この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard モジュール)に関する統計情報や診断を表示する方法について説明します。この章には、次の項があります。
• ネットワーク トラフィックの監視および攻撃のシグニチャの抽出
• ping の使用
Guard モジュールの設定ファイルを表示することができます。このファイルには、インターフェイスの IP アドレス、デフォルト ゲートウェイ アドレス、設定されたゾーンなど、Guard モジュールの設定に関する情報が含まれています。
Guard モジュールの設定ファイルを表示するには、次のコマンドを入力します。
show running-config [all | Guard module| interfaces interface-name | self-protection | zones] ]
表 11-1 に、 show running-config コマンドのキーワードを示します。
|
|
---|---|
Guard モジュールのすべてのモジュール(Guard モジュール、ゾーン、インターフェイス、および自己保護)の設定ファイルを表示します。 |
|
設定ファイルは、Guard モジュールを現在の設定値で設定するために実行されるコマンドで構成されています。Guard モジュールの設定ファイルをリモート FTP サーバにエクスポートして、バックアップ用にしたり、別の Guard モジュールにその Guard モジュールの設定パラメータを実装できるようにすることができます。詳細については、「Guard モジュールのゾーンの表示」を参照してください。
Guard でゾーンの概要を表示して、アクティブなゾーンやゾーンの現在のステータスを確認できます。ゾーンのリストを表示するには、グローバル モードで show コマンドを使用します。 表 11-2 で、さまざまなゾーン ステータスについて説明します。
ゾーン カウンタの表示およびゾーン トラフィックの分析には、次のコマンドを使用できます。
• show rates: Malicious カウンタと Legitimate カウンタ の平均トラフィック レートを表示します。
• show rates deta ils: すべての Guard モジュール のカウンタの平均トラフィック レートを表示します。
• show rates history:Malicious カウンタおよび Legitimate カウンタ の平均トラフィック レートを、過去 24 時間にわたり 1 分ごとに表示します。
• show counters:Guard モジュールの Malicious カウンタと Legitimate カウンタを表示します。
• show counters details:すべての Guard モジュールのカウンタを表示します。
• show counters history:過去の Malicious カウンタおよび Legitimate カウンタの値を 1 分ごとに表示します。
(注) ゾーンのレートは、ゾーン保護をイネーブルにしている場合、またはラーニング プロセスをアクティブにしている場合にのみ使用可能です。
Guard は、トラフィックの合計を測定し、平均のトラフィック レートを計算します。値が cleared のレートは、ゾーンが保護されていなかった時間を示します。
カウンタの単位はパケットおよびキロビットです。カウンタは、ゾーン 保護 をアクティブにしたときにゼロにリセットされます。
表 11-3 に、Guard モジュールのカウンタを示します。
特定のゾーンの概要を表示して、そのゾーンの全般的な状況と現在のステータスを知ることができます。ゾーンの概要を表示するには、ゾーン設定モードで show コマンドを使用します。概要には、次の情報が含まれます。
• ゾーンのステータス :動作状態を示します。動作状態は、保護モード、保護およびラーニングのモード、しきい値調整モード、ポリシー構築モード、または非アクティブのいずれかです。
• ゾーンの基本設定 :動作モード(自動またはインタラクティブ)、しきい値とタイマー、IP アドレスなど、ゾーンの基本的な設定を示します。詳細については、「ゾーンのアトリビュートの設定」を参照してください。
• ゾーンのフィルタ:フレックスコンテンツ フィルタの設定も含めて、アクティブな動的フィルタおよびユーザ フィルタの設定数を示します。ゾーンがインタラクティブ保護モードの場合、概要には推奨事項の数が表示されます。詳細については、「フレックスコンテンツ フィルタの設定」および「ユーザ フィルタの設定」を参照してください。
• ゾーンのトラフィック レート :ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。詳細については、「ゾーンのカウンタの表示」を参照してください。
Guard モジュールは、システムのアクティビティおよびイベントを自動的にログに記録します。Guard モジュールのログを表示して、Guard モジュールのアクティビティを確認および追跡できます。
表 11-4 に、イベント ログのレベルを示します。
|
|
|
---|---|---|
ログ ファイルには、すべてのログ レベル(emergencies、alerts、critical、errors、warnings、notification、informational、debugging)が表示されます。Guard モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
イベント ログは、ローカルで表示することも、リモート サーバから表示することもできます。
• イベントのリアルタイム ロギング:「オンライン イベント ログの表示」を参照してください。
• ログ ファイル:「ログ ファイルの表示」を参照してください。
