この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard モジュール)が生成する攻撃レポートについて説明します。この章は、次の項で構成されています。
Guard モジュールは、攻撃の包括的な概要を把握するために役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Guard モジュールによって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる特性が記載されます。以前の攻撃と進行中の攻撃のレポートを表示できます。また、FTP、Secure FTP(SFTP)、または Secure Copy(SCP)ネットワーク サーバなどのネットワーク サーバにレポートをエクスポートできます。
レポートには、次の情報が含まれています。各セクションの説明を参照してください。
• Zombies :このセクションは、 show reports details コマンドおよび show zombies コマンドを入力した場合にだけ表示されます。
攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。
表12-1 に、レポートのこのセクションのフィールドを示します。
|
|
---|---|
Attack Statistics セクションには、さまざまなパケットのゾーン トラフィック フローの一般的な分析が記載されます。 表12-2 に、パケット タイプを示します。
|
|
---|---|
検証の試行で Guard モジュールのスプーフィング防止メカニズムおよびゾンビ防止メカニズムが送信元に返送したトラフィック。 |
|
攻撃レポートの Malicious Packets Statistics セクションでは、Guard モジュールがドロップしたパケットおよび検証の試行で送信元に返送されたパケットが分析されます。レポートでは、パケットをタイプ(スプーフィングまたは不正な形式)、およびそれらを処理する Guard モジュールの機能(フィルタ タイプまたはレート リミッタ)によって分類します。
表12-3 に、さまざまなタイプの悪意のあるパケットを示します。
攻撃レポートの Detected Anomalies セクションには、Guard モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。このような異常はあまり発生しないか、または体系的な Distributed Denial of Service(DdoS; 分散型サービス拒絶)攻撃となる可能性があります。Guard は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。
表12-4 に、検出された異常の各タイプを示します。
攻撃レポートの Mitigated Attacks セクションには、Guard モジュールがゾーンを保護する(攻撃を軽減する)ために実行した処置が詳細に記載されます。このレポートには、軽減のタイミングおよび軽減された攻撃のタイプの詳細が記載されます。Guard モジュールは、Guard モジュールが攻撃を軽減するために使用した機能に応じて軽減のタイプを定義します。この機能は、攻撃のタイプとサブタイプを示します。
たとえば、Guard モジュールが syn パケットの攻撃フローを軽減するために基本的なスプーフィング防止機能を使用した場合、軽減された攻撃は spoofed/tcp_syn_basic と表示されます。spoofed は攻撃のタイプを示し、tcp_syn_basic は攻撃のサブタイプを示します。
• ゾンビ攻撃
• クライアント攻撃
• ユーザ定義の攻撃
スプーフィングを利用した攻撃には、スプーフィングされた送信元からの DDoS 攻撃であると識別されるすべてのトラフィック異常が含まれます。 表12-5 に、スプーフィングを利用した攻撃のさまざまなタイプを示します。
ゾンビ攻撃には、ゾンビによって開始された DDos 攻撃であると識別されるトラフィック異常が含まれます。 表12-6 に、ゾンビ攻撃のタイプを示します。
|
|
---|---|
|
Guard モジュールのゾンビ防止機能が認証に成功しなかった、スプーフィングされていないと識別された多くの送信元からの HTTP トラフィックのフラッド。 |
クライアント攻撃には、スプーフィングされていないすべてのトラフィック異常が含まれます。 表12-7 に、さまざまなタイプのクライアント攻撃を示します。
|
|
---|---|
TCP ハンドシェイクを経ていない ACK、FIN、または他のパケットのフラッド、あるいは Guard モジュールのスプーフィング防止機能が認証に成功しなかった TCP 接続。 |
|
ユーザ定義攻撃には、ユーザ フィルタによって処理されたすべての異常が含まれます。ユーザ フィルタは、デフォルトまたは手動による設定で機能します。詳細については、 第 8 章「ポリシー テンプレートとポリシーの設定」 を参照してください。 表12-8 に、ユーザ定義攻撃のタイプを示します。
|
|
• • • |
|
不正な形式のパケットには、悪意のある不正形式パケットで構成されると識別されたすべてのトラフィック異常が含まれます。 表12-9 に、さまざまなタイプの不正形式パケットを示します。
|
|
---|---|
ヘッダーの宛先ポート、送信元ポート、プロトコル、および送信元 IP アドレス フィールドが不正にゼロとなっているパケットのフラッド。 |
|
ゾンビ攻撃には、ゾンビによって開始された DDoS 攻撃であると識別されたトラフィック異常が含まれます。Guard モジュールの攻撃レポートには、現在ゾーンを攻撃しているゾンビを一覧表示するテーブルが表示されます。現在攻撃しているゾンビのリストを表示するには、 show reports details コマンドおよび show zombies コマンドを使用します。
show zombies コマンド出力のフィールドについては、 表12-15 を参照してください。
レポートの各セクションには、さまざまなトラフィック フローが記載されています。
表12-10 に、 Attack Statistics および Malicious Packet Statistics のフィールドを示します。
|
|
---|---|
受信パケットの合計数に対する、転送されたパケット、返送されたパケット、およびドロップされたパケットのパーセンテージを示します。 |
表12-11 に、 Detected Anomalies および Mitigated Attacks のフロー統計情報を示します。
|
|
---|---|
異常フローおよび軽減された攻撃のフローを示します。 |
ワイルドカードとして使用できるアスタリスク(*)は、次を示すパラメータの 1 つに使用できます。
数値の前にあるナンバー記号(#)は、そのパラメータに対して測定された値の数を示します。
Guard モジュールは、フローの説明の右側に、 notify という値を表示することがあります。notify の値は、その行が説明するトラフィック タイプの通知を Guard モジュールが生成することを示します。Guard モジュールは値が notify の場合、アクションを実行しません。
特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、ゾーン設定モードで次のコマンドを使用します。
show reports [ sub-zone-name ] [current | report-id ] [details]
表12-12 に、 show reports コマンドの引数とキーワードを示します。
|
|
(オプション)ゾーンから作成されたサブゾーンの名前です。詳細については、「サブゾーンについて」を参照してください。 |
|
