IP ソース トラッカー
IP ソース トラッカー機能は、次の方法で情報を追跡します。
• 攻撃対象となっていることが疑われるホストに向けられているトラフィックに関する情報を収集します。
• Denial of Service(DoS; サービス拒否)攻撃のネットワーク入力点を追跡するため、必要なすべての情報を使いやすい形式で生成します。
• 同時に複数の IP を追跡します。
• ネットワーク全体で DoS 攻撃を追跡します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IP ソース トラッカーの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
IP ソース トラッカーの制約事項
ルータの場合パケットがドロップされる可能性あり
IP ソース トラッキングは、ホストに対する攻撃を追跡するように設計されています。ラインカードまたはポート アダプタの CPU が過負荷になると、パケットがドロップされる可能性があります。そのため、ルータに対する攻撃を追跡するために IP ソース トラッキングを使用する場合、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)アップデートなどの制御パケットがドロップされることがあります。
エンジン 0 および 1 のパフォーマンスが Cisco 12000 シリーズで影響を受ける
エンジン 2 およびエンジン 4 のラインカード上の追跡対象でない IP アドレス宛のパケットに対しては、パフォーマンスの影響はありません。これは、IP ソース トラッカーによって影響を受けるのは、追跡対象の宛先だけであるためです。エンジン 0 およびエンジン 1 では、すべてのパケットが CPU でスイッチングされるため、パフォーマンスが影響を受けます。
(注) Cisco 7500 シリーズ ルータでは、追跡対象でない宛先へのパフォーマンスの影響はありません。
IP ソース トラッカーに関する情報
ソース トラッキングを設定するには、次の概念について理解する必要があります。
• 「DoS 攻撃の識別と追跡」
• 「IP ソース トラッカーの使用」
DoS 攻撃の識別と追跡
今日のカスタマーが直面している多くの課題の 1 つに、サービス拒否(DoS)攻撃の追跡とブロックがあります。DoS 攻撃を抑制するには、侵入検知、ソース トラッキング、ブロッキングを行うことになります。この機能は、ソース トラッキングのニーズに対応します。
攻撃を追跡するには、NetFlow および Access Control List(ACL; アクセス コントロール リスト)が使用されてきました。攻撃をブロックするには、Committed Access Rate(CAR)と ACL が使用されてきました。Cisco 12000 シリーズ インターネット ルータ でのこれらの機能のサポートは、使用するラインカードの種類に依存してきました。Cisco 7500 シリーズ ルータでのこれらの機能のサポートは、使用するポート アダプタの種類に依存してきました。そのため、攻撃元を追跡し、すべてのラインカードとポート アダプタでサポートされている情報を取得する方法を開発する必要があります。
通常、DoS 攻撃を受けているホストを識別する場合、攻撃を効果的にブロックするためには、ネットワークの入力点を特定する必要があります。この処理は、ホストに最も近いルータで始まります。
たとえば、図 1 で、ルータ A から初めて、調査すべき次の上流のルータを特定します。従来から、ホストに接続されているインターフェイスに出力 ACL を適用し、ACL に一致するパケットをログに記録してきました。ロギング情報は、ルータ コンソールまたはシステム ログにダンプされます。その後、この情報を分析し、複数の ACL を次々と調べて、攻撃の入力インターフェイスを特定します。この例では、情報はルータ B を指しています。
次に、この処理をルータ B に対して繰り返し、ネットワークへの入力点であるルータ C にたどり着きます。この時点で、ACL または CAR を使用して攻撃をブロックできます。この手順では、分析用に大量の出力を生成する複数の ACL を適用することが必要な場合があり、手順が煩雑で、間違いを犯しやすくなります。
図 1 DoS 攻撃におけるソース トラッキング
IP ソース トラッカーの使用
IP ソース トラッカーは、DoS 攻撃を追跡するための、出力 ACL に対する、簡単でスケーラブルな代替手段となります。IP ソース トラッカーは次のように動作します。
• 攻撃対象の宛先を特定した後、 ip source-track コマンドを入力することで、ルータ全体に対する宛先アドレスの追跡をイネーブルにします。
• 各ライン カードは、追跡対象の宛先アドレスに対し、特別な Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)エントリを作成します。パケット スイッチング用に特別な Application-Specific Integrated Circuit(ASIC; 特定用途向け集積回路) を使用するラインカードまたはポート アダプタの場合、CEF エントリを使用してパケットがラインカードまたはポート アダプタの CPU に送られます。
• 各ラインカードの CPU は、追跡対象の宛先に向かうトラフィックに関する情報を収集します。
• 生成されるデータは、定期的にルータにエクスポートされます。フロー情報の要約を表示するには、 show ip source-track summary コマンドを入力します。各入力インターフェイスの詳細情報を表示するには、 show ip source-track コマンドを入力します。
• 統計情報は、追跡対象の各 IP アドレスに対するトラフィックの詳細を示します。この詳細により、次にどの上流のルータを分析すべきかがわかります。現在のルータで IP ソース トラッカーを停止するには、 no ip source-track コマンドを入力し、上流のルータで再度開始します。
• 攻撃元を特定するまで手順 1 ~ 5 を繰り返します。
• CAR または ACL を適用して攻撃を制限または停止します。
IP ソース トラッカーのハードウェア サポート
IP ソース トラッキングは、Cisco 12000 シリーズ インターネット ルータ のすべてのエンジン 0、1、2、および 4 のラインカードでサポートされています。また、Cisco 7500 シリーズ ルータ上の、CEF スイッチングがイネーブルになっているすべてのポート アダプタと RSP でサポートされています。