Guard モジュールのモニタリング メカニズムをアクティブにして、リアルタイムのイベント ログを表示できます。この設定により、Guard モジュールのイベントのオンライン ロギングを表示できます。次のコマンドを入力します。
(注) モニタリング メカニズムを非アクティブにするには、no event monitor コマンドを使用してください。
Guard モジュールのオンライン イベント ログをエクスポートして、ログ ファイルに記録される Guard モジュールの動作を表示できます。Guard モジュールのイベントは Guard モジュールのログ ファイルにオンラインで記録されるため、リモート ホストからそのイベントを表示できます。Guard モジュールのログ ファイルは、syslog メカニズムを使用してエクスポートされます。Guard モジュールのログ ファイルは、複数の Syslog サーバにエクスポートできます。1 つのサーバがオフラインになったときに別のサーバでメッセージを受信できるように、追加のサーバを指定できます。
Guard モジュールのオンライン ログ エクスポート機能は、リモート syslog サーバを使用する場合にだけ適用できます。リモート syslog サーバが使用できない場合は、 copy log コマンドを使用して、Guard モジュールのログ情報をファイルにエクスポートしてください。
event-date event-time Guard-IP-address protection-module zone-name event-severity-level event-type event-description
オンライン イベント ログをエクスポートするには、次の手順を実行します。
ステップ 1 (オプション)ロギング パラメータを設定します。次のコマンドを入力します。
表 11-5 で、logging コマンドのキーワードについて説明します。
(注) 動的フィルタの追加および削除に関するイベントを受信するには、トラップ レベルを informational に変更してください。
ステップ 2 リモート syslog サーバの IP アドレスを設定します。次のコマンドを入力します。
remote-syslog-server-ip 引数には、リモート syslog サーバの IP アドレスを指定します。
ロギング メッセージを受信する syslog サーバのリストを作成するには、このコマンドを複数回入力してください。
次の例は、重大度のレベル notification からのトラップをファシリティ local3 を使用して、IP アドレスが 10.0.0.191 である syslog サーバへ送信するように Guard モジュールを設定する方法を示しています。
オンライン イベント ログのエクスポート設定を表示するには、 show logging コマンドまたは show log export-ip コマンドを使用します。
診断または監視のために Guard モジュールのログを表示できます。Guard モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
Guard モジュールのログを表示するには、次のコマンドを入力します。
ゾーンのログを表示して、指定したゾーンだけに関連するイベントを確認できます。
ゾーンのログを表示するには、 show log [ sub-zone-name ] コマンドをゾーン設定モードで使用します。 sub-zone-name 引数には、ゾーンから作成されたサブゾーンの名前を指定します。詳細については、「サブゾーンについて」を参照してください。
監視または診断のために、Guard モジュールのログ ファイルを FTP サーバにエクスポートできます。グローバル モードで、次のいずれかのコマンドを入力します。
• copy [ zone zone-name ] log ftp server full-file-name [ login [ password ]]
• copy [ zone zone-name ] log sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 11-6 で、 copy log ftp コマンドの引数とキーワードについて説明します。
Guard モジュールまたはゾーンのログ ファイルが大きい場合、あるいは、テストを行う予定があり、そのテスト セッションからの情報だけをログ ファイルに反映する場合は、ログ ファイルをクリアできます。
Guard モジュールまたはゾーンのログ ファイルのエントリをすべてクリアするには、設定モードまたはゾーン設定モードで次のコマンドを入力します。
zone-name 引数には、ゾーン名を指定します。デフォルトでは、Guard モジュールのログ ファイルがクリアされます。 clear log コマンドをゾーン設定モードで発行する場合、 zone zone-name キーワードと引数は使用できません。ゾーン設定モードで clear log コマンドを使用すると、現在のゾーン ログの全エントリが消去されます。
ネットワークのトラフィック パターンを記録し、監視できます。ネットワークの動作を阻害しないタップを使用して、直接ネットワークからトラフィックを記録するように Guard モジュールを設定し、記録されたトラフィックからデータベースを作成することができます。記録されたトラフィック データベースに問い合せることにより、過去のイベントの分析や、攻撃のシグニチャの生成が可能になります。あるいは、現在のネットワークのトラフィック パターンを、トラフィックが通常状態のときに Guard モジュールによって記録された以前のトラフィック パターンと比較することが可能になります。
特定の基準を満たすトラフィックだけが Guard モジュールによって記録されるようにフィルタを設定することができます。または、すべてのトラフィック データを記録して、Guard モジュールが表示するトラフィックをフィルタリングすることもできます。
