GenieATMが持つ3種類の異常トラフィック検出機能のうち,アプリケーション異常についてご説明します。
アプリケーション異常は,DDoS攻撃およびワームに感染したホストが発するトラフィックを検出する機能です。プロトコル不正使用と同様,検出をミチゲーション発動のトリガーとすることができます。(ただし,ワーム検出時の自動ミチゲーションはFlowSpecポリシーでのみ可能です)
アプリケーション異常検出機能の最大の特徴は,シグニチャを自由に定義できることです。以下の項目について条件を設定することができ,特定のIPアドレスを送信元あるいは送信先とするトラフィックのうちシグニチャに一致するものが閾値を超えると異常トラフィックとして検出します。
- 攻撃タイプ
- パケット数/フロー
- バイト数/フロー
- バイト数/パケット
- TCPフラグ
- TOS値
- TCPフラグ
- プロトコル
- ICMPメッセージタイプとコード
- ポート番号
- ダークIPアドレスに該当するか
- プレフィックス
最初に,攻撃タイプとしてDDoSあるいはワームを指定します。DDoSの場合は,条件に一致するトラフィックを送信先IPアドレス単位で集計し,閾値を超えると異常検出となります。(この動作はプロトコル不正使用と同じです。)一方,ワームの場合,送信元IPアドレス単位でトラフィックを集計します。ワームタイプについては,個別の異常サマリレポートに加えて異常トラフィックレポートが生成されます。
攻撃タイプ | 検出ベース | レポート | レポート照会のためのメニュー |
---|---|---|---|
DDoS | 送信先IPアドレス | 個別のアノマリーレポート | ステータス > サマリ ステータス > 異常一覧コンソール |
ワーム | 送信元IPアドレス | 個別のアノマリーレポート | ステータス > サマリ ステータス > 異常一覧コンソール |
サマリ・レポート 感染ホストレポート インターフェースレポート サブネットワークレポート |
異常トラフィック > ワーム 異常トラフィック > ワーム > 詳細レポート 異常トラフィック > ワーム > 詳細レポート 異常トラフィック > ワーム > 詳細レポート |
異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)また,閾値は,bpsとppsについて設定でき,両方設定した場合はどちらかを超えた場合に検出となります。