進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。 |
|
次の例は、ゾーン上のすべての攻撃のリストの表示方法を示しています。
表12-13 に、 show reports コマンド出力のフィールドを示します。
次の例は、ゾーン上の現在の攻撃のレポートの表示方法を示しています。
攻撃レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。
|
|
|
||||
|
|
|
||||
|
|
|
||||
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
1
|
Feb 26 09:59:40
|
00:07:59
|
client_attack/
tcp_connections
|
38
|
280
|
|
|
|
|
|
検出された異常フローと軽減された攻撃フローに関する詳細なレポート、およびゾンビ攻撃のリストを表示するには、 details オプションを使用します。
表12-14 に、詳細なレポートに含まれているフローのフィールドを示します。
表12-15 に、ゾンビ攻撃に関する詳細なレポートのフィールドを示します。
|
|
---|---|
(注) ゾンビ攻撃がない場合は、レポートの Zombies という見出しの下に Report doesn't exist と表示されます。
監視および診断のために、攻撃レポートをネットワーク サーバにエクスポートします。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。
攻撃の終了時に、攻撃レポートが自動的に XML 形式でエクスポートされるように、Guard モジュールを設定できます。Guard モジュールは、ゾーンに対する攻撃が終了すると、いずれかのゾーンのレポートをエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。次の URL にある Cisco.com のソフトウェア センターからこのバージョンに付属の xsd ファイルをダウンロードできます。
http://www.cisco.com/public/sw-center/
Guard モジュールが攻撃レポートを自動的にエクスポートするように設定するには、ゾーン設定モードで次のコマンドを使用します。
export reports file-server-name
file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。ネットワーク サーバに Secure FTP(SFTP)または Secure Copy(SCP)を設定する場合は、Guard モジュールが SFTP 通信および SCP 通信に使用する SSH キーを設定する必要があります。詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。
次の例は、ネットワーク サーバへの攻撃が終了したら、レポート(XML 形式)を自動的にエクスポートする方法を示しています。
グローバル モードで次のいずれかのコマンドを入力することにより、すべてのゾーンのレポートをテキスト形式または XML 形式でエクスポートできます。
• copy reports [ details ] [ xml ] ftp server full-file-name [ login ] [ password ]
• copy reports [ details ] [ xml ] file-server-name dest-file-name
表12-16 に、 copy reports コマンドの引数とキーワードを示します。
|
|
---|---|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください(Cisco.com のソフトウェア センター( http://www.cisco.com/public/sw-center/ )からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートはテキスト形式でエクスポートされます。 XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
file-server コマンドを使用して定義したネットワーク サーバの名前。 ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用して攻撃レポートをネットワーク サーバにエクスポートできません。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
|
ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して、Guard モジュールによって処理されたすべての攻撃のリストをテキスト形式で IP アドレス 10.0.0.191 の FTP サーバにコピーする方法を示しています。
次の例は、Guard モジュールによって処理されたすべての攻撃のリストをテキスト形式で file-server コマンドを使用して定義したネットワーク サーバにコピーする方法を示しています。
特定のゾーンの攻撃レポートを FTP サーバにコピーするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [l ogin ] [ password ]
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] file-server-name dest-file-name
表12-17 に、 copy zone reports コマンドの引数とキーワードの説明を示します。
|
|
---|---|
(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Guard モジュールによってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。 |
|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください(Cisco.com の ソフトウェア センター( http://www.cisco.com/public/sw-center/ )からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートをテキスト形式でエクスポートします。 XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。 ネットワーク サーバは、FTP サーバでなければなりません。SFTP または SCP を使用してレポートをネットワーク サーバにエクスポートできません。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
|
ファイルの名前。Guard モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにゾーンのすべての攻撃レポートをコピーする方法を示しています。
次の例は、現在の攻撃のレポートを file-server コマンドを使用して定義したネットワーク サーバに XML 形式でコピーする方法を示しています。
古い攻撃レポートを削除して、空きディスク スペースを得ることができます。
攻撃レポートを削除するには、ゾーン設定モードで次のコマンドを使用します。
report-id 引数には、既存のレポートの ID を指定します。すべての攻撃レポートを削除するには、アスタリスク(*)を入力します。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。
次の例は、すべてのゾーン攻撃レポートを削除する方法を示しています。