Cisco Intrusion Prevention System Device Manager コンフィギュレーション ガイド for IPS 7.1
シグニチャ エンジンについて
シグニチャ エンジンについて
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

シグニチャ エンジンについて

シグニチャ エンジンについて

Master エンジン

一般パラメータ

Alert Frequency

イベント アクション

正規表現の構文

Special Characters

AIC エンジン

AIC エンジンについて

AIC エンジンとセンサーのパフォーマンス

AIC エンジンのパラメータ

Atomic エンジン

Atomic ARP エンジン

Atomic IP Advanced エンジン

Atomic IP Advanced エンジンについて

Atomic IP Advanced エンジンの制限事項

Atomic IP Advanced エンジンのパラメータ

Atomic IP エンジン

Atomic IPv6 エンジン

Fixed エンジン

Flood エンジン

Meta エンジン

Multi String エンジン

Normalizer エンジン

Normalizer エンジンについて

Normalizer エンジンのパラメータ

Service エンジン

Service エンジンについて

Service DNS エンジン

Service FTP エンジン

Service Generic エンジン

Service H225 エンジン

Service HTTP エンジン

Service IDENT エンジン

Service MSRPC エンジン

Service MSSQL エンジン

Service NTP エンジン

サービス P2P

Service RPC エンジン

Service SMB Advanced エンジン

Service SNMP エンジン

Service SSH エンジン

Service TNS エンジン

State エンジン

String エンジン

String XL エンジン

Sweep エンジン

Sweep エンジン

Sweep Other TCP エンジン

Traffic Anomaly エンジン

Traffic ICMP エンジン

Trojan エンジン

シグニチャ エンジンについて


) IPS SSP を搭載した Cisco ASA 5585-X は、現在のところ、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。現時点では、他に IPS バージョン 7.1 をサポートしている Cisco IPS センサーはありません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以上および ASA 8.4(2) 以上でサポートされています。ASA 8.3(x) では、サポートされていません。


この付録では、IPS シグニチャ エンジンについて説明します。次の事項について説明します。

「シグニチャ エンジンについて」

「Master エンジン」

「正規表現の構文」

「Special Characters」

「AIC エンジン」

「Atomic エンジン」

「Fixed エンジン」

「Flood エンジン」

「Meta エンジン」

「Multi String エンジン」

「Normalizer エンジン」

「Service エンジン」

「State エンジン」

「String エンジン」

「String XL エンジン」

「Sweep エンジン」

「Traffic Anomaly エンジン」

「Traffic ICMP エンジン」

「Trojan エンジン」

シグニチャ エンジンについて

シグニチャ エンジンは、特定のカテゴリの多数のシグニチャをサポートするよう設計された Cisco IPS のコンポーネントです。エンジンは、パーサーとインスペクタで構成されています。各エンジンにはパラメータのセットがあり、パラメータには使用可能な範囲や値のセットがあります。


) Cisco IPS エンジンでは、標準化された正規表現がサポートされます。


Cisco IPS には次のシグニチャ エンジンが含まれています。

AIC:Web トラフィックの完全な分析を行います。AIC エンジンは、HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。インスタント メッセージングや gotomypc など、指定されたポートをトンネリングしようとするアプリケーションに対する管理制御を許可します AIC を使用して、FTP トラフィックを検査して、発行するコマンドを制御することもできます。AIC エンジンには、AIC FTP と AIC HTTP の 2 つがあります。

Atomic:Atomic エンジンは、マルチレベル選択によって 4 つのエンジンに結合されます。レイヤ 3 およびレイヤ 4 属性(たとえば、IP + TCP)を 1 つのシグニチャ内に結合できます。Atomic エンジンは、標準化された正規表現サポートを使用します。Atomic エンジンは次のタイプで構成されます。

Atomic ARP:レイヤ 2 ARP プロトコルを検査します。Atomic ARP エンジンが異なるのは、大半のエンジンはレイヤ 3 IP プロトコルに基づいているためです。

Atomic IP Advanced:IPv6 レイヤ 3 および ICMPv6 レイヤ 4 トラフィックを検査します。

Atomic IP:IP プロトコル パケット、および関連付けられているレイヤ 4 トランスポート プロトコルを検査します。

このエンジンでは、IP およびレイヤ 4 ヘッダーのフィールドで一致する値を指定でき、正規表現を使用してレイヤ 4 ペイロードを検査できます。


) すべての IP パケットが Atomic IP エンジンによって検査されます。このエンジンは、4.x Atomic ICMP、Atomic IP Options、Atomic L3 IP、Atomic TCP、および Atomic UDP エンジンを置き換えます。


Atomic IPv6:不正な形式の IPv6 トラフィックによって引き起こされる 2 つの IOS 脆弱性を検出します。

Fixed:一定の深さまでパラレルの正規表現のマッチングを実行してから、単一の正規表現テーブルを使用して検査を停止します。Fixed エンジンには、ICMP、TCP、および UDP の 3 つがあります。

Flood:ホストとネットワークへの ICMP および UDP フラッドを検出します。Flood エンジンには、Flood Host と Flood Net の 2 つがあります。

Meta:スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。

Multi String:1 つのシグニチャの文字列をいくつか照合することによって、レイヤ 4 トランスポート プロトコルとペイロードを検査します。このエンジンは、ストリームベースの TCP と単一の UDP および ICMP パケットを検査します。

Normalizer:IP および TCP ノーマライザが機能する方法を設定し、IP および TCP ノーマライザに関連するシグニチャ イベントに設定を提供します。RFC 準拠を強制できます。

Service:特定のプロトコルを処理します。Service エンジンは、次のプロトコル タイプに分かれています。

DNS:DNS(TCP および UDP)トラフィックを検査します。

FTP:FTP トラフィックを検査します。

FTP V2:IOS IPS をサポートします。

このシグニチャ エンジンは、IOS IPS 用に調整されたプロトコル デコード エンジンを提供します。このエンジンを使用しようとすると、エラー メッセージが表示されます。

Generic:カスタム サービスとペイロードをデコードし、ネットワーク プロトコルを総称的に分析します。

H225:VoIP トラフィックを検査します。ネットワーク管理者が、VoIP ネットワークに着信する SETUP メッセージが有効であり、ポリシーが記述する境界内にあることを確認する際に役立ちます。また、アドレス、url-ids や email-ids などの Q.931 文字列フィールド、および表示情報が特定の長さに従っていること、および潜在的な攻撃パターンを含んでいないことを確認するためにも役立ちます。

HTTP:HTTP トラフィックを検査します。WEBPORTS 変数では、HTTP トラフィックの検査ポートを定義します。

HTTP V2:IOS IPS をサポートします。

このシグニチャ エンジンは、IOS IPS 用に調整されたプロトコル デコード エンジンを提供します。このエンジンを使用しようとすると、エラー メッセージが表示されます。

IDENT:IDENT(クライアントおよびサーバ)トラフィックを検査します。

MSRPC:MSRPC トラフィックを検査します。

MSSQL:Microsoft SQL トラフィックを検査します。

NTP:NTP トラフィックを検査します。

P2P:P2P トラフィックを検査します。

RPC:RPC トラフィックを検査します。

SMB Advanced:Microsoft SMB パケットと Microsoft DCE/RPC (MSRPC) over SMB パケットを処理します。


) SMB エンジンは、SMB Advanced エンジンで置き換えられました。SMB エンジンはまだ IDM、IME、および CLI で表示されますが、そのシグニチャは使用されなくなりました。つまり、新規エンジンには、対応する古いシグニチャの ID を持つ使用されなくなったパラメータ セットがあります。SMB エンジンにあったカスタム シグニチャを記述し直すには、新規 SMB Advanced エンジンを使用します。


SMPT V1:IOS IPS をサポートします。

このシグニチャ エンジンは、IOS IPS 用に調整されたプロトコル デコード エンジンを提供します。このエンジンを使用しようとすると、エラー メッセージが表示されます。

SNMP:SNMP トラフィックを検査します。

SSH:SSH トラフィックを検査します。

TNS:TNS トラフィックを検査します。

State:SMTP などのプロトコル内の文字列のステートフル検索を実行します。State エンジンには、新しい状態定義をシグニチャ更新で配信できるように、状態遷移を定義するために使用される非表示のコンフィギュレーション ファイルがあります。

String:ICMP、TCP、または UDP プロトコルに基づいて正規表現文字列を検索します。String エンジンには、String ICMP、String TCP、および String UDP の 3 つがあります。

String XL:ICMP、TCP、または UDP プロトコルに基づいて正規表現文字列を検索します。String XL エンジンは、正規表現アクセラレータ カード用に最適化された操作を提供します。String エンジンには、String ICMP XL、String TCP XL、および String UDP XL の 3 つがあります。


) 現時点では、Cisco ASA 5585-X だけが String XL エンジンと正規表現アクセラレータ カードをサポートしています。



) 標準の String エンジンと新規 String XL エンジンの両方に、正規表現アクセラレータ カードが使用されます。ほとんどの標準の String エンジン シグニチャは、変更せずに正規表現アクセラレータ カードによってコンパイルおよび分析可能です。ただし、正規表現アクセラレータ カードで標準の String エンジン シグニチャをコンパイルできないような特殊な状況があります。このような状況では、新規シグニチャは、正規表現アクセラレータ カードでコンパイルを行う String XL エンジンの固有のパラメータを使用して String XL エンジンで記述されます。String XL エンジンの新規シグニチャによって、標準の String エンジンの元のシグニチャは使用されなくなりました。


Sweep:1 つのホスト(ICMP と TCP)、宛先ポート(TCP と UDP)、および 2 つのノード間で RPC 要求を送受信する複数のポートからのスイープを分析します。Sweep エンジンには、Sweep と Sweep Other TCP の 2 つがあります。

Traffic Anomaly:TCP、UDP、およびその他のトラフィックでワームを検査します。

Traffic ICMP:TFN2K、LOKI、DDOS などの非標準プロトコルを分析します。パラメータを設定できるのは 2 つのシグニチャだけです。

Trojan:BO2K や TFN2K などの非標準プロトコルからのトラフィックを分析します。Trojan エンジンには、Bo2k、Tfn2k、および UDP の 3 つがあります。これらのエンジンには、ユーザが設定できるパラメータはありません。

Master エンジン

Master エンジンは、他のエンジンに構造とメソッドを提供し、設定の入力とアラート出力を処理します。ここでは、Master エンジンについて説明します。次の事項について説明します。

「一般パラメータ」

「Alert Frequency」

「イベント アクション」

一般パラメータ

次のパラメータは Master エンジンの一部であり、すべてのシグニチャに適用されます(そのシグニチャ エンジンで意味をなす場合)。

表 B-1 に、一般的な Master エンジンのパラメータを示します。

 

表 B-1 Master エンジンのパラメータ

パラメータ
説明

Signature ID

このシグニチャの ID を指定します。

number

Sub Signature ID

このシグニチャのサブ ID を指定します。

number

Alert Severity

アラートの重大度を指定します。

危険なアラート

中レベルのアラート

低レベルのアラート

通知アラート

High

Medium

Low

Informational(デフォルト)

Sig Fidelity Rating

このシグニチャの忠実度のレーティングを指定します。

0 ~ 100
(デフォルト = 100)

Promiscuous Delta

アラートの重大度を決定するために使用するデルタ値を指定します。

0 ~ 30
(デフォルト = 5)

Signature Name

シグニチャの名前を指定します。

sig-name

Alert Notes

アラート メッセージに含まれる、このシグニチャに関する追加情報を提供します。

alert-notes

User Comments

このシグニチャに関するコメントを指定します。

comments

Alert Traits

このシグニチャについて文書化する特性を指定します。

0 ~ 65335

Release

シグニチャが最後に更新されたリリースを示します。

release

Signature Creation Date

シグニチャが作成された日付を指定します。

--

Signature Type

シグニチャ カテゴリを指定します。

Anomaly

Component

Exploit

Other

Engine

シグニチャが属するエンジンを指定します。

(注) エンジンに固有のパラメータは、[Engine] カテゴリの下に表示されます。

--

Event Count

アラートを生成するまでのイベントの発生回数を指定します。

1 ~ 65535
(デフォルト = 1)

Event Count Key

このシグニチャに関するイベントをカウントするストレージ タイプを指定します。

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

Axxx

AxBx

Axxb

xxBx

AaBb

Specify Alert Interval {Yes | No}

アラート間隔をイネーブルにします。

[Alert Interval]:イベント カウントがリセットされるまでの時間(秒数)を指定します。

2 ~ 1000

Status

シグニチャが、イネーブルとディセーブルのどちらであるか、アクティブと廃棄のどちらであるかを指定します。

Enabled | Retired {Yes | No}

Obsoletes

新しいシグニチャによって古いシグニチャがディセーブルにされていることを示します。

--

Vulnerable OS List

パッシブ OS フィンガープリントと組み合わせると、IPS は、特定の攻撃がターゲット システムに関係している可能性があるかどうかを判別できます。

AIX
BSD
General OS
HP-UX
IOS
IRIX
Linux
Mac OS
Netware
Other
Solaris
UNIX
Windows
Windows NT
Windows NT/2K/XP

Mars Category {Yes | No}

シグニチャを MARS 攻撃カテゴリにマップします。1

--

1.これは、コンフィギュレーションで設定でき、アラートで表示できる静的な情報カテゴリです。詳細については、MARS のマニュアルを参照してください。

Promiscuous Delta

無差別デルタは、無差別モードの特定のアラートのリスク レーティングを下げます。センサーはターゲット システムの属性を認識せず、無差別モードではパケットを拒否できないため、管理者がリスク レーティングの高いアラートの調査に集中できるように、(より低いリスク レーティングに基づいて)無差別アラートの優先順位付けを下げる際に役立ちます。インライン モードでは、センサーは、ターゲット ホストに到達することのないように攻撃パケットを拒否できるため、ターゲットが脆弱だったかどうかは重要ではありません。ネットワークでは攻撃は許可されなかったため、IPS はリスク レーティング値から差し引きません。サービス、OS、またはアプリケーション固有ではないシグニチャには、無差別デルタに 0 が指定されます。シグニチャが OS、サービス、またはアプリケーションに固有の場合、カテゴリごとに 5 ポイントから計算された 5、10、または 15 が無差別デルタに指定されます。


注意 シグニチャの無差別デルタ設定は変更しないことを推奨します。

Obsoletes

Cisco のシグニチャ チームは、[Obsoletes] フィールドを使用して、より新しくて適切なシグニチャで置き換えられた、廃止された古いシグニチャを示して、そのエンジンのより適切なインスタンスが使用可能な場合にエンジンでディセーブルにされたシグニチャを示します。たとえば、一部の String XL ハードウェア アクセラレーション シグニチャによって、String エンジンで定義された同等のシグニチャが置き換えられています。

Vulnerable OS List

シグニチャの脆弱な OS 設定をパッシブ OS フィンガープリントと組み合わせると、IPS は、特定の攻撃がターゲット システムに関連している可能性があるかどうかを判別できます。攻撃が関連していることが判明した場合、その結果出されるアラートのリスク レーティング値は上がります。通常、パッシブ OS フィンガープリント リストにエントリがないために、関連性が不明な場合、リスク レーティングに変更は行われません。パッシブ OS フィンガープリントのエントリがあり、シグニチャの脆弱な OS 設定と一致しない場合、リスク レーティング値は下げられます。リスク レーティングを増やすか減らす際のデフォルト値は、+/- 10 ポイントです。

詳細情報

無差別モードの詳細については、「無差別モード」を参照してください。

パッシブ OS フィンガープリントの詳細については、「OS ID の設定」を参照してください。

Alert Frequency

[Alert Frequency] パラメータの目的は、stick などの IDS DoS ツールに対抗するために、イベント ストアに書き込まれるアラートの量を削減することです。[Fire All]、[Fire Once]、[Summarize]、および [Global Summarize] という 4 つのモードがあります。サマリー モードは、現在のアラート量に応じて動的に変わります。たとえば、シグニチャを [Fire All] に設定できますが、一定のしきい値に達するとサマライズが開始されます。

表 B-2 に、[Alert Frequency] パラメータを示します。

 

