GenieATMが持つ3種類の異常トラフィック検出機能のうち,プロトコル不正使用についてご説明します。
プロトコル不正使用検出機能は,その名の通り,主にL2,L3プロトコルレベルでの異常トラフィックを検出する機能です。特定のIPアドレス宛てのトラフィックでシグニチャに一致するものが閾値を超えると異常を検出します。また,検出をミチゲーション発動のトリガーとすることができます。
シグニチャは以下の10種類が用意されており,ユーザが追加,変更することはできません。
| シグニチャ名 | 検出条件 |
|---|---|
| TCP SYN Flooding | SYNフラグがセットされたTCPトラフィック |
| IP Protocol Null | プロトコル番号が0のIPパケットのトラフィック |
| TCP Flag Null or Misuse | TCPフラグがゼロまたはありえない組み合わせのTCPパケットのトラフィック |
| TCP Fragment | フラグメントされたTCPパケットのトラフィック |
| UDP Fragment | フラグメントされたUDPパケットのトラフィック |
| ICMP Misuse | ICMPトラフィック |
| Land Attack | Land攻撃トラフィック(送信元と送信先IPアドレスが同じSYNフラグがセットされたTCPパケット) |
| TCP RST Flooding | RSTフラグがセットされたTCPトラフィック |
| UDP Flooding | UDPトラフィック |
| Host Total Traffic | 中身に関わらずすべてのトラフィック |
異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)
ホームネットワーク,非ホームネットワークそれぞれについて閾値を設定できるほか,各サブネットワークに個別の設定を行うことも可能です。また,bpsとppsの2種類指定でき,両方指定した場合はどちらかを超えた場合に検出となります。