カテゴリー別アーカイブ: GenieATM

DNS オープンリゾルバを検知したい

アプリケーション異常で検知可能です。

Webの システム管理 > ネットワーク > 異常状態 > [tab]アプリケーション異常 にて新規設定を追加します。
攻撃タイプを”ワーム”にしてください。
ベースラインが閾値になります。この例だとDNSクエリの応答パケット(送信元ポート udp/53)が 500pps を超えると検知します。値は調整してください。

openresolverconf

検知スコープが”ホーム”の場合、発信元がホームネットワークに該当する場合に検知対象となります。
(ホームネットワークは システム管理 > ネットワーク > ホームネットワーク で設定します)

openresolverconf2

設定後、ディスパッチを行います。
(システム管理 > 構成 にて実施)

閾値をこえるDNSクエリへの応答パケットが発生した場合、このように検知します。
(画面例はテストのため閾値を低くしています)

resolver

anomaly-resolver1

特定のセグメントについてホスト毎やAS毎にトラヒック分類したい

特定のセグメントのなかに大量の通信を行っているホストやASを継続して可視化したいという場合は、サブネットワークを利用すると便利です。

ホスト毎であればトップトーカーを使うと便利です。
AS毎であればOrigin ASNレポートが便利です。

下記スライドの”SUB-NETWORK TRAFFIC ANALYSIS”を参考にしてください。

ISPが使うと便利なAS分析の設定について

運用で便利なAS分析レポートの例です。
末尾のスライドにレポート画面例とその設定例があります。

  1. オリジンAS毎のトラヒック分類
    • 自網全体のトラヒックについてのAS分析ができます。
  2. ピアAS毎のトラヒック分類
    • ピアAS毎のトラヒック量が見えます。各ピアの評価に便利です。
  3. ピアリング評価のためのピアリング分析
    • 各ピアにおいて、通過(トランジット)しているトラヒックとピア先と直接交換しているトラヒックの割合について見えます。トランジットの評価に便利です。
  4. ネイバー毎のオリジンAS分析
    • 2.はネイバー毎のトラヒック総量をグラフ化しますが、こちらはその各ネイバーについてのオリジンASのトラヒック分類を行います。特定ASのトラヒックを異なるトランジット先に移動させたい等の計画に便利です。
  5. ASパス毎のトラヒック分類
    • 大きなトラヒックのうち、ASパスが長いものを抽出できます。ピアリングの見直しに役立ちます。

 

 

access web-group

firewall web-login enableコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] access web-group <ip-address> netmask <netmask> permit

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 管理者権限を持つユーザIDでGUIにログイン可能なホストのIPアドレスをプレフィックス表記で規定します。firewall web-login enableコマンドを実行すると,あらかじめこのコマンドで明示的に許可されているIPアドレス以外からはGUI管理者としてログインできなくなります。
  • 登録した設定を削除するには,no access web-groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • 最後のパラメータにdenyは指定できません。
  • firewall web-login enableコマンドを実行するまで,このコマンドによる設定は効力を持ちません。
  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • ユーザIDに関わらずGUIへのログインを規制したい場合は,access groupコマンドでhttpやhttpsのポート番号へのアクセスをブロックします。
  • access web-groupコマンドは最大128件登録することができます。129件目を登録しようとするとエラーになります。

実行例

(config)# access web-group 172.16.2.0 netmask 255.255.255.0 permit
(config)# access web-group 172.16.1.1 netmask 255.255.255.255 permit
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)# 

ダークIPレポートとワームレポート

異常トラフィックメニューの下でダークIPとワームのレポートを見ることができます。

異常トラフィック > ダークIP
異常トラフィック > ワーム

これらは,ワームなどに感染して攻撃に加担している可能性のあるホスト,あるいはそのようなホストから攻撃を受けている可能性のあるホストを発見するのに役立ちます。

ダークIPとは,ダークネットともいい,インターネット上で到達可能ではあるが使用されないはずのIPアドレス空間です。もし,あるホストがこのようなアドレスを宛先とするパケットを送信していた場合,このホストに感染したワームなどが通信を試みている可能性があります。また,あるホストにダークIPを送信元とするパケットが届いている場合,送信元を隠ぺいした攻撃を受けている可能性があります。