トラフィックは、Guard モジュールによって gzip 圧縮されたパケット キャプチャ(PCAP)形式で保存され、記録されたデータについて記述する Extensible Markup Language(XML)形式のファイルが付属します。
記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに共通のパターンまたはシグニチャが見られるかどうかを判断するというものです。Guard モジュールでは、記録されたトラフィックを分析し、シグニチャを抽出することができます。シグニチャを使用すると、そのシグニチャと一致するパケット ペイロードを含むすべてのトラフィックをブロックするようにフレックスコンテンツ フィルタを設定できます。
Guard モジュールは、次の 2 つの方法でトラフィックを記録できます。
• 自動 :Guard モジュールは常時パケットダンプ キャプチャ ファイルにトラフィック データを記録します。
新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、FTP サーバまたは SFTP サーバにそれらのファイルをエクスポートする必要があります。
• 手動 :Guard モジュールは、パケットダンプ キャプチャ ファイルにトラフィックを記録するようにアクティブ化されたときに記録します。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録されたトラフィックを保存するには、パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバにエクスポートしてから、Guard モジュールをアクティブ化して再度トラフィックを記録します。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Guard モジュールは、手動で同時に最大 4 つのゾーンについてトラフィックを記録できます。
デフォルトでは、Guard モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
• Guard モジュールの設定によるトラフィックの自動記録
• Guard モジュールのアクティブ化によるトラフィックの手動記録
• Guard モジュールによるトラフィックの手動記録の停止
• パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成
Guard モジュールをアクティブにして、自動的にネットワーク トラフィックを記録することができます。このようにして、ネットワークの問題や攻撃が発生したときに分析または比較に使用可能なトラフィックの記録を入手できます。パケットダンプ キャプチャ フィルタを使用すると、指定した基準を満たすトラフィックだけが記録されるように Guard モジュールを設定できます。また、すべてのトラフィックを記録し、その記録済みのトラフィックを表示するときにパケットダンプ キャプチャ フィルタを適用することもできます。
Guard モジュールはトラフィックをキャプチャ バッファに記録します。キャプチャ バッファ サイズが 50 MB に達するか 10 分経過すると、Guard モジュールはバッファを圧縮形式でローカル ファイルに保存します。バッファは消去され、トラフィックの記録が続行されます。
Guard モジュールは、複数の自動パケットダンプ キャプチャ ファイルを保存します。記録されたトラフィックは、処理方法に基づいて分割されます。したがって、複数の自動パケットダンプ キャプチャ ファイルを 1 つの時間枠から取得できます。自動パケットダンプ キャプチャ ファイルの名前は、Guard モジュールによるトラフィックの記録時間とトラフィックの処理方法を示します。
表 11-7 で、自動パケットダンプ キャプチャ ファイル名のセクションについて説明します。
Guard モジュールは、ラーニング プロセスからパケットダンプ キャプチャ ファイルを 1 つ保存します。ゾーン保護の間、Guard モジュールは次のパケットダンプ キャプチャ ファイルを保存します。
• 直前 10 分間のトラフィックのパケットダンプ キャプチャ ファイル 1 つ
• 現在のトラフィックのパケットダンプ キャプチャ ファイル 1 つ
ゾーン保護をアクティブにするか、または自動的にネットワーク トラフィックが記録されるように Guard モジュールをアクティブにすると、保護プロセスで記録された以前のパケットダンプ キャプチャ ファイルはすべて Guard モジュールによって消去され、新しいファイルが作成されます。
自動的にネットワーク トラフィックを記録するように Guard モジュールを設定するには、次の手順を実行します。
ステップ 1 ゾーン トラフィックを自動的に記録するように Guard モジュールを設定します。ゾーン設定モードで次のコマンドを入力します。
ステップ 2 (オプション)パケットダンプ キャプチャ データベースを作成するには、FTP サーバまたは SFTP サーバにパケットダンプ キャプチャ ファイルをエクスポートします。「パケットダンプ キャプチャ ファイルの自動エクスポート」を参照してください。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルをエクスポートする必要があります。
Guard モジュールでゾーンのトラフィック データを自動的にキャプチャしないようにするには、 no packet-dump auto-capture コマンドを使用します。
Guard モジュールをアクティブにして、トラフィックの記録を開始できます。このようにして、特定期間のトラフィックを記録したり、あるいは Guard モジュールがトラフィックの記録に使用する基準を変更することができます。