表 B-2 Master エンジンの [Alert Frequency] パラメータ

パラメータ
説明

Alert Frequency

アラートをグループ化するためのサマリー オプション。

--

Summary Mode

サマライズに使用されるモード。

--

Fire All

すべてのイベントについてアラートを起動します。

--

Fire Once

1 回だけアラートを起動します。

--

Global Summarize

攻撃者や攻撃対象の数に関係なく 1 回だけアラートが起動されるようにアラートをサマライズします。

--

Summarize

アラートをサマライズします。

--

Summary Threshold

アラート数のしきい値。この値を超えるとシグニチャはサマリー モードに送られます。

0 ~ 65535

Global Summary Threshold

イベント数のしきい値。この値を超えるとアラートはグローバル サマリーにサマライズされます。

1 ~ 65535

Summary Interval

各サマリー アラートで使用される時間(秒数)。

1 ~ 1000

Summary Key

シグニチャをサマライズするストレージ タイプ:

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

Axxx

AxBx

Axxb

xxBx

AaBb

イベント アクション


次のイベント アクションの大部分は、その特定のエンジンに適していない場合を除き、各シグニチャ エンジンに属しています。


次のイベント アクション パラメータは、各シグニチャ エンジンに属しています(そのシグニチャ エンジンで意味をなす場合)。

アラート アクションおよびログ アクション

[Product Alert]:アラートをイベント ストアに書き込みます。

[Produce Verbose Alert]:攻撃パケットのエンコード ダンプ(切り捨てられている可能性があります)をアラートに含めます。

[Log Attacker Packets]:攻撃者のアドレスが含まれているパケットの IP ロギングを開始し、アラートを送信します。

[Log Victim Packets]:攻撃対象のアドレスが含まれているパケットの IP ロギングを開始し、アラートを送信します。

[Log Attacker/Victim Pair Packets]:(インライン モードだけ)攻撃者と被害対象のアドレスのペアが含まれているパケットの IP ロギングを開始します。

[Request SNMP Trap]:NotificationApp に要求を送信して、SNMP 通知を実行します。

拒否アクション

[Deny Packet Inline]:(インライン モードだけ)このパケットを送信しません。


) 保護されているため、[Deny Packet Inline] のイベント アクション オーバーライドは削除できません。そのオーバーライドを使用しない場合は、ディセーブルにします。


[Deny Connection Inline]:(インライン モードだけ)TCP フローでこのパケットと将来のパケットを送信しません。

[Deny Attacker Victim Pair Inline]:(インライン モードだけ)指定された期間、攻撃者と攻撃対象のアドレスのペアでこのパケットと将来のパケットを送信しません。

[Deny Attacker Service Pair Inline]:(インライン モードだけ)指定された期間、攻撃者のアドレスの攻撃対象ポートのペアでこのパケットと将来のパケットを送信しません。

[Deny Attacker Inline]:(インライン モードだけ)指定された期間、攻撃者アドレスからこのパケットと将来のパケットを送信しません。


) これは最も厳しい拒否アクションです。単一の攻撃者アドレスからの現在および将来のパケットが拒否されます。各拒否アドレスは、拒否を開始する原因となった最初のイベントから X 秒間タイムアウトになります。ここで、X は、設定した秒数です。[Monitoring] > [Properties] > [Denied Attackers] > [Clear List] を選択することで、拒否された攻撃者エントリをすべてクリアできます。これによって、アドレスがネットワークで再度許可されます。


[Modify Packet Inline]:(インライン モードだけ)パケット データを変更して、エンドポイントによるパケットの処理方法に関するあいまいさをなくします。


) [Modify Packet Inline] は、Normalizer エンジンに属しています。これは、パケットのスクラビングを行い、不正なチェックサム、範囲外の値、およびその他の RFC 違反などの不規則な問題を修正します。


その他のアクション


) IPv6 では、イベント アクション Request Block Host、Request Block Connection、Request Rate Limit をサポートしていません。


[Request Block Connection]:この接続をブロックするよう ARC に要求します。

[Request Block Host]:この攻撃者ホストをブロックするよう ARC に要求します。

[Request Rate Limit]:レート制限を実行するよう ARC に要求します。

[Reset TCP Connection]:TCP フローをハイジャックして終了する TCP リセットを送信します。

Deny Packet Inline について

[Deny Packet Inline] がアクションとして設定されているシグニチャまたは [Deny Packet Inline] をアクションとして追加するイベント アクション オーバーライドの場合は、次のアクションが実行される可能性があります。

droppedPacket

deniedFlow

tcpOneWayResetSent

Deny Packet Inline アクションは、アラートではドロップされたパケット アクションとして表されます。TCP 接続の Deny Packet Inline が発生すると、Deny Connection Inline アクションに自動的にアップグレードされ、アラートでは拒否されたフローとして表示されます。IPS でパケット 1 個だけを拒否した場合、TCP は同じパケットの再送信を試行し続けるため、IPS は接続全体を拒否して、再送信による成功を決して発生させません。

Deny Connection Inline が発生すると、IPS も一方向 TCP リセットを自動的に送信します。これは、アラートで送信された一方向 TCP リセットとして表示されます。IPS が接続を拒否する場合、IPS は、クライアント(通常は攻撃者)とサーバ(通常は攻撃対象)の両側にオープン接続を残します。オープン接続の数が多すぎると、攻撃される側でリソースの問題を引き起こすことがあります。したがって、IPS は、TCP リセットを攻撃対象に送信して攻撃される側(通常はサーバ)の接続を閉じます。これにより、攻撃される側のリソースが温存されます。別のネットワーク パスに接続をフェールオーバーして攻撃対象まで到達させることがないように、フェールオーバーも防止されます。IPS では、攻撃者側をオープンしたままにし、攻撃者からのすべてのトラフィックを拒否します。

正規表現の構文

正規表現(Regex)は、テキストを記述する手段として、強力で柔軟性のある表記言語です。パターン マッチングでは、正規表現によりあらゆる任意のパターンを簡潔に表記できます。

表 B-3 に、IPS シグニチャの正規表現の構文を示します。

 

表 B-3 シグニチャの正規表現の構文

メタ文字
名前
説明

?

疑問符

0 回または 1 回の繰り返し。

*

星印(アスタリスク)

0 回以上の繰り返し。

+

プラス

1 回以上の繰り返し。

{x}

量指定子

ちょうど X 回の繰り返し。

{x,}

最小量指定子

少なくとも X 回の繰り返し。

.

ドット

改行(0x0A)以外の任意の 1 文字。

[abc]

文字クラス

リスト内の任意の 1 文字。

[^abc]

否定文字クラス

リストにない任意の 1 文字。

[a-z]

文字範囲クラス

範囲内(両端も含む)の任意の 1 文字。

( )

カッコ

他のメタ文字の適用範囲を制限する際に使用する。

|

論理和(OR)

このメタ文字によって区切られている複数の表現のいずれかと一致します。

^

キャレット

行の先頭。

¥ char

エスケープ文字。

char がメタ文字である場合も含めて、 char そのものと一致する。

char

文字

char がメタ文字でない場合は、char そのものと一致する。

¥r

復帰

復帰文字(0x0D)と一致する。

¥n

改行

改行文字(0x0A)と一致する。

¥t

タブ

タブ文字(0x09)と一致する。

¥f

フォーム フィード

フォーム フィード文字(0x0C)と一致する。

¥xNN

エスケープされた 16 進数文字

16 進コード 0xNN(0<=N<=F)を持つ文字と一致する。

¥NNN

エスケープされた 8 進数文字

8 進コード NNN(0<=N<=8)を持つ文字と一致する。

繰り返し演算子ではいずれの場合も、該当する文字列のうち最も短いものが一致対象となります。一方、それ以外の演算子では、その適用範囲に最大限多くの文字が取り込まれるため、該当する文字列のうち最も長いものが一致対象となります。

表 B-4 は、正規表現のパターンの例を示したものです。

 

表 B-4 正規表現のパターン

一致対象
正規表現

Hacker

Hacker

Hacker または hacker

[Hh]acker

bananas、banananas、banananananas など、一定の規則で構成されたすべての文字列

ba(na)+s

同じ行の中にある foo と bar の間に改行以外の文字が 0 個以上ある文字列

foo.*bar

foo または bar

foo|bar

moon または soon

(m|s)oon

Special Characters

表 B-5 に、正規表現アクセラレータ カードの特殊文字と 16 進表記を示します。リテラル文字は、正規表現のメタ文字です。検査するトラフィックでこれらの文字を照合するには、文字の 16 進表記を使用します。

 

表 B-5 特殊文字

リテラル文字
16 進表記

.

¥x2e

[

¥x5b

]

¥x5d

-

¥x2d

^

¥x5e

¥

¥x5c

/

¥x2f

*

¥x2a

+

¥x2b

?

¥x3f

{

¥x7b

}

¥x7d

"

¥x22

(

¥x28

)

¥x29

詳細情報

これらの特殊文字を使用する String XL エンジンの詳細については、「String XL エンジン」を参照してください。

AIC エンジン

アプリケーション インスペクションとコントロール(AIC)エンジンは HTTP Web トラフィックを検査して、FTP コマンドを実施します。ここでは、AIC エンジンとそのパラメータについて説明します。次の事項について説明します。

「AIC エンジンについて」

「AIC エンジンとセンサーのパフォーマンス」

「AIC エンジンのパラメータ」

AIC エンジンについて

AIC では、Web トラフィックを完全に分析できます。これは、HTTP セッションに対してより細かな制御を実行して、HTTP プロトコルの悪用を防ぎます。インスタント メッセージングや gotomypc など、指定されたポートをトンネリングしようとするアプリケーションに対する管理制御を許可します これらのアプリケーションが HTTP で動作している場合は、P2P とインスタント メッセージングの検査とポリシー チェックが可能です。AIC は、FTP トラフィックを検査して、発行されるコマンドを制御する方法も提供します。事前定義済みのシグニチャをイネーブルまたはディセーブルにするか、カスタム シグニチャからポリシーを作成できます。


) AIC エンジンは、AIC Web ポートで HTTP トラフィックを受信した際に実行されます。トラフィックが Web トラフィックであっても、AIC Web ポートで受信しない場合は、Service HTTP エンジンが実行されます。AIC 検査は、AIC Web ポートとして設定されていて、検査対象のトラフィックが HTTP トラフィックである場合に限り、任意のポートで実行できます。


AIC エンジンとセンサーのパフォーマンス

アプリケーション ポリシーの実施はセンサー固有の機能です。攻撃、脆弱性、および異常を検査する従来の IPS テクノロジーに基づくのではなく、AIC ポリシーの実施は、HTTP サービス ポリシーおよび FTP サービス ポリシーを実施する目的で設計されています。このポリシーの実施に必要な検査の機能は、従来の IPS 検査の機能ときわめて対照的です。この機能を使用すると、必ず、パフォーマンスに対する大きな影響があります。AIC をイネーブルにすると、センサーの帯域幅キャパシティが全体的に低下します。

IPS のデフォルト コンフィギュレーションでは、AIC ポリシーの実施は、ディセーブルにされています。AIC ポリシーの実施をアクティブにする場合は、対象のポリシーだけを慎重に選択し、不要なポリシーはディセーブルにすることを強く推奨します。また、センサーの検査負荷が最大キャパシティに近い場合は、センサーをオーバーサブスクライブするおそれがあるため、この機能を使用しないことを推奨します。このタイプのポリシー実施の処理には、適応型セキュリティ アプライアンス ファイアウォールを使用することを推奨します。

AIC エンジンのパラメータ

AIC エンジンは、Web トラフィックのディープ インスペクション用にシグニチャを定義します。また、FTP コマンドを許可して実施するシグニチャを定義します。AIC エンジンには、AIC HTTP と AIC FTP の 2 つがあります。

AIC エンジンは、次の機能を搭載しています。

Web トラフィック:

RFC コンプライアンス強制

HTTP 要求メソッドの許可および実施

応答メッセージの検証

MIME タイプの実施

転送符号化タイプの検証

転送されるメッセージのコンテンツとデータのタイプに基づいたコンテンツの制御

URI 長の実施

設定されたポリシーとヘッダーに従ったメッセージ サイズの実施

トンネリング、P2P、およびインスタント メッセージの実施。

この実施は、正規表現を使用して行われます。事前定義済みのシグニチャがありますが、リストを拡張できます。

FTP トラフィック:

FTP コマンドの許可および実施

表 B-6 に、AIC HTTP エンジンに固有のパラメータを示します。

 

表 B-6 AIC HTTP エンジンのパラメータ

パラメータ
説明

Signature Type

AIC シグニチャのタイプ。

Content Types

MIME タイプを処理する AIC シグニチャ:

[Define Content Type]:特定の MIME タイプ(image/gif)の拒否、メッセージ サイズ違反の定義、およびヘッダーと本文に示されている MIME タイプが一致しないことの判別などのアクションを関連付けます。

[Define Recognized Content Types]:センサーが認識するコンテンツ タイプを示します。

Define Web Traffic Policy

非準拠の HTTP トラフィックを確認した場合に行うアクションを指定します。[Alarm on Non-HTTP Traffic Yes | No] によって、シグニチャがイネーブルにされます。このシグニチャは、デフォルトではディセーブルです。

Max Outstanding Requests Overrun

接続ごとの許可される最大 HTTP 要求数(1 ~ 16)。

Msg Body Pattern

正規表現を使用して、メッセージ本文で特定のパターンを検索するシグニチャを定義します。

Request Methods

アクションを HTTP 要求メソッドに関連付けることができるようにする AIC シグニチャ。

[Define Request Method]:get、put など。

[Recognized Request Methods]:センサーが認識するメソッドを示します。

Transfer Encoding

転送符号化を処理する AIC シグニチャ:

[Define Transfer Encoding]:圧縮やチャンクなどのアクションを各メソッドに関連付けます。

[Recognized Transfer Encodings]:センサーが認識するメソッドを示します。

[Chunked Transfer Encoding]:エラーは、チャンク符号化エラーの確認時に行うアクションを指定します。

表 B-7 に、AIC FTP エンジンに固有のパラメータを示します。

 

表 B-7 AIC FTP エンジンのパラメータ

パラメータ
説明

Signature Type

AIC シグニチャのタイプを指定します。

FTP Command

アクションを FTP コマンドに関連付けます。

[FTP Command]:検査する FTP コマンドを選択できます。

Unrecognized FTP Command

認識されない FTP コマンドを検査します。

詳細情報

AIC エンジン シグニチャを設定するための手順については、「アプリケーション ポリシーの設定」を参照してください。

カスタム AIC シグニチャの例については、「AIC シグニチャのチューニング」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Atomic エンジン

Atomic エンジンには、アラートの起動の原因となる単純な単一のパケット条件のためのシグニチャが含まれています。ここでは、Atomic エンジンについて説明します。次の事項について説明します。

「Atomic ARP エンジン」

「Atomic IP Advanced エンジン」

「Atomic IP エンジン」

「Atomic IPv6 エンジン」

Atomic ARP エンジン

Atomic ARP エンジンは、レイヤ 2 の基本的な ARP シグニチャを定義し、ARP スプーフィング ツールである dsniff と ettercap に対して高度な検出を実行します。

表 B-8 に、Atomic ARP エンジンに固有のパラメータを示します。

 

表 B-8 Atomic ARP エンジンのパラメータ

パラメータ
説明

Specify ARP Operation

(任意)ARP 動作をイネーブルにします。

[ARP Operation]:検査する ARP 動作のタイプ。

0 ~ 65535

Specify Mac Flip Times

(任意)MAC アドレスの入れ替え回数をイネーブルにします。

[Mac Flip Times]:アラートで MAC アドレスを入れ替える回数を指定します。

0 ~ 65535

Specify Request Inbalance

(任意)要求のアンバランスをイネーブルにします。

[Request Inbalance]:特定の IP アドレスに対して、応答よりも要求の方が指定した数より多い場合に、アラートを起動します。

0 ~ 65535

Specify Type of ARP Sig

(任意)ARP シグニチャのタイプをイネーブルにします。

[Type of ARP Sig]:起動する ARP シグニチャのタイプを指定します。

[Destination Broadcast]:255.255.255.255 の ARP 宛先アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Same Source and Destination]:送信元と宛先の MAC アドレスが同じである ARP 宛先アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Source Broadcast](デフォルト):255.255.255.255 の ARP 送信元アドレスを検出した場合に、このシグニチャのアラームを起動します。

