AS-Path フィルタを使うと便利です。
異常トラフィック検出機能 – トラフィック異常
GenieATMが持つ3種類の異常トラフィック検出機能のうち,トラフィック異常についてご説明します。
トラフィック異常検出機能は,規定されたネットワークリソース内のトラフィック総量を監視し,あらかじめ設定された範囲を外れたことを検出・通知します。
以下のような特徴があります。
- サブネットワーク,フィルタ,ルータ・インターフェースのトラフィックを監視対象とすることができます。
- bpsベースとppsベースの閾値が設定できます。(両方設定した場合はそれぞれが独立に判定されます)また,ルータ・インターフェースの監視では,回線使用率やCRCエラー数なども閾値として使用できます。
- 閾値として上限値だけでなく下限値も指定することができます。
- 上り・下りのトラフィックに対して異なる閾値を設定することができます。
- すべてのトラフィックを監視対象とするため,シグニチャの概念はありません。ただし,閾値の組み合わせをテンプレートとして管理することができます。
- 毎時0分,5分,10分...からの5分間の平均トラフィック量が閾値を上回る(下回る)と検出されます。
- 検出時に自動的にミチゲーションを発動することはできません。
- 過去の一定期間のトラフィック量をもとに動的に上限閾値を決定することができます。
関連トピック
異常トラフィック検出機能 – プロトコル不正使用
GenieATMが持つ3種類の異常トラフィック検出機能のうち,プロトコル不正使用についてご説明します。
プロトコル不正使用検出機能は,その名の通り,主にL2,L3プロトコルレベルでの異常トラフィックを検出する機能です。特定のIPアドレス宛てのトラフィックでシグニチャに一致するものが閾値を超えると異常を検出します。また,検出をミチゲーション発動のトリガーとすることができます。
シグニチャは以下の10種類が用意されており,ユーザが追加,変更することはできません。
| シグニチャ名 | 検出条件 |
|---|---|
| TCP SYN Flooding | SYNフラグがセットされたTCPトラフィック |
| IP Protocol Null | プロトコル番号が0のIPパケットのトラフィック |
| TCP Flag Null or Misuse | TCPフラグがゼロまたはありえない組み合わせのTCPパケットのトラフィック |
| TCP Fragment | フラグメントされたTCPパケットのトラフィック |
| UDP Fragment | フラグメントされたUDPパケットのトラフィック |
| ICMP Misuse | ICMPトラフィック |
| Land Attack | Land攻撃トラフィック(送信元と送信先IPアドレスが同じSYNフラグがセットされたTCPパケット) |
| TCP RST Flooding | RSTフラグがセットされたTCPトラフィック |
| UDP Flooding | UDPトラフィック |
| Host Total Traffic | 中身に関わらずすべてのトラフィック |
異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)
ホームネットワーク,非ホームネットワークそれぞれについて閾値を設定できるほか,各サブネットワークに個別の設定を行うことも可能です。また,bpsとppsの2種類指定でき,両方指定した場合はどちらかを超えた場合に検出となります。
関連トピック
3種類の異常トラフィック検出機能の比較
GenieATMには以下の3種類の異常トラフィック検出機能があります。
それぞれの特徴は以下の表の通りです。
| 種類 | 検出ベース | シグニチャ | シグニチャ 追加 |
ミチゲーション 起動 |
検出 時間 |
|---|---|---|---|---|---|
| プロトコル 不正使用 |
送信先IPアドレス | DDoS攻撃検出を想定
|
不可 | 自動・手動 | 1分* |
| アプリケー ション異常 |
送信元IPアドレス 送信先IPアドレス |
DDoS攻撃・Worm検出を想定
など |
可能 | 自動・手動 | 1分* |
| トラフィック 異常 |
ネットワーク単位 | 閾値定義のみ | 不可 | なし | 5分 |
* バージョン5.6.3までは2分
プロトコル不正使用はL3/L4レベルの異常トラフィックの検知を,アプリケーション異常は特定のL7アプリケーションプロトコルにおける異常パケットを検知できるようにデザインされています。しかし,ともに個別IPアドレスに関するトラフィックを監視対象とし,ミチゲーションの自動発動の契機とすることができるなど共通点も多いため,用途に応じて使い分けてください。アプリケーション異常は,送信元IPアドレスベースでの異常トラフィック検出が可能である点と,新たなシグニチャをユーザが定義することができる点が最大の特徴です。一方,プロトコル不正使用には,サブネットワークごとに独自の閾値が設定可能なほか,Land攻撃(送信元と送信先のIPアドレスが同じである不正パケット)の検出のように,アプリケーション異常のシグニチャでは定義できないものも含まれています。
一方,トラフィック異常は,ネットワークリソースの総トラフィック量がネットワーク帯域などに比較して適切であるかを監視するために使用されます。ネットワークリソースとしては,サブネットワーク,フィルタ,ルータ・インターフェースが指定できます。
それぞれの異常トラフィック検出機能の詳細については,個別の項目をご覧ください。
関連トピック
異常トラフィック検出機能 – プロトコル不正使用
異常トラフィック検出機能 – アプリケーション異常
異常トラフィック検出機能 – トラフィック異常
スコープとは
スナップショットの条件設定やフィルター定義において,スコープという概念が出てきます。
これは,スナップショットの基準やフィルタ定義の表記とともに分析対象トラフィックを絞り込む条件を指定するために使用されます。
| 種別 | パラメータ | 対象 | 備考 |
|---|---|---|---|
