[index] CentreCOM 9424T/SP コマンドリファレンス 2.3

運用・管理/攻撃検出

  - SYN Flood Attack
  - Smurf Attack
  - Land Attack
  - Teardrop Attack
  - Ping of Death Attack
  - IP Options Attack

攻撃検出は、下記のDoS攻撃を受けたとき、この攻撃から本製品を守るために、攻撃を受けたことを通知したり、不正なパケットを破棄したりする機能です。

表 1
SYN Flood Attack TCPのSynパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し(始点アドレスを詐称するため、Syn/Ackへの返答はない)、標的システムのコネクションキーを枯渇させる
Smurf Attack 始点アドレスを詐称(標的のアドレスを設定する)したPingパケットを中継サイトのディレクテッドブロードキャストアドレスに送り、中継サイトから標的サイトに大量にリプライを送りつけさせる
Land Attack 始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグをねらう
Teardrop Attack IPパケットのオフセット情報を偽造したパケットを送り、パケットの復元処理をうまくできないといった、TCP/IP実装上の問題をついた攻撃
Ping of Death システムのバグをつくもので、特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる
IP Options Attack 不正なIPオプションを含むパケットを送りつける


攻撃検出に関する仕様は、次のとおりです。


Note - 攻撃検出機能を有効にする場合、Teardrop AttackおよびPing of Death攻撃検出に関しては、CPUに負荷がかかるので、注意して使用してください。

 

SYN Flood Attack

この攻撃を検出するために、スイッチポートでは、いくつのSYNパケットを受信したかをモニターし、SYNパケットがSYN/ACKパケットの2倍以上、かつ、1秒あたり20以上のSYNパケットを受信した場合に、次のアクションを実行します。


この攻撃検出のメカニズムは、スイッチのCPUでの処理に影響を与えないため、一度に多くのポートに攻撃検出のための設定を行っても、スイッチのパフォーマンスには影響しません。

■ スイッチポートに、SYN Flood Attackを検出するように設定するには、SET DOS SYNFLOODコマンドを使います。



 

Smurf Attack

この攻撃を検出するために、スイッチポートでは、受信したICMP Echo(Ping)リクエストの宛先アドレスがブロードキャストアドレスでないかどうかをチェックし、宛先アドレスがブロードキャストアドレスの場合は、このパケットを破棄します。

この攻撃検出のメカニズムは、スイッチのCPUでの処理に影響を与えないため、一度に多くのポートに攻撃検出のための設定を行っても、スイッチのパフォーマンスには影響しません。

■ スイッチポートに、Smurf Attackを検出するように設定するには、SET DOS SMURFコマンドを使います。


■ Smurf Attackを検出するには、SET DOSコマンドを使って、スイッチの属するネットワークのIPアドレスとサブネットマスクを設定します。


■ IPアドレスとサブネットマスク設定を表示するには、SHOW DOSコマンドを使います。


 

Land Attack

この攻撃を検出するために、スイッチの所属するネットワークに外部から入ってくるパケットと、外部に出て行くパケットをチェックします。ネットワーク内で生成され、宛先アドレスがローカルIPアドレスである場合は、ネットワークの外には転送せず、またネットワーク外で生成され、送信元アドレスがローカルIPである場合は、ネットワーク内には転送されません。

この種類の検出では、スイッチのCPUでの処理に影響を与えないため、すべてのポートに設定を行っても、スイッチの動作には影響がありません。

■ スイッチポートに、Land Attackを検出するように設定するには、SET DOS LANDコマンドを使います。


■ Land Attackを検出するには、SET DOSコマンドを使って、スイッチの属するネットワークのIPアドレスとサブネットマスク、およびアップリンクポートを設定します。


■ IPアドレスとサブネットマスク、およびアップリンクポートの設定を表示するには、SHOW DOSコマンドを使います。

Note - スイッチにルーターなどが接続されていない場合は、Land Attack検出に関する設定をする必要はありません。


 

Teardrop Attack

このタイプの攻撃を検出するために、スイッチポートで受信したフラグメントされたIPパケットを、すべてスイッチのCPUに送ります。CPUは関連のある、連続したフラグメントをサンプリングし、不正なオフセットを持ったフラグメントがないかどうかをチェックします。不正なフラグメントが見つかった場合には、下記のアクションを実行します。


Note - この機能を実行するとCPUの処理に影響を与えるので、注意して使用してください。スイッチの停止を招くこともありますので、使用する場合には、適用ポートを限定してお使いください。また、このような事態を避けるためにも、一度にこの機能を有効にするのは、アップリンクポートとその他に1ポートまでにすることをお勧めします。

■ スイッチポートに、Teardrop Attackを検出するように設定するには、SET DOS TEARDROPコマンドを使います。



 

Ping of Death Attack

この攻撃を検出するために、スイッチポートでフラグメントされたICMP Echo(Ping)リクエストの最後のフラグメントを検索し、そのオフセットからパケットのサイズが63488バイト以上かどうかを調査します。63488バイト以上の場合は、そのフラグメントをスイッチのCPUに転送し、最終的なパケットサイズを決定します。その結果、パケットのサイズが63488バイト以上と決まった場合には、下記のアクションを実行します。


Note - この攻撃検出のメカニズムは、Teardrop Attackほどではありませんが、スイッチのCPUでの処理に影響を与えます。スイッチポート間の通信には影響がありませんが、IGMPパケットやスパニングツリーのBPDUなどのCPUイベントの処理に影響を与えます。このため、この攻撃を最も受けやすいポートにのみ限定して機能を有効にすることをお勧めします。
■ スイッチポートに、Ping of Death Attackを検出するように設定するには、SET DOS PINGOFDEATHコマンドを使います。



 

IP Options Attack

IP Option Attackの種類は多いので、本製品では、その違いを区別するのではなく、スイッチポートで受信したIPパケットのうち、IPオプションを含んでいるものをカウントアップして、この数が1秒あたり20パケットを超すと、IP Option Attackの可能性があるものと判断し、下記のアクションを実行します。


この攻撃検出のメカニズムは、スイッチのCPUでの処理に影響を与えないため、一度に多くのポートに攻撃検出のための設定を行っても、スイッチのパフォーマンスには影響しません。

■ スイッチポートに、IP Options Attackを検出するように設定するには、SET DOS IPOPTIONコマンドを使います。








(C) 2004-2009 アライドテレシスホールディングス株式会社

PN: J613-M0109-12 Rev.G