指定されたパケット数を記録するか、ラーニング プロセスまたはゾーン保護が終了すると、Guard モジュールはトラフィックの記録を停止し、手動パケットダンプ キャプチャをファイルに保存します。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Guard モジュールは、同時に 10 ゾーンまで手動パケットダンプ キャプチャを記録できます。
手動パケットダンプ キャプチャをアクティブにするには、ゾーン設定モードで次のコマンドを入力します。
packet-dump capture [ view ] capture-name pdump-rate pdump-count { all | dropped | forwarded | replied } [ tcpdump-expression ]
(注) トラフィックをキャプチャする間は、CLI セッションが停止します。キャプチャの実行中に作業を続行するには、Guard モジュールとの追加のセッションを確立してください。
表 11-8 で、 packet-dump コマンドの引数とキーワードについて説明します。
|
|
---|---|
|
パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
サンプル レート(pps)。1 ~ 10000 の値を入力します。 (注) Guard モジュールは、すべての同時手動キャプチャに対する最大の累積パケットダンプ キャプチャ レートとして、10000 パケット/秒をサポートします。 高いサンプル レート値を設定したパケットダンプ キャプチャは、多くのリソースを消費します。パフォーマンスに悪影響を与える可能性があるので、高いレート値を設定するときは注意してください。 |
|
記録対象のパケット数。Guard モジュールは、指定されたパケット数の記録を終了すると、手動パケットダンプ キャプチャ バッファをファイルに保存します。1 ~ 5000 の整数を入力します。 |
検証の試行で Guard モジュールのスプーフィング防止メカニズムおよびゾンビ防止メカニズムが送信元に返送したトラフィックだけをキャプチャします。 |
|
(オプション)記録対象のトラフィックを指定するために適用するフィルタ。Guard モジュールはフィルタの式に適合するトラフィックだけをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
Guard モジュールは、手動パケットダンプ キャプチャをアクティブにしたときに指定したパケット数を記録すると、キャプチャを停止します。しかし、指定したパケット数が Guard モジュールによって記録される前に、手動パケットダンプ キャプチャを停止することができます。
Guard モジュールによるトラフィックの手動記録を停止するには、次のいずれかのアクションを実行します。
• 開かれている CLI セッションで Ctrl+C を押す。
• 新しい CLI セッションを開き、関連するゾーン設定モードで次のコマンドを入力する。
no packet-dump capture capture-name
Guard モジュールによって手動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの現在の容量を表示するには、設定モードまたはグローバル モードで show packet-dump コマンドを使用します。Guard モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 1 ブロックのディスク スペースを割り当てています。
表 11-9 で、 show packet-dump コマンド出力のフィールドについて説明します。
|
|
---|---|
|
Guard モジュールによって、すべてのゾーンの手動パケットダンプ キャプチャ用に割り当てられたディスク スペースの合計量を指定します(MB 単位)。 |
|
割り当てられたディスク スペースのうち、すべてのゾーンからの手動パケット ダンプ ファイルによって消費されたパーセンテージを示します。 |
パケットダンプ キャプチャ ファイルを自動的に FTP サーバまたは SFTP サーバにエクスポートするように Guard モジュールを設定できます。自動エクスポート機能をイネーブルにすると、Guard モジュールはパケットダンプ バッファの内容をローカル ファイルに保存するたびに、パケットダンプ キャプチャ ファイルをエクスポートします。パケットダンプ キャプチャ ファイルは gzip 圧縮された PCAP 形式でエクスポートされ、記録されたデータについて記述する XML 形式のファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャ ファイルを自動的にエクスポートするには、設定モードで次のいずれかのコマンドを入力します。
• export packet-dump ftp server full-file-name [ login [ password ]]
• export packet-dump sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 11-10 で、 export packet-dump コマンドの引数について説明します。
|
|
---|---|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Guard モジュールから要求されます。 |
次の例は、IP アドレスが 10.0.0.191 の FTP サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートする方法を示しています。