| ANY | (なし) | 全てのトラフィック | |
| ANY (VPNサブネットワークを除く) | (なし) | プライベートネットワークにより定義されたサブネットワークのトラフィック以外すべて | スナップショットのみ |
| ANY (Non-ACL-based sFlowフラグ) | (なし) | ACL-based sFlow*を除くすべてのトラフィック | |
| ホーム | (なし) | インターネット境界を通過し,かつホームネットワークが送信元または送信先であるトラフィック | |
| 隣接ネットワーク | 隣接ネットワーク名 | ASパスに解決したときに隣接ネットワークが指定したASであるトラフィック | |
| サブネットワーク | サブネットワーク名 | 指定サブネットワークのトラフィック | |
| フィルタ | フィルタ名 | フィルタにより絞り込まれたトラフィック | スナップショットのみ |
| サーバファーム | サーバ名 | 指定サーバのトラフィック | |
| 境界 | 定義済みネットワーク境界 | 指定した境界を通過するトラフィック | フィルタのみ |
| ACL-based sFlow | (なし) | ACL-based sFlow*のみ |
*ACL-based sFlow: 事前定義したACLにマッチするトラフィックのみを対象として出力されるsFlow。量は少ないが重要なトラフィックが,サンプリングにより落とされるのを防ぐことができる。
関連トピック
disk mount db
disk mount raw
disk mount anomaly_raw
DB,Rawdataファイル,異常Rawdataファイルを配置するためのディスクストレージをマウントします。
書式
[no] disk mount db {internal <device-id> | external <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}
[no] disk mount { raw | anomaly_raw } { internal <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}
パラメータ
| キーワード | 説明 |
|---|---|
| <device-id> | ストレージ名(sda,hdb,vg00/lv00など) |
| <nfs-server-ip> | NFSサーバのIPv4アドレス |
| <exported-directory> | NFSサーバ上のマウントされるディレクトリ。256文字以内で指定してください。 |
| <nfs-version> | NFSバージョン。2,3,4が指定可能 |
| tcp | TCPを使用してNFS接続を行います。指定しなければUDPが使用されます。 |
デフォルト設定
なし
コマンドモード
Global Configuration Mode
説明
- disk mountコマンドが実行されると,指定したストレージまたはNFSサーバ上のディレクトリがGenieATMにマウントされます。disk mount rawコマンド,disk mount anomaly_rawコマンドの場合,日ごとのrawdataファイル格納用の001~366のディレクトリが作成されます。オーナーはユーザーID,グループIDともにrootです。
- 同じデータタイプに対して異なるストレージタイプを指定して複数のdisk mountコマンドを発行することができます。例えば,disk mount db internalコマンドとdisk mount db nfsコマンドは同時に設定可能です。
- 設定を削除するにはno disk mountコマンドを実行します。
- 現在の設定はshow runningコマンドまたはshow disk mountコマンドで確認できます。
注意事項
- ストレージタイプexternal(SAS接続の外部ディスク)が指定できるのはDBに対してのみです。
- disk mountコマンドを実行しただけで,データの保存先が切り替わるわけではありません。あくまでも,選択可能なストレージが準備されるだけです。データの保存先を切り替えるには,db use,rawdata use,rawdata anomaly useコマンドを実行する必要があります。ディスク関連コマンドの流れは下図を参照してください。
- no disk mountコマンドは,db useコマンド,rawdata useコマンド,rawdata anomaly useコマンドによって当該ストレージが使用中の場合は実行できません。
- ストレージとしてNFSを使用する場合はNFS使用時の注意点もご参照下さい。
* db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。
実行例
(config)# disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
Operation succeeded
(config)# disk mount anomaly_raw internal sdb5
(config)# disk mount raw nfs 192.168.0.100 /export/testraw 3
(config)# show running
#### show running configure ####
!
(中略)
disk mount raw internal sdb4
disk mount raw nfs 192.168.0.100 /export/testraw 3
rawdata use internal
rawdata format general
rawdata on
disk mount anomaly_raw internal sdb5
disk mount db internal sdb3
disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
db use internal
!
(中略)
!
