この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard モジュール)が生成する攻撃レポートについて説明します。この章は、次の項で構成されています。
Guard モジュールは、攻撃の包括的な概要を把握するのに役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Guard モジュールによって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる特性が記載されます。以前の攻撃と進行中の攻撃のレポートを表示できます。また、File Transfer Protocol(FTP; ファイル転送プロトコル)、Secure FTP(SFTP)、または Secure Copy Protocol(SCP)を使用するネットワーク サーバにレポートをエクスポートできます。
• Zombies
攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。
表12-1 に、レポートのこのセクションのフィールドを示します。
|
|
---|---|
Attack Statistics セクションには、さまざまなパケットのゾーン トラフィック フローの一般的な分析が記載されます。 表12-2 に、パケット タイプを示します。
|
|
---|---|
検証の試行で Guard モジュールのスプーフィング防止機能およびゾンビ防止機能によって送信元に返送されたトラフィック。 |
|
攻撃レポートの Malicious Packets Statistics セクションでは、Guard モジュールがドロップしたパケットおよび検証の試行で送信元に返送されたパケットが分析されます。レポートでは、パケットをタイプ(スプーフィングまたは不正な形式)、およびそれらを処理する Guard モジュールの機能(フィルタ タイプまたはレート リミッタ)によって分類します。
表12-3 に、さまざまなタイプの悪意のあるパケットを示します。
攻撃レポートの Detected Anomalies セクションには、Guard モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。通常、このような異常は頻繁に発生しません。頻繁に発生する場合は、体系的な DDoS 攻撃(分散型サービス拒絶攻撃)となる可能性があります。Guard は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。
表12-4 に、検出された異常の各タイプを示します。
攻撃レポートの Mitigated Attacks セクションには、Guard モジュールが攻撃を軽減するために実行した処置が詳細に記載されます。このレポートには、軽減のタイミングおよび軽減された攻撃のタイプの詳細が記載されます。Guard モジュールは、Guard モジュールが攻撃を軽減するために使用した機能に応じて軽減のタイプを定義します。この機能は、攻撃のタイプとサブタイプを示します。
たとえば、Guard モジュールが syn パケットの攻撃フローを軽減するために基本的なスプーフィング防止機能を使用した場合、軽減された攻撃は spoofed/tcp_syn_basic と表示されます。ここで、spoofed は攻撃のタイプを示し、tcp_syn_basic は攻撃のサブタイプを示します。
この項では、5 つのタイプの軽減された攻撃について説明します。次のトピックがあります。
• ゾンビ攻撃
• クライアント攻撃
• ユーザ定義の攻撃
スプーフィング攻撃には、スプーフィングされた送信元からの DDoS 攻撃であると識別されるすべてのトラフィック異常が含まれます。 表12-5 に、スプーフィング攻撃のさまざまなタイプを示します。
|
|
---|---|
Guard モジュールのスプーフィング防止機能が認証に成功しなかった、TCP および UDP トラフィック以外のフラッド。 |
|
Guard モジュールのスプーフィング防止機能が認証に成功しなかった、TCP および UDP 以外の断片化されたパケットのフラッド。 |
|
ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されるトラフィック異常が含まれます。 表12-6 に、ゾンビ攻撃のタイプを示します。
|
|
---|---|
|
Guard モジュールのゾンビ防止機能が認証に成功しなかった、スプーフィングされていないと識別された多くの送信元からの HTTP トラフィックのフラッド。 |
クライアント攻撃には、スプーフィングされていないすべてのトラフィック異常が含まれます。 表12-7 に、さまざまなタイプのクライアント攻撃を示します。
|
|
---|---|
TCP ハンドシェイクを経ていない ACK、FIN、または他のパケットのフラッド、あるいは Guard モジュールのスプーフィング防止機能が認証に成功しなかった TCP 接続。 |
|
ユーザ定義攻撃には、ユーザ フィルタによって処理されたすべての異常が含まれます。ユーザ フィルタは、デフォルトまたは手動による設定で機能します。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。 表12-8 に、ユーザ定義攻撃のタイプを示します。
|
|
• ユーザ フィルタ用に定義されたレート リミットを超過した。 • ゾーンの rate-limit コマンドによって定義されたレート リミットを超過した。 • 認証されていない TCP RST パケットまたは認証されていない DNS ゾーン転送パケット用に定義された内部レート リミットを超過した。 |
|
不正な形式のパケットには、悪意のある不正形式パケットで構成されると識別されたすべてのトラフィック異常が含まれます。 表12-9 に、さまざまなタイプの不正形式パケットを示します。
|
|
---|---|
ヘッダーの宛先ポート、送信元ポート、プロトコル、および送信元 IP アドレス フィールドが不正にゼロとなっているパケットのフラッド。 |
|
Replied IP Summarizations セクションには、スプーフィングされた送信元およびスプーフィングされていない送信元の IP アドレスのリストが記載され、次の 2 つのセクションで構成されます。
