GenieATMはSNMPでルータと設定やトラヒック情報のやり取りを行います。SNMPの利用は必須ではありませんが、以下の理由でご利用をおすすめします。
SNMPを利用するとできること
異常トラフィックメニューの下でダークIPとワームのレポートを見ることができます。
これらは,ワームなどに感染して攻撃に加担している可能性のあるホスト,あるいはそのようなホストから攻撃を受けている可能性のあるホストを発見するのに役立ちます。
ダークIPとは,ダークネットともいい,インターネット上で到達可能ではあるが使用されないはずのIPアドレス空間です。もし,あるホストがこのようなアドレスを宛先とするパケットを送信していた場合,このホストに感染したワームなどが通信を試みている可能性があります。また,あるホストにダークIPを送信元とするパケットが届いている場合,送信元を隠ぺいした攻撃を受けている可能性があります。
ダークIP向けの通信を行っているホストとそれらの送信トラフィック量は,以下のレポートで確認することができます。
また,ダークIPを送信元とするトラフィックを受け取っているホストとその受信トラフィック量は,以下のレポートで確認することができます。
ダークIPの定義は以下のページで定義されています。
デフォルトでローカルIPアドレス(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)も含まれていますので,ご使用のホームネットワーク内でこれらのIPアドレス空間を使用している場合は適宜除外してください。
一方,アプリケーション異常(システム管理 > ネットワーク > 異常状態 > アプリケーション異常タブ)として定義されたシグニチャに一致するトラフィックを送信しているホストは,ワームに感染している可能性が疑われます。以下のレポートでは,シグニチャごとに送信元ホストとそのトラフィック量を表示します。
GenieATMには以下の3種類の異常トラフィック検出機能があります。
それぞれの特徴は以下の表の通りです。
| 種類 | 検出ベース | シグニチャ | シグニチャ 追加 |
ミチゲーション 起動 |
検出 時間 |
|---|---|---|---|---|---|
| プロトコル 不正使用 |
送信先IPアドレス | DDoS攻撃検出を想定
|
不可 | 自動・手動 | 1分* |
| アプリケー ション異常 |
送信元IPアドレス 送信先IPアドレス |
DDoS攻撃・Worm検出を想定
など |
可能 | 自動・手動 | 1分* |
| トラフィック 異常 |
ネットワーク単位 | 閾値定義のみ | 不可 | なし | 5分 |
* バージョン5.6.3までは2分
プロトコル不正使用はL3/L4レベルの異常トラフィックの検知を,アプリケーション異常は特定のL7アプリケーションプロトコルにおける異常パケットを検知できるようにデザインされています。しかし,ともに個別IPアドレスに関するトラフィックを監視対象とし,ミチゲーションの自動発動の契機とすることができるなど共通点も多いため,用途に応じて使い分けてください。アプリケーション異常は,送信元IPアドレスベースでの異常トラフィック検出が可能である点と,新たなシグニチャをユーザが定義することができる点が最大の特徴です。一方,プロトコル不正使用には,サブネットワークごとに独自の閾値が設定可能なほか,Land攻撃(送信元と送信先のIPアドレスが同じである不正パケット)の検出のように,アプリケーション異常のシグニチャでは定義できないものも含まれています。
一方,トラフィック異常は,ネットワークリソースの総トラフィック量がネットワーク帯域などに比較して適切であるかを監視するために使用されます。ネットワークリソースとしては,サブネットワーク,フィルタ,ルータ・インターフェースが指定できます。
それぞれの異常トラフィック検出機能の詳細については,個別の項目をご覧ください。
異常トラフィック検出機能 – プロトコル不正使用
異常トラフィック検出機能 – アプリケーション異常
異常トラフィック検出機能 – トラフィック異常
GenieATMが持つ3種類の異常トラフィック検出機能のうち,プロトコル不正使用についてご説明します。
プロトコル不正使用検出機能は,その名の通り,主にL2,L3プロトコルレベルでの異常トラフィックを検出する機能です。特定のIPアドレス宛てのトラフィックでシグニチャに一致するものが閾値を超えると異常を検出します。また,検出をミチゲーション発動のトリガーとすることができます。
シグニチャは以下の10種類が用意されており,ユーザが追加,変更することはできません。
| シグニチャ名 | 検出条件 |
|---|---|
| TCP SYN Flooding | SYNフラグがセットされたTCPトラフィック |
| IP Protocol Null | プロトコル番号が0のIPパケットのトラフィック |
| TCP Flag Null or Misuse | TCPフラグがゼロまたはありえない組み合わせのTCPパケットのトラフィック |
| TCP Fragment | フラグメントされたTCPパケットのトラフィック |
| UDP Fragment | フラグメントされたUDPパケットのトラフィック |
| ICMP Misuse | ICMPトラフィック |
| Land Attack | Land攻撃トラフィック(送信元と送信先IPアドレスが同じSYNフラグがセットされたTCPパケット) |
| TCP RST Flooding | RSTフラグがセットされたTCPトラフィック |
| UDP Flooding | UDPトラフィック |
| Host Total Traffic | 中身に関わらずすべてのトラフィック |