(config)# exit
# show disk mount
Filesystem Size Used Avail Use% Mounted on
tmpfs 7.9G 0 7.9G 0% /lib/init/rw
proc 0 0 0 - /proc
sysfs 0 0 0 - /sys
udev 10M 88K 10M 1% /dev
tmpfs 7.9G 0 7.9G 0% /dev/shm
devpts 0 0 0 - /dev/pts
rootfs 0 0 0 - /
/dev/sda2 103M 5.8M 97M 6% /home/genie/config
tmpfs 16M 24K 16M 1% /tmp
/dev/sdb2 15G 89M 15G 1% /var/log
tmpfs 256M 0 256M 0% /download
/dev/sdb4 9.4G 575M 8.8G 7% /home/genie/rawdata_internal
/dev/sdb3 94G 170M 93G 1% /var/lib/postgres
192.168.0.101:/export/genie/testdb02
29G 3.8G 24G 15% /home/genie/atm_data_nfs
/dev/sdb5 3.8G 33M 3.7G 1% /home/genie/anomaly_rawdata_internal
192.168.0.100:/export/testraw
194G 0G 194G 0% /home/genie/rawdata_nfs
#
show ip bgp/atm-bgp summary
経路分析用およびDoS防御用のBGPセッションの状態を表示します。
書式
show ip { bgp | atm-bgp } summary [<ipv4-address>]
パラメータ
| キーワード | 説明 |
|---|---|
| bgp | atm-bgp | 経路分析用BGPセッションを表示する場合はbgp,DoS防御用の場合はatm-bgpを指定します。 |
| <ipv4-address> | 対象のエクスポータあるいはリダイレクションルータのIPv4アドレスを指定します。指定しなかった場合は,該当するすべてのBGPセッションの状態を表示します。 |
デフォルト設定
なし
コマンドモード
Enable Mode
説明
- state is inにセッションの状況が表示されます。セッションが確立している状態では,Established Stateとなります。GenieATM,ピアの設定が完了しているにもかかわらず,それ以外のIdle State,Connect State,Active State等が継続する場合は,設定等の問題によりセッションが確立できていません。
- GenieATM上で設定されていないBGPピアを指定した場合は,エラーメッセージが表示されます。
- show ip bgp summary <ipv4-address>コマンドの結果には,current ip prefix numberおよびcurrent ipv6 prefix numberが含まれ,BGPピアより受信した経路数が確認できます。一方,GenieATM側から経路を広告することはないためsend update pkt項目は含まれません。
- show ip atm-bgp summary <ipv4-address>コマンドの結果のsend update pktから,ミチゲーション時に経路を広告した回数が分かります。
注意事項
- show ip bgp summary <ipv4-address>コマンドにおいて指定するのは,エクスポータのIPアドレスです。GUIのルータ設定画面では,接続先BGPルータIPアドレスとしてルータとは異なるIPアドレスを指定することができますが,その場合でもエクスポータのIPアドレスを指定します。(実行例では,エクスポータ192.168.0.200からのフローレコードによる経路分析には,BGPルータ192.168.0.210から受信した経路テーブルを使用しています)
実行例
# show ip bgp summary 192.168.0.200
==================================================
BGP session to Exporter 192.168.0.200
local as: 65001
peer as: 65001
peer ip addr: 192.168.0.210
state is in: Established State
send open pkt: 3
send notification pkt: 0
send keepalive pkt: 2701
receive open pkt: 3
receive update pkt: 6523223
receive notification pkt: 0
receive keepalive pkt: 1297
receive error bgp pkt: 0
holdtime expired count: 0
keepalive expired count: 0
incoming session count: 3
disconnection session count: 217300
current ip prefix number: 472586
current ipv6 prefix number: 5330
==================================================
#
# show ip atm-bgp summary 192.168.0.211
==================================================
BGP session to Peer 192.168.0.211
local as: 65002
peer as: 65001
state is in: Established State
send open pkt: 8072
send update pkt: 8
send notification pkt: 8066
send keepalive pkt: 29393
receive open pkt: 2
receive update pkt: 1
receive notification pkt: 8066
receive keepalive pkt: 14697
receive error bgp pkt: 0
holdtime expired count: 5
keepalive expired count: 0
incoming session count: 8072
disconnection session count: 13510
==================================================
#
ダークIPレポートとワームレポート
異常トラフィックメニューの下でダークIPとワームのレポートを見ることができます。
これらは,ワームなどに感染して攻撃に加担している可能性のあるホスト,あるいはそのようなホストから攻撃を受けている可能性のあるホストを発見するのに役立ちます。
ダークIPとは,ダークネットともいい,インターネット上で到達可能ではあるが使用されないはずのIPアドレス空間です。もし,あるホストがこのようなアドレスを宛先とするパケットを送信していた場合,このホストに感染したワームなどが通信を試みている可能性があります。また,あるホストにダークIPを送信元とするパケットが届いている場合,送信元を隠ぺいした攻撃を受けている可能性があります。
