この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)に関する統計情報および診断を表示する方法について説明します。この章には、次の項があります。
• ping の使用
Detector モジュールの設定ファイルを表示することができます。このファイルには、インターフェイスの IP アドレス、デフォルト ゲートウェイ アドレス、設定されているゾーンなど、Detector モジュールの設定に関する情報が含まれています。
Detector モジュールの設定ファイルを表示するには、次のコマンドを入力します。
show running-config [all | Detector module | interfaces interface-name | self-protection | zones] ]
表 10-1 に、 show running-config コマンドのキーワードを示します。
|
|
---|---|
Detector モジュールのすべてのモジュール(Detector モジュール、ゾーン、インターフェイス、および自己保護)の設定ファイルを表示します。 |
|
設定ファイルは、Detector モジュールを現在の設定値で設定するために実行されるコマンドで構成されています。Detector モジュールの設定ファイルをリモート FTP サーバにエクスポートして、バックアップ用にしたり、別の Detector モジュールにその Detector モジュールの設定パラメータを実装できるようにすることができます。詳細については、「Detector モジュールのゾーンの表示」を参照してください。
Detector でゾーンの概要を表示して、アクティブなゾーンやゾーンの現在のステータスを確認できます。ゾーンのリストを表示するには、グローバル モードで show コマンドを使用します。 表 10-2 で、さまざまなゾーン ステータスについて説明します。
ゾーン カウンタの表示およびゾーン トラフィックの分析には、次のコマンドを使用できます。
• show rates: Received カウンタ の平均トラフィック レートを表示します。
• show rates deta ils:Received カウンタ の平均トラフィック レートを表示します。
• show rates history:Received カウンタ の平均トラフィック レートを過去 24 時間にわたり 1 分ごとに表示します。
• show counters:Received カウンタ を表示します。
• show counters details:Received カウンタ を表示します。
• show counters history: 過去の Received カウンタの値を 1 分ごとに表示します。
(注) ゾーンのレートは、ゾーン検出をイネーブルにした場合、またはラーニング プロセスをアクティブにした場合にのみ使用可能です。
Guard は、トラフィックの合計を測定し、平均のトラフィック レートを計算します。値が cleared のレートは、ゾーン検出がイネーブルでなかった時間を示します。
カウンタの単位はパケットおよびキロビットです。カウンタは、ゾーン 検出 をアクティブにしたときにゼロにリセットされます。
表 10-3 に、Detector モジュールのカウンタを示します。
|
|
---|---|
特定のゾーンの概要を表示して、そのゾーンの全般的な状況と現在のステータスを知ることができます。ゾーンの概要を表示するには、ゾーン設定モードで show コマンドを使用します。概要には、次の情報が含まれます。
• ゾーンのステータス :動作状態を示します。動作状態は、保護モード、保護およびラーニングのモード、しきい値調整モード、ポリシー構築モード、または非アクティブのいずれかです。
• ゾーンの基本設定 :動作モード(自動またはインタラクティブ)、しきい値とタイマー、IP アドレスなど、ゾーンの基本的な設定を示します。詳細については、「ゾーンのアトリビュートの設定」を参照してください。
• ゾーンのフィルタ :フレックスコンテンツ フィルタの設定も含めて、アクティブな動的フィルタおよびユーザ フィルタの設定数を示します。ゾーンがインタラクティブ検出モードの場合、概要には推奨事項の数が表示されます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。
• ゾーンのトラフィック レート :ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。詳細については、「ゾーンのカウンタの表示」を参照してください。
Detector モジュールは、システムのアクティビティおよびイベントを自動的にログに記録します。Detector モジュールのログを表示して、Detector モジュールのアクティビティを確認および追跡できます。
表 10-4 に、イベント ログのレベルを示します。
|
|
|
---|---|---|
ログ ファイルには、すべてのログ レベル(emergencies、alerts、critical、errors、warnings、notification、informational、debugging)が表示されます。Detector モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
イベント ログは、ローカルで表示することも、リモート サーバから表示することもできます。
• イベントのリアルタイム ロギング:「オンライン イベント ログの表示」を参照してください。
• ログ ファイル:「ログ ファイルの表示」を参照してください。
Detector モジュールのモニタリング メカニズムをアクティブにして、リアルタイムのイベント ログを表示できます。この設定により、Detector モジュールのイベントのオンライン ロギングを表示できます。次のコマンドを入力します。
(注) モニタリング メカニズムを非アクティブにするには、no event monitor コマンドを使用してください。
ログ ファイルに記録されている Detector モジュールの動作を表示するために、Detector モジュールのオンライン イベント ログをエクスポートできます。Detector モジュールのイベントは Detector モジュールのログ ファイルにオンラインで記録されるため、リモート ホストからそのイベントを表示できます。Detector モジュールのログ ファイルは、syslog メカニズムを使用してエクスポートされます。複数の syslog サーバに Detector モジュールのログ ファイルをエクスポートできます。1 つのサーバがオフラインになったときに別のサーバでメッセージを受信できるように、追加のサーバを指定できます。
Detector モジュールのオンライン ログのエクスポート機能は、リモート syslog サーバにだけ適用できます。リモート syslog サーバが使用できない場合は、 copy log コマンドを使用して、Detector モジュールのログ情報をファイルにエクスポートしてください。
Sep 11 16:34:40 10.4.4.4 cm: scannet, 5 threshold-tuning-start: Zone activation completed successfully.
