異常トラフィック検出機能 – プロトコル不正使用

GenieATMが持つ3種類の異常トラフィック検出機能のうち,プロトコル不正使用についてご説明します。

プロトコル不正使用検出機能は,その名の通り,主にL2,L3プロトコルレベルでの異常トラフィックを検出する機能です。特定のIPアドレス宛てのトラフィックでシグニチャに一致するものが閾値を超えると異常を検出します。また,検出をミチゲーション発動のトリガーとすることができます。

シグニチャは以下の10種類が用意されており,ユーザが追加,変更することはできません。

シグニチャ名 検出条件
TCP SYN Flooding SYNフラグがセットされたTCPトラフィック
IP Protocol Null プロトコル番号が0のIPパケットのトラフィック
TCP Flag Null or Misuse TCPフラグがゼロまたはありえない組み合わせのTCPパケットのトラフィック
TCP Fragment フラグメントされたTCPパケットのトラフィック
UDP Fragment フラグメントされたUDPパケットのトラフィック
ICMP Misuse ICMPトラフィック
Land Attack Land攻撃トラフィック(送信元と送信先IPアドレスが同じSYNフラグがセットされたTCPパケット)
TCP RST Flooding RSTフラグがセットされたTCPトラフィック
UDP Flooding UDPトラフィック
Host Total Traffic 中身に関わらずすべてのトラフィック

異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)

ホームネットワーク,非ホームネットワークそれぞれについて閾値を設定できるほか,各サブネットワークに個別の設定を行うことも可能です。また,bpsとppsの2種類指定でき,両方指定した場合はどちらかを超えた場合に検出となります。

関連トピック

3種類の異常トラフィック検出機能の比較

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です