• Replied IP Summarizations (attack start)
• Replied IP Summarizations (overall attack summary)
Replied IP Summarizations の 2 つのセクションを使用して、攻撃元の場所が攻撃の期間中に変更されたかどうかを確認できます(ある場所で攻撃が開始され、攻撃中に他のサブネットに移行したなど)。
ゾーンが大規模なスプーフィング攻撃の犠牲になっている場合、攻撃側が使用するサブネットは Replied IP Summarization の結果に現れる可能性が高くなります。この結果にはスプーフィングされていない IP アドレスが含まれることもあります。これは、スプーフィング防止プロセスを経たすべてのトラフィック(返送されたトラフィック)について IP サマライズが実行されるからです。スプーフィングされていないトラフィックについては数分ごとに 1 回しか認証が実行されませんが、スプーフィングされたトラフィックの認証は継続的に試行されます。このため、スプーフィングされた IP アドレスが Replied IP Summarizations に現れる頻度のほうが高くなります。
攻撃レポートのセクションのうち、スプーフィングされた IP アドレスの情報が記載されるのは Replied IP Summarizations の各セクションだけです。ただし、非スプーフィング攻撃のパケットは動的フィルタによってドロップされるので、非スプーフィング攻撃の IP アドレスも軽減アクションのセクションに表示されることがあります。
表12-10 に、攻撃レポートのこのセクションのフィールドを示します。
|
|
---|---|
記録されたサンプルの合計のうち、サブネット IP アドレスから送信され、Guard モジュールによって記録されたサンプル数のパーセンテージ。 |
(注) Guard モジュールでは、返送 IP サマライズの情報が攻撃レポートに表示されるのは、自動パケットダンプ キャプチャ機能がイネーブルになっている場合に限られます(「Guard モジュールの設定によるトラフィックの自動記録」を参照)。返送パケットダンプ キャプチャ ファイルには、Guard がクライアントを認証しようとして発行した返送パケットだけが含まれます。このため、返送 IP サマライズは記録されたパケットの宛先 IP アドレスから得られます。返送 IP サマライズのレポートでより正確な結果が得られるようにするには、ゾーンに対する攻撃の期間中、自動パケットダンプ キャプチャ機能をイネーブルにしておく必要があります。攻撃中にパケットダンプ キャプチャ機能をディセーブルにした場合、返送 IP サマライズの情報が不正確になるか、または得られなくなる可能性があります。
ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されたトラフィック異常が含まれます。Guard モジュールの攻撃レポートには、現在ゾーンを攻撃しているゾンビを一覧表示するテーブルが表示されます。現在攻撃しているゾンビのリストを表示するには、 show reports details コマンドおよび show zombies コマンドを使用します。
(注) このレポート セクションは、show reports details コマンドおよび show zombies コマンドを入力した場合にだけ表示されます。
show zombies コマンド出力のフィールドについては、表12-16 を参照してください。
この項では、レポートの各セクションに関連する、トラフィック フローのさまざまな特性について説明します。
表12-11 に、 Attack Statistics および Malicious Packet Statistics のフィールドを示します。
|
|
---|---|
表12-12 に、 Detected Anomalies および Mitigated Attacks のフロー統計情報を示します。
|
|
---|---|
異常フローおよび軽減された攻撃のフロー。この特性には、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートが含まれています。トラフィックが断片化されているかどうかを示します。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。 |
ワイルドカードとして使用されるアスタリスク(*)がパラメータのいずれかに表示された場合、次のいずれかを意味します。
数値の前にあるナンバー記号(#)は、そのパラメータに対して測定された値の数を示します。
Guard モジュールは、フローの説明の右側に、 notify という値を表示することがあります。 notify の値は、その行が説明するトラフィック タイプの通知を Guard モジュールが生成することを示します。Guard モジュールは値が notify の場合、アクションを実行しません。
特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、ゾーン設定モードで次のコマンドを使用します。
show reports [ sub-zone-name ] [current | report-id ] [details]
表12-13 に、 show reports コマンドの引数とキーワードを示します。
|
|
(オプション)ゾーンから作成されたサブゾーンの名前です。詳細については、「サブゾーンについて」を参照してください。 |
|
進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。 |
|
次の例は、ゾーン上のすべての攻撃のリストの表示方法を示しています。
表12-14 に、 show reports コマンド出力のフィールドを示します。
次の例は、ゾーン上の現在の攻撃のレポートの表示方法を示しています。
現在の攻撃レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。
|
|
|
||||
|
|
|
||||
|
|
|
||||
