[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / 攻撃検出

検出可能な攻撃と検出条件
IPオプション(IPv4)
DoSフラッド
SYN Flood(IPv4/IPv6)
ICMP Flood(IPv4/IPv6)
UDP Flood(UDP Ping-Pong Attack)(IPv4/IPv6)
Smurf(IPv4)
ICMP(IPv4)
フラグメント攻撃(IPv4)
Maximum IP Fragment Count(IPv4)
Minimum IP Fragment Size(IPv4)
Teardrop/Teardrop2(IPv4)
Bonk/Boink(IPv4)
Jolt/Jolt2(IPv4)
ポートスキャン(IPv4/IPv6)
TCP SYN Scan(IPv4/IPv6)
TCP Stealth Scan(IPv4/IPv6)
UDP Port Scan(IPv4/IPv6)
FTPバウンス(IPv4/IPv6)
IP check(IPv4/IPv6)
Port check(IPv4/IPv6)
IPスプーフィング(IPv4/IPv6)
Ping of death(IPv4)
LAND(IPv4/IPv6)
基本設定
他機能との関係(パケット処理順序)

攻撃検出機能(IDS)は、サービス妨害攻撃(DoS)や不正アクセスと思われるトラフィックを検出してログに記録するとともに、該当トラフィックを遮断することで、本製品と配下のネットワークを保護する機能です(IPv4/IPv6両対応)。

検出可能な攻撃と検出条件

 本機能が検出可能な攻撃は下記のとおりです。IPv4とIPv6では対応する攻撃の種類が異なります。

表 1
攻撃種別
対応
大分類
小分類
IPv4
IPv6
IPオプション Security
o
-
Timestamp
o
-
Loose Source Route
o
-
Strict Source Route
o
-
Record Route
o
-
Stream ID
o
-
DoSフラッド SYNFlood
o
o
ICMPFlood
o
o
UDPFlood
o
o
Smurf
o
-
ICMP source quench
o
-
timestamp request
o
-
timestamp reply
o
-
information request
o
-
information reply
o
-
mask request
o
-
mask reply
o
-
フラグメント攻撃 Maximum IP Fragment Count
o
-
Minimum IP Fragment Size
o
-
Teardrop/Teardrop2
o
-
Bonk/Boink
o
-
Jolt/Jolt2
o
-
ポートスキャン TCP SYN Scan
o
o
TCP Stealth Scan
o
o
UDP Port Scan
o
o
FTPバウンス IP check
o
o
Port check
o
o
IPスプーフィング -
o
o
Ping of death -
o
-
LAND -
o
o


以下、各攻撃の検出仕様について説明します。

IPオプション(IPv4)

 下記のIPオプションを含むIPv4パケットを検出したときに、該当攻撃を検出したとみなします。

DoSフラッド

SYN Flood(IPv4/IPv6)

 特定の始点IPv4/IPv6アドレスを持つTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時256個、送信時256個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドとipv6 ids intervalコマンドで、しきい値はip ids thresholdコマンドとipv6 ids thresholdコマンドで変更できます。

ICMP Flood(IPv4/IPv6)

 特定の始点IPv4/IPv6アドレスを持つICMP/ICMPv6パケットの数が、基準時間内(初期値1分以内)にしきい値(受信時256個、送信時256個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドとipv6 ids intervalコマンドで、しきい値はip ids thresholdコマンドとipv6 ids thresholdコマンドで変更できます。

UDP Flood(UDP Ping-Pong Attack)(IPv4/IPv6)

 始点ポートが7(echo)で終点ポートが19(chargen)のUDPパケット(IPv4/IPv6)を検出したときに、該当攻撃を検出したとみなします。

Smurf(IPv4)

 次の条件に一致するICMP echoパケット(IPv4)を検出したときに、該当攻撃を検出したとみなします。

ICMP(IPv4)

 下記のICMPパケット(IPv4)を検出したときに、該当攻撃を検出したとみなします。

フラグメント攻撃(IPv4)

Maximum IP Fragment Count(IPv4)

 1つのIPv4パケットがしきい値(初期値45個)より多くのフラグメントに分割されていることを検出したときに、該当攻撃を検出したとみなします。

最大フラグメント数のしきい値はip ids fragment-countコマンドで変更できます。

Minimum IP Fragment Size(IPv4)

 しきい値(初期値512Byte)よりも小さいIPv4フラグメントパケットを検出したときに、該当攻撃を検出したとみなします(ただし、最終フラグメントはチェックしません)。

最小フラグメントサイズのしきい値はip ids fragment-sizeコマンドで変更できます。

Teardrop/Teardrop2(IPv4)

 処理済みフラグメントと重複するオフセット値を持つIPv4フラグメントパケットを検出したときに、該当攻撃を検出したとみなします。

Bonk/Boink(IPv4)

 UDPヘッダーに重なるようなオフセット値を持つUDPパケット(IPv4)のフラグメントを検出したときに、該当攻撃を検出したとみなします。

Jolt/Jolt2(IPv4)

 再構成後のサイズが65535Byteを超えるフラグメント化されたICMP echo reply(IPv4)またはUDPパケット(IPv4)を検出したときに、該当攻撃を検出したとみなします。