event-date event-time Guard-IP-address protection-module zone-name event-severity-level event-type event-description
オンライン イベント ログをエクスポートするには、次の手順を実行します。
ステップ 1 (オプション)ロギング パラメータを設定します。次のコマンドを入力します。
表 10-5 で、logging コマンドのキーワードについて説明します。
(注) 動的フィルタの追加および削除に関するイベントを受信するには、トラップ レベルを informational に変更してください。
ステップ 2 リモート syslog サーバの IP アドレスを設定します。次のコマンドを入力します。
remote-syslog-server-ip 引数には、リモート syslog サーバの IP アドレスを指定します。
ロギング メッセージを受信する syslog サーバのリストを作成するには、このコマンドを複数回入力してください。
次の例は、 local3 ファシリティを使用して、 notification 以上の重大度レベルのトラップが IP アドレス 10.0.0.191 の syslog サーバに送信されるように、Detector モジュールを設定する方法を示しています。
オンライン イベント ログのエクスポート設定を表示するには、 show logging コマンドまたは show log export-ip コマンドを使用します。
診断または監視のために Detector モジュールのログを表示できます。Detector モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
Detector モジュールのログを表示するには、次のコマンドを入力します。
監視または診断のために、Detector モジュールのログ ファイルを FTP サーバにエクスポートできます。グローバル モードで、次のいずれかのコマンドを入力します。
• copy [ zone zone-name ] log ftp server full-file-name [ login [ password ]]
• copy [ zone zone-name ] log sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 10-6 で、 copy log ftp コマンドの引数とキーワードについて説明します。
Detector モジュールまたはゾーンのログ ファイルが大きい場合、あるいは、テストを行う予定があり、そのテスト セッションからの情報だけをログ ファイルに反映する場合は、ログ ファイルをクリアできます。
すべてのエントリの Detector モジュールまたはゾーンのログ ファイルをクリアするには、設定モードまたはゾーン設定モードで次のコマンドを入力します。
zone-name 引数には、ゾーン名を指定します。デフォルトでは、Detector モジュールのログ ファイルがクリアされます。 clear log コマンドをゾーン設定モードで発行する場合、 zone zone-name キーワードと引数は使用できません。ゾーン設定モードで clear log コマンドを使用すると、現在のゾーン ログの全エントリが消去されます。
ネットワークのトラフィック パターンを記録および観察できます。ネットワークの動作を阻害しないタップでトラフィックがネットワークから直接記録されるように Detector モジュールを設定し、記録されたトラフィックからデータベースを作成できます。記録されたトラフィックのデータベースにクエリーを発行することにより、トラフィックが通常状態のときに、過去のイベントの分析、攻撃シグニチャの生成、または現在のネットワーク トラフィック パターンと Detector モジュールが記録したトラフィック パターンとの比較を行うことができます。
Detector モジュールが特定の基準を満たすトラフィックだけを記録するように、フィルタを設定できます。または、すべてのトラフィック データを記録し、Detector モジュールが表示するトラフィックをフィルタリングすることもできます。
Detector モジュールは、トラフィックを gzip 圧縮された Packet Capture(PCAP)形式で保存します。これには、記録されたデータについて記述する Extensible Markup Language(XML)形式のファイルが付属します。
記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに共通のパターンまたはシグニチャが見られるかどうかを判断するというものです。Detector モジュールには、記録されたトラフィックを分析し、シグニチャを抽出する機能があります。シグニチャを使用すると、そのシグニチャと一致するパケット ペイロードを含むすべてのトラフィックをブロックするようにフレックスコンテンツ フィルタを設定できます。
Detector モジュールは、次の 2 つの方法でトラフィックを記録できます。
• 自動 :Detector モジュールは、トラフィック データをパケットダンプ キャプチャ ファイルに常に記録します。
新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、FTP サーバまたは SFTP サーバにそれらのファイルをエクスポートする必要があります。
• 手動 :Detector モジュールは、記録するためにアクティブにされたときに、トラフィックをパケットダンプ キャプチャ ファイルに記録します。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録されたトラフィックを保存するには、Detector モジュールをアクティブにしてトラフィックの記録を再開する前に、パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバにエクスポートする必要があります。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。手動の場合、Detector モジュールは最大 4 つのゾーンのトラフィックを同時に記録できます。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
