この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)が生成する攻撃レポートについて説明します。この章には、次の項があります。
Detector は、攻撃を明確に把握するために役立つ、各ゾーンの攻撃レポートを提供します。攻撃の開始は、Detector が最初の動的フィルタを生成するときで、攻撃の終了は、動的フィルタが使用されなくなり、新しい動的フィルタが追加されなくなったときです。レポートには、攻撃の詳細がセクションに分かれて記載されます。各セクションには、攻撃中のトラフィック フローの異なる面が記載されます。過去の攻撃および進行中の攻撃のレポートを表示できます。また、レポートを FTP サーバまたは セキュア FTP(SFTP)サーバにエクスポートすることもできます。
攻撃レポートの General Details セクションには、攻撃に関する一般的な情報が記載されます。 表 9-1 で、レポートのこのセクションのフィールドについて説明します。
|
|
---|---|
攻撃レポートの Detected Anomalies セクションには、Detector モジュールがゾーンのトラフィックで検出したトラフィック異常の詳細が記載されます。動的フィルタの作成を必要とするフローは、トラフィック異常として分類されます。これらの異常は頻繁に発生するものではなく、組織的な DDoS 攻撃に変化する可能性があります。Detector は、同じタイプおよび同じフロー パラメータ(送信元 IP アドレスや宛先ポートなど)の異常を 1 つの異常タイプにまとめます。 表 9-2 で、検出された異常のさまざまなタイプについて説明します。
レポートの異なるセクションには、トラフィック フローの異なる面が記載されます。
表 9-4 で、 Attack Statistics のフィールドについて説明します。
|
|
---|---|
表 9-5 で、 Detected Anomalies のフロー統計情報について説明します。
|
|
---|---|
異常なフローを指定します。この特性は、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートを含み、トラフィックが断片化されているかどうかを示します。 Any は、断片化されているトラフィックと断片化されていないトラフィックの両方があることを示します。 |
任意のパラメータの * という値は、次のいずれかを示します。
任意のパラメータの # という値(数値の前にある)は、そのパラメータに対して測定された値の数を示します。
Detector モジュールは、 notify という値をフローの説明の右側に表示する場合があります。レポートの任意の行の notify という値は、Detector モジュールはその行に記載されているトラフィックのタイプに関する通知を生成するだけで、アクションを実行しないということを示します。
特定のゾーンの攻撃レポートのリスト、または特定の攻撃の詳細なレポートを表示するには、 show コマンドを使用します。次のコマンドを入力します。
show reports [current | report-id ] [details]
表 9-6 で、 show reports コマンドの引数とキーワードについて説明します。
|
|
進行中の攻撃のビット数およびパケット数は表示されません。進行中の攻撃のレポートでは、パケットとビットのフィールドにゼロ(0)という値が表示されます。 |
|
たとえば、ゾーンに対するすべての攻撃のリストを表示するには、次のコマンドを入力します。
表 9-7 で、 show reports コマンド出力のフィールドについて説明します。
ゾーンに対する現在の攻撃のレポートを表示するには、次のコマンドを入力します。
user@DETECTOR-conf-zone-scannet# show reports current
レポートには、次のような出力が表示されます。各セクションの詳細については、「レポートのレイアウトについて」を参照してください。
|
|
|
||||
|
|
|
||||
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
---|---|---|---|---|---|
|
|
|
|
|
%Threshold
|
|
|
|
|
|
|
|
|
|
|
|
異常が検出されたフローに関する詳細なレポートを表示するには、 details オプションを使用します。
表 9-8 に、詳細なレポートに含まれている、フローのフィールドの説明を示します。
監視および診断のために、攻撃レポートを FTP または SFTP サーバにエクスポートできます。テキスト形式または Extensible Markup Language(XML)形式で攻撃レポートをエクスポートできます。
攻撃が終了した時点で攻撃レポートが XML 形式で自動的にエクスポートされるよう、Detector モジュールを設定できます。Detector モジュールは、いずれか 1 つのゾーンのレポートを、そのゾーンに対する攻撃が終了した時点でエクスポートします。XML スキーマについては、このバージョンに付属の xsd ファイルを参照してください。設定モードで、次のいずれかのコマンドを入力します。
• export reports ftp server remote-path [ login ] [ password ]
• export reports sftp server remote-path login
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 9-9 で、 export reports コマンドの引数について説明します。
|
|
---|---|
login 引数は、FTP サーバを定義する場合のオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
次の例は、IP アドレス 10.0.0.191 の FTP サーバに対する攻撃が終了したときに、ログイン名 user1 とパスワード password1 を使用して、レポートを XML 形式で自動的にエクスポートする方法を示しています。
すべてのゾーンの攻撃レポートをテキストまたは XML 形式でエクスポートできます。レポートを FTP または SFTP サーバに手動でコピーするには、 copy reports コマンドを使用します。
copy reports [ xml ] [ details ] ftp server full-file-name [ login ] [ password ]
表 9-10 で、 copy reports コマンドの引数とキーワードについて説明します。
次の例は、ログイン名 user1 とパスワード password1 を使用して、Detector モジュールによって処理されたすべての攻撃のリストをテキスト形式で IP アドレス 10.0.0.191 の FTP サーバにコピーする方法を示しています。
特定のゾーンの攻撃レポートを FTP サーバにコピーするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] ftp server full-file-name [l ogin ] [ password ]
• copy zone zone-name reports [ current | report-id ] [ xml ] [ details ] sftp server full-file-name l ogin
(注) copy reports コマンドを入力する前に、Detector モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。
表 9-11 で、 copy zone reports コマンドの引数とキーワードについて説明します。
次の例は、ログイン名 user1 とパスワード password1 を使用して、ゾーンのすべての攻撃レポートを IP アドレス 10.0.0.191 の FTP サーバにコピーする方法を示しています。