user@GUARD# export packet-dump ftp 10.0.0.191 /root/captures/ <user> <password>
パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートできます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。Guard モジュールによって、パケットダンプ キャプチャ ファイルは gzip 圧縮された PCAP 形式でエクスポートされ、記録されたデータについて記述する XML ファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name packet-dump captures [ capture-name] ftp server full-file-name [login [password]]
• copy zone zone-name packet-dump captures [ capture-name] sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 11-11 で、 copy zone packet-dump コマンドの引数とキーワードについて説明します。
|
|
---|---|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Guard モジュールはゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Guard モジュールから要求されます。 |
user@GUARD# copy zone scannet packet-dump captures ftp 10.0.0.191 <user> <password>
パケットダンプ キャプチャ ファイルを FTP サーバから Guard モジュールにインポートできます。このようにして、過去のイベントを分析したり、現在のネットワークのトラフィック パターンを、Guard モジュールによってトラフィックが通常状態のときに記録された以前のトラフィック パターンと比較することができます。Guard モジュールは、XML 形式と PCAP 形式のパケットダンプ キャプチャ ファイルをどちらもインポートします。
パケットダンプ キャプチャ ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy ftp zone zone-name packet-dump captures server full-file-name [login [password]]
• copy sftp zone zone-name packet-dump captures server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 11-12 で、 copy zone packet-dump コマンドの引数について説明します。
パケットダンプ キャプチャ ファイルのリスト、または 1 つのパケットダンプ キャプチャ ファイルの内容を表示できます。デフォルトでは、Guard モジュールはゾーンのパケットダンプ キャプチャ ファイルすべてのリストを表示します。
パケットダンプ キャプチャ ファイルを表示するには、ゾーン設定モードで次のコマンドを入力します。
show packet-dump captures [ capture-name [ tcpdump-expression ]]
表 11-13 に、show packet-dump captures コマンドの引数を示します。
|
|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Guard モジュールはゾーンのパケットダンプ キャプチャ ファイルすべてのリストを表示します。コマンド出力のフィールド説明については、 表 11-14 を参照してください。 パケットダンプ キャプチャ ファイルの名前を指定しない場合、Guard モジュールはファイルを TCPDump 形式で表示します。 |
|
|
(オプション)パケットダンプ キャプチャ ファイルを表示するときに Guard モジュールが使用するフィルタ。Guard モジュールは、フィルタ基準に一致する一部のパケットダンプ キャプチャ ファイルだけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
表 11-14 で、 show packet-dump captures コマンド出力のフィールドについて説明します。
|
|
---|---|
パケットダンプ キャプチャ ファイルの名前。自動パケットダンプ キャプチャ ファイル名については、 表 11-7 を参照してください。 |
|
Guard モジュールがトラフィックの記録時に使用したユーザ定義のフィルタ。このフィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの |
攻撃シグニチャは、攻撃パケットのペイロードに見られる共通パターンを記述するものです。Guard モジュールをアクティブにして異常なトラフィックのシグニチャを生成し、この情報を使用してタイプが同じ将来の攻撃をすばやく識別することができます。この機能を使用すると、アンチウィルス ソフトウェアのメーカーやメーリング リストなどからシグニチャが発行される前であっても、新しい DDoS 攻撃やインターネット ワームを検出することができます。
Guard モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用して攻撃のシグニチャを生成します。このシグニチャをフレックスコンテンツ フィルタのパターンで使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。