ダークIP向けの通信を行っているホストとそれらの送信トラフィック量は,以下のレポートで確認することができます。

異常トラフィック > ダークIP > 詳細レポート > 感染ホスト

また,ダークIPを送信元とするトラフィックを受け取っているホストとその受信トラフィック量は,以下のレポートで確認することができます。

異常トラフィック > ダークIP > 詳細レポート > 被害者ホスト

ダークIPの定義は以下のページで定義されています。

システム管理 > ネットワーク > ダークIPリスト

デフォルトでローカルIPアドレス(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)も含まれていますので,ご使用のホームネットワーク内でこれらのIPアドレス空間を使用している場合は適宜除外してください。

一方,アプリケーション異常(システム管理 > ネットワーク > 異常状態 > アプリケーション異常タブ)として定義されたシグニチャに一致するトラフィックを送信しているホストは,ワームに感染している可能性が疑われます。以下のレポートでは,シグニチャごとに送信元ホストとそのトラフィック量を表示します。

異常トラフィック > ワーム > 詳細レポート > 感染ホスト

関連トピック

異常トラフィック検出機能 – アプリケーション異常

show ip bgp/atm-bgp summary

経路分析用およびDoS防御用のBGPセッションの状態を表示します。

書式

show ip { bgp | atm-bgp } summary [<ipv4-address>]

パラメータ

キーワード 説明
bgp | atm-bgp 経路分析用BGPセッションを表示する場合はbgp,DoS防御用の場合はatm-bgpを指定します。
<ipv4-address> 対象のエクスポータあるいはリダイレクションルータのIPv4アドレスを指定します。指定しなかった場合は,該当するすべてのBGPセッションの状態を表示します。

デフォルト設定

なし

コマンドモード

Enable Mode

説明

  • state is inにセッションの状況が表示されます。セッションが確立している状態では,Established Stateとなります。GenieATM,ピアの設定が完了しているにもかかわらず,それ以外のIdle State,Connect State,Active State等が継続する場合は,設定等の問題によりセッションが確立できていません。
  • GenieATM上で設定されていないBGPピアを指定した場合は,エラーメッセージが表示されます。
  • show ip bgp summary <ipv4-address>コマンドの結果には,current ip prefix numberおよびcurrent ipv6 prefix numberが含まれ,BGPピアより受信した経路数が確認できます。一方,GenieATM側から経路を広告することはないためsend update pkt項目は含まれません。
  • show ip atm-bgp summary <ipv4-address>コマンドの結果のsend update pktから,ミチゲーション時に経路を広告した回数が分かります。

注意事項

  • show ip bgp summary <ipv4-address>コマンドにおいて指定するのは,エクスポータのIPアドレスです。GUIのルータ設定画面では,接続先BGPルータIPアドレスとしてルータとは異なるIPアドレスを指定することができますが,その場合でもエクスポータのIPアドレスを指定します。(実行例では,エクスポータ192.168.0.200からのフローレコードによる経路分析には,BGPルータ192.168.0.210から受信した経路テーブルを使用しています)

実行例

# show ip bgp summary 192.168.0.200
==================================================
BGP session to Exporter 192.168.0.200
        local as: 65001
        peer as: 65001
        peer ip addr: 192.168.0.210
        state is in: Established State
        send open pkt: 3
        send notification pkt: 0
        send keepalive pkt: 2701
        receive open pkt: 3
        receive update pkt: 6523223
        receive notification pkt: 0
        receive keepalive pkt: 1297
        receive error bgp pkt: 0
        holdtime expired count: 0
        keepalive expired count: 0
        incoming session count: 3
        disconnection session count: 217300
        current ip prefix number: 472586
        current ipv6 prefix number: 5330
==================================================
#
# show ip atm-bgp summary 192.168.0.211
==================================================
BGP session to Peer 192.168.0.211
        local as: 65002
        peer as: 65001
        state is in: Established State
        send open pkt: 8072
        send update pkt: 8
        send notification pkt: 8066
        send keepalive pkt: 29393
        receive open pkt: 2
        receive update pkt: 1
        receive notification pkt: 8066
        receive keepalive pkt: 14697
        receive error bgp pkt: 0
        holdtime expired count: 5
        keepalive expired count: 0
        incoming session count: 8072
        disconnection session count: 13510
==================================================
#

disk mount db
disk mount raw
disk mount anomaly_raw

DB,Rawdataファイル,異常Rawdataファイルを配置するためのディスクストレージをマウントします。

書式

[no] disk mount db {internal <device-id> | external <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}
[no] disk mount { raw | anomaly_raw } { internal <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}

パラメータ

キーワード 説明
<device-id> ストレージ名(sda,hdb,vg00/lv00など)
<nfs-server-ip> NFSサーバのIPv4アドレス
<exported-directory> NFSサーバ上のマウントされるディレクトリ。256文字以内で指定してください。
<nfs-version> NFSバージョン。2,3,4が指定可能
tcp TCPを使用してNFS接続を行います。指定しなければUDPが使用されます。