[Source Multicast]:ARP 送信元 MAC アドレス 01:00:5e:(00-7f)を検出した場合に、このシグニチャのアラームを起動します。

Dst Broadcast

Same Src and Dst

Src Broadcast

Src Multicast

Storage Key

固定データを保存するために使用するアドレス キーのタイプ。

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃対象のアドレス

グローバル

Axxx

AxBx

xxBx

xxxx

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Atomic IP Advanced エンジン

ここでは、Atomic IP Advanced エンジンについて説明します。次の事項について説明します。

「Atomic IP Advanced エンジンについて」

「Atomic IP Advanced エンジンの制限事項」

「Atomic IP Advanced エンジンのパラメータ」

Atomic IP Advanced エンジンについて

Atomic IP Advanced エンジンは、IPv6 ヘッダーとその拡張、IPv4 ヘッダーとそのオプション、ICMP、ICMPv6、TCP、および UDP を解析して解釈し、普通ではないアクティビティを示す異常を見つけます。

Atomic IP Advanced エンジン シグニチャは、次のことを行います。

IP アドレスで異常(たとえば、スプーフィングされたアドレス)を検査します。

パケットの長さフィールドで不正な情報を検査します。

パケットに関する通知アラートを起動します。

限定された一連の既知の脆弱性に関する、重大度の高いアラートを起動します。

IPv6 にも適用できる IPv6 固有のシグニチャをエンジン Atomic IP で複製します。

IP アドレス、ポート、プロトコル、およびパケット データからの限定的な情報に基づいてトンネル化されたトラフィックを特定するためのデフォルトのシグニチャを提供します。

最も外側の IP トンネルだけが特定されます。IPv6 トンネルまたは IPv4 トンネルの内部にある IPv6 トラフィックが検出されると、シグニチャによってアラートが起動されます。組み込まれたトンネル内のその他の IPv6 トラフィックはすべて検査されません。次のトンネリング方式がサポートされますが、個別には検出されません。たとえば、ISATAP、6to4、および手動による IPv6 RFC 4213 トンネルはすべて、IPv4 で IPv6 として表示されます。これは、シグニチャ 1007 によって検出されます。

ISATAP

6to4(RFC 3056)

手動で設定されたトンネル(RFC 4213)

IPv6 over GRE

UDP 内の Teredo(IPv6)

MPLS(非暗号化)

IPv6 over IPv6

IPv6 は次をサポートしています。

送信元 IP アドレス、宛先 IP アドレス、または IP アドレスのペアによる拒否

Alerts

TCP 接続のリセット

Logging

詳細情報

カスタム Atomic IP Advanced エンジン シグニチャの例については、「Atomic IP Advanced エンジン シグニチャの例」を参照してください。

Atomic IP Advanced エンジンの制限事項のリストについては、「Atomic IP Advanced エンジンの制限事項」を参照してください。

Atomic IP Advanced パラメータのリストについては、「Atomic IP Advanced エンジンのパラメータ」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Atomic IP Advanced エンジンの制限事項

Atomic IP Advanced エンジンには、次の制限事項があります。

レイヤ 4 ID が最初のパケットに表示されないようにパケットがフラグメント化されている場合は、パケットのレイヤ 4 フィールドを検出できません。

IPv6 によってフラグメント化されたパケットでは、フラグメント再構成がないため、フローでレイヤ 4 攻撃を検出できません。

トンネル フローでは攻撃を検出できません。

フラグメンテーション ヘッダーでは制限付きのチェックが提供されます。

ASA 8.2.4 では、IPS SSP は IPv6 機能をサポートします。

不正な重複するヘッダーがある場合は、シグニチャが起動されますが、個々のヘッダーは個別に検査できません。

異常検出では IPv6 トラフィックはサポートされません。IPv4 トラフィックだけが異常検出プロセッサに送信されます。

レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック イベント アクションまたはレート制限イベント アクションを指定してシグニチャを設定し、IPv6 トラフィックによってトリガーされた場合、アラートは生成されますが、アクションは実行されません。

詳細情報

カスタム Atomic IP Advanced エンジン シグニチャの例については、「Atomic IP Advanced エンジン シグニチャの例」を参照してください。

Atomic IP Advanced パラメータのリストについては、「Atomic IP Advanced エンジンのパラメータ」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Atomic IP Advanced エンジンのパラメータ


) 範囲の 2 番目の数は、最初の数以上である必要があります。


表 B-9 に、Atomic IP Advanced エンジンに固有のパラメータを示します。

 

表 B-9 Atomic IP Advanced エンジンのパラメータ

パラメータ
説明
Global

Fragment Status

フラグメントが必要かどうかを指定します。

Any | No Fragments | Want Fragments

Specify Encapsulation

(任意)パケットの L3 の開始前にカプセル化を指定します。2

[Encapsulation]:検査するカプセル化のタイプ。

None | MPLS | GRE | Ipv4 in IPv6 | IP IP | Any

Specify IP Version

(任意)IP プロトコル バージョンを指定します。

[IP Version]:IPv4 または IPv6。

IPv4| IPv6

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

Regex

Specify Regex Inspection

(任意)正規表現の検査をイネーブルにします。

[Yes] | [No]

Regex Scope

検索の開始点と終了点を指定します。

ipv6-doh-only

ipv6-doh-plus

ipv6-hoh-only

ipv6-hoh-plus

ipv6-rh-only

ipv6-rh-plus

layer3-only

layer3-plus

layer4

Regex String

単一の TCP パケット内で検索する正規表現を指定します。

string

Specify Exact Match Offset

完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Minimum Match Length

最小一致長をイネーブルにします。

[Minimum Match Length]:正規表現文字列が一致する必要がある最小バイト数を指定します。

0 ~ 65535

Specify Minimum Match Offset

最小一致オフセットをイネーブルにします。

[Minimum Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最小ストリーム オフセットを指定します。

0 ~ 65535

Specify Maximum Match Offset

最大一致オフセットをイネーブルにします。

[Maximum Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最大ストリーム オフセットを指定します。

0 ~ 65535

IPv6

Specify Authentication Header

(任意)認証ヘッダーの検査をイネーブルにします。

[AH Present]:認証ヘッダーが存在することを指定します。

[AH Length]:認証ヘッダーの長さを指定します。

[AH Next Header]:認証ヘッダーの値を指定します。

Have AH | No AH


0 ~ 1028

0 ~ 255

Specify Destination Options Header

(任意)宛先オプション ヘッダーの検査をイネーブルにします。

[DOH Present]:宛先オプション ヘッダーが存在することを指定します。

[DOH Count]:検査する宛先オプション ヘッダーの数を指定します。

[DOH Length]:検査する宛先オプション ヘッダーの長さを指定します。

[DOH Next Header]:検査する次の宛先オプション ヘッダーの数を指定します。

[DOH Option Type]:検査する宛先オプション ヘッダーのタイプを指定します。

[DOH Option Length]:検査する宛先オプション ヘッダーの長さを指定します。

Have DOH | No DOH

0 ~ 2

8 ~ 2048

0 ~ 255

0 ~ 255

0 ~ 255

Specify ESP Header

(任意)ESP ヘッダーの検査をイネーブルにします。

[ESP Present]:ESP ヘッダーが存在することを指定します。

Have ESP | No ESP

Specify First Next Header

(任意)最初の次のヘッダーの検査をイネーブルにします。

[First Next Header]:検査する最初の次のヘッダーの値を指定します。

0 ~ 255

Specify Flow Label

(任意)フロー ラベルの検査をイネーブルにします。

[Flow Label]:検査するフロー ラベルの値を指定します。

0 ~ 1048575

Specify Headers Out of Order

(任意)順序が乱れたヘッダーの検査をイネーブルにします。

[Headers Out of Order]:検査するヘッダーの順序を指定します。

[Yes] | [No]

Specify Headers Repeated

(任意)繰り返しヘッダーの検査をイネーブルにします。

[Headers Repeated]:検査するヘッダーの繰り返しを指定します。

[Yes] | [No]

Specify Hop Limit

(任意)ホップ制限をイネーブルにします。

[Hop Limit]:検査するホップ制限の値を指定します。

0 ~ 255

Specify Hop Options Header

(任意)ホップバイホップ オプション ヘッダーの検査をイネーブルにします。

[HOH Present]:ホップバイホップ ヘッダー オプションが存在することを指定します。

Have HOH | No HOH

Specify IPv6 Address Options

(任意)IPv6 アドレス オプションをイネーブルにします。

[IPv6 Address Options]:IPv6 アドレス オプションを指定します。

[Address With Localhost]:::1 が付いた IP アドレス。

[Documentation Address]:2001:db8::/32 プレフィクスが付いた IP アドレス。

[IPv6 Address]:IP アドレス。

[Link Local Address]:IPv6 リンクローカル アドレスを検査します。

[Multicast Destination]:宛先マルチキャスト アドレスを検査します。

[Multicast Source]:送信元マルチキャスト アドレスを検査します。

[Not Link Local Address]:リンクローカルではないアドレスを検査します。

[Not Valid Address]:リンクローカル、グローバル、またはマルチキャスト用に予約されていないアドレスを検査します。

[Source IP Equals Destination IP]:送信元アドレスと宛先アドレスは同じです。

Specify IPv6 Data Length

(任意)IPv6 データ長の検査をイネーブルにします。

[IPv6 Data Length]:検査する IPv6 データ長を指定します。

0 ~ 65535

Specify IPv6 Header Length

(任意)IPv6 ヘッダー長の検査をイネーブルにします。

[ Pv6 Header Length]:検査する IPv6 ヘッダーの長さを指定します。

0 ~ 65535

Specify IPv6 Total Length

(任意)IPv6 合計長の検査をイネーブルにします。

[IPv6 Total Length]:検査する IPv6 合計長を指定します。

0 ~ 65535

Specify IPv6 Payload Length

(任意)IPv6 ペイロード長の検査をイネーブルにします。

[IPv6 Payload Length]:検査する IPv6 ペイロード長を指定します。

0 ~ 65535

Specify Routing Header

(任意)ルーティング ヘッダーの検査をイネーブルにします。

[RH Present]:ルーティング ヘッダーが存在することを指定します。

Have RH | No RH

Specify Traffic Class

(任意)トラフィック クラスの検査をイネーブルにします。

[Traffic Class]:検査するトラフィック クラスの値を指定します。

0 ~ 255

IPV4

Specify IP Addr Options

(任意)IP アドレス オプションをイネーブルにします。

[IP Addr Options]:IP アドレス オプションを指定します。

Address With Localhost

IP Address

RFC 1918 Address

Src IP Eq Dst IP

Specify IP Header Length

(任意)IP ヘッダー長の検査をイネーブルにします。

[IP Header Length]:検査する IP ヘッダーの長さを指定します。

0 ~ 16

Specify IP Identifier

(任意):IP ID の検査をイネーブルにします。

[IP Identifier]:検査する IP ID を指定します。

0 ~ 255

Specify IP Option Inspection

(任意):IP オプションの検査をイネーブルにします。

[IP Option Inspection]:IP オプションの値を指定します。

[IP Option]:照合する IP オプション コード。

[IP Option Abnormal Options]:オプションのリストが不正です。

0 ~ 65535

[Yes] | [No]

Specify IP Payload Length

(任意)IP ペイロード長の検査をイネーブルにします。

[IP Payload Length]:検査する IP ペイロードの長さを指定します。

0 ~ 65535

Specify IP Type of Service

(任意)サービスの IP タイプを指定します。

[IP Type of Service]:検査するサービスの IP タイプを指定します。

0 ~ 255

Specify IP Total Length

(任意)IP 合計長の検査をイネーブルにします。

[IP Total Length]:検査する IP パケットの合計長を指定します。

0 ~ 65535

Specify IP Time-to-Live

(任意)IP 存続可能時間の検査をイネーブルにします。

[IP Time-to-Live]:IP TTL 検査を指定します。

0 ~ 255

Specify IP Version

(任意):IP バージョンの検査をイネーブルにします。

[IP Version]:検査する IP バージョンを指定します。

0 ~ 16

L4 Protocol

Specify L4 Protocol

(任意)L4 プロトコルの検査をイネーブルにします。

[L4 Protocol]:検査する L4 プロトコルを指定します。

ICMP Protocol

ICMPv6 Protocol

TCP Protocol

UDP Protocol

Other IP Protocols

L4 Protocol Other

Other IP Protocol ID

(任意)その他の L4 プロトコルの検査をイネーブルにします。

[Other IP Protocol ID]:アラートを送信する単一の IP プロトコル番号を指定します。

0 ~ 256

L4 Protocol ICMP

Specify ICMP Code

(任意)L4 ICMP コードの検査をイネーブルにします。

[ICMP Code]:ICMP ヘッダー CODE 値を指定します。

0 ~ 65535

Specify ICMP ID

(任意)L4 ICMP ID の検査をイネーブルにします。

[ICMP ID]:ICMP ヘッダー IDENTIFIER 値を指定します。

0 ~ 65535

Specify ICMP Sequence

(任意)L4 ICMP シーケンスの検査をイネーブルにします。

[ICMP Sequence]:検査する ICMP シーケンスを指定します。

0 ~ 65535

Specify ICMP Type

(任意)ICMP ヘッダー タイプの検査をイネーブルにします。

[ICMP Type]:ICMP ヘッダー TYPE 値を指定します。

0 ~ 65535

L4 Protocol ICMPv6

Specify ICMPv6 Code

(任意)L4 ICMPv6 コードの検査をイネーブルにします。

[ICMPv6 Code]:ICMPv6 ヘッダー CODE 値を指定します。

0 ~ 255

Specify ICMPv6 ID

(任意):L4 ICMPv6 ID の検査をイネーブルにします。

[ICMPv6 ID]:ICMPv6 ヘッダー IDENTIFIER 値を指定します。

0 ~ 65535

Specify ICMPv6 Length

(任意)L4 ICMPv6 長の検査をイネーブルにします。

[ICMPv6 Length]:ICMPv6 ヘッダー LENGTH 値。

0 ~ 65535

Specify ICMPv6 MTU Field

(任意)L4 ICMPv6 MTU フィールドの検査をイネーブルにします。

[ICMPv6 MTU Field]:ICMPv6 ヘッダー MTU フィールド値。

4,294,967,295

Specify ICMPv6 Option Type

(任意)L4 ICMPv6 タイプの検査をイネーブルにします。

[ICMPv6 Option Type]:検査する ICMPv6 オプション タイプを指定します。

0 ~ 255

Specify ICMPv6 Option Length

(任意)L4 ICMPv6 オプション タイプの検査をイネーブルにします。

[ICMPv6 Option Length]:検査する ICMPv6 オプション タイプを指定します。

0 ~ 255

Specify ICMPv6 Sequence

(任意)L4 ICMPv6 シーケンスの検査をイネーブルにします。

[ICMPv6 Sequence]:ICMPv6 ヘッダー SEQUENCE 値。

0 ~ 65535

Specify ICMPv6 Type

(任意)L4 ICMPv6 タイプの検査をイネーブルにします。

[ICMPv6 Type]:ICMPv6 ヘッダー TYPE 値。

0 ~ 255

L4 Protocol TCP and UDP

Specify Destination Port

(任意)宛先ポートを使用可能にします。

[Destination Port]:このシグニチャの該当宛先ポート。

0 ~ 65535

Specify Source Port

(任意)送信元ポートを使用可能にします。

[Source Port]:このシグニチャの該当送信元ポート。

0 ~ 65535

Specify TCP Mask

(任意)TCP マスクを使用可能にします。

[TCP Mask]:TCP フラグ比較で使用されるマスク。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Specify TCP Flags

(任意)TCP フラグを使用可能にします。

[TCP Flags]:マスクによってマスクされた場合に照合する TCP フラグ。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Specify TCP Reserved

(任意)予約済みの TCP を使用可能にします。

[TCP Reserved]:予約済み TCP。

0 ~ 63

Specify TCP Header Length

(任意)L4 TCP ヘッダー長の検査をイネーブルにします。

[TCP Header Length]:検査で使用する TCP ヘッダーの長さを指定します。

0 ~ 60

Specify TCP Payload Length

(任意)L4 TCP ペイロード長の検査をイネーブルにします。

[TCP Payload Length]:TCP ペイロードの長さを指定します。

0 ~ 65535

Specify TCP URG Pointer

(任意)L4 TCP URG ポインタの検査をイネーブルにします。

[TCP URG Pointer]:TCP URG フラグ検査を指定します。

0 ~ 65535

Specify TCP Window Size

(任意)L4 TCP ウィンドウ サイズの検査をイネーブルにします。

[TCP Window Size]:TCP パケットのウィンドウ サイズを指定します。

0 ~ 65535

Specify UDP Valid Length

(任意)L4 UDP の有効な長さの検査をイネーブルにします。

[UDP Valid Length]:有効であると見なされ、検査しない UDP パケット長を指定します。

0 ~ 65535

Specify UDP Length Mismatch

(任意)L4 UDP の長さの不一致の検査をイネーブルにします。

[UDP Length Mismatch]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

[Yes] | [No]