参照用として、トラフィックが通常状態(平時)のときに Guard モジュールによって記録された追加のパケットダンプ キャプチャ ファイルを指定できます。参照用のパケットダンプ キャプチャ ファイルを指定した場合、Guard モジュールは異常なトラフィックからシグニチャを生成し、トラフィックが通常状態のときに記録されたトラフィックの中に、シグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃パターンを意味するとは限りません。
ステップ 1 Guard モジュールをアクティブにして、攻撃進行中のトラフィックを記録します。 packet-dump capture コマンドを使用します(「Guard モジュールのアクティブ化によるトラフィックの手動記録」を参照)。
ステップ 2 攻撃進行中に Guard モジュールが記録したパケットダンプ キャプチャ ファイルを識別します。 show packet-dump captures コマンドを使用して、パケットダンプ キャプチャ ファイルのリストを表示します。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。
ステップ 3 Guard モジュールをアクティブにして、攻撃されたトラフィックのシグニチャを生成します。ゾーン設定モードで次のコマンドを入力します。
表 11-15 に、 show packet-dump signatures コマンドの引数を示します。
|
|
---|---|
(オプション)トラフィックが通常状態のときに Guard モジュールによって記録された既存のパケットダンプ キャプチャ ファイルの名前。参照用のパケットダンプ キャプチャ ファイルを指定した場合、Guard モジュールは参照用のパケットダンプ キャプチャ ファイルの中に、シグニチャが存在している時間の割合を表示します。 |
表 11-16 で、 show packet-dump signatures コマンド出力のフィールドについて説明します。
|
|
---|---|
パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの start-offset 引数にコピーします。 |
|
パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの end-offset 引数にコピーします。 |
|
Guard モジュールが生成したシグニチャ。Guard モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用してシグニチャを生成します。詳細については、「パターン式の構文について」を参照してください。 |
|
次の例は、手動パケットダンプ キャプチャ ファイルからシグニチャを生成する方法を示しています。
1 つのパケットダンプ キャプチャ ファイル、または 1 つのファイルの一部を、新しい名前でコピーできます。
Guard モジュールは、既存の自動パケットダンプ キャプチャ ファイルを新しいファイルで上書きします。自動パケットダンプ キャプチャ ファイルをコピーする場合、Guard モジュールはそのファイルを手動パケットダンプ キャプチャ ファイルとして保存し、新しいファイルで上書きしません。つまり、ディスク スペースを解放するには、そのファイルを手動で削除する必要があります。
手動パケットダンプ キャプチャ ファイルをコピーする場合も、Guard モジュールは元のファイルのコピーを保存します。ディスク スペースを解放する必要がある場合は、そのコピーを手動で削除します。
詳細については、「パケットダンプ キャプチャ ファイルの削除」を参照してください。
パケットダンプ キャプチャ ファイルをコピーするには、設定モードで次のコマンドを入力します。
copy zone zone-name packet-dump captures capture-name [ tcpdump-expression ] new-name
表 11-17 に、copy packet-dump captures コマンドの引数を示します。
|
|
---|---|
(オプション)パケットダンプ キャプチャ ファイルをコピーするときに Guard モジュールが使用するフィルタ。Guard モジュールは、フィルタ基準に一致する一部のパケットダンプ キャプチャ ファイルだけをコピーします。この式の規則は、フレックスコンテンツ フィルタの |
|
新しいパケットダンプ キャプチャ ファイルの名前。この名前は 1 ~ 63 文字の英数字の文字列です。アンダースコアを含めることができますが、スペースを含めることはできません。 |
デフォルトでは、Guard モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
手動パケットダンプ キャプチャ ファイルは、ゾーンごとに 1 つだけ保存でき、10 個を超えるパケットダンプ キャプチャ ファイルを Guard モジュールに置くことはできません。新しい手動パケットダンプ キャプチャ ファイルのためのスペースを解放するには、古いファイルを削除する必要があります。
自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルを削除するには、次のいずれかのコマンドを入力します。
• clear zone zone-name packet-dump captures { * | name }--In configuration mode
• clear packet-dump captures { * | name }--In zone configuration mode
表 11-18 に、clear packet-dump コマンドの引数を示します。