異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)
ホームネットワーク,非ホームネットワークそれぞれについて閾値を設定できるほか,各サブネットワークに個別の設定を行うことも可能です。また,bpsとppsの2種類指定でき,両方指定した場合はどちらかを超えた場合に検出となります。
GenieATMが持つ3種類の異常トラフィック検出機能のうち,トラフィック異常についてご説明します。
トラフィック異常検出機能は,規定されたネットワークリソース内のトラフィック総量を監視し,あらかじめ設定された範囲を外れたことを検出・通知します。
以下のような特徴があります。
GenieATMが持つ3種類の異常トラフィック検出機能のうち,アプリケーション異常についてご説明します。
アプリケーション異常は,DDoS攻撃およびワームに感染したホストが発するトラフィックを検出する機能です。プロトコル不正使用と同様,検出をミチゲーション発動のトリガーとすることができます。(ただし,ワーム検出時の自動ミチゲーションはFlowSpecポリシーでのみ可能です)
アプリケーション異常検出機能の最大の特徴は,シグニチャを自由に定義できることです。以下の項目について条件を設定することができ,特定のIPアドレスを送信元あるいは送信先とするトラフィックのうちシグニチャに一致するものが閾値を超えると異常トラフィックとして検出します。
最初に,攻撃タイプとしてDDoSあるいはワームを指定します。DDoSの場合は,条件に一致するトラフィックを送信先IPアドレス単位で集計し,閾値を超えると異常検出となります。(この動作はプロトコル不正使用と同じです。)一方,ワームの場合,送信元IPアドレス単位でトラフィックを集計します。ワームタイプについては,個別の異常サマリレポートに加えて異常トラフィックレポートが生成されます。
| 攻撃タイプ | 検出ベース | レポート | レポート照会のためのメニュー |
|---|---|---|---|
| DDoS | 送信先IPアドレス | 個別のアノマリーレポート | ステータス > サマリ ステータス > 異常一覧コンソール |
| ワーム | 送信元IPアドレス | 個別のアノマリーレポート | ステータス > サマリ ステータス > 異常一覧コンソール |
| サマリ・レポート 感染ホストレポート インターフェースレポート サブネットワークレポート |
異常トラフィック > ワーム 異常トラフィック > ワーム > 詳細レポート 異常トラフィック > ワーム > 詳細レポート 異常トラフィック > ワーム > 詳細レポート |
異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)また,閾値は,bpsとppsについて設定でき,両方設定した場合はどちらかを超えた場合に検出となります。
バージョン5.6.2より,いくつかのレポートでパーセンタイル(Percentile)値が表示されるようになりました。ここでは,GenieATMに実装されているパーセンタイル値の仕様をご説明します。
一般的にPパーセンタイルとは,低い方から数えてP%に相当する値と定義されます。例えば,25個の値に対する95パーセンタイル値は,昇順に並び替えた値をv1~v25とするとv24近辺の値になります。しかし,様々な解釈の仕方があり,厳密な定義は定まっていないようです。
ここでは,よく知られる2つの定義をご説明します。GenieATMはこのうち2番目の考え方に基づく方式を採用しています。
一つ目は,測定された値の中からパーセンタイル値を選択する方式です。各値が0%から100%までの一定の範囲を占めると仮定し,Pパーセントに最も近い値を採用します(nearest rank)。25個の値の場合,最初の値v1が0%から4%までを,2つ目の値v2が4%から8%までを,最後のv25が96%から100%を占めることになります。このとき,95パーセンタイル値は24番目の値v24となります。
ただし,40パーセンタイル値はv10ではなくv11となります。これは,英語での記述が
A percentile (or a centile) is a measure used in statistics indicating the value below which a given percentage of observations in a group of observations fall.
となっていることからも分かるように,ちょうど40%までを占める値は40パーセンタイル値にはなれないからです。
もう一方の方式は,データは無数の値の中から取得されたサンプルに過ぎないという想定に基づきます。データは,特定のパーセントにおける値を表し,データが取得できていないところの値は,線形補完によって隣接する値から算出します。
上記の例では,v1からv25までの実測データが,それぞれ2%,6%・・・,94%,98%に位置する値だとみなされます。そのため,例えば94パーセンタイル値はv24が該当しますが,狭間に位置する95パーセンタイル値は隣接するv24とv25を距離に応じて按分した値,つまり(3v24+v25)/4となります。
一般にデータの数をN,データ列をvi (i = 1~N)とした場合,Pパーセンタイル値がviとvi+1の間に位置することがわかっているならば,Pパーセンタイル値は次の式によって求められます。
GenieATMでは,この概念に基づいてパーセンタイル値を算出します。
なお,デフォルトではレポートには95パーセンタイル値が表示されますが,
の「詳細レポートのパーセンタイル値」から設定を変更することができます。