2.パケットが GRE、IPIP、IPv4inIPv6、または MPL の場合、センサーは、L3 カプセル化ヘッダーとカプセル化ヘッダーをスキップし、すべての検査は 2 番目の L3 から行われます。エンジンは、カプセル化の列挙を使用して、対象となる L3 の前にカプセル化ヘッダーが存在するかどうかを調べるために後方参照を行うことができます。

詳細情報

カスタム Atomic IP Advanced エンジン シグニチャの例については、「Atomic IP Advanced エンジン シグニチャの例」を参照してください。

Atomic IP Advanced エンジンの制限事項のリストについては、「Atomic IP Advanced エンジンの制限事項」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Atomic IP エンジン

Atomic IP エンジンは、IP プロトコル ヘッダーと関連するレイヤ 4 トランスポート プロトコル(TCP、UDP、および ICMP)およびペイロードを検査するシグニチャを定義します。Atomic エンジンでは、複数のパケットにまたがる固定データは保存されません。その代わりに、1 つのパケットの分析を基にしてアラートを起動できます。

表 B-10 に、Atomic IP エンジンに固有のパラメータを示します。

 

表 B-10 Atomic IP エンジンのパラメータ

パラメータ
説明

Specify IP Addr Options

(任意)IP アドレス オプションをイネーブルにします。

[IP Addr Options]:IP アドレス オプションを指定します。

Address With Localhost

IP Address

RFC 1918 Address

Src IP Eq Dst IP

Specify IP Header Length

(任意)IP ヘッダー長の検査をイネーブルにします。

[IP Header Length]:検査する IP ヘッダーの長さを指定します。

0 ~ 16

Specify IP Identifier

(任意):IP ID の検査をイネーブルにします。

[IP Identifier]:検査する IP ID を指定します。

0 ~ 255

Specify IP Option Inspection

(任意):IP オプションの検査をイネーブルにします。

[IP Option Inspection]:IP オプションの値を指定します。

[IP Option]:照合する IP オプション コード。

[IP Option Abnormal Options]:オプションのリストが不正です。

0 ~ 65535

[Yes] | [No]

Specify IP Payload Length

(任意)IP ペイロード長の検査をイネーブルにします。

[IP Payload Length]:検査する IP ペイロードの長さを指定します。

0 ~ 65535

Specify IP Type of Service

(任意)サービスの IP タイプを指定します。

[IP Type of Service]:検査するサービスの IP タイプを指定します。

0 ~ 6255

Specify IP Total Length

(任意)IP 合計長の検査をイネーブルにします。

[IP Total Length]:検査する IP パケットの合計長を指定します。

0 ~ 65535

Specify IP Time-to-Live

(任意)IP 存続可能時間の検査をイネーブルにします。

[IP Time-to-Live]:IP TTL 検査を指定します。

0 ~ 255

Specify IP Version

(任意):IP バージョンの検査をイネーブルにします。

[IP Version]:検査する IP バージョンを指定します。

0 ~ 16

Specify L4 Protocol

(任意)L4 プロトコルの検査をイネーブルにします。

[L4 Protocol]:検査する L4 プロトコルを指定します。

ICMP Protocol

TCP Protocol

UDP Protocol

Other IP Protocols

Specify ICMP Code

(任意)L4 ICMP コードの検査をイネーブルにします。

[ICMP Code]:ICMP ヘッダー CODE 値を指定します。

0 ~ 65535

Specify ICMP ID

(任意)L4 ICMP ID の検査をイネーブルにします。

[ICMP ID]:ICMP ヘッダー IDENTIFIER 値を指定します。

0 ~ 65535

Specify ICMP Sequence

(任意)L4 ICMP シーケンスの検査をイネーブルにします。

[ICMP Sequence]:検査する ICMP シーケンスを指定します。

0 ~ 65535

Specify ICMP Type

(任意)ICMP ヘッダー タイプの検査をイネーブルにします。

[ICMP Type]:ICMP ヘッダー TYPE 値を指定します。

0 ~ 65535

Specify ICMP Total Length

(任意)L4 ICMP 合計ヘッダー長の検査をイネーブルにします。

[ICMP Total Length]:検査する ICMP 合計長値を指定します。

0 ~ 65535

Other IP Protocol ID

(任意)その他の L4 プロトコルの検査をイネーブルにします。

[Other IP Protocol ID]:アラートを送信する単一の IP プロトコル番号を指定します。

0 ~ 256

Specify Destination Port

(任意)宛先ポートを使用可能にします。

[Destination Port]:このシグニチャの該当宛先ポート。

0 ~ 65535

Specify Source Port

(任意)送信元ポートを使用可能にします。

[Source Port]:このシグニチャの該当送信元ポート。

0 ~ 65535

Specify TCP Mask

(任意)TCP マスクを使用可能にします。

[TCP Mask]:TCP フラグ比較で使用されるマスク。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Specify TCP Flags

(任意)TCP フラグを使用可能にします。

[TCP Flags]:マスクによってマスクされた場合に照合する TCP フラグ。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Specify TCP Reserved

(任意)予約済みの TCP を使用可能にします。

[TCP Reserved]:予約済み TCP。

0 ~ 63

Specify TCP Header Length

(任意)L4 TCP ヘッダー長の検査をイネーブルにします。

[TCP Header Length]:検査で使用する TCP ヘッダーの長さを指定します。

0 ~ 60

Specify TCP Payload Length

(任意)L4 TCP ペイロード長の検査をイネーブルにします。

[TCP Payload Length]:TCP ペイロードの長さを指定します。

0 ~ 65535

Specify TCP URG Pointer

(任意)L4 TCP URG ポインタの検査をイネーブルにします。

[TCP URG Pointer]:TCP URG フラグ検査を指定します。

0 ~ 65535

Specify TCP Window Size

(任意)L4 TCP ウィンドウ サイズの検査をイネーブルにします。

[TCP Window Size]:TCP パケットのウィンドウ サイズを指定します。

0 ~ 65535

Specify UDP Length

(任意)L4 UDP 長の検査をイネーブルにします。

[UDP Length]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

0 ~ 65535

Specify UDP Valid Length

(任意)L4 UDP の有効な長さの検査をイネーブルにします。

[UDP Valid Length]:有効であると見なされ、検査しない UDP パケット長を指定します。

0 ~ 65535

Specify UDP Length Mismatch

(任意)L4 UDP の長さの不一致の検査をイネーブルにします。

[UDP Length Mismatch]:IP データ長が UDP ヘッダー長よりも小さい場合にアラートを起動します。

[Yes] | [No]

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Atomic IPv6 エンジン

Atomic IPv6 エンジンは、不正な形式の IPv6 トラフィックによって引き起こされる 2 つの IOS 脆弱性を検出します。これらの脆弱性は、ルータのクラッシュや、その他のセキュリティの問題を引き起こす可能性があります。1 つの IOS 脆弱性は、バッファ オーバーフローの原因となる複数の最初のフラグメントと関係しています。もう 1 つは、不正な形式の ICMPv6 ネイバー探索オプションと関係しています。これも、バッファ オーバーフローの原因となります。


IPv6 は、IP アドレス サイズを 32 ビットから 128 ビットに拡大します。これにより、サポートされるアドレッシング階層が増大し、より多くのノードにアドレスの割り当てが可能になり、アドレスの自動設定が行われます。


8 個の Atomic IPv6 シグニチャがあります。Atomic IPv6 は、次のタイプのネイバー探索プロトコルを検査します。

タイプ 133:ルータ要求

タイプ 134:ルータ アドバタイズメント

タイプ 135:ネイバー要求

タイプ 136:ネイバー アドバタイズメント

タイプ 137:リダイレクト


) ホストとルータはネイバー探索を使用して、添付されたリンクに常駐し、無効になったキャッシュ値をすばやくパージすることがわかっているネイバーのリンク層アドレスを判断します。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送する隣接ルータを検出します。


それぞれのネイバー探索タイプには、1 つ以上のネイバー探索オプションを指定できます。Atomic IPv6 エンジンは、RFC 2461 に記載されている有効な値とのコンプライアンスについて、各オプションの長さを検査します。オプションの長さに違反があると、不正な長さが検出されたオプション タイプに対応するアラートが出されます(シグニチャ 1601 ~ 1605)。


) Atomic IPv6 シグニチャには、設定する固有のパラメータはありません。


詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Fixed エンジン

Fixed エンジンは、複数の正規表現パターンを単一のパターン マッチング テーブルにまとめて、データ内の検索を一度に実行できるようにします。これは、ICMP、TCP、および UDP プロトコルをサポートします。検査の最小の深さ(1 ~ 100 バイト)に達すると、検査は停止します。Fixed エンジンには、Fixed ICMP、Fixed TCP、および Fixed UDP の 3 つがあります。


) Fixed TCP と Fixed UDP は、排他ポートとして [Service Ports] パラメータを使用します。Fixed ICMP は、除外される ICMP タイプとして [Service Ports] パラメータを使用します。


表 B-11 に、Fixed ICMP エンジンに固有のパラメータを示します。

 

表 B-11 Fixed ICMP エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Max Payload Inspect Length

シグニチャの検査の最大の深さを指定します。

1 ~ 250

Regex String

単一のパケット内で検索する正規表現を指定します。

string

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Minimum Match Length

(任意)最小一致長をイネーブルにします。

[Minimum Match Length]:正規表現文字列が一致する必要がある最小バイト数を指定します。

0 ~ 65535

Specify ICMP Type

(任意)ICMP ヘッダー タイプの検査をイネーブルにします。

[ICMP Type]:ICMP ヘッダー TYPE 値を指定します。

0 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

表 B-12 に、Fixed TCP エンジンに固有のパラメータを示します。

 

表 B-12 Fixed TCP エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Max Payload Inspect Length

シグニチャの検査の最大の深さを指定します。

1 ~ 250

Regex String

単一のパケット内で検索する正規表現を指定します。

string

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Minimum Match Length

(任意)最小一致長をイネーブルにします。

[Minimum Match Length]:正規表現文字列が一致する必要がある最小バイト数を指定します。

0 ~ 65535

Specify Service Ports

サービス ポートを使用可能にします。

[Service Ports]:ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 655353
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

3.範囲の 2 番目の数は、最初の数以上である必要があります。

表 B-13 に、Fixed UDP エンジンに固有のパラメータを示します。

 

表 B-13 Fixed UDP エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Max Payload Inspect Length

シグニチャの検査の最大の深さを指定します。

1 ~ 250

Regex String

単一のパケット内で検索する正規表現を指定します。

string

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Minimum Match Length

(任意)最小一致長をイネーブルにします。

[Minimum Match Length]:正規表現文字列が一致する必要がある最小バイト数を指定します。

0 ~ 65535

Specify Service Ports

サービス ポートを使用可能にします。

[Service Ports]:ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 655354
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

4.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Flood エンジン

Flood エンジンは、複数のパケットを単一のホストまたはネットワークに送信しているホストまたはネットワークをモニタするシグニチャを定義します。たとえば、1 秒に 150 を超える(特定のタイプの)パケットが攻撃対象ホストに送信されていることがわかった場合に起動するシグニチャを作成できます。Flood エンジンには、Flood Host と Flood Net の 2 つのタイプがあります。

表 B-14 に、Flood Host エンジンに固有のパラメータを示します。

 

表 B-14 Flood Host エンジンのパラメータ

パラメータ
説明

Protocol

検査するトラフィックの種類。

ICMP
UDP

Rate

1 秒あたりのパケット数のしきい値。

0 ~ 655355

ICMP Type

ICMP ヘッダー タイプの値を指定します。

0 ~ 65535

Dst Ports

UDP プロトコルを選択した場合の宛先ポートを指定します。

0 ~ 655356
a-b[,c-d]

Src Ports

UDP プロトコルを選択した場合の送信元ポートを指定します。

0 ~ 655357
a-b[,c-d]

5.レートが 1 秒あたりのパケットを超えると、アラートが起動されます。

6.範囲の 2 番目の数は、最初の数以上である必要があります。

7.範囲の 2 番目の数は、最初の数以上である必要があります。

表 B-15 に、Flood Net エンジンに固有のパラメータを示します。

 

表 B-15 Flood Net エンジンのパラメータ

パラメータ
説明

Gap

フラッド シグニチャで許可される時間差(秒)。

0 ~ 65535

Peaks

フラッディング トラフィックの許可されるピーク数。

0 ~ 65535

Protocol

検査するトラフィックの種類。

ICMP
TCP
UDP

Rate

1 秒あたりのパケット数のしきい値。

0 ~ 655358

Sampling Interval

トラフィックをサンプリングする間隔。

1 ~ 3600

ICMP Type

ICMP ヘッダー タイプの値を指定します。

0 ~ 65535

8.レートが 1 秒あたりのパケットを超えると、アラートが起動されます。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Meta エンジン


注意 Meta エンジン シグニチャの数が多いと、センサーの全体的なパフォーマンスに悪影響を与えるおそれがあります。

Meta エンジンでは、スライディング時間間隔内に、関連した方法で発生するイベントを定義します。このエンジンは、パケットではなくイベントを処理します。シグネチャ イベントが生成されると、Meta エンジンはシグネチャ イベントを検査して、1 つ以上の Meta 定義に一致するかどうかを判定します。Meta エンジンは、すべてのイベント要件が満たされるとシグネチャ イベントを生成します。

すべてのシグネチャ イベントは、シグニチャ イベント アクション プロセッサによって Meta エンジンに渡されます。シグニチャ イベント アクション プロセッサは、最小ヒット数オプションを処理してからイベントを渡します。Meta エンジンがコンポーネント イベントを処理してから、サマライズおよびイベント アクションは処理されます。

コンポーネント シグニチャと Meta エンジン

コンポーネント シグニチャは独立したシグニチャではありません。これは、Meta シグニチャの一部です。[Signature Type] オプションには、[Component] とマークされます。これらのシグニチャは独立したシグニチャではないため、起動時のリスク レーティングは自動的に 0 に設定されます。リスク レーティングは、コンポーネント シグニチャではなく Meta シグニチャに適用されます。これは、イベント アクション オーバーライドまたはグローバル相関のいずれかによって、コンポーネント シグニチャによるパケットの拒否を防ぎます。イベント アクション オーバーライドとグローバル相関は、コンポーネント シグニチャではなく Meta シグニチャに対して適用されます。


) Meta シグニチャ内の一部のコンポーネント シグニチャは、独立したシグニチャとコンポーネント シグニチャの両方として重要です。これらのシグニチャは、[Signature Type Component] とはマークされず、代わりに [Signature Type] が [Vulnerability]、[Exploit]、[Anomaly]、または [Other] のいずれかに設定されています。これらのシグニチャのリスク レーティングが計算され、0 には設定されません。


表 B-16 に、Meta エンジンに固有のパラメータを示します。

 

表 B-16 Meta エンジンのパラメータ

パラメータ
説明

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

Meta Reset Interval

Meta シグニチャをリセットする時間(秒数)。

0 ~ 3600

Component List

Meta コンポーネントのリスト:

[edit]:既存のエントリを編集します。

[insert]:新規エントリをリストに挿入します。

[begin]:アクティブ リストの先頭にエントリを入れます。

[end]:アクティブ リストの最後にエントリを入れます。

[inactive]:非アクティブ リストにエントリを入れます。

[before]:指定したエントリの前にエントリを入れます。

[after]:指定したエントリの後にエントリを入れます。

[move]:リスト内でエントリを移動します。

name1

Meta Key

Meta シグニチャのストレージ タイプ:

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者と攻撃対象のアドレスおよびポート

攻撃対象のアドレス

AaBb
AxBx
Axxx
xxBx

Unique Victims

Meta シグニチャごとに一意の必須攻撃対象ポートの番号。

1 ~ 256

Component List In Order

コンポーネント リストを順番に起動するかどうか。

[Yes] | [No]