IP ソース トラッカーの設定方法
ここでは、次の各手順について説明します。
• 「IP ソース トラッキングの設定」(必須)
• 「IP ソース トラッキングの確認」(任意)
IP ソース トラッキングの設定
攻撃対象のホストに対して IP ソース トラッキングを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. ip source-track ip-address
4. ip source-track address-limit number
5. ip source-track syslog-interval number
6. ip source-track export-interval number
手順の詳細
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip source-track ip-address
Router(config)# ip source-track 100.10.0.1 |
指定したホストに対して IP ソース トラッキングをイネーブルにします。 |
ステップ 4 |
ip source-track address-limit number
Router(config)# ip source-track address-limit 10 |
(任意)任意の時点で同時に追跡できるホストの数を制限します。 (注) このコマンドがイネーブルでない場合、追跡可能なホストの数に対する制限はありません。 |
ステップ 5 |
ip source-track syslog-interval number
Router(config)# ip source-track syslog-interval 2 |
(任意)IP ソース トラッキングがイネーブルになっていることを示す syslog メッセージを生成するために使用する間隔を分単位で設定します。 (注) このコマンドがイネーブルでない場合、システム ログ メッセージは生成されません。 |
ステップ 6 |
ip source-track export-interval number
Router(config)# ip source-track export-interval 30 |
(任意)IP トラッキング統計情報をエクスポートするために使用する間隔を秒単位で設定します。ラインカードで収集された統計情報は Gigabit Route Processor(GRP)にエクスポートされ、ポート アダプタで収集された統計情報は Route Switch Processor(RSP)にエクスポートされます。 (注) このコマンドがイネーブルでない場合、トラフィック フロー情報は、30 秒ごとに GRP および RSP にエクスポートされます。 |
この次の手順
ネットワーク デバイスでソース トラッキングを設定した後、設定と、トラフィック フローなどのソース トラッキング統計情報を確認することができます。この作業を完了するには、 「IP ソース トラッキングの確認」 を参照してください。
IP ソース トラッキングの確認
パケット処理やトラフィック フロー情報などのソース トラッキングのステータスを確認するには、次の手順を実行します。
手順の概要
1. enable
2. show ip source-track [ ip-address ] [ summary | cache ]
3. show ip source-track export flows
手順の詳細
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show ip source-track [ ip-address ] [ summary | cache ]
Router# show ip source-track summary |
追跡対象 IP ホスト アドレスに対するトラフィック フロー統計情報を表示します。 |
ステップ 3 |
show ip source-track export flows
Router# show ip source-track export flows |
ラインカードからルート プロセッサにエクスポートされた最後の 10 個のパケット フローを表示します。 (注) このコマンドは、GRP や RSP などの分散プラットフォームだけで実行できます。 |
例
次に、 show ip source-track summary コマンドの出力例を示します。この例は、1 台以上のホストに対して IP ソース トラッキングがイネーブルになっていることを確認する方法を示しています。
Router# show ip source-track summary
Address Bytes Pkts Bytes/s Pkts/s
10.0.0.1 119G 1194M 443535 4432
192.168.1.1 119G 1194M 443535 4432
192.168.42.42 119G 1194M 443535 4432
次に、 show ip source-track summary コマンドの出力例を示します。この例は、追跡対象の宛先ホストに対して、まだトラフィックが受信されていないことを確認する方法を示しています。
Router# show ip source-track summary
Address Bytes Pkts Bytes/s Pkts/s
次に、 show ip source-track コマンドの出力例を示します。この例は、IP ソース トラッキングがホストへのパケットを処理しており、ラインカードまたはポート アダプタからの統計情報を GRP および RSP にエクスポートしていることを確認する方法を示しています。
Router# show ip source-track
Address SrcIF Bytes Pkts Bytes/s Pkts/s
10.0.0.1 PO0/0 119G 1194M 513009 5127
192.168.1.1 PO0/0 119G 1194M 513009 5127
192.168.42.42 PO0/0 119G 1194M 513009 5127
IP ソース トラッカーの設定例
ここでは、次の設定例について説明します。
• 「IP ソース トラッキングの設定例」
• 「追跡対象のすべての IP アドレスに対する送信元インターフェイス統計情報を確認する例」
