この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)が生成する攻撃レポートについて説明します。この章は、次の項で構成されています。
Detector モジュールは、攻撃の包括的な概要を把握するために役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は Detector モジュールによって最初に動的フィルタが生成されたときで、攻撃の終了は動的フィルタが使用されなくなり新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる特性が記載されます。以前の攻撃と進行中の攻撃のレポートを表示できます。また、FTP、Secure FTP(SFTP)、または Secure Copy(SCP)ネットワーク サーバなどのネットワーク サーバにレポートをエクスポートできます。
攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。
表11-1 に、レポートのこのセクションのフィールドを示します。
|
|
---|---|
攻撃レポートの Detected Anomalies セクションには、Detector モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの生成を要求するフローは、異常であると分類されます。このような異常はあまり発生しないか、または体系的な Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃となる可能性があります。Detector モジュールは、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。
表11-2 に、検出された異常の各タイプを示します。
レポートの各セクションには、さまざまなトラフィック フローが記載されています。
表11-3 で、 Attack Statistics のフィールドについて説明します。
|
|
---|---|
表11-4 で、 Detected Anomalies のフロー統計情報について説明します。
|
|
---|---|
異常なフロー。この特性には、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートが含まれています。トラフィックが断片化されているかどうかを示します。any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。 |
パラメータの 1 つにワイルドカードとしてアスタリスク(*)を使用できます。アスタリスクは次のいずれかを示します。
数値の前にあるナンバー記号(#)は、そのパラメータに対して測定された値の数を示します。
Detector モジュールは、フローの説明の右側に、notify という値を表示することがあります。notify の値は、その行が説明するトラフィック タイプの通知を Detector モジュールが生成することを示します。Detector モジュールは値が notify の場合、アクションを実行しません。
特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、ゾーン設定モードで次のコマンドを使用します。
show reports [current | report-id ] [details]
表11-5 に、 show reports コマンドの引数とキーワードを示します。
|
|
進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。 |
|
次の例は、ゾーン上のすべての攻撃のリストの表示方法を示しています。
表11-6 に、 show reports コマンド出力フィールドを示します。
次の例は、ゾーンにおける現在の攻撃のレポートを表示する方法を示しています。
攻撃レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。
|
|
|
||||
|
|
|
||||
|
|
|
||||
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
|
|
|
|
|
|
|
|
|
|
|
異常が検出されたフローに関する詳細なレポートを表示するには、 details オプションを使用します。
表11-7 に、詳細なレポートに含まれているフローのフィールドを示します。
監視および診断のために、攻撃レポートをネットワーク サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。
攻撃が終了した時点で攻撃レポートが XML 形式で自動的にエクスポートされるよう、Detector モジュールを設定できます。Detector モジュールは、いずれか 1 つのゾーンのレポートを、そのゾーンに対する攻撃が終了した時点でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。www.cisco.com から、このバージョンに付属の xsd ファイルをダウンロードできます。
Detector モジュールが攻撃レポートを自動的にエクスポートするように設定するには、設定モードで次のコマンドを使用します。
export reports file-server-name
file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。ネットワーク サーバに Secure FTP(SFTP)または Secure Copy(SCP)を設定する場合は、Detector モジュールが SFTP 通信および SCP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。
次の例は、ネットワーク サーバへの攻撃の終了時に、レポートを(XML 形式で)自動的にエクスポートする方法を示しています。
グローバル モードで次のいずれかのコマンドを入力することにより、すべてのゾーンの攻撃レポートをテキスト形式または XML 形式でエクスポートできます。
• copy reports [ details ] [ xml ] ftp server full-file-name [ login ] [ password ]
• copy reports [ details ] [ xml ] file-server-name dest-file-name
表11-8 に、 copy reports コマンドの引数とキーワードを示します。
|
|
---|---|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンでリリースされた xsd ファイルを参照してください(www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートはテキスト形式でエクスポートされます。 XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
file-server コマンドを使用して定義したネットワーク サーバの名前。 ネットワーク サーバは FTP サーバである必要があります。SFTP または SCP を使用して攻撃レポートをネットワーク サーバにエクスポートすることはできません。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
|
ファイルの名前。Detector モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して、Detector モジュールによって処理されたすべての攻撃のリストを IP アドレス 10.0.0.191 の FTP サーバに(テキスト形式で)コピーする方法を示しています。
次の例は、Detector モジュールによって処理されたすべての攻撃のリストを file-server コマンドを使用して定義したネットワーク サーバに(テキスト形式で)コピーする方法を示しています。
特定のゾーンの攻撃レポートを FTP サーバにコピーするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] file-server-name dest-file-name
表11-9 に、 copy zone reports コマンドの引数とキーワードの説明を示します。
|
|
---|---|
(オプション)既存のレポートの ID。指定した ID 番号を持つレポートが Detector モジュールによってエクスポートされます。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。 |
|
(オプション)レポートを XML 形式でエクスポートします。XML スキーマについては、このバージョンでリリースされた xsd ファイルを参照してください(www.cisco.com からこのバージョンに付属の xsd ファイルをダウンロードできます)。デフォルトでは、レポートをテキスト形式でエクスポートします。 XML 形式のレポートには、すべての詳細が含まれます。 xml オプションを指定する場合、 details オプションを指定する必要はありません。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。 ネットワーク サーバは FTP サーバである必要があります。SFTP または SCP を使用してレポートをネットワーク サーバにエクスポートすることはできません。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
|
ファイルの名前。Detector モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ログイン名 user1 とパスワード password1 を使用して IP アドレス 10.0.0.191 の FTP サーバにゾーンのすべての攻撃レポートをコピーする方法を示しています。
次の例は、現在の攻撃のレポートを file-server コマンドを使用して定義したネットワーク サーバに(XML 形式で)コピーする方法を示しています。
古い攻撃レポートを削除して、空きディスク スペースを得ることができます。
攻撃レポートを削除するには、ゾーン設定モードで次のコマンドを使用します。
report-id 引数には、既存のレポートの ID を指定します。すべての攻撃レポートを削除するには、アスタリスク(*)を入力します。ゾーン攻撃レポートの詳細を表示するには、show zone reports コマンドを使用します。
次の例は、すべてのゾーン攻撃レポートを削除する方法を示しています。