[index] CentreCOM AR410 V2 コマンドリファレンス 2.6

SET FIREWALL POLICY ATTACK

カテゴリー：ファイアウォール / イベント管理

SET FIREWALL POLICY=policy ATTACK={DOSFLOOD|FRAGMENT|HOSTSCAN|IPSPOOF|LAND|PINGOFDEATH|PORTSCAN|SMTPRELAY|SMURF|SMURFAMP|SPAM|SYNATTACK|TCPTINY|UDPATTACK} [INTRIGGER=count] [OUTTRIGGER=count] [DETAIL=count] [TIME=minutes]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコアを使用可能）
count: 個数（0～4294967295）
minutes: 時間（1～4294967295分）

攻撃検出機能のしきい値を設定する。

攻撃イベントの頻度がしきい値を超えた場合は、通知イベントを発生し、またファイアウォールトリガーを発動する。

しきい値の設定は、頻度を計算するための基準期間（分）と、期間内のイベント数を指定することによって行う。しきい値は、PUBLIC側からの攻撃に対するものと、PRIVATE側からの攻撃に対するものを個別に設定可能。

ファイアウォールは、基準期間ごとに攻撃イベントの記録回数をチェックし、回数がしきい値を上回ると通知イベント「start of attack」（攻撃開始）を発生させる。また、攻撃開始のファイアウォールトリガーを起動する。

攻撃開始後もイベントの頻度がしきい値を上回り続けている場合は、基準期間ごとに通知イベント「attack in progress」（攻撃進行中）を発生させる。

その後、基準期間内のイベント数がしきい値を下回った場合は、通知イベント「end of attack」（攻撃終了）を発生させ、また攻撃終了のファイアウォールトリガーを起動する。

パラメーター

POLICY: ファイアウォールポリシー名

ATTACK: 攻撃の種類。別表を参照

INTRIGGER: PUBLIC側からの攻撃に対するしきい値。TIMEパラメーターで指定した期間内にINTRIGGER個を超えるPUBLIC側からの攻撃イベントが記録された場合、通知イベントが発動される。

OUTTRIGGER: PRIVATE側からの攻撃に対するしきい値。TIMEパラメーターで指定した期間内にOUTTRIGGER個を超えるPRIVATE側からの攻撃イベントが記録された場合、通知イベントが発動される。

DETAIL: 通知イベント発生時に保存しておくパケットの数。保存されたパケットの内容はSHOW FIREWALL EVENTコマンドで見ることができる。

TIME: 攻撃イベントの頻度を計算するための基準期間（分）

表 1：攻撃一覧

DOSFLOOD サービス妨害（DOS）攻撃。不要なトラフィックを送りつける

FRAGMENT フラグメント攻撃。巨大なフラグメントや再構成できないフラグメントを送りつける

HOSTSCAN ホストスキャン。内部ネットワークで稼動中のホストを調べる

IPSPOOF IPスプーフィング。始点IPアドレスを詐称する

LAND LAND攻撃。始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙うもの

PINGOFDEATH 特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる。システムのバグを狙うもの

PORTSCAN ポートスキャン。ホスト上で稼動中のサービスを調べる

SMTPRELAY メールリレー。関係のないドメインのメールサーバーに別ドメイン宛てのメールを中継させようとする

SMURF Smurf攻撃。始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる

SMURFAMP Smurf Amp攻撃。TCP SynによるSmurf攻撃

SPAM spamメール。不要なメールを送りつける

SYNATTACK Synフラッド。始点IPアドレスを詐称したTCP Synパケットを断続的に送りつけ、標的システムのTCPコネクションキューを枯渇させる

TCPTINY Tiny Fragment攻撃。微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする

UDPATTACK UDPによるポートスキャン

表 2：攻撃検出しきい値のデフォルト設定

ATTACK INTRIGGER OUTTRIGGER TIME DETAIL イベント名

DOSFLOOD 80 160 2 5 DOSATTACK

FRAGMENT 1 1 2 0 FRAGMENT

HOSTSCAN 64 128 2 5 HOSTSCAN

IPSPOOF 1 1 2 0 DOSATTACK

LAND 1 1 2 0 DOSATTACK

OTHER 64 128 2 5 DOSATTACK

PINGOFDEATH 1 1 2 0 DOSATTACK

PORTSCAN 64 128 2 5 PORTSCAN

SMTPRELAY 1 1 2 5 SMTPATTACK

SMURF 1 1 2 0 SMURFATTACK

SMURFAMP 1 1 2 5 SMTPATTACK

SPAM 1 1 2 5 SMTPATTACK

SYNATTACK 32 128 2 5 SYNATTACK

TCPTINY 1 1 2 0 TCPATTACK

UDPATTACK 32 128 2 5 DOSATTACK

例

■ 外部からのポートスキャンイベントが5分間に100個以上発生したら通知するよう設定する。
SET FIREWALL POLICY=mypolicy ATTACK=PORTSCAN INTRIGGER=100 TIME=5

備考・注意事項

イベントの通知先はENABLE FIREWALL NOTIFYコマンドで設定する。

PN: J613-M3048-01 Rev.M

DOSFLOOD	サービス妨害（DOS）攻撃。不要なトラフィックを送りつける
FRAGMENT	フラグメント攻撃。巨大なフラグメントや再構成できないフラグメントを送りつける
HOSTSCAN	ホストスキャン。内部ネットワークで稼動中のホストを調べる
IPSPOOF	IPスプーフィング。始点IPアドレスを詐称する
LAND	LAND攻撃。始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙うもの
PINGOFDEATH	特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる。システムのバグを狙うもの
PORTSCAN	ポートスキャン。ホスト上で稼動中のサービスを調べる
SMTPRELAY	メールリレー。関係のないドメインのメールサーバーに別ドメイン宛てのメールを中継させようとする
SMURF	Smurf攻撃。始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる
SMURFAMP	Smurf Amp攻撃。TCP SynによるSmurf攻撃
SPAM	spamメール。不要なメールを送りつける
SYNATTACK	Synフラッド。始点IPアドレスを詐称したTCP Synパケットを断続的に送りつけ、標的システムのTCPコネクションキューを枯渇させる
TCPTINY	Tiny Fragment攻撃。微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする
UDPATTACK	UDPによるポートスキャン

ATTACK	INTRIGGER	OUTTRIGGER	TIME	DETAIL	イベント名
DOSFLOOD	80	160	2	5	DOSATTACK
FRAGMENT	1	1	2	0	FRAGMENT
HOSTSCAN	64	128	2	5	HOSTSCAN
IPSPOOF	1	1	2	0	DOSATTACK
LAND	1	1	2	0	DOSATTACK
OTHER	64	128	2	5	DOSATTACK
PINGOFDEATH	1	1	2	0	DOSATTACK
PORTSCAN	64	128	2	5	PORTSCAN
SMTPRELAY	1	1	2	5	SMTPATTACK
SMURF	1	1	2	0	SMURFATTACK
SMURFAMP	1	1	2	5	SMTPATTACK
SPAM	1	1	2	5	SMTPATTACK
SYNATTACK	32	128	2	5	SYNATTACK
TCPTINY	1	1	2	0	TCPATTACK
UDPATTACK	32	128	2	5	DOSATTACK