|
|
一般的な診断データを表示するには、次のコマンドを入力します。
• Line Card Number: Guard の識別子ストリング。
• Number of Pentium-class Processors : Guard モジュールのプロセッサの番号。 Guard モジュールはプロセッサ 1 をサポートします。
• BIOS Vendor :Guard の BIOS のベンダー。
• BIOS Version :Guard の BIOS バージョン。
• Total available memory :Guard で使用可能なメモリの合計量。
• Size of compact flash :Guard のコンパクト フラッシュのサイズ。
• Slot Num :モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。
(注) CFE のバージョンを変更するには、新しいフラッシュ バージョンをインストールする必要があります。CFE の新しいバージョンを焼き付けるには、flash-burn コマンドを使用してください。詳細については、「Guard モジュールのバージョンのアップグレード」を参照してください。
• Recognition Average Sample Loss :認識モジュールの、計算されたパケット サンプル損失。
• Forward failures (no resources) :システム リソースが不足しているために転送されなかったパケット数。
(注) Recognition Average Sample Loss または Forward failures の値が大きいと、Guard モジュールはトラフィックで過負荷の状態になることを示します。複数の Guard モジュールを負荷分散型構成にインストールすることをお勧めします。
Guard モジュールのメモリ消費量を表示できます。Guard モジュールは、メモリ使用量を KB 単位で表示します。さらに、Guard モジュールは、認識保護モジュールが使用しているメモリのパーセンテージも表示します。認識保護モジュールのメモリ使用率は、アクティブなゾーンの数、および各ゾーンが監視するサービスの数に影響されます。
(注) 認識保護モジュールのメモリ使用率が 90% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。
(注) Guard モジュールの空きメモリの合計量は、free メモリと cached メモリの合計です。
現在の CPU 使用率(パーセンテージ)を表示できます。Guard モジュールは、ユーザ モード、システム モード、ナイス値が負のタスク、およびアイドル状態の CPU 時間のパーセンテージを表示します。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。
ARP キャッシュを表示または操作して、アドレス マッピング エントリを消去または手動で定義できます。次のいずれかのコマンドを入力します。
arp [-evn] [-H type] [-i if] -a [hostname]
arp [-v] [-i if] -d hostname [pub]
arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]
arp [-v] [-H type] [-i if] -s hostname hw_addr [netma sk nm] pub
arp [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub
arp [-vnD] [-H type] [-i if] -f [filename]
表 11-19 で、 arp コマンドの引数とキーワードについて説明します。
ホスト ネットワーク接続、ルーティング テーブル、インターフェイス統計情報、マスカレード接続、およびマルチキャスト メンバシップを表示して、ネットワークの問題をデバッグできます。次のいずれかのコマンドを入力します。
netstat [address_family_options] [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [--all|-a] [--numeric|-n] [--numeric-hosts][--numeric-ports][--numeric-ports] [--symbolic|-N] [--extend|-e[--extend|-e]][--timers|-o] [--program|-p] [--verbose|-v] [--continuous|-c] [delay]
netstat {--route|-r} [address_family_options] [--extend|-e[--extend|-e]] [--verbose|-v] [--numeric|-n] [--numeric-hosts][--numeric-ports][--numeric-ports] [--continuous|-c] [delay]
netstat {--interfaces|-i} [iface] [--all|-a] [--extend|-e[--extend|-e]] [--verbose|-v] [--program|-p] [--numeric|-n] [--numeric-hosts][--numeric-ports][--numeric-ports] [--continuous|-c] [delay]
netstat {--groups|-g} [--numeric|-n] [--numeric-hosts][--numeric- ports][--numeric-ports] [--continuous|-c] [delay]