詳細情報

リスク レーティングの計算に関する詳細については、「リスク レーティングの計算」を参照してください。

イベント アクション オーバーライドとその設定方法に関する詳細については、「イベント アクション オーバーライドの設定」を参照してください。

グローバル相関とその設定方法に関する詳細については、「グローバル相関の設定」を参照してください。

カスタム Meta エンジン シグニチャの例については、「Meta エンジン シグニチャの例」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Multi String エンジン


注意 Multi String エンジンは、メモリの使用状況に大きく影響することがあります。

Multi String エンジンでは、レイヤ 4 トランスポート プロトコル(ICMP、TCP、および UDP)のペイロードを検査するシグニチャを定義します。この検査は、1 つのシグニチャに対して複数の文字列を照合して行います。シグニチャを起動するために一致する必要がある一連の正規表現パターンを指定できます。たとえば、UDP サービスで regex 1 とそれに続く regex 2 を検索するシグニチャを定義できます。UDP および TCP の場合は、ポート番号と方向を指定できます。単一の送信元ポート、単一の宛先ポート、または両方のポートを指定できます。文字列の照合は両方向で実行されます。

Multi String エンジンは、複数の正規表現パターンを指定する必要がある場合に使用します。それ以外の場合は、String ICMP、String TCP、または String UDP エンジンを使用して、これらのプロトコルのいずれかに対応した単一の正規表現パターンを指定できます。

表 B-17 に、Multi String エンジンに固有のパラメータを示します。

 

表 B-17 Multi String エンジンのパラメータ

パラメータ
説明

Inspect Length

起動するシグニチャに対して違反するすべての文字列を含める必要があるストリームまたはパケットの長さ。

0 ~ 4294967295

Protocol

レイヤ 4 プロトコルの選択。

ICMP
TCP
UDP

Regex Component

正規表現コンポーネントのリスト:

[Regex String]:検索する文字列。

[Spacing Type]:前の一致から、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)空ける必要があるスペースのタイプ。

list(1 ~ 16 の項目)
exact
minimum

Port Selection

検査する TCP または UDP ポートのタイプ:

[Both Ports]:送信元ポートと宛先ポートの両方を指定します。

[Destination]:宛先ポートの範囲を指定します。

[Source]:送信元ポートの範囲を指定します。9

0 ~ 65535 10

Extra Spacing

この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要がある正確なバイト数。

0 ~ 4294967296

Minimum Spacing

この正規表現文字列と直前の正規表現文字列との間、またはストリームやパケットの先頭から(リスト内の最初のエントリである場合)、空ける必要のある最小バイト数。

0 ~ 4294967296

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

9.クライアントからサーバおよびサーバからクライアントへの両方の方向のトラフィック フローでポート マッチングが双方向に実行されます。たとえば、送信元ポート値が 80 の場合、クライアントからサーバへの方向のトラフィック フローでは、クライアント ポートが 80 であれば検査が行われます。サーバからクライアントへの方向のトラフィック フローでは、サーバ ポートがポート 80 であれば検査が行われます。

10.有効な値は、0 ~ 65535 内の整数範囲 a-b[,c-d] のコンマ区切りのリストです。範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Normalizer エンジン

Normalizer エンジンは、IP フラグメンテーションと TCP 正規化を処理します。ここでは、Normalizer エンジンについて説明します。次の事項について説明します。

「Normalizer エンジンについて」

「Normalizer エンジンのパラメータ」

Normalizer エンジンについて


) Normalizer エンジンには、カスタム シグニチャは追加できません。既存のシグニチャを調整できます。


Normalizer エンジンは、IP フラグメント再構成と TCP ストリーム再構成を処理します。Normalizer エンジンを使用して、システム リソースの利用状況に対する制限(たとえば、センサーが同時に追跡しようとするフラグメントの最大数)を設定できます。無差別モードのセンサーは、違反に関するアラートを報告します。インライン モードのセンサーは、[Produce Alert]、[Deny Packet Inline]、および [Modify Packet Inline] などのイベント アクション パラメータで指定されたアクションを実行します。


注意 シグニチャの 3050 ハーフオープン SYN 攻撃では、アクションとして [Modify Packet Inline] を選択すると、保護がアクティブになっている間にパフォーマンスが 20 ~ 30 % ほど低下することがあります。保護は、実際の SYN フラッドの間だけアクティブです。

IP フラグメンテーションの正規化

IP データグラムの意図的または意図的ではないフラグメンテーションにより、エクスプロイトが隠され、検出が困難または不可能になることがあります。ファイアウォール上やルータ上と同様、フラグメンテーションもアクセス コントロール ポリシーを逃れるために使用される可能性があります。さまざまなオペレーティング システムがさまざまなメソッドを使用して、フラグメント化されたデータグラムをキューに入れたりディスパッチしたりします。センサーは、エンド ホストがデータグラムを再構成できるすべての方法を検査する必要がある場合、DoS 攻撃に対して脆弱になります。フラグメント化されたデータグラムをすべてインラインで再構成し、完了したデータグラムだけを転送して、必要に応じてデータグラムを再フラグメント化することで、これを防止します。IP フラグメンテーション正規化装置がこの機能を実行します。

TCP 正規化

意図的または意図しない TCP セッション セグメンテーションによって、いくつかの攻撃クラスが非表示になることがあります。ポリシーが false positive や false negative なしに実施されるようにするには、2 つの TCP エンドポイントの状態が追跡され、実際のホスト エンドポイントによって処理されたデータだけが渡される必要があります。TCP ストリームでオーバーラップが発生する可能性はあるものの、TCP セグメントの再送信以外では、非常にまれです。通常、TCP セッションでの上書きは発生しません。それでも上書きが発生するとしたら、セキュリティ ポリシーを意図的に回避しようとしている者があるか、TCP スタックの実装が破損しています。両方のエンドポイントの状態に関する全情報を保持できるのは、センサーが TCP プロキシとして動作している場合だけです。TCP プロキシとして動作するセンサーの代わりに、セグメントが正しく配列され、Normalizer エンジンは、回避と攻撃に関連付けられた異常なパケットを検索します。

IPv6 フラグメント

Normalizer エンジンは、IPv6 フラグメントを再構成して、他のエンジンとプロセッサによる検査とアクションのために、再構成したバッファを転送できます。IPv4 と IPv6 の間には、次の相違点があります。

Normalizer エンジン シグニチャの [Modify Packet Inline] は、IPv6 データグラムには効果がありません。

シグニチャ 1206(IP Fragment Too Small)は、IPv6 データグラムでは起動しません。Atomic IP Advanced エンジンのシグニチャ 1741 は、小さすぎる IPv6 フラグメントでは起動しません。

シグニチャ 1202 では、IPv6 ヘッダー フィールドが長いため、IPv6 の [Maximum Datagram Size] を超える 48 の追加のバイトが許可されます。

詳細情報

Normalizer エンジンでシグニチャを設定するための手順については、 「IP フラグメント再構成シグニチャの設定」 および 「TCP ストリーム再構成シグニチャの設定」を参照してください。

Normalizer エンジンのパラメータ

表 B-18 に、Normalizer エンジンに固有のパラメータを示します。

 

表 B-18 Normalizer エンジンのパラメータ

パラメータ
説明

Edit Defaults

編集可能なシグニチャ。

Specify Fragment Reassembly Timeout

(任意)フラグメント再構築タイムアウトをイネーブルにします。

Specify Hijack Max Old Ack

(任意)hijack-max-old-ack をイネーブルにします。

Specify Max Datagram Size

(任意)最大データグラム サイズをイネーブルにします。

Specify Max Fragments

(任意)最大フラグメントをイネーブルにします。

Specify Max Fragments per Datagram

(任意)データグラムあたりの最大フラグメントをイネーブルにします。

Specify Max Last Fragments

(任意)直前の最大フラグメントをイネーブルにします。

Specify Max Partial Datagrams

(任意)最大部分データグラムをイネーブルにします。

Specify Max Small Frags

(任意)最大スモール フラグメントをイネーブルにします。

Specify Min Fragment Size

(任意)最小フラグメント サイズをイネーブルにします。

Specify Service Ports

(任意)サービス ポートをイネーブルにします。

Specify SYN Flood Max Embryonic

(任意)SYN フラッドの最大初期接続をイネーブルにします。

Specify TCP Closed Timeout

(任意)TCP クローズド タイムアウトをイネーブルにします。

Specify TCP Embryonic Timeout

(任意)TCP 初期接続タイムアウトをイネーブルにします。

Specify TCP Idle Timeout

(任意)TCP アイドル タイムアウトをイネーブルにします。

Specify TCP Max MSS

(任意)TCP 最大 mss(最大セグメント サイズ)をイネーブルにします。

Specify TCP Max Queue

(任意)TCP 最大キューをイネーブルにします。

Specify TCP Min MSS

(任意)TCP 最小 mss をイネーブルにします。

Specify TCP Option Number

(任意)TCP オプション番号をイネーブルにします。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service エンジン

ここでは、Service エンジンについて説明します。次の事項について説明します。

「Service エンジンについて」

「Service DNS エンジン」

「Service FTP エンジン」

「Service Generic エンジン」

「Service H225 エンジン」

「Service HTTP エンジン」

「Service IDENT エンジン」

「Service MSRPC エンジン」

「Service MSSQL エンジン」

「Service NTP エンジン」

「サービス P2P」

「Service RPC エンジン」

「Service SMB Advanced エンジン」

「Service SNMP エンジン」

「Service SSH エンジン」

「Service TNS エンジン」

Service エンジンについて

Service エンジンは、2 つのホスト間のレイヤ 5+ トラフィックを分析します。固定データを追跡する 1 対 1 のシグニチャがあります。エンジンは、ライブ サービスと類似の方法でレイヤ 5+ ペイロードを分析します。

Service エンジンには共通の特性がありますが、各エンジンに、検査しているサービスの固有の知識があります。文字列エンジンの使用が不適切または望ましくない場合には、Service エンジンによって、アルゴリズムに特化した汎用文字列エンジンの機能が補完されます。

Service DNS エンジン

Service DNS エンジンは、高度な DNS デコードを行います。これには、反回避技術(複数のジャンプの追跡など)が含まれます。長さ、命令コード、文字列などの多数のパラメータがあります。Service DNS エンジンは、2 つのプロトコルに対応するインスペクタであり、TCP ポート 53 と UDP ポート 53 の両方で稼動します。TCP の場合はストリームを使用し、UDP の場合はクワッドを使用します。

表 B-19 に、Service DNS エンジンに固有のパラメータを示します。

 

表 B-19 Service DNS エンジンのパラメータ

パラメータ
説明

Protocol

このインスペクタの該当プロトコル。

TCP
UDP

Specify Query Chaos String

(任意)DNS クエリー クラスのカオス文字列をイネーブルにします。

query-chaos-string

Specify Query Class

(任意)クエリー クラスをイネーブルにします。

[Query Class]:DNS クエリー クラスの 2 バイト値

0 ~ 65535

Specify Query Invalid Domain Name

(任意)無効なドメイン名のクエリーをイネーブルにします。

[Query Invalid Domain Name]:255 よりも大きい DNS クエリー長

[Yes] | [No]

Specify Query Jump Count Exceeded

(任意)超過したクエリー ジャンプ カウントをイネーブルにします。

[Query Jump Count Exceeded]:DNS 圧縮カウンタ

[Yes] | [No]

Specify Query Opcode

(任意)クエリー命令コードをイネーブルにします。

[Query Opcode]:DNS クエリー命令コードの 1 バイト値

0 ~ 65535

Specify Query Record Data Invalid

(任意)無効なレコード データのクエリーをイネーブルにします。

[Query Record Data Invalid]:不完全な DNS レコード データ

[Yes] | [No]

Specify Query Record Data Length

(任意)クエリー レコード データ長をイネーブルにします。

[Query Record Data Length]:DNS 応答レコード データ長

0 ~ 65535

Specify Query Src Port 53

(任意)クエリー送信元ポート 53 をイネーブルにします。

[Query Src Port 53]:DNS パケットの送信元ポート 53

[Yes] | [No]

Specify Query Stream Length

(任意)クエリー ストリーム長をイネーブルにします。

[Query Record Data Length]:DNS パケット長

0 ~ 65535

Specify Query Type

(任意)クエリー タイプをイネーブルにします。

[Query Type]:DNS クエリー タイプの 2 バイト値

0 ~ 65535

Specify Query Value

(任意)クエリー値をイネーブルにします。

[Query Value]:クエリー 0、応答 1

[Yes] | [No]

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service FTP エンジン

Service FTP エンジンは、無効な port コマンドと PASV ポート スプーフィングのトラッピングを行って、FTP port コマンドのデコードを行います。検出を行ううえで String エンジンを使用するのが適切ではない場合に、その機能を補完する役割があります。パラメータはブール値で、 port コマンドのデコードでさまざまなエラー トラップ条件にマップします。Service FTP エンジンは、TCP ポート 20 および 21 で稼動します。ポート 20 はデータ用で、Service FTP エンジンはこのポートで検査を行いません。Service FTP エンジンは、ポート 21 の制御トランザクションを検査します。

表 B-20 に、Service FTP エンジンに固有のパラメータを示します。

 

表 B-20 Service FTP エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

FTP Inspection Type

実行する検査のタイプ:

FTP port コマンド内の無効なアドレスを検索します。

FTP port コマンド内の無効なポートを検索します。

PASV ポート スプーフィングを検索します。

Invalid Address in PORT Command
Invalid Port in PORT Command
PASV Port Spoof

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553511
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

11.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service Generic エンジン

Service Generic エンジンを使用すると、設定ファイルでシグニチャを更新するだけで、プログラム シグニチャを発行できます。このエンジンには、設定ファイルで定義されている簡易マシンおよびアセンブリ言語が含まれています。このエンジンは、仮想マシンを介して(アセンブリ言語から導出された)マシン コードを実行します。仮想マシンは、命令を処理し、パケットから重要な情報を引き出して、マシン コードに指定されている比較および演算を実行します。このエンジンは、String エンジンと State エンジンを補足する迅速なシグニチャ応答エンジンとして設計されています。

新機能により、正規表現パラメータが Service Generic エンジンと詳細な指示に追加されています。Service Generic エンジンは、パケットを解析するために作成されたミニプログラムに基づいてトラフィックを分析できます。これらのミニプログラムは、パケットを分析して、特定の状態を検索するコマンドで構成されます。


Service Generic エンジンを使用してカスタム シグニチャを作成することはできません。



注意 複雑な言語特有の性質上、重大度とイベント アクションを除き、Service Generic エンジンのシグニチャ パラメータを編集することは推奨しません。

表 B-21 に、Service Generic エンジンに固有のパラメータを示します。

 

表 B-21 Service Generic エンジンのパラメータ

パラメータ
説明

Specify Dst Port

(任意)宛先ポートをイネーブルにします。

[Dst Port]:このシグニチャの該当宛先ポート。

0 ~ 65535

Specify IP Protocol

(任意)IP プロトコルをイネーブルにします。

[IP Protocol]:このインスペクタが検査する IP プロトコル。

0 ~ 255

Specify Payload Source

(任意)ペイロード送信元の検査をイネーブルにします。

[Payload Source]:次のタイプのペイロード送信元の検査:

ICMP データの検査

レイヤ 2 ヘッダーの検査

レイヤ 3 ヘッダーの検査

レイヤ 4 ヘッダーの検査

TCP データの検査

UDP データの検査

ICMP Data
12 Header
13 Header
14 Header
TCP Data
UDP Data

Specify Src Port

(任意)送信元ポートをイネーブルにします。

[Src Port]:このシグニチャの該当送信元ポート。

0 ~ 65535

Specify Regex String

ポリシー タイプが [regex] の場合に検索する正規表現。

単独の TCP パケット内での検索に使用する正規表現。

(任意)使用する最小一致長をイネーブルにします。

一致と見なされるために必要な正規表現の最小一致長です。

Regex String
Specify Min Match Length

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service H225 エンジン

Service H225 エンジンは、多数のサブプロトコルで構成され、H.323 スイートの一部である H225.0 プロトコルを分析します。H.323 は、パケットベース ネットワークを介した会議をイネーブルにするプロトコルとその他の標準の集合です。