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
検出された異常フローと軽減された攻撃フローに関する詳細なレポート、およびゾンビ攻撃のリストを表示するには、 details オプションを使用します。
表12-15 に、詳細なレポートの Detected Anomalies セクションに含まれているDetected Flow および Action Flow のフィールドを示します。
表12-16 に、ゾンビ攻撃に関する詳細なレポートのフィールドを示します。
|
|
---|---|
(注) ゾンビ攻撃がない場合は、レポートの Zombies という見出しの下に「Report doesn't exist」と表示されます。
監視および診断のために、攻撃レポートをネットワーク サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。
攻撃レポートを XML 形式でエクスポートするように、Guard モジュールを設定できます。Guard モジュールは、ゾーンに対する攻撃が終了すると、いずれかのゾーンのレポートをエクスポートします。XML スキーマは、 http://www.cisco.com/public/sw-center/ のソフトウェア センターからダウンロードできる ExportedReports.xsd ファイルに記述されています。
Guard モジュールが攻撃レポートを自動的にエクスポートするように設定するには、設定モードで次のコマンドを使用します。
export reports file-server-name
file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。ネットワーク サーバに Secure FTP(SFTP)または Secure Copy(SCP)を設定する場合は、Guard モジュールが SFTP 通信および SCP 通信に使用する SSH キーを設定する必要があります。詳細については、「ファイルの自動エクスポート」を参照してください。
次の例は、ネットワーク サーバへの攻撃が終了したら、レポート(XML 形式)を自動的にエクスポートする方法を示しています。
グローバル モードで次のいずれかのコマンドを入力することにより、すべてのゾーンのレポートをテキスト形式または XML 形式でエクスポートできます。
• copy reports [ details ] [ xml ] ftp server full-file-name [ login ] [ password ]
• copy reports [ details ] [ xml ] file-server-name dest-file-name
表12-17 に、 copy reports コマンドの引数とキーワードを示します。
|
|
---|---|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください( www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートはテキスト形式でエクスポートされます。 XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
file-server コマンドを使用して定義したネットワーク サーバの名前。 ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用して攻撃レポートをネットワーク サーバにエクスポートできません。 詳細については、「ファイルの自動エクスポート」を参照してください。 |
|
ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して、Guard モジュールによって処理されたすべての攻撃のリストを IP アドレス 10.0.0.191 の FTP サーバに(テキスト形式で)コピーする方法を示しています。
次の例は、Guard モジュールによって処理されたすべての攻撃のリストを、 file-server コマンドを使用して定義したネットワーク サーバに(テキスト形式で)コピーする方法を示しています。
グローバル モードで次のいずれかのコマンドを入力することにより、特定のゾーンの攻撃レポートを FTP サーバにコピーできます。
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] file-server-name dest-file-name
表12-18 に、 copy zone reports コマンドの引数とキーワードの説明を示します。
|
|
---|---|
(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Guard モジュールによってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。 |
|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。 ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用してレポートをネットワーク サーバにエクスポートできません。 詳細については、「ファイルの自動エクスポート」を参照してください。 |
|
ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにゾーンのすべての攻撃レポートをコピーする方法を示しています。
次の例は、 file-server コマンドを使用して定義したネットワーク サーバに現在の攻撃のレポートを XML 形式でコピーする方法を示しています。
古い攻撃レポートを削除して、空きディスク スペースを得ることができます。
攻撃レポートを削除するには、ゾーン設定モードで次のコマンドを使用します。
report-id 引数には、既存のレポートの ID を指定します。すべての攻撃レポートを削除するには、アスタリスク(*)を入力します。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。
次の例は、すべてのゾーン攻撃レポートを削除する方法を示しています。