• Detector モジュールの自動トラフィック記録の設定
• Detector モジュールの手動トラフィック記録のアクティブ化
• Detector モジュールの手動トラフィック記録の停止
• パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成
Detector モジュールをアクティブにして、ネットワーク トラフィックを自動的に記録することができます。このようにして、ネットワークの問題や攻撃が発生したときに分析または比較に使用可能なトラフィックの記録を入手できます。パケットダンプ キャプチャ フィルタを使用すると、指定した基準を満たすトラフィックだけを記録するように Detector モジュールを設定できます。また、すべてのトラフィックを記録し、その記録済みのトラフィックを表示するときにパケットダンプ キャプチャ フィルタを適用することもできます。
Detector モジュールは、トラフィックをキャプチャ バッファに記録します。キャプチャ バッファのサイズが 50 MB に達するか、10 分が経過すると、Detector モジュールはバッファをローカル ファイルに圧縮形式で保存します。バッファは消去され、トラフィックの記録が続行されます。
Detector モジュールは、複数の自動パケットダンプ キャプチャ ファイルを保存します。記録されたトラフィックは、処理方法に基づいて分割されます。したがって、複数の自動パケットダンプ キャプチャ ファイルを 1 つの時間枠から取得できます。自動パケットダンプ キャプチャ ファイルの名前には、Detector モジュールがトラフィックを記録した時刻と処理方法に関する情報が示されています。
表 10-7 で、自動パケットダンプ キャプチャ ファイルの名前のセクションについて説明します。
Detector モジュールは、ラーニング プロセスから 1 つのパケットダンプ キャプチャ ファイルを保存します。ゾーンの異常検出中に、Detector モジュールは次のパケットダンプ キャプチャ ファイルを保存します。
• 直前 10 分間のトラフィックのパケットダンプ キャプチャ ファイル 1 つ
• 現在のトラフィックのパケットダンプ キャプチャ ファイル 1 つ
ゾーン検出をアクティブにした場合、またはネットワーク トラフィックを自動的に記録するために Detector モジュールをアクティブにした場合、Detector モジュールは検出プロセス中に記録した以前のパケットダンプ キャプチャ ファイルをすべて消去し、新しいファイルを作成します。
ネットワーク トラフィックを自動的に記録するように Detector モジュールを設定するには、次の手順を実行します。
ステップ 1 ゾーン トラフィックを自動的に記録するように Detector モジュールを設定します。ゾーン設定モードで次のコマンドを入力します。
ステップ 2 (オプション)パケットダンプ キャプチャ データベースを作成するために、パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバにエクスポートします。「パケットダンプ キャプチャ ファイルの自動エクスポート」を参照してください。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルをエクスポートする必要があります。
Detector モジュールでゾーンのトラフィック データの自動キャプチャを停止するには、 no packet-dump auto-capture コマンドを使用します。
Detector モジュールをアクティブにして、トラフィックの記録を開始できます。このようにして、特定期間のトラフィックを記録したり、Detector モジュールがトラフィックの記録に使用する基準を変更したりできます。
指定した数のパケットが記録された時点、またはラーニング プロセスかゾーン検出のどちらかが終了した時点で、Detector モジュールはトラフィックの記録を停止し、手動パケットダンプ キャプチャをファイルに保存します。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector モジュールは、最大 10 個のゾーンの手動パケットダンプ キャプチャを同時に記録できます。
手動パケットダンプ キャプチャをアクティブにするには、ゾーン設定モードで次のコマンドを入力します。
packet-dump capture [ view ] capture-name pdump-rate pdump-count [ tcpdump-expression ]
(注) トラフィックをキャプチャする間は、CLI セッションが停止します。キャプチャの進行中に作業を続行するには、Detector モジュールとのセッションを追加で確立してください。
表 10-8 で、 packet-dump コマンドの引数とキーワードについて説明します。
|
|
---|---|
|
|
|
パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
サンプル レート(pps)。1 ~ 10000 の値を入力します。 (注) Detector モジュールは、すべての同時手動キャプチャに対して、10000 パケット/秒の最大累積パケットダンプ キャプチャ レートをサポートします。 高いサンプル レート値を設定したパケットダンプ キャプチャは、多くのリソースを消費します。パフォーマンスに悪影響を与える可能性があるので、高いレート値を設定するときは注意してください。 |
|
記録対象のパケットの数。Detector モジュールは、指定された数のパケットの記録を終了した後に、手動パケットダンプ キャプチャ バッファをファイルに保存します。1 ~ 5000 の整数を入力します。 |
|
(オプション)記録対象のトラフィックを指定するために適用するフィルタ。Detector モジュールは、フィルタの式に適合するトラフィックだけをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