ダークIP向けの通信を行っているホストとそれらの送信トラフィック量は,以下のレポートで確認することができます。
また,ダークIPを送信元とするトラフィックを受け取っているホストとその受信トラフィック量は,以下のレポートで確認することができます。
ダークIPの定義は以下のページで定義されています。
デフォルトでローカルIPアドレス(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)も含まれていますので,ご使用のホームネットワーク内でこれらのIPアドレス空間を使用している場合は適宜除外してください。
一方,アプリケーション異常(システム管理 > ネットワーク > 異常状態 > アプリケーション異常タブ)として定義されたシグニチャに一致するトラフィックを送信しているホストは,ワームに感染している可能性が疑われます。以下のレポートでは,シグニチャごとに送信元ホストとそのトラフィック量を表示します。
関連トピック
access web-group
firewall web-login enableコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。
書式
[no] access web-group <ip-address> netmask <netmask> permit
パラメータ
| キーワード | 説明 |
|---|---|
| <ip-address> | 対象となるIPv4アドレスまたはサブネットアドレス |
| <netmask> | <ip-address>パラメータに適用されるサブネットマスク |
デフォルト設定
なし
コマンドモード
Global Configuration Mode
説明
- 管理者権限を持つユーザIDでGUIにログイン可能なホストのIPアドレスをプレフィックス表記で規定します。firewall web-login enableコマンドを実行すると,あらかじめこのコマンドで明示的に許可されているIPアドレス以外からはGUI管理者としてログインできなくなります。
- 登録した設定を削除するには,no access web-groupコマンドを発行します。
- 現在の設定を確認するには,show runningコマンドを発行します。
注意事項
- 最後のパラメータにdenyは指定できません。
- firewall web-login enableコマンドを実行するまで,このコマンドによる設定は効力を持ちません。
- access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
- ユーザIDに関わらずGUIへのログインを規制したい場合は,access groupコマンドでhttpやhttpsのポート番号へのアクセスをブロックします。
- access web-groupコマンドは最大128件登録することができます。129件目を登録しようとするとエラーになります。
実行例
(config)# access web-group 172.16.2.0 netmask 255.255.255.0 permit (config)# access web-group 172.16.1.1 netmask 255.255.255.255 permit (config)# show running #### show running configure #### ! (中略) ip route 172.16.0.0 255.255.0.0 192.168.0.1 0 access web-group 172.16.2.0 netmask 255.255.255.0 permit access web-group 172.16.1.1 netmask 255.255.255.255 permit module id collector 3001 (中略) ! ! (config)#
firewall enable
access groupコマンドと合わせてネットワークアクセス制御を行います。
書式
[no] firewall enable
パラメータ
なし
デフォルト設定
無効
コマンドモード
Global Configuration Mode
説明
- firewall enableコマンドを実行すると,access groupコマンドによって明示的に許可された相手先IPアドレス,プロトコル,ポート以外との通信が禁止されます。つまり,アクセスリストの最後に暗黙のdenyを追加します。firewall enableが無効のとき,access groupコマンドによって明示的に禁止された相手先IPアドレス,プロトコル,ポート以外との通信は許可されます。
- firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からは外部ホストに対してセッションを確立し,応答パケットを受け取ることはできます。(ただし,相手先ホストが明示的にdeny設定されていない場合に限ります)
- 設定を無効にするには,no firewall enableコマンドを発行します。
- 現在の設定を確認するには,show runningコマンドを発行します。
注意事項
- access groupコマンドで設定を追加する際には,先にno firewall enableコマンドでファイアウォールを無効にしてください。(バージョン5.6.3-RP3まではfirewall enableが設定された状態でも[no] access groupコマンドが発行できますが,想定外の結果を招く場合がありますので避けてください)
- firewall enableコマンドを実行していなくても,access groupコマンドをdeny指定で実行した内容は即座に有効になり,アクセスがブロックされるようになります。
- コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
- ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
- firewall enableコマンドで有効になる暗黙のdenyは,外部ホストからGenieATMに対して新規に確立しようとしたセッションや送信しようとしたパケットに対して適用されます。GenieATM側からセッションを張る場合や,そのようなセッションを使って相手先から受信するパケットはブロックされません。たとえば,BGPセッションは常にGenieATMから張りに行くので,対応ルータをaccess groupコマンドでdenyしていない限り通信できます。また,ローカル・ループバック・アドレス(127.0.0.1)についてもブロックされることはありません。
- access web-groupコマンドの動作には影響しません。
実行例
(config)# firewall enable (config)# show running #### show running configure #### ! (中略) ip route 172.16.0.0 255.255.0.0 192.168.0.1 0 firewall enable access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny module id collector 3001 (中略) ! ! (config)#