ポートスキャン(IPv4/IPv6)

TCP SYN Scan(IPv4/IPv6)

 特定の始点IPv4アドレスと終点IPv4アドレス、または始点IPv6アドレスと終点IPv6アドレスを持ち、終点ポート番号が異なるTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドとipv6 ids intervalコマンドで、しきい値はip ids thresholdコマンドとipv6 ids thresholdコマンドで変更できます。

TCP Stealth Scan(IPv4/IPv6)

 次のいずれかの条件に一致するTCPパケット(IPv4/IPv6)を検出したときに、該当攻撃を検出したとみなします。

UDP Port Scan(IPv4/IPv6)

 特定の始点IPv4アドレスと終点IPv4アドレス、または始点IPv6アドレスと終点IPv6アドレスを持ち、終点ポート番号が異なるUDPパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドとipv6 ids intervalコマンドで、しきい値はip ids thresholdコマンドとipv6 ids thresholdコマンドで変更できます。

FTPバウンス(IPv4/IPv6)

IP check(IPv4/IPv6)

 FTP(IPv4/IPv6)の通信において、クライアントとは異なるIPv4/IPv6アドレスを指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。

Port check(IPv4/IPv6)

 FTP(IPv4/IPv6)の通信において、1024番以下のポート番号を指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。

IPスプーフィング(IPv4/IPv6)

 次のいずれかの条件に一致するIPv4パケットを検出したときに、該当攻撃を検出したとみなします。

また、次のいずれかの条件に一致するIPvv6パケットを検出したときに、該当攻撃を検出したとみなします。

Ping of death(IPv4)

 再構成後のサイズが65535Byteを超えるフラグメント化されたICMPパケット(IPv4)を検出したときに、該当攻撃を検出したとみなします。

LAND(IPv4/IPv6)

 始点IPv4アドレス・ポートと終点IPv4アドレス・ポート、または始点IPv6アドレス・ポートと終点IPv6アドレス・ポートが同一のTCP SYNパケットを検出したときに、該当攻撃を検出したとみなします。

基本設定

 攻撃検出機能の設定はIPインターフェース、IPv6インターフェースごとに行います。

■ 攻撃検出機能を有効にするには、ip idsコマンド、ipv6 idsコマンドを使います。
たとえば、gigabitEthernet 0.1でIPv4の攻撃検出機能を有効にし、外部からの攻撃を検出したら該当パケットを遮断するよう設定するには、次のようにします。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip ids in protect


また、gigabitEthernet 0でIPv6の攻撃検出機能を有効にし、外部からの攻撃を検出したら該当パケットを遮断するよう設定するには、次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ipv6 ids in protect


■ 外部からの攻撃検出だけを行うよう設定を変更するには、次のようにします。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip ids in


■ 攻撃検出機能を無効にするには、ip idsコマンド、ipv6 idsコマンドをno形式で実行します。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# no ip ids in


■ 攻撃検出機能の設定を確認するには、show ip ids informationコマンド、show ipv6 ids informationコマンドを使います。

*Router> show ip ids information
IDS information:
Flood Threshold In     :   256
Flood Threshold Out    :   256
Scan Threshold In      :    64
Scan Threshold Out     :   128
Max Fragment Count In  :    45
Max Fragment Count Out :    45
Min Fragment Size In   :   512 (bytes)
Min Fragment Size Out  :   512 (bytes)
Interval time          :     1 (mins)


■ 検出中の攻撃を確認するには、show ip ids detectingコマンド、show ipv6 ids detectingコマンドを使います。

*Router> show ip ids detecting
vlan 1: in
  AttackType    SourceIP        DestinationIP   Expire Hits
  icmp-flood    192.168.1.254   192.168.1.1     2      221025


■ 攻撃検出機能の統計情報を確認するには、show ip ids statisticsコマンド、show ipv6 ids statisticsコマンドを使います。

*Router> show ip ids statistics vlan 1
vlan 1:
  Attack name                  In-Counter   Out-Counter
  IP option check
    Security                              0            0
    Timestamp                             0            0
    Loose Source Route                    0            0
    Strict Source Route                   0            0
    Record Route                          0            0
    Stream ID                             0            0
  DoS Flood
    SYN Flood                             0            0
    ICMP Flood                       215564            0
    UDP Flood                             0            0
    Smurf                                 0            0
  Scan
    TCP SYN Scan                          0            0
    TCP Stealth Scan                      0            0
    UDP Port Scan                         0            0
  ICMP
    ICMP source quench                    0            0
    ICMP timestamp request                0            0
    ICMP timestamp reply                  0            0
    ICMP information request              0            0
    ICMP information reply                0            0
    ICMP mask request                     0            0
    ICMP mask reply                       0            0
  Fragment Attack
    Maximum IP Fragment Count             0            0
    Minimum IP Fragment Size              0            0
    Teardrop/Teardrop2                    0            0
    Bonk/Boink                            0            0
    Jolt/Jolt2                            0            0
  FTP Bounce
    IP check                              0            0
    Port check                            0            0
  IP Spoofing                             0            0
  Ping of death                           0            0
  LAND                                    0            0


他機能との関係(パケット処理順序)

 パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E