワーク(TFN)、および Ping of Death があります。
最大転送単位(MTU)
ネットワーク上で転送できる最大のフレーム サイズ。MTU よりも大きなメッセージは、小さなフレームに分割する必要があります。

 


しきい値調整フェーズ
Detector がゾーンのトラフィックをさらに分析し、ポリシー構築フェーズで構築されたポリシーのしきい値を定義するフェーズです。このフェーズでは、ゾーンのサービスのトラフィック レートに合わせてポリシーが調整されます。

 


推奨事項
推奨事項は、ポリシーが作成したフィルタを有効にするかどうかについて、ユーザが決定できるようにするメカニズムです。推奨事項が作成されるのは、ゾーンがインタラクティブ モードに設定されている場合です。推奨事項は、動的フィルタを作成したポリシーに基づいて保留になっている、一連の動的フィルタの要約です。
スナップショット
ラーニング プロセスの結果の確認に使用される Detector メカニズム。
スプーフィング防止
IP スプーフィングと呼ばれる手法でネットワークに不正アクセスすることを防止するセキュリティ機能。「IP スプーフィング」を参照してください。
スプーフィングを利用した攻撃
コンピュータ システムに不正にアクセスするために、インターネットの送信データに偽りの送信元 IP アドレスを挿入する DDoS 攻撃手法。コンピュータ システムには、要求は信頼済みの送信元から送信されたように見えますが、応答パケットを当初の送信元にルーティングすることができません。IP スプーフィングが実行されると、不要なネットワーク輻輳やサービス拒絶状態が発生するおそれがあります。

 


ゾーン
Detector で保護の対象となるネットワーク要素。また、保護されているゾーンに関連するすべてのデータ(設定、ポリシー、フィルタなど)を含んだ Detector ファイル。
ゾンビ
分散型サービス拒絶攻撃(DDoS)において、意識しないままに参加者として機能しているデバイス。
ゾンビ攻撃
ゾンビ攻撃は、意識しないままに参加者として DDoS 攻撃を仕掛けるマシンを利用した攻撃の一種です。攻撃者はまず、最終的なターゲットではない、悪意のない多数のユーザにトロイの木馬を埋め込みます。このトロイの木馬に対して、ゾーンに「正当な」接続を実行するように指示します。

 


帯域幅飽和フラッド
Web サーバをターゲットとした、静的コンテンツを要求する単純な HTTP 要求によるフラッド。ルータ、ファイアウォール、IDS、およびロード バランサに負荷をかけます。これらのいずれかのノードで障害が発生すると、ネットワークの耐障害性に影響を及ぼします。

 


動的フィルタ
動的フィルタは、トラフィック フローを分析した結果として Detector が作成します。DDoS 攻撃をフィルタリングして排除するために使用されます。この一連のフィルタは、ゾーンのトラフィックおよび特定の DDoS 攻撃に合わせて継続的に調整されます。

 


ネットワーク タイム プロトコル(NTP)
Detector を時刻同期サーバと同期するためのプロトコル。

 


バイパス フィルタ
所定のトラフィック フローが Detector の保護メカニズムをバイパスすることを、ユーザが指定できるフィルタ。このフィルタを利用すると、Detector の保護ポリシーに合わせて Detector を適切に適用することができます。

 


フィルタ
フィルタは、宛先変更されたトラフィックを必要な保護モジュールに転送するためのメカニズムです。Detector を使用して優先フィルタを設定すると、さまざまなケース別にトラフィック転送メカニズムおよび DDoS 攻撃防止メカニズムをカスタマイズできます。
フラグメンテーション アタック
「IP フラグメンテーション アタック」を参照してください。
フレックス フィルタ
フレックス フィルタは、IP ヘッダーおよび TCP ヘッダーのフィールドに基づいたフィルタリングや、コンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能をユーザに提供するバークリー パケット フィルタです。複雑なブール式を使用することができます。フレックス フィルタは、指定したパケット フローをカウントするために使用されます。
分散型サービス拒絶(DDoS)攻撃
複数の送信元から開始される、サイトまたはサーバに対するサービス拒絶攻撃。この攻撃では、密かに制御を奪ったサーバを攻撃伝送用のエージェントとして機能させ、攻撃を実行することがあります。多くの場合、攻撃者はクライアント ソフトウェアを多数の悪意のないリモート コンピュータに配置し、それらのコンピュータを使用して攻撃を開始します。分散型サービス拒絶攻撃は、トラフィックの量が非常に多いために単純なサービス拒絶攻撃よりも脅威が大きく、防止することも困難になります。DDoS 攻撃の例としては、SYN フラッド、Smurf アタック、Targa アタックがあります。

 


ポート スキャニング
攻撃者がホストに大量のクエリーを送信して、トラフィック送信先にできるオープンなポートを見つけ出そうとする行為。ポート スキャニングは、攻撃に対して脆弱なターゲットを見つけ出すためにインターネット上でしばしば使用されます。
ポリシー構築フェーズ
このフェーズでは、ゾーンのトラフィック特性に応じた保護ポリシーを Detector がポリシー テンプレート基づいて作成します。このフェーズでは、トラフィック フローは Detector をそのまま通過し、Detector はゾーンが使用しているサービスを検出します。
ポリシー テンプレート
ポリシー テンプレートは、処理規則を構成するポリシーと各テンプレートの出力をまとめたものです。ポリシー構築フェーズが完了すると、一連のポリシーになります。ポリシー テンプレートのユーザ設定パラメータは、Minimum Threshold と Maximum Services です。
ポリシーの運用パラメータ
ポリシーの運用に関連する一連のパラメータ。しきい値、ポリシーのしきい値、タイムアウト、およびアクションで構成されます。
保留中の動的フィルタ
保留中の動的フィルタは、ユーザがまだ対応(受け入れまたは無視)を決定していない動的フィルタです。保留中の動的フィルタが作成されるのは、ゾーンがインタラクティブ検出モードになっている場合のみです。一連の保留中動的フィルタは、推奨事項を構成します。「推奨事項」を参照してください。

 


ループ UDP ポート アタック
この攻撃は 2 つの UDP サービスを使用します。chargen (ポート 19)および echo (ポート 17)をスプーフィングして、互いにデータを送信させます。