H.225.0 コール シグナリングとステータス メッセージは、H.323 コール設定の一部です。ゲートキーパーやエンドポイント端末など、ネットワークのさまざまな H.323 エンティティが、H.225.0 プロトコル スタックの実装を実行します。Service H225 エンジンは、複数の H.323 ゲートキーパー、VoIP ゲートウェイ、およびエンドポイント端末での攻撃について H225.0 プロトコルを分析します このエンジンは、TCP PDU を介して交換されるコール シグナリング メッセージのディープ パケット インスペクションを行います。Service H225 エンジンは、これらのメッセージのさまざまなプロトコル フィールドでの無効な H.255.0 メッセージ、誤用、およびオーバーフロー攻撃について H.225.0 プロトコルを分析します。

H.225.0 コール シグナリング メッセージは Q.931 プロトコルに基づいています。発信側エンドポイントは、コール先のエンドポイント(アドミッション プロシージャまたは何らかのルックアップ手段から取得するアドレス)に Q.931 設定メッセージを送信します。着信側エンドポイントは、Q.931 接続メッセージを送信することによって接続を受け入れるか、接続を拒否します。H.225.0 接続を確立すると、コール元エンドポイントまたは着信側エンドポイントのいずれかが、制御プロトコル(H.245)チャネルの確立に使用される H.245 アドレスを提供します。

特に重要なのは、SETUP コール シグナリング メッセージです。これは、コール設定の一環として H.323 エンティティ間で交換される最初のメッセージであるためです。SETUP メッセージは、コール シグナリング メッセージでよく見つかるフィールドを多数使用します。また、潜在的な攻撃にさらされる実装では、多くの場合 SETUP メッセージのセキュリティ チェックに失敗します。そのため、H.225.0 SETUP メッセージで有効性を検査して、ネットワークの境界でチェックを実施することが非常に重要です。

Service H225 エンジンには、H225 SETUP メッセージについての TPKT の検証、Q.931 プロトコルの検証、および ASN.1PER の検証のために組み込みのシグニチャがあります。ASN.1 は、データ構造を記述するための表記です。PER は、異なるスタイルのエンコードを使用します。これは、データ タイプに基づいたエンコードを設定して、より簡潔な表現を生成します。

Q.931 および TPKT 長のシグニチャを調整できます。また、特定の H.225 プロトコル フィールドに細分化されたシグニチャを追加して適用し、Q.931 または H.225 プロトコルで単一のフィールドの複数のパターン検索シグニチャを適用できます。

Service H225 エンジンでは、次の機能がサポートされます。

TPKT の検証と長さチェック

Q.931 情報要素の検証

Q.931 情報要素のテキスト フィールドの正規表現シグニチャ

Q.931 情報要素に対する長さチェック

SETUP メッセージの検証

ASN.1 PER エンコード エラー チェック

正規表現と長さの両方に関する、ULR-ID、E-mail-ID、h323-id のようなフィールドの設定シグニチャ

TPKT および ASN.1 シグニチャの数は固定されています。これらのタイプのカスタム シグニチャは作成できません。TPKT シグニチャでは、長さシグニチャの値範囲だけを変更する必要があります。ASN.1 のパラメータは変更できません。Q.931 シグニチャでは、テキスト フィールドの新規正規表現シグニチャを追加できます。SETUP シグニチャでは、さまざまな SETUP メッセージ フィールドで長さと正規表現チェックのシグニチャを追加できます。

表 B-22 に、Service H225 エンジンに固有のパラメータを示します。

 

表 B-22 Service H.225 エンジンのパラメータ

パラメータ
説明

Message Type

シグニチャを適用する H225 メッセージのタイプ:

SETUP

ASN.1-PER

Q.931

TPKT

asn.1-per
q.931
setup
tpkt

Policy Type

シグニチャを適用する H225 ポリシーのタイプ:

フィールド長を検査する。

存在を検査する。

特定のフィールドがメッセージ内に存在する場合は、アラートが送信されます。

正規表現を検査します。

フィールドの妥当性を検査する。

値を検査する。

TPKT シグニチャの場合、[regex] と [presence] は有効な値ではありません。

length
presence
regex
validate
value

Specify Field Name

(任意)フィールド名を使用可能にします。SETUP および Q.931 メッセージ タイプだけで有効です。このシグニチャを適用するフィールド名のドット付き表記を指定します。

[Field Name]:検査するフィールドの名前。

1 ~ 512

Specify Invalid Packet Index

(任意)ASN と TPKT 固有のエラー、および固定マッピングを持つその他のエラーで使用する無効なパケット インデックスをイネーブルにします。

[Invalid Packet Index]:無効なパケット インデックスを検査します。

0 ~ 255

Value Range Regex String

ポリシー タイプが [regex] の場合に検索する正規表現。TPKT シグニチャには設定しないでください。

単独の TCP パケット内での検索に使用する正規表現。

(任意)使用する最小一致長をイネーブルにします。

一致と見なされるために必要な正規表現の最小一致長です。TPKT シグニチャには設定しないでください。

Regex String
Specify Min Match Length

Specify Value Range

長さまたは値ポリシー タイプ(0x00 ~ 6535)だけで有効です。その他のポリシー タイプの場合は無効です。

[Value Range]:値の範囲。

0 ~ 6553512
a-b

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

12.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service HTTP エンジン

Service HTTP エンジンは、サービス固有文字列ベースのパターン マッチング インスペクション エンジンです。HTTP プロトコルは、今日のネットワークで最も一般的に使用されるプロトコルの 1 つです。さらに、最も長い前処理時間が必要であり、システムの全体的なパフォーマンスにとって重要な検査を必要とするシグニチャの数が最も多くなります。

Service HTTP エンジンでは、複数のパターンを 1 つのパターン マッチング テーブルにまとめることでデータ内の検索を一度に実行できる正規表現ライブラリが使用されます。このエンジンは、Web サービスだけに送信されるトラフィックまたは HTTP 要求を検索します。このエンジンでは、リターン トラフィックを検査できません。このエンジンでは、シグニチャごとに対象となる別個の Web ポートを指定できます。

HTTP 解読とは、符号化された文字を ASCII 対応文字に正規化することによって、HTTP メッセージをデコードするプロセスです。このプロセスは、ASCII 正規化と呼ばれることもあります。

HTTP パケットを検査するには、あらかじめそのデータを、ターゲット システムでのデータ処理時に表示されるものと同じデータ表現として解読または正規化しておく必要があります。また、ホスト ターゲット タイプごとにカスタマイズされたデコード方式を用意することが推奨されます。そのためには、ターゲット上で動作しているオペレーティング システムおよび Web サーバのバージョンを確認する必要があります。Service HTTP エンジンには、Microsoft IIS Web サーバ用のデフォルトの解読動作があります。

表 B-23 に、Service HTTP エンジンに固有のパラメータを示します。

 

表 B-23 Service HTTP エンジンのパラメータ

パラメータ
説明

De Obfuscate

検索の前に反回避解読を適用します。

[Yes] | [No]

Max Field Sizes

最大フィールド サイズ グループ。

--

Specify Max Arg Field Length

(任意)引数フィールドの最大長をイネーブルにします。

[Max Arg Field Length]:引数フィールドの最大長。

0 ~ 65535

Specify Max Header Field Length

(任意)ヘッダー フィールドの最大長をイネーブルにします。

[Max Header Field Length]:ヘッダー フィールドの最大長。

0 ~ 65535

Specify Max Request Field Length

(任意)要求フィールドの最大長をイネーブルにします。

[Max Request Field Length]:要求フィールドの最大長。

0 ~ 65535

Specify Max URI Field Length

(任意)[URI] フィールドの最大長をイネーブルにします。

[Max URI Field Length]:[URI] フィールドの最大長。

0 ~ 65535

Regex

正規表現グループ。

--

Specify Arg Name Regex

(任意)特定の正規表現の [Arguments] フィールドの検索をイネーブルにします。

[Arg Name Regex]:[HTTP Arguments] フィールドで検索する正規表現(? の後および Content-Length で定義されたエンティティ ボディ内)。

--

Specify Header Regex

(任意)特定の正規表現の [Header] フィールドの検索をイネーブルにします。

[Header Regex]:[HTTP Header] フィールドで検索する正規表現。

ヘッダーは、最初の CRLF の後ろから定義され、CRLFCRLF まで続きます。

--

Specify Request Regex

(任意)特定の正規表現の [Request] フィールドの検索をイネーブルにします。

[Request Regex]:[HTTP URI] フィールドと [HTTP Argument] フィールドの両方で検索する正規表現。

[Specify Min Request Match Length]:要求の最小一致長の設定をイネーブルにします。

0 ~ 65535

Specify URI Regex

(任意)[HTTP URI] フィールドで検索する正規表現。[URI] フィールドは、HTTP メソッド(たとえば、GET)の後ろで、最初の CRLF の前まで定義されます。正規表現は保護されています。つまり、値は変更できません。

[/¥¥][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][a-zA-Z][.]jpeg

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553513
a-b[,c-d]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

13.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

Service HTTP カスタム シグニチャの例については、「Service HTTP エンジン シグニチャの例」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service IDENT エンジン

Service IDENT エンジンでは、TCP ポート 113 のトラフィックの検査が行われます。このエンジンは、基本的なデコードを実行できる他に、長さのオーバーフローを指定するためのパラメータを備えています。たとえば、コンピュータ A のユーザまたはプログラムが、コンピュータ B の IDENT 要求を作成する場合、A と B 間の接続のユーザのアイデンティティだけが要求されることがあります。B の IDENT サーバは、TCP ポート 113 で接続を聴取します。A のクライアントは接続を確立してから、接続が使用している A と B でのポートの数を送信することによって、アイデンティティを必要とする接続を指定します。B のサーバは、その接続を使用しているユーザを判別して、そのユーザを指定する文字列で A に応答します。Service IDENT エンジンは、IDENT の悪用について TCP ポート 113 を検査します。

表 B-24 に、Service IDENT エンジンに固有のパラメータを示します。

 

表 B-24 Service IDENT エンジンのパラメータ

パラメータ
説明

Inspection Type

実行する検査のタイプ:

[Has Newline]:ペイロードで非終端改行文字を検査します。

[Has Bad Port]:ペイロードで不良ポートを検査します。

[Payload Size]:これよりも長いペイロード長を検査します。

--

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553514
a-b[,c-d]

Direction

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

14.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service MSRPC エンジン

Service MSRPC エンジンは、MSRPC パケットを処理します。MSRPC は、ネットワーク接続された環境で複数のコンピュータとそのアプリケーション ソフトウェア間で連携処理を可能にします。これは、トランザクションベースのプロトコルです。チャネルを設定し、処理要求と応答を渡す一連の通信があることを意味します。

MSRPC は ISO レイヤ 5 ~ 6 プロトコルであり、UDP、TCP、および SMB などの別のトランスポート プロトコルの最上層にあります。MSRPC エンジンには、MSRPC PDU のフラグメンテーションと再構成を可能にする機能が含まれています。

この通信チャネルは、最近の Windows NT、Windows 2000、および Window XP セキュリティ脆弱性の原因となっています。Service MSRPC エンジンは、最も一般的なトランザクション タイプの DCE および RPC プロトコルだけをデコードします。

表 B-25 に、Service MSRPC エンジンに固有のパラメータを示します。

 

表 B-25 Service MSRPC エンジンのパラメータ

パラメータ
説明

Protocol

このインスペクタの該当プロトコル:

[Type]:UDP または TCP

TCP
UDP

Specify Flags

設定するフラグ:

MSRPC TCP Flags

MSRPC TCP Flags Mask

Concurrent Execution
Did Not Execute
First Fragment
Last Fragment
Maybe Semantics
Object UUID
Pending Cancel
Reserved

Specify Operation

(任意)MSRPC 動作の使用をイネーブルにします。

[Operation]:要求する MSRPC 動作。

SMB_COM_TRANSACTION コマンドに必要です。完全一致。

0 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

Specify Regex String

(任意)正規表現文字列の使用をイネーブルにします。

[Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

[Specify Min Match Length]:最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Specify UUID

(任意)UUID をイネーブルにします。

[UUID]:[MSRPC UUID] フィールド。

000001a000000000c000000000000046

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service MSSQL エンジン

Service MSSQL エンジンは、Microsoft SQL サーバによって使用されるプロトコルを検査します。このエンジンには 1 つの MSSQL シグニチャが含まれています。これは、デフォルトの sa アカウントを使用した MSSQL サーバへのログイン試行を検出するとアラートを起動します。ログイン ユーザ名や、パスワードが使用されたかどうかなど、MSSQL プロトコル値に基づいてカスタム シグニチャを追加できます。

表 B-26 に、Service MSSQL エンジンに固有のパラメータを示します。

 

表 B-26 Service MSSQL エンジンのパラメータ

パラメータ
説明

Password Present

MS SQL ログインでパスワードが使用されたかどうか。

[Yes] | [No]

Specify SQL Username

(任意)SQL ユーザ名の使用をイネーブルにします。

[SQL Username]:MS SQL サービスにログインするユーザのユーザ名(完全一致)。

sa

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service NTP エンジン

Service NTP エンジンは、NTP プロトコルを検査します。このエンジンには、1 つの NTP シグニチャ(NTP readvar オーバーフロー シグニチャ)が含まれます。このシグニチャは、サイズが大きいため NTP サービスでキャプチャできない NTP データが、readvar コマンドに指定されていることを検出した場合に、アラートを起動します。NTP プロトコルの値(モードや制御パケットのサイズなど)に基づいて、シグニチャを調整したり、カスタム シグニチャを作成したりできます。

表 B-27 に、Service NTP エンジンに固有のパラメータを示します。

 

表 B-27 Service NTP エンジンのパラメータ

パラメータ
説明

Inspection Type

実行する検査のタイプ。

Inspect NTP Packets

NTP パケットを検査します。

[Control Opcode]:RFC1305 の付録 B に基づく NTP 制御パケットの命令コード番号。

[Max Control Data Size]:制御パケットで送信されるデータの最大許容量。

[Operation Mode]:RFC 1305 に基づく NTP パケットの動作モード。

0 ~ 65535

IS Invalid Data Packet

無効な NTP データ パケットを検索します。NTP データ パケットの構造を調べ、サイズが正しいことを確認します。

[Yes] | [No]

Is Non NTP Traffic

NTP ポートの非 NTP パケットをチェックします。

[Yes] | [No]

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

サービス P2P

P2P ネットワークは、ファイル共有のためにクライアントとサーバの両方として同時に機能できるノードを使用します。P2P ネットワークには多くの場合、著作権で保護された資料が含まれており、企業ネットワークで使用すると企業ポリシーに違反する可能性があります。Service P2P エンジンは、そのようなネットワークをモニタし、最適化された TCP および UDP P2P プロトコル ID を提供します。Service P2P エンジンには次の特性があります。

すべての TCP および UDP ポートで聴取を行います。

正規表現ではなくハードコードされたシグニチャを使用することで、パフォーマンスを改善します。

P2P プロトコルを特定した後、または P2P プロトコルを特定せずに 10 個のパケットを検出した後で、トラフィックを無視します。

P2P シグニチャはハードコードされているため、編集できるパラメータは Master エンジンのパラメータだけです。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service RPC エンジン

Service RPC エンジンは、RPC プロトコルに対して使用し、反回避の方式として完全なデコードを行います。これにより、断片化メッセージ(複数パケット内の 1 つのメッセージ)およびバッチ メッセージ(1 つのパケット内の複数メッセージ)を処理できます。

RPC ポート マッパーは、ポート 111 上で動作します。通常の RPC メッセージは、550 より上位であれば任意のポートで送受信できます。RPC スイープは、TCP ポート スイープとほぼ同じものです。異なるのは、有効な RPC メッセージが送信された場合に一意のポートだけをカウントするという点です。RPC は UDP でも動作します。

表 B-28 に、Service RPC エンジンに固有のパラメータを示します。

 

表 B-28 Service RPC エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Protocol

該当プロトコル。

TCP
UDP

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553515
a-b[,c-d]

Specify Regex String

(任意)正規表現文字列の使用をイネーブルにします。

[Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

[Specify Min Match Length]:最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Specify Spoof Src

(任意)スプーフィングの送信元アドレスをイネーブルにします。

[Is Spoof Src]:送信元アドレスが 127.0.0.1 の場合にアラートを起動します。

[Yes] | [No]