Detector モジュールは、キャプチャのアクティブ時に指定された数のパケットを記録すると、手動パケットダンプ キャプチャを停止します。ただし、Detector モジュールが指定された数のパケットを記録する前に、ユーザは手動パケットダンプ キャプチャを停止できます。
Detector モジュールで手動トラフィック記録を停止するには、次のいずれかのアクションを実行します。
• 開かれている CLI セッションで Ctrl+C を押す。
• 新しい CLI セッションを開き、関連するゾーン設定モードで次のコマンドを入力する。
no packet-dump capture capture-name
Detector モジュールが手動パケットダンプ キャプチャ ファイル用に割り当てたディスク スペースの現在の容量を表示するには、設定モードまたはグローバル モードで show packet-dump コマンドを使用します。Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 1 ブロックのディスク スペースを割り当てます。
表 10-9 で、 show packet-dump コマンド出力のフィールドについて説明します。
|
|
---|---|
|
Detector モジュールがすべてのゾーンの手動パケットダンプ キャプチャ用に割り当てているディスク スペースの合計を MB 単位で示します。 |
|
割り当てられたディスク スペースのうち、すべてのゾーンからの手動パケット ダンプ ファイルによって消費されたパーセンテージを示します。 |
パケットダンプ キャプチャ ファイルを自動的に FTP サーバまたは SFTP サーバにエクスポートするように Detector モジュールを設定できます。自動エクスポート機能をイネーブルにすると、Detector モジュールはパケットダンプ バッファの内容を保存するたびにパケットダンプ キャプチャ ファイルをローカル ファイルにエクスポートします。パケットダンプ キャプチャ ファイルは gzip 圧縮された PCAP 形式でエクスポートされ、記録されたデータについて記述する XML 形式のファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャ ファイルを自動的にエクスポートするには、設定モードで次のいずれかのコマンドを入力します。
• export packet-dump ftp server full-file-name [ login [ password ]]
• export packet-dump sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 10-10 で、 export packet-dump コマンドの引数について説明します。
|
|
---|---|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを挿入しない場合、Detector モジュールによってパスワードを要求されます。 |
次の例は、IP アドレスが 10.0.0.191 の FTP サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートする方法を示しています。
パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートできます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。Detector モジュールはパケットダンプ キャプチャ ファイルを gzip 圧縮された PCAP 形式でエクスポートします。これには、記録されたデータについて記述する XML ファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name packet-dump captures [ capture-name] ftp server full-file-name [login [password]]
• copy zone zone-name packet-dump captures [ capture-name] sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 10-11 で、 copy zone packet-dump コマンドの引数とキーワードについて説明します。
|
|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector モジュールはゾーンのすべてのパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを挿入しない場合、Detector モジュールによってパスワードを要求されます。 |
パケットダンプ キャプチャ ファイルを FTP サーバから Detector モジュールにインポートできます。こうして、過去のイベントを分析したり、現在のネットワーク トラフィック パターンと、トラフィックが通常状態のときに Detector モジュールが以前に記録したトラフィック パターンとを比較したりすることができます。 Detector モジュールは、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式の両方でインポートします。
パケットダンプ キャプチャ ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy ftp zone zone-name packet-dump captures server full-file-name [login [password]]
• copy sftp zone zone-name packet-dump captures server full-file-name login
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 10-12 で、 copy zone packet-dump コマンドの引数について説明します。