netstat {--masquerade|-M} [--extend|-e] [--numeric|-n] [--numeric- hosts][--numeric-ports][--numeric-ports] [--continuous|-c] [delay]
netstat {--statistics|-s} [--tcp|-t] [--udp|-u] [--raw|-w] [delay]
(注) アドレス ファミリを指定しない場合、Guard モジュールは設定されているすべてのアドレス ファミリのアクティブなソケットを表示します。
表 11-20 で、 netstat コマンドの引数とキーワードについて説明します。
1 つのコマンドに最大 13 の引数とキーワードを入力できます。
パケットがネットワーク ホストに到達するまでのルートを出力して、ネットワークの問題をデバッグできます。次のコマンドを入力します。
traceroute ip-address [-F] [-f first_ttl] [-g gateway] [-i iface]
[-m max_ttl] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [packetlen]
(注) traceroute コマンドでは IP アドレスだけが表示され、名前は表示されません。
表 11-21 で、 traceroute コマンドの引数とキーワードについて説明します。
|
|
---|---|
発信プローブ パケットの送信元 IP アドレスを取得するネットワーク インターフェイスを指定します。これは通常、マルチホーム ホストで役立ちます。 |
|
ネットワーク ホストに ICMP ECHO_REQUEST パケットを送信して、接続性を確認できます。次のコマンドを入力します。
ping ip-address [-c count] [-i interval] [-l preload] [-s packetsize] [-t ttl] [-w deadline] [-F flowlabel] [-I interface]
[-Q tos] [-T timestamp option] [-W timeout]
表 11-22 で、 ping コマンドの引数とキーワードについて説明します。
|
|
---|---|
count 個の ECHO_REQUEST パケットを送信します。deadline オプションが指定されている場合、ping はタイムアウトになるまでこの数の ECHO_REPLY パケットを待ちます。 |
|
エコー要求パケットに 20 ビットのフロー ラベルを割り当てて設定します(ping6 のみ)。値がゼロの場合は、ランダムなフロー ラベルが使用されます。 |
|
1 つのコマンドに最大 10 の引数とキーワードを入力できます。
Guard モジュールに動作上の問題が発生した場合は、シスコのテクニカルサポートがお客様に Guard モジュールの内部デバッグ情報のコピーを送信するようお願いすることがあります。Guard モジュールのデバッグ コア ファイルには、Guard モジュールの誤動作についてトラブルシューティングを行うための情報が含まれています。このファイルの出力は暗号化されており、Cisco TAC の担当者のみが使用するよう意図されています。
デバッグ情報を FTP サーバに抽出するには、次の手順を実行します。
ステップ 1 Guard モジュール のログ ファイルを表示します。詳細については、「ログ ファイルの表示」を参照してください。
ステップ 2 デバッグ情報を収集する時刻を特定します。問題があることを示している最初のログ メッセージを識別します。
ステップ 3 デバッグ情報を FTP サーバに抽出します。次のコマンドを入力します。
表 11-23 で、 copy debug-core コマンドの引数について説明します。
独立した IP アドレスを持つネットワーク要素としての Guard モジュールは、潜在的な DDoS 攻撃の危険にさらされています。デフォルトの設定では、このような攻撃に対する保護が提供されます。ユーザは、この自己防衛保護設定にアクセスし、変更することができます。
Guard モジュールの自己防衛保護設定を変更するには、自己保護設定モードに入る必要があります。
自己保護設定モードに入るには、設定モードで次のコマンドを入力します。
Guard モジュールの自己防衛保護に使用できるコマンドのセットは、通常のゾーンで使用できるものと同じです。ゾーンの設定の詳細については、 第6章「ゾーンの設定」 、 第7章「ゾーンのフィルタの設定」 、 第8章「ポリシー テンプレートとポリシーの設定」 、および 第9章「インタラクティブ保護モード」 を参照してください。
Guard モジュールの自己保護設定ファイルを表示するには、 show running-config コマンドを使用します。詳細については、「Guard モジュールの設定の表示」を参照してください。
Guard モジュールのフレックスコンテンツ フィルタは、明示的な指定がない限り、デフォルトですべてのトラフィック フローをブロック(ドロップ)するように設定されています。 表 11-24 に、Guard モジュールが適切に機能するために必要な通信を可能にするためのフレックスコンテンツ フィルタのデフォルト設定を示します。
|
|
|
|
|
---|---|---|---|---|
フレックスコンテンツ フィルタのデフォルト設定は、次の内容で構成されます。
• Guard モジュールによって開始される FTP サーバとの FTP 通信をイネーブル化し、送信元ポート 21 で着信 FTP 制御 SYN パケットをブロックする。
• TACACS+ サーバとの TACACS 通信をイネーブル化し、送信元ポート 49 からの着信 SYN パケットをブロックする。この設定により、認証、認可、アカウンティングのための TACACS+ サーバとの通信が可能になります。