Specify Port Map Program

(任意)ポートマッパー プログラムをイネーブルにします。

[Port Map Program]:このシグニチャのポートマッパーに送信されたプログラム番号。

0 ~ 9999999999

Specify RPC Max Length

(任意)RPC 最大長をイネーブルにします。

[RPC Max Length]:RPC メッセージ全体の最大許容長。長さが指定した値より長いとアラートを起動します。

0 ~ 65535

Specify RPC Procedure

(任意)RPC プロシージャをイネーブルにします。

[RPC Procedure]:このシグニチャの RPC プロシージャ番号。

0 ~ 1000000

Specify RPC Program

(任意)RPC プログラムをイネーブルにします。

[RPC Program]:このシグニチャの RPC プログラム番号。

0 ~ 1000000

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

15.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service SMB Advanced エンジン


) SMB エンジンは、SMB Advanced エンジンで置き換えられました。SMB エンジンはまだ IDM、IME、および CLI で表示されますが、そのシグニチャは使用されなくなりました。つまり、新規エンジンには、対応する古いシグニチャの ID を持つ使用されなくなったパラメータ セットがあります。SMB エンジンにあったカスタム シグニチャを記述し直すには、新規 SMB Advanced エンジンを使用します。


Service SMB Advanced エンジンは、Microsoft SMB および Microsoft RPC over SMB パケットを処理します。Service SMB Advanced エンジンは、MSRPC エンジンと同じデコード方法をコネクション型 MSRPC に使用します。ただし、MSRPC パケットは SMB プロトコルを介している必要があります。Service SMB Advanced エンジンは、TCP ポート 139 および 445 で MSRPC over SMB をサポートします。このエンジンは、MSRPC エンジンからのコネクション型 DCS/RPC コードのコピーを使用します。

表 B-29 に、Service SMB Advanced エンジンに固有のパラメータを示します。

 

表 B-29 Service SMB Advanced エンジンのパラメータ

パラメータ
説明

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 65535
a-b[,c-d] 16

Specify Command

(任意)SMB コマンドをイネーブルにします。

[Command]:SMB コマンドの値。完全に一致する必要があります。SMB パケットのタイプを定義します。17

0 ~ 255

Specify Direction

(任意)トラフィック方向をイネーブルにします。

[Direction]:トラフィックの方向を指定できます。

[from-service]:サービス ポートからクライアント ポート宛のトラフィック。

[to-service]:クライアント ポートからサービス ポート宛のトラフィック。

from service
to service

Specify Operation

(任意)MSRPC over SMB をイネーブルにします。

[MSRPC Over SMB Operation]:SMB_COM_TRANSACTION コマンドで必要です。完全に一致する必要があります。

0 ~ 65535

Specify Regex String

(任意)正規表現文字列の検索をイネーブルにします。

[Regex String]:単一の TCP パケット内で検索する正規表現。

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット。

Specify Min Match Length

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

Specify Payload Source

(任意)ペイロード送信元をイネーブルにします。

[Payload Source]:ペイロード送信元の検査。18

Specify Scan Interval

(任意)スキャン間隔をイネーブルにします。

[Scan Interval]:アラート率の計算に使用される間隔(秒数)。

1 ~ 131071

Specify TCP Flags

(任意)TCP フラグをイネーブルにします。

MSRPC TCP Flags

MSRPC TCP Flags Mask

concurrent execution

did not execute

first fragment

last fragment

maybe

object UUID

pending cancel

reserved

Specify Type

(任意)MSRPC over SMB パケットのタイプをイネーブルにします。

[Type]:MSRPC over SMB パケットの [Type] フィールド。

[0] = 要求

[2] = 応答

[11] = バインド

[12] = バインド応答

Specify UUID

(任意)UUID を経由した MSRPC をイネーブルにします。

[UUID]:[MSRPC UUID] フィールド。

16 進数の 0 ~ 9、a ~ f、A ~ F で構成される 32 文字の文字列。

Specify Hit Count

(任意)ヒット カウントをイネーブルにします。

[Hit Count]:scan-interval 内の発生回数のしきい値。この値を超えるとアラートが起動されます。

1 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

16.範囲の 2 番目の数は、最初の数以上である必要があります。

17.現在、37 (0x25) SMB_COM_TRANSACTION コマンド ¥x26amp、162 (0xA2) SMB_COM_NT_CREATE_ANDX コマンドがサポートされます。

18.TCP_Data は、パケット全体に対して正規表現を実行し、SMB_Data は SMB ペイロードだけに対して正規表現を実行し、Resource_DATA は SMB_Resource で正規表現を実行します。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

Service SNMP エンジン

Service SNMP エンジンは、ポート 161 宛のすべての SNMP パケットを検査します。特定のコミュニティ名とオブジェクト ID に基づいて、SNMP シグニチャを調整したり、カスタム SNMP シグニチャを作成したりできます。

コミュニティ名とオブジェクト ID を照合するために、文字列比較や正規表現演算を使用する代わりに、整数を使用してすべての比較を実行し、プロトコル デコードを高速化しストレージ要件を削減します。

表 B-30 に、Service SNMP エンジンに固有のパラメータを示します。

 

表 B-30 Service SNMP エンジンのパラメータ

パラメータ
説明

Inspection Type

実行する検査のタイプ。

--

Brute Force Inspection

総当たり攻撃の試行を検査します。

[Bruce Force Count]:総当たり攻撃と見なされる一意の SNMP コミュニティ名の数。

0 ~ 65535

Invalid Packet Inspection

SNMP プロトコル違反を検査します。

--

Non SNMP Traffic Inspection

UDP ポート 161 宛の非 SNMP トラフィックを検査します。

--

SNMP Inspection

SNMP トラフィックを検査します。

Specify Community Name [yes | no]:

[Community Name]:SNMP コミュニティ名(SNMP パスワード)を検索します。

Specify Object ID [yes | no]:

[Object ID]:SNMP オブジェクト ID を検索します。

community-name

object-id

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service SSH エンジン

Service SSH エンジンは、ポート 22 の SSH トラフィックに対して使用します。SSH セッションのセットアップを除いてすべてが暗号化されるため、Service SSH エンジンはセットアップのフィールドだけをモニタします。SSH には 2 つのデフォルト シグニチャがあります。これらのシグニチャを調整することはできますが、カスタム シグニチャは作成できません。

表 B-31 に、Service SSH エンジンに固有のパラメータを示します。

 

表 B-31 Service SSH エンジンのパラメータ

パラメータ
説明

Length Type

次の SSH 長さタイプのいずれかを検査します。

[Key Length]:検査対象の SSH キーの長さ:

[Length]:キーがこれよりも長い場合は、RSAREF オーバーフローが発生します。

[User Length]:ユーザ長の SSH 検査:

[Length]:キーがこれよりも長い場合は、RSAREF オーバーフローが発生します。

0 ~ 65535

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553519
a-b[,c-d]

Specify Packet Depth

(任意)パケット数をイネーブルにします。

[Packet Depth]:セッション キーが失われたと判断するまでにモニタするパケット数。

0 ~ 65535

19.範囲の 2 番目の数は、最初の数以上である必要があります。

 

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Service TNS エンジン

Service TNS エンジンは、TNS プロトコルを検査します。TNS は、すべての業界標準のネットワーク プロトコルで共通する単一のインターフェイスをデータベース アプリケーションに提供します。アプリケーションは、TNS によって、異なるプロトコルを使用するネットワーク間で他のデータベース アプリケーションに接続できます。デフォルトの TNS リスナー ポートは TCP 1521 です。TNS では、クライアントを別のホストや別の TCP ポートにリダイレクトする REDIRECT フレームもサポートされます。REDIRECT パケットをサポートするために、TNS エンジンはすべての TCP ポートで聴取し、TNS 以外のストリームを無視するための迅速な TNS フレーム ヘッダーの検証ルーチンを備えています。

表 B-32 に、Service TNS エンジンに固有のパラメータを示します。

 

表 B-32 Service TNS エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向。

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Type Frame Type

TNS フレーム値のタイプを指定します。

[1]:接続

[2]:受け入れ

[4]:拒否

[5]:リダイレクト

[6]:データ

[11]:再送信

[12]:マーカー

1
2
4
5
6
11
12

Specify Regex String

(任意)正規表現文字列の使用をイネーブルにします。

[Specify Exact Match Offset]:完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

[Specify Min Match Length]:最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Specify Regex Payload Source

検査するプロトコルを指定します。

Payload Source:

[TCP Data]:TCP パケットのデータ部分に対して正規表現を実行します。

[TNS Data]:すべての空白が削除されている TNS データに対してだけ正規表現を実行します。

TCP
TNS

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

シグニチャの正規表現構文のリストについては、「正規表現の構文」を参照してください。

State エンジン

State エンジンは、TCP ストリームのステートベースの正規表現ベースのパターン検査を提供します。State エンジンとは何かの状態を保存するデバイスで、入力があるたびに、その内容に基づいてある状態から別の状態に移行したり、処理や出力を行ったりできます。ステート マシンは、出力やアラームを発生させる特定のイベントを記述するために使用します。State エンジンには、SMTP、Cisco Login、および LPR Format String の 3 つのステート マシンがあります。

表 B-33 に、State エンジンに固有のパラメータを示します。

 

表 B-33 State エンジンのパラメータ

パラメータ
説明

State Machine

ステート マシン グループ。

SMPT

LPR Format String

Cisco Login

Cisco Login

Cisco ログインのステート マシンを指定します。

[State Name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

シスコ デバイスの状態

Control-C 状態

パスワード プロンプト状態

開始状態

Cisco Device

Control C

Pass Prompt

Start Cisco

LPR Format String

LPR フォーマット ストリングの脆弱性を検査するステート マシンを指定します。

[State Name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

LPR フォーマット ストリング検査を終了する中断状態

フォーマット文字の状態

開始状態

Abort

Format Char

Start

State Name

SMTP プロトコルのステート マシンを指定します。

[State Name]:状態の名前。この状態になると、シグニチャはアラートを起動します。

LPR フォーマット ストリング検査を終了する中断状態

メール本文の状態

メール ヘッダーの状態

SMTP コマンドの状態

開始状態

Abort

Mail Body

Mail Header

SMPT Commands

Start Abort

Direction

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553520
a-b[,c-d]

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Max Match Offset

(任意)最大一致オフセットをイネーブルにします。

[Max Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最大ストリーム オフセット。

0 ~ 65535

Specify Min Match Offset

(任意)最小一致オフセットをイネーブルにします。

[Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最小ストリーム オフセット。

0 ~ 65535

Specify Min Match Length

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

20.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

String エンジン

String エンジンは、ICMP、TCP、および UDP プロトコルを対象とした、汎用パターン マッチング インスペクション エンジンです。String エンジンでは、複数のパターンを 1 つのパターン マッチング テーブルにまとめることでデータ内の検索を一度に実行できる正規表現エンジンが使用されます。String エンジンには、String ICMP、String TCP、および String UDP の 3 つがあります。

表 B-34 に、String ICMP エンジンに固有のパラメータを示します。

 

表 B-34 String ICMP エンジンのパラメータ

パラメータ
説明

Direction

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

ICMP Type

ICMP ヘッダーの TYPE 値。

0 ~ 1821
a-b[,c-d]

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Min Match Length

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

21.範囲の 2 番目の数は、最初の数以上である必要があります。

表 B-35 に、String TCP エンジンに固有のパラメータを示します。

 

表 B-35 String TCP エンジン

パラメータ
説明

Direction

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553522
a-b[,c-d]

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Min Match Length

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Strip Telnet Options

パターンを検索する前に、データから Telnet オプション文字を削除します。23

[Yes] | [No]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

22.範囲の 2 番目の数は、最初の数以上である必要があります。

23.このパラメータは、主に、IPS 反回避ツールとして使用します。

表 B-36 に、String UDP エンジンに固有のパラメータを示します。

 

表 B-36 String UDP エンジン

パラメータ
説明

Direction

トラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Service Ports

ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

0 ~ 6553524
a-b[,c-d]

Specify Exact Match Offset

(任意)完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列が報告する必要がある正確なストリーム オフセット。

0 ~ 65535

Specify Min Match Length

(任意)最小一致長をイネーブルにします。

[Min Match Length]:正規表現文字列が一致する必要がある最小バイト数。

0 ~ 65535

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

24.範囲の 2 番目の数は、最初の数以上である必要があります。

詳細情報

カスタム String エンジン シグニチャの例については、「String TCP エンジン シグニチャの例」を参照してください。

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

String XL エンジン

String XL エンジンは、他の String エンジンと同じこと(シグニチャごとに 1 つの文字列を照合する機能の提供)を行いますが、異なる正規表現構文を使用します。String TCP XL エンジンはストリームベースであり、Cross-Packet Inspection(XPI)を使用します。パケットは順番になっていなければなりません。UDP と ICMP は両方ともステートレスであるため、String UDP XL および String ICMP XL シグニチャ エンジンでは、セッション ステートを割り当てる必要はなく、各パケットは別に検索されます。

標準の String エンジンと新規 String XL エンジンの両方に、正規表現アクセラレータ カードが使用されます。ほとんどの標準の String エンジン シグニチャは、変更せずに正規表現アクセラレータ カードによってコンパイルおよび分析可能です。ただし、正規表現アクセラレータ カードで標準の String エンジン シグニチャをコンパイルできないような特殊な状況があります。このような状況では、新規シグニチャは、正規表現アクセラレータ カードでコンパイルを行う String XL エンジンの固有のパラメータを使用して String XL エンジンで記述されます。String XL エンジンの新規シグニチャによって、標準の String エンジンの元のシグニチャは使用されなくなりました。

正規表現構文または未加工表現構文を使用できますが、未加工表現構文は上級ユーザ専用です。String XL シグニチャの設定時には、未加工表現構文を使用する場合を除き、[Regex String] パラメータが必要です。


Raw Regex は、raw モード処理で使用する正規表現の構文です。これは、Cisco IPS シグニチャ開発チームまたは Cisco IPS シグニチャ開発チームの指示を受けている者だけによる使用を対象としたエキスパート専用モードです。String XL シグニチャは、通常の正規表現または raw 正規表現で設定できます。


表 B-37 に、String XL エンジン(TCP、ICMP、および UDP)に固有のパラメータを示します。

 

表 B-37 String XL エンジンのパラメータ

パラメータ
説明

Direction

(必須)検査するトラフィックの方向:

サービス ポートからクライアント ポート宛のトラフィック。

クライアント ポートからサービス ポート宛のトラフィック。

From Service
To Service

Dot All

[Yes] に設定すると、¥n を含む [¥x00-¥xFF] と一致します。[No] に設定すると、¥n を除く範囲 [¥x00-¥xFF] 内のすべてと一致します。

[Yes] | [No]
(デフォルト)

End Optional

パケットの最後でその他すべての条件を満たしても最後が検出されない場合は、最小を超えると一致が報告されます。

Yes | No(デフォルト)

ICMP Type

ICMP メッセージ タイプ。シグニチャ エンジンが [String ICMP] の場合は必須です。

0 ~ 1825
a-b[,c-d]

No Case

表現内のすべての英文字で大文字と小文字を区別しません。

Yes | No(デフォルト)

Raw Regex

[Yes] に設定すると、正規表現文字列の再フォーマットに [Min Match Length]、[Max Match Length]、[Min Whole Length]、[Max Whole Length]、[Dot All]、[UTF8]、[No Case]、[Stingy]、および [End Optional] は使用されません。

(注) [Raw Regex] を使用すると、未加工構文の正規表現文字列を変換せずに入力できます。

Yes | No(デフォルト)

Regex String

(必須)検索で使用する正規表現パターン。

(注) [Max Stream Length] が設定されている場合を除き、このパラメータは必須です。[Max Stream Length] が設定されている場合は、[Regex String] を設定しないでください。

string

Service Ports

(必須)ターゲット サービスが常駐する、カンマ区切りのポートのリストまたはポート範囲。

(注) このパラメータは、String XL TCP および String XL UDP シグニチャ エンジンでは必須です。String XL ICMP シグニチャ エンジンには使用できません。

0 ~ 6553526
a-b[,c-d]

Specify Exact Match Offset

完全一致オフセットをイネーブルにします。

[Exact Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある正確なストリーム オフセット(バイト)。

[Yes] | [No]