|
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを挿入しない場合、Detector モジュールによってパスワードを要求されます。 |
パケットダンプ キャプチャ ファイルのリスト、または 1 つのパケットダンプ キャプチャ ファイルの内容を表示できます。デフォルトでは、Detector モジュールはゾーンのすべてのパケットダンプ キャプチャ ファイルのリストを表示します。
パケットダンプ キャプチャ ファイルを表示するには、ゾーン設定モードで次のコマンドを入力します。
show packet-dump captures [ capture-name [ tcpdump-expression ]]
表 10-13 で、show packet-dump captures コマンドの引数について説明します。
|
|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector モジュールはゾーンのすべてのパケットダンプ キャプチャ ファイルのリストを表示します。コマンド出力のフィールドの説明については、 表 10-14 を参照してください。 パケットダンプ キャプチャ ファイルの名前を指定した場合、Detector モジュールはそのファイルを TCPDump 形式で表示します。 |
|
|
(オプション)Detector モジュールがパケットダンプ キャプチャ ファイルを表示するときに使用するフィルタ。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
表 10-14 で、 show packet-dump captures コマンド出力のフィールドについて説明します。
|
|
---|---|
パケットダンプ キャプチャ ファイルの名前。自動パケットダンプ キャプチャ ファイルの名前については、 表 10-7 を参照してください。 |
|
|
|
|
Detector モジュールがトラフィックを記録するときに使用したユーザ定義フィルタ。このフィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
攻撃シグニチャには、攻撃パケットのペイロードに表示される共通パターンが記載されます。Detector モジュールで異常なトラフィックのシグニチャの生成をアクティブにし、その情報を使用して、将来同じタイプの攻撃をすばやく発見することができます。この機能を使用すると、アンチウィルス ソフトウェアのメーカーやメーリング リストなどからシグニチャが発行される前であっても、新しい DDoS 攻撃やインターネット ワームを検出することができます。
Detector モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用して攻撃シグニチャを生成します。このシグニチャをフレックスコンテンツ フィルタのパターンで使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。
トラフィックが通常状態のとき(平時)に Detector モジュールが記録したパケットダンプ キャプチャ ファイルを参照用として追加で指定することができます。参照パケットダンプ キャプチャ ファイルを指定すると、Detector モジュールは異常なトラフィックからシグニチャを生成し、トラフィックが通常状態のときに記録されたトラフィックにそのシグニチャが存在する時間の割合を示します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。
ステップ 1 Detector モジュールで攻撃進行中のトラフィックの記録をアクティブにします。 packet-dump capture コマンドを使用します(「Detector モジュールの手動トラフィック記録のアクティブ化」を参照)。
ステップ 2 攻撃進行中に Detector モジュールが記録したパケットダンプ キャプチャ ファイルを確認します。 show packet-dump captures コマンドを使用して、パケットダンプ キャプチャ ファイルのリストを表示します。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。
ステップ 3 Detector モジュールで攻撃トラフィックのシグニチャの生成をアクティブにします。ゾーン設定モードで次のコマンドを入力します。
表 10-15 で、 show packet-dump signatures コマンドの引数について説明します。
|
|
---|---|
(オプション)トラフィックが通常状態のときに |
表 10-16 で、 show packet-dump signatures コマンド出力のフィールドについて説明します。
|
|
---|---|
パケット ペイロードの先頭から、パターンが開始する位置までのオフセット(バイト単位)。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの start-offset 引数にコピーします。 |
|
パケット ペイロードの先頭から、パターンが終了する位置までのオフセット(バイト単位)。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの end-offset 引数にコピーします。 |
|
Detector モジュールが生成したシグニチャ。Detector モジュールは、フレックスコンテンツ フィルタのパターン式の構文を使用してシグニチャを生成します。詳細については、「パターン式の構文について」を参照してください。 |
|
次の例は、手動パケットダンプ キャプチャ ファイルからシグニチャを生成する方法を示しています。
1 つのパケットダンプ キャプチャ ファイル、または 1 つのファイルの一部を、新しい名前でコピーできます。
Detector モジュールは、既存の自動パケットダンプ キャプチャ ファイルを新しい自動パケットダンプ キャプチャ ファイルで上書きします。自動パケットダンプ キャプチャ ファイルをコピーすると、Detector モジュールはそのファイルを手動パケットダンプ キャプチャ ファイルとして保存し、新しい自動パケットダンプ キャプチャ ファイルで上書きしません。したがって、ディスク スペースを解放するには、そのファイルを手動で削除する必要があります。