• 「すべての追跡対象 IP アドレスに対するフロー統計情報の要約の確認例」
• 「ラインカードで収集された詳細なフロー統計情報の確認例」
• 「ラインカードとポート アダプタからエクスポートされたフロー統計情報の確認例」
IP ソース トラッキングの設定例
次に、ルータのすべてのラインカードとポート アダプタで IP ソース トラッキングを設定する例を示します。この例で、各ラインカードとポート アダプタは、ホスト アドレス 100.10.0.1 へのトラフィック フロー データを 2 分間収集してから、内部的なシステム ログ エントリを作成します。システム ログに記録されるパケットおよびフロー 情報は、表示用にルート プロセッサまたはスイッチ プロセッサに 60 秒ごとにエクスポートされます。
Router# configure interface
Router(config)# ip source-track 100.10.0.1
Router(config)# ip source-track syslog-interval 2
Router(config)# ip source-track export-interval 60
追跡対象のすべての IP アドレスに対する送信元インターフェイス統計情報を確認する例
次に、追跡対象ホスト アドレスに対する各送信元インターフェイス上で収集したトラフィック フロー統計情報の要約の例を示します。
Router# show ip source-track
Address SrcIF Bytes Pkts Bytes/s Pkts/s
192.168.9.9 PO1/2 131M 511M 1538 6
192.168.9.9 PO2/0 144G 3134M 6619923 143909
すべての追跡対象 IP アドレスに対するフロー統計情報の要約の確認例
次に、追跡対象のすべてのホストに対するトラフィック フロー統計情報の例を示します。この例は、まだトラフィックを受信していないことを示しています。
Router# show ip source-track summary
Address Bytes Pkts Bytes/s Pkts/s
100.10.1.1 131M 511M 1538 6
192.168.9.9 146G 3178M 6711866 145908
ラインカードで収集された詳細なフロー統計情報の確認例
次に、すべての追跡対象ホストに対する、ラインカード 0 上で収集されたトラフィック フロー情報の例を示します。
Router# exec slot 0 show ip source-track cache
========= Line Card (Slot 0) =======
IP packet size distribution (7169M total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .000 .000 0.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
1 active, 4095 inactive, 13291 added
198735 ager polls, 0 flow alloc failures
Active flows timeout in 0 minutes
Inactive flows timeout in 15 seconds
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
PO0/0 101.1.1.0 Null 100.1.1.1 06 00 00 55K
0000 /0 0 0000 /0 0 0.0.0.0 100 10.1
ラインカードとポート アダプタからエクスポートされたフロー統計情報の確認例
次に、ラインカードとポート アダプタから GRP および RSP にエクスポートされたパケット フロー情報を表示する例を示します。
Router# show ip source-track export flows
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
PO0/0 101.1.1.0 Null 100.1.1.1 06 0000 0000 88K
PO0/0 101.1.1.0 Null 100.1.1.3 06 0000 0000 88K
PO0/0 101.1.1.0 Null 100.1.1.2 06 0000 0000 88K
その他の参考資料
ここでは、IP ソース トラッカーに関する関連資料について説明します。
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
IP ソース トラッカーの機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 IP ソース トラッカーの機能情報
|
|
|
IP ソース トラッカー |
12.0(21)S 12.0(22)S 12.0(26)S 12.3(7)T 12.2(25)S |
IP ソース トラッカー機能を使用すると、攻撃対象となっていることが疑われるホストに向けられているトラフィックに関する情報を収集できます。 この機能は、リリース 12.0(21)S で、Cisco 12000 シリーズに導入されました。 この機能は、リリース 12.0(22)S で、Cisco 7500 シリーズに実装されました。 この機能は、リリース 12.0(26)S で、Cisco 12000 シリーズ IP Service Engine(ISE)ラインカードに実装されました。 この機能は、Cisco IOS Release 12.3(7)T に統合されました。 この機能は、Cisco IOS Release 12.2(25)S に統合されました。 次のコマンドが導入または変更されました。 ip source-track、ip source-track address-limit、ip source-track export-interval、ip source-track syslog-interval、show ip source-track、show ip source-track export flows |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2002-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.