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドが実行されると,指定したストレージまたはNFSサーバ上のディレクトリがGenieATMにマウントされます。disk mount rawコマンド,disk mount anomaly_rawコマンドの場合,日ごとのrawdataファイル格納用の001~366のディレクトリが作成されます。オーナーはユーザーID,グループIDともにrootです。
  • 同じデータタイプに対して異なるストレージタイプを指定して複数のdisk mountコマンドを発行することができます。例えば,disk mount db internalコマンドとdisk mount db nfsコマンドは同時に設定可能です。
  • 設定を削除するにはno disk mountコマンドを実行します。
  • 現在の設定はshow runningコマンドまたはshow disk mountコマンドで確認できます。

注意事項

  • ストレージタイプexternal(SAS接続の外部ディスク)が指定できるのはDBに対してのみです。
  • disk mountコマンドを実行しただけで,データの保存先が切り替わるわけではありません。あくまでも,選択可能なストレージが準備されるだけです。データの保存先を切り替えるには,db userawdata userawdata anomaly useコマンドを実行する必要があります。ディスク関連コマンドの流れは下図を参照してください。
  • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no disk mountコマンドは,db useコマンド,rawdata useコマンド,rawdata anomaly useコマンドによって当該ストレージが使用中の場合は実行できません。
  • ストレージとしてNFSを使用する場合はNFS使用時の注意点もご参照下さい。

実行例

(config)# disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
Operation succeeded
(config)# disk mount anomaly_raw internal sdb5
(config)# disk mount raw nfs 192.168.0.100 /export/testraw 3
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use internal
  rawdata format general
  rawdata on
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
!
(中略)
!
(config)# exit
# show disk mount
Filesystem            Size  Used Avail Use% Mounted on
tmpfs                 7.9G     0  7.9G   0% /lib/init/rw
proc                     0     0     0   -  /proc
sysfs                    0     0     0   -  /sys
udev                   10M   88K   10M   1% /dev
tmpfs                 7.9G     0  7.9G   0% /dev/shm
devpts                   0     0     0   -  /dev/pts
rootfs                   0     0     0   -  /
/dev/sda2             103M  5.8M   97M   6% /home/genie/config
tmpfs                  16M   24K   16M   1% /tmp
/dev/sdb2              15G   89M   15G   1% /var/log
tmpfs                 256M     0  256M   0% /download
/dev/sdb4             9.4G  575M  8.8G   7% /home/genie/rawdata_internal
/dev/sdb3              94G  170M   93G   1% /var/lib/postgres
192.168.0.101:/export/genie/testdb02
                       29G  3.8G   24G  15% /home/genie/atm_data_nfs
/dev/sdb5             3.8G   33M  3.7G   1% /home/genie/anomaly_rawdata_internal
192.168.0.100:/export/testraw
                      194G    0G  194G   0% /home/genie/rawdata_nfs
#

スコープとは

スナップショットの条件設定やフィルター定義において,スコープという概念が出てきます。
これは,スナップショットの基準やフィルタ定義の表記とともに分析対象トラフィックを絞り込む条件を指定するために使用されます。

種別 パラメータ 対象 備考
ANY (なし) 全てのトラフィック
ANY (VPNサブネットワークを除く) (なし) プライベートネットワークにより定義されたサブネットワークのトラフィック以外すべて スナップショットのみ
ANY (Non-ACL-based sFlowフラグ) (なし) ACL-based sFlow*を除くすべてのトラフィック
ホーム (なし) インターネット境界を通過し,かつホームネットワークが送信元または送信先であるトラフィック
隣接ネットワーク 隣接ネットワーク名 ASパスに解決したときに隣接ネットワークが指定したASであるトラフィック
サブネットワーク サブネットワーク名 指定サブネットワークのトラフィック
フィルタ フィルタ名 フィルタにより絞り込まれたトラフィック スナップショットのみ
サーバファーム サーバ名 指定サーバのトラフィック
境界 定義済みネットワーク境界 指定した境界を通過するトラフィック フィルタのみ
ACL-based sFlow (なし) ACL-based sFlow*のみ

*ACL-based sFlow: 事前定義したACLにマッチするトラフィックのみを対象として出力されるsFlow。量は少ないが重要なトラフィックが,サンプリングにより落とされるのを防ぐことができる。

関連トピック

ネットワーク境界とは