手動パケットダンプ キャプチャ ファイルをコピーした場合、Detector モジュールは元の手動パケットダンプ キャプチャ ファイルのコピーも保存します。ディスク スペースを解放する必要がある場合は、そのコピーを手動で削除します。
詳細については、「パケットダンプ キャプチャ ファイルの削除」を参照してください。
パケットダンプ キャプチャ ファイルをコピーするには、設定モードで次のコマンドを入力します。
copy zone zone-name packet-dump captures capture-name [ tcpdump-expression ] new-name
表 10-17 で、copy packet-dump captures コマンドの引数について説明します。
|
|
|
(オプション)Detector モジュールがパケットダンプ キャプチャ ファイルをコピーするために使用するフィルタ。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけをコピーします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。 |
|
新しいパケットダンプ キャプチャ ファイルの名前。この名前は 1 ~ 63 文字の英数字の文字列です。アンダースコアを含めることができますが、スペースを含めることはできません。 |
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
Detector モジュールでは、1 つのゾーンにつき 1 つの手動パケットダンプ キャプチャ ファイルだけを保存できます。また、保存できるパケットダンプ キャプチャ ファイルは 10 個までです。新しい手動パケットダンプ キャプチャ ファイルのためのスペースを解放するには、古いファイルを削除する必要があります。
自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルを削除するには、次のいずれかのコマンドを入力します。
• clear zone zone-name packet-dump captures { * | name }--In configuration mode
• clear packet-dump captures { * | name }--In zone configuration mode
表 10-18 で、clear packet-dump コマンドの引数について説明します。
|
|
|
次の例は、すべての手動パケットダンプ キャプチャ ファイルを消去する方法を示しています。
Detector モジュールの一般的な診断データを表示できます。
一般的な診断データを表示するには、次のコマンドを入力します。
• Line Card Number: Detector の識別子文字列。
• Number of Pentium-class Processors : Detector モジュールのプロセッサの番号。 Detector モジュールはプロセッサ 1 をサポートします。
• BIOS Vendor :Detector 上の BIOS のベンダー。
• BIOS Version :Detector 上の BIOS バージョン。
• Total available memory :Detector 上で使用可能なメモリの合計。
• Size of compact flash :Detector 上のコンパクト フラッシュのサイズ。
• Slot Num :モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。
(注) CFE のバージョンを変更するには、新しいフラッシュ バージョンをインストールする必要があります。CFE の新しいバージョンを焼き付けるには、flash-burn コマンドを使用してください。詳細については、「Detector モジュールのバージョンのアップグレード」を参照してください。
• Recognition Average Sample Loss :認識モジュールの、計算されたパケット サンプル損失。
• Forward failures (no resources) :システム リソースが不足しているために転送されなかったパケット数。
(注) Recognition Average Sample Loss または Forward failures の値が大きい場合は、Detector モジュールがトラフィックによって過負荷になっていることを示します。負荷分散型の構成で複数の Detector モジュールをインストールすることをお勧めします。
Detector モジュールのメモリ消費量を表示できます。Detector モジュールは、メモリ使用量を KB 単位で表示します。さらに、Detector モジュールは、検出モジュールが使用しているメモリのパーセンテージも表示します。認識検出モジュールのメモリ使用率は、アクティブなゾーンの数、および各ゾーンが監視するサービスの数に影響されます。
(注) 認識検出モジュールのメモリ使用率が 90% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。
(注) Detector モジュールの空きメモリの合計量は、free メモリと cached メモリの合計です。
現在の CPU 使用率(パーセンテージ)を表示できます。Detector モジュールは、ユーザ モード、システム モード、ナイス値が負のタスク、およびアイドル状態の CPU 時間のパーセンテージを表示します。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。
ARP キャッシュを表示または操作して、アドレス マッピング エントリを消去または手動で定義できます。次のいずれかのコマンドを入力します。
arp [-evn] [-H type] [-i if] -a [hostname]
arp [-v] [-i if] -d hostname [pub]
arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]
arp [-v] [-H type] [-i if] -s hostname hw_addr [netma sk nm] pub
arp [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub
arp [-vnD] [-H type] [-i if] -f [filename]
表 10-19 で、 arp コマンドの引数とキーワードについて説明します。
ホスト ネットワーク接続、ルーティング テーブル、インターフェイス統計情報、マスカレード接続、およびマルチキャスト メンバシップを表示して、ネットワークの問題をデバッグできます。次のいずれかのコマンドを入力します。
netstat [address_family_options] [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [--all|-a] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports][--symbolic|-N] [--extend|-e[--extend|-e]][--timers|-o] [--program|-p] [--verbose|-v] [--continuous|-c] [delay]
netstat {--route|-r} [address_family_options] [--extend|-e[--extend|-e]] [--verbose|-v] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]
netstat {--interfaces|-i} [iface] [--all|-a] [--extend|-e[--extend|-e]] [--verbose|-v] [--program|-p] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]
netstat {--groups|-g} [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]
netstat {--masquerade|-M} [--extend|-e] [--numeric|-n] [--numeric-hosts]
[--numeric-ports][--numeric-ports] [--continuous|-c] [delay]
netstat {--statistics|-s} [--tcp|-t] [--udp|-u] [--raw|-w] [delay]
(注) アドレス ファミリを指定しない場合、Detector モジュールは設定されているすべてのアドレス ファミリのアクティブなソケットを表示します。
表 10-20 で、 netstat コマンドの引数とキーワードについて説明します。
1 つのコマンドに最大 13 の引数とキーワードを入力できます。
パケットがネットワーク ホストに到達するまでのルートを出力して、ネットワークの問題をデバッグできます。次のコマンドを入力します。
traceroute ip-address [-F] [-f first_ttl] [-g gateway] [-i iface] [-m max_ttl] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [packetlen]
(注) traceroute コマンドでは IP アドレスだけが表示され、名前は表示されません。
表 10-21 で、 traceroute コマンドの引数とキーワードについて説明します。
|
|
---|---|
発信プローブ パケットの送信元 IP アドレスを取得するネットワーク インターフェイスを指定します。これは通常、マルチホーム ホストで役立ちます。 |
|
ネットワーク ホストに ICMP ECHO_REQUEST パケットを送信して、接続性を確認できます。次のコマンドを入力します。
ping ip-address [-c count] [-i interval] [-l preload] [-s packetsize] [-t ttl]
[-w deadline] [-F flowlabel] [-I interface] [-Q tos] [-T timestamp option]
[-W timeout]
表 10-22 で、 ping コマンドの引数とキーワードについて説明します。
|
|
---|---|
count 個の ECHO_REQUEST パケットを送信します。deadline オプションが指定されている場合、ping はタイムアウトになるまでこの数の ECHO_REPLY パケットを待ちます。 |
|
エコー要求パケットに 20 ビットのフロー ラベルを割り当てて設定します(ping6 のみ)。値がゼロの場合は、ランダムなフロー ラベルが使用されます。 |
|
1 つのコマンドに最大 10 の引数とキーワードを入力できます。
万一 Detector モジュールに動作上の問題が発生した場合は、シスコのテクニカルサポートがお客様に Detector モジュールの内部デバッグ情報のコピーを送信するようお願いすることがあります。Detector モジュールのデバッグ コア ファイルには、Detector モジュールの動作不良をトラブルシューティングするための情報が含まれています。このファイルの出力は暗号化されており、Cisco TAC の担当者のみが使用するよう意図されています。
デバッグ情報を FTP サーバに抽出するには、次の手順を実行します。
ステップ 1 Detector モジュールのログ ファイルを表示します。詳細については、「ログ ファイルの表示」を参照してください。
ステップ 2 デバッグ情報を収集する時刻を特定します。問題があることを示している最初のログ メッセージを識別します。
ステップ 3 デバッグ情報を FTP サーバに抽出します。次のコマンドを入力します。
表 10-23 で、 copy debug-core コマンドの引数について説明します。