0 ~ 65535

Specify Maximum Match Offset

最大一致オフセットをイネーブルにします。

[Maximum Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最大ストリーム オフセット(バイト)。

[Yes] | [No]
0 ~ 65535

Specify Min Match Offset

最小一致オフセットをイネーブルにします。

[Min Match Offset]:一致を有効にするために正規表現文字列がレポートする必要がある最小ストリーム オフセット(バイト)。

[Yes] | [No]
0 ~ 65535

Specify Max Match Length

最大一致長をイネーブルにします。

[Max Match Length]:パターンをヒットと見なすために正規表現文字列が一致する必要がある最大バイト数。

[Yes] | [No]
0 ~ 65535

Specify Min Match Length

最小一致長をイネーブルにします。

[Min Match Length]:パターンをヒットと見なすために正規表現文字列が一致する必要がある最小バイト数。

[Yes] | [No]
0 ~ 65535

Specify Max Stream Length

最大ストリーム長をイネーブルにします。

[Max Stream Length]:検索を最初に設定したバイト数に制限します。ストリームの長さは、この値に対して検査されます。ストリームに、この値よりも大きいバイト数が含まれている場合は、アラートがトリガーされます。

(注) このパラメータを指定する場合は、[Raw Regex] または [Regex String] は設定できません。

[Yes] | [No]
0 ~ 65535

Specify Max Whole Length

全体の最大長をイネーブルにします。

[Max Whole Length]:フラグメント化されないパターンの最大長。

[Yes] | [No]
0 ~ 65535

Specify Min Whole Length

全体の最小長をイネーブルにします。

[Min Whole Length]:フラグメント化されないパターンの最小長。

[Yes] | [No]
0 ~ 65535

Stingy

最初に完了した一致の後で、より大きい一致の検索を停止します。

(注) [Stingy] は、[Min Match Length] と一緒の場合だけ使用できます。それ以外は、無視されます。

Yes | No(デフォルト)

Strip Telnet Options

パターンを検索する前に、データから Telnet オプション文字を削除します。27

Yes | No(デフォルト)

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

Yes | No(デフォルト)

UTF8

表現内のすべての正しい UTF-8 バイト シーケンスを単一の文字として扱います。

Yes | No(デフォルト)

25.範囲の 2 番目の数は、最初の数以上である必要があります。

26.範囲の 2 番目の数は、最初の数以上である必要があります。

27.このパラメータは、主に、IPS 反回避ツールとして使用します。

Unsupported Parameters

String XL エンジンには [End Optional] および [Specify Max Stream Length] パラメータが表示されますが、IPS 7.1(1)E4 ではディセーブルにされます。これらのパラメータを設定しようとすると、エラー メッセージが表示されます。たとえば、[Specify Max Stream Length] を使用してシグニチャを作成してから、保存しようとすると、次のエラー メッセージが表示されます。

Apply Changes?[yes]: yes
Error: string-xl-tcp 60003.0 : Maximum Stream Length is currently not supported.
Please don't use this option.
 
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]:

詳細情報

String XL エンジン シグニチャの例については、「String XL TCP エンジン Match Offset シグニチャの例」および 「String XL TCP エンジン Minimum Match Length シグニチャの例」を参照してください。

Sweep エンジン

ここでは、Sweep エンジンについて説明します。次の事項について説明します。

「Sweep エンジン」

「Sweep Other TCP エンジン」

Sweep エンジン

Sweep エンジンは、2 つのホスト間、または 1 つのホストから多数のホストへのトラフィックを分析します。既存のシグニチャを調整するか、カスタム シグニチャを作成できます。Sweep エンジンには、ICMP、UDP、および TCP を対象とした、プロトコル固有のパラメータがあります。

Sweep エンジンのアラート条件は、最終的に、一意のパラメータの数によって異なります。一意のパラメータは、スイープのタイプに基づく別個のホストまたはポート数のしきい値です。一意のパラメータは、期間内に設定されたアドレスで一意のポートまたはホスト数を超える数が確認された場合に、アラートを起動します。一意のポートおよびホストのトラッキング処理をカウンティングといいます。


注意 送信元および宛先 IP アドレスに基づいたイベント アクション フィルタは、通常のシグニチャとしてフィルタリングしないため、Sweep エンジンでは機能しません。スイープ アラートで送信元および宛先 IP アドレスをフィルタリングするには、Sweep エンジン シグニチャで送信元および宛先 IP アドレス フィルタ パラメータを使用します。

Sweep エンジンでは、すべてのシグニチャに一意のパラメータを指定する必要があります。スイープでは、2 ~ 40 までの制限が適用されます。2 は、スイープの絶対最小値です。それ以外は、(1 つのホストまたはポートの)スイープではありません。40 は、スイープが余分なメモリを消費しないように適用する必要がある実際の最大値です。一意の範囲のより現実的な値は、5 ~ 15 です。

別個の接続をカウントするスイープ インスペクタ スロットを判別するために、TCP スイープには TCP フラグとマスクが指定されている必要があります。さまざまなタイプの ICMP パケットを区別するために、ICMP スイープには ICMP タイプが指定されている必要があります。

DataNode

Sweep エンジン シグニチャに関連するアクティビティが確認されると、IPS は DataNode を使用して、特定のホストのモニタを停止する時期を判別します。DataNode には、ストリームのクロスパケット再構成を行って、ストリーム、送信元、または宛先ごとに検査状態を追跡するために必要なさまざまな固定カウンタと変数が含まれています。スイープが含まれている DataNode によって、スイープの期限が切れる時期が決まります。DataNode は、 x 秒間(プロトコルによって異なる)トラフィックを確認しないと、スイープを停止します。

DataNode には、適応できるタイムアウトがいくつかあります。DataNode は、含まれているすべてのオブジェクトが削除された後で、アドレス セットでのアイドル時間から 30 秒後に期限切れになります。含まれている各オブジェクトにはさまざまなタイムアウトがあります。たとえば、TCP ストリームには、確立されている接続について 1 時間のタイムアウトがあります。その他ほとんどのオブジェクトの有効期限は、5 秒や 60 秒のようにさらに短くなっています。

表 B-38 に、Sweep エンジンに固有のパラメータを示します。

 

表 B-38 Sweep エンジンのパラメータ

パラメータ
説明

Destination Address Filter

スイープ カウント アルゴリズムから除外する宛先 IP アドレス。

<A.B.C.D>-
<A.B.C.D>
[,<A.B.C.D>-
<A.B.C.D>]

Source Address Filter

スイープ カウント アルゴリズムから除外する送信元 IP アドレス。

<A.B.C.D>-
<A.B.C.D>
[,<A.B.C.D>-
<A.B.C.D>]

Protocol

このインスペクタの該当プロトコル。

ICMP

UDP

TCP

Specify ICMP Type

(任意)ICMP ヘッダー タイプの検査をイネーブルにします。

[ICMP Type]:ICMP ヘッダー TYPE 値を指定します。

0 ~ 255

Specify Port Range

(任意)検査でのポート範囲の使用をイネーブルにします。

[Port Range]:検査で使用する UDP ポート範囲。

0 ~ 65535
a-b[,c-d]

Fragment Status

フラグメントが必要かどうかを指定します。

任意のフラグメント ステータス。

フラグメントを検査しない。

フラグメントを検査する。

Any

No Fragment

Want Fragment

Inverted Sweep

一意のカウントの対象として宛先ポートではなく送信元ポートを使用します。

[Yes] | [No]

Mask

TCP フラグの比較に使用するマスク:

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Storage Key

固定データを保存するために使用するアドレス キーのタイプ。

攻撃者のアドレス

攻撃者と攻撃対象のアドレス

攻撃者のアドレスと攻撃対象のポート

Axxx
AxBx
Axxb

Suppress Reverse

このアドレス セットで反対方向にスイープが実行されている場合、アラートを起動しません。

[Yes] | [No]

Swap Attacker Victim

攻撃者と攻撃対象のアドレスとポート(送信元と宛先)がアラート メッセージとアクションでスワップされる場合は [Yes]。スワップしない場合は [No](デフォルト)。

[Yes] | [No]

TCP Flags

マスクによってマスクされた場合に照合する TCP フラグ。

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

Unique

2 つのホスト間の一意のポート接続数のしきい値。

0 ~ 65535

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Sweep Other TCP エンジン

Sweep Other TCP エンジンは、2 つのホスト間のトラフィックを分析して、通常は攻撃対象のフィンガープリントに使用される異常なパケットを検索します。既存のシグニチャを調整するか、カスタム シグニチャを作成できます。

TCP スイープには、TCP フラグとマスクが指定されている必要があります。TCP フラグ セットで複数のエントリを指定できます。また、特定のパケットをフィルタリングして除外するためのポート範囲を任意で指定できます。

表 B-39 に、Sweep Other TCP エンジンに固有のパラメータを示します。

 

表 B-39 Sweep Other TCP エンジンのパラメータ

パラメータ
説明

Specify Port Range

(任意)検査でのポート範囲の使用をイネーブルにします。

[Port Range]:検査で使用する UDP ポート範囲。

0 ~ 65535
a-b[,c-d]

Set TCP Flags

照合する TCP フラグを設定します。

[TCP Flags]:この検査で使用される TCP フラグ:

URG ビット

ACK ビット

PSH ビット

RST ビット

SYN ビット

FIN ビット

URG

ACK

PSH

RST

SYN

FIN

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Traffic Anomaly エンジン


) 異常検出シグニチャを編集または調整できますが、カスタムの異常検出シグニチャは作成できません。


Traffic Anomaly エンジンには、3 つのプロトコル(TCP、UDP、およびその他)をカバーする 9 つの異常検出シグニチャが含まれます。各シグニチャには 2 つのサブシグニチャがあります。一方はスキャナ用で、もう一方はワームに感染したホスト(またはワーム攻撃されているスキャナ)用です。異常を検出した異常検出では、これらのシグニチャのアラートをトリガーします。すべての異常検出シグニチャは、デフォルトでイネーブルになり、各シグニチャのアラート重大度は高く設定されます。

スキャナが検出されても、ヒストグラム異常が発生しない場合、スキャナ シグニチャはその攻撃者(スキャナ)の IP アドレスをファイルに保存します。ヒストグラム シグニチャがトリガーされた場合は、スキャンを行っている攻撃者のアドレスによってそれぞれ(スキャナ シグニチャではなく)ワーム シグニチャがトリガーされます。ヒストグラムがトリガーされているため、ワーム検出に使用されているしきい値がアラートの詳細に表示されます。これ以降、すべてのスキャナは、ワームに感染したホストとして検出されます。

次の異常検出イベント アクションが可能です。

[Product Alert]:イベントをイベント ストアに書き込みます。

[Deny Attacker Inline]:指定された期間、この攻撃者のアドレスから発生したこのパケットおよび将来のパケットを送信しません。

[Log Attacker Packets]:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始します。

[Log Attacker/Victim Pair Packets]:攻撃者と攻撃対象のアドレスのペアを含むパケットの IP ロギングを開始します。

[Deny Attacker Service Pair Inline]:送信元 IP アドレスおよび宛先ポートをブロックします。

[Request SNMP Trap]:SNMP 通知を実行するために、NotificationApp に要求を送信します。

[Request Block Host]:要求を ARC に送信して、このホスト(攻撃者)をブロックします。

表 B-40 異常検出ワーム シグニチャを示します。

 

表 B-40 異常検出ワーム シグニチャ

シグニチャ
ID
サブシグニチャ ID
名前
説明

13000

0

Internal TCP Scanner

内部ゾーンで TCP プロトコル上に単一スキャナを識別しました。

13000

1

Internal TCP Scanner

内部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。

13001

0

Internal UDP Scanner

内部ゾーンで UDP プロトコル上に単一スキャナを識別しました。

13001

1

Internal UDP Scanner

内部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。

13002

0

Internal Other Scanner

内部ゾーンでその他のプロトコル上に単一スキャナを識別しました。

13002

1

Internal Other Scanner

内部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。

13003

0

External TCP Scanner

外部ゾーンで TCP プロトコル上に単一スキャナを識別しました。

13003

1

External TCP Scanner

外部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。

13004

0

External UDP Scanner

外部ゾーンで UDP プロトコル上に単一スキャナを識別しました。

13004

1

External UDP Scanner

外部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。

13005

0

External Other Scanner

外部ゾーンでその他のプロトコル上に単一スキャナを識別しました。

13005

1

External Other Scanner

外部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。

13006

0

Illegal TCP Scanner

不正ゾーンで TCP プロトコル上に単一スキャナを識別しました。

13006

1

Illegal TCP Scanner

不正ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。

13007

0

Illegal UDP Scanner

不正ゾーンで UDP プロトコル上に単一スキャナを識別しました。

13007

1

Illegal UDP Scanner

不正ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。

13008

0

Illegal Other Scanner

不正ゾーンでその他のプロトコル上に単一スキャナを識別しました。

13008

1

Illegal Other Scanner

不正ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Traffic ICMP エンジン

Traffic ICMP エンジンは、TFN2K、LOKI、DDoS などの非標準プロトコルを分析します。このエンジンには、ユーザが設定可能なパラメータを持つ 2 つのシグニチャ(LOKI プロトコルに基づく)だけが含まれます。

TFN2K は、TFN の新しいバージョンです。TFN2K は DDoS エージェントの一種であり、感染した複数のコンピュータ(ゾンビ)による協調した攻撃(何百または何千もの未知の攻撃ホストから 1 つのコンピュータまたはドメインに向けて偽のトラフィック フラッドを送信する攻撃)を制御します。TFN2K はランダムに抽出されたパケット ヘッダー情報を送信しますが、それにはシグニチャの定義に使用できる 2 つの識別子が付いています。1 つは L3 チェックサムが不正かどうかを示し、もう 1 つはペイロードの末尾に文字 64「A」が検出されたかどうかを示します。TFN2K は、任意のポートで実行可能であり、ICMP、TCP、UDP、またはこれらのプロトコルの組み合わせを使用して通信できます。

LOKI は、バック ドア型トロイの木馬タイプです コンピュータが感染すると、悪意のあるコードにより ICMP トンネルが作成されます。この ICMP トンネルは、ICMP 応答内での小さなペイロードの送信に使用されるおそれがあります(ICMP をブロックするように設定していないと、ICMP 応答はファイアウォールを通過することがあります)。LOKI シグニチャは、ICMP エコーの要求と応答のアンバランス、簡易 ICMP コード、およびペイロード識別子をモニタします。

(TFN2K を除く)DDOS カテゴリは、ICMP ベースの DDOS エージェントを対象とします。ここで使用する主なツールは、TFN と Stacheldraht です。これらは TFN2K と同様に動作しますが、ICMP だけに依存し、固定コマンド(整数および文字列)を備えています。

表 B-41 に、Traffic ICMP エンジンに固有のパラメータを示します。

 

表 B-41 Traffic ICMP エンジンのパラメータ

パラメータ
説明

Parameter Tunable Sig

設定可能なパラメータがシグニチャに存在するかどうか。

[Yes] | [No]

Inspection Type

実行する検査のタイプ:

最初の LOKI トラフィックを検査する。

変更された LOKI トラフィックを検査する。

Is Loki
Is Mod Loki

Reply Ratio

要求と応答のアンバランス。要求と比べて、応答が指定した数より多い場合に、アラートを起動します。

0 ~ 65535

Want Request

アラートを起動する前に、ECHO REQUEST の検出が必要となります。

[Yes] | [No]

詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。

Trojan エンジン

Trojan エンジンは、BO2K や TFN2K などの非標準プロトコルを分析します。Trojan エンジンには、Trojan BO2K、TrojanTFN2K、および Trojan UDP の 3 つがあります。

BO は、UDP 上だけで実行された、Windows を標的とした最初のバックドア型トロイの木馬でした。これは、すぐに BO2K に取って代わられました。BO2K は、基本的な XOR 暗号を利用する UDP と TCP の両方に対応していました。これには、特定のクロスパケットの特性を持つ簡単な BO ヘッダーがあります。

また、BO2K には、BO ヘッダーを暗号化して、クロスパケット パターンをほとんど認識できないようにするために設計された内密の TCP モジュールがあります。BO および BO2K の UDP モードは、Trojan UDP エンジンによって処理されます。TCP モードは、Trojan BO2K エンジンによって処理されます。


) Trojan UDP エンジンの [Swap Attacker Victim] を除き、Trojan エンジンに固有のパラメータはありません。


詳細情報

すべてのシグニチャ エンジンに共通するパラメータの詳細については、「Master エンジン」を参照してください。