[index] CentreCOM ARX640S コマンドリファレンス 5.0.0

ファイアウォール / 攻撃検出


  - 検出可能な攻撃と検出条件
   - IPオプション
   - DoSフラッド
    - SYN Flood
    - ICMP Flood
    - UDP Flood(UDP Ping-Pong Attack)
    - Smurf
   - ICMP
   - フラグメント攻撃
    - Maximum IP Fragment Count
    - Minimum IP Fragment Size
    - Teardrop/Teardrop2
    - Bonk/Boink
    - Jolt/Jolt2
   - ポートスキャン
    - TCP SYN Scan
    - TCP Stealth Scan
    - UDP Port Scan
   - FTPバウンス
    - IP check
    - Port check
   - IPスプーフィング
   - Ping of death
   - LAND
  - 基本設定
  - 他機能との関係(パケット処理順序)

攻撃検出機能(IDS)は、サービス妨害攻撃(DoS)や不正アクセスと思われるトラフィックを検出してログに記録するとともに、該当トラフィックを遮断することで、本製品と配下のネットワークを保護する機能です。

検出可能な攻撃と検出条件

本機能が検出可能な攻撃は下記のとおりです。


以下、各攻撃の検出仕様について説明します。

IPオプション

下記のIPオプションを含むIPパケットを検出したときに、該当攻撃を検出したとみなします。

DoSフラッド

SYN Flood

特定の始点IPアドレスを持つTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時32個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。

ICMP Flood

特定の始点IPアドレスを持つICMPパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時32個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。

UDP Flood(UDP Ping-Pong Attack)

始点ポートが7(echo)で終点ポートが19(chargen)のUDPパケットを検出したときに、該当攻撃を検出したとみなします。

Smurf

次の条件に一致するICMP echoパケットを検出したときに、該当攻撃を検出したとみなします。

ICMP

下記のICMPパケットを検出したときに、該当攻撃を検出したとみなします。

フラグメント攻撃

Maximum IP Fragment Count

1つのIPパケットがしきい値(初期値45個)より多くのフラグメントに分割されていることを検出したときに、該当攻撃を検出したとみなします。

最大フラグメント数のしきい値はip ids fragment-countコマンドで変更できます。

Minimum IP Fragment Size

しきい値(初期値512Byte)よりも小さいIPフラグメントパケットを検出したときに、該当攻撃を検出したとみなします(ただし、最終フラグメントはチェックしません)。

最小フラグメントサイズのしきい値はip ids fragment-sizeコマンドで変更できます。

Teardrop/Teardrop2

処理済みフラグメントと重複するオフセット値を持つIPフラグメントパケットを検出したときに、該当攻撃を検出したとみなします。

Bonk/Boink

UDPヘッダーに重なるようなオフセット値を持つUDPパケットのフラグメントを検出したときに、該当攻撃を検出したとみなします。

Jolt/Jolt2

再構成後のサイズが65535Byteを超えるフラグメント化されたICMP echo replyまたはUDPパケットを検出したときに、該当攻撃を検出したとみなします。

ポートスキャン

TCP SYN Scan

特定の始点IPアドレスと終点IPアドレスを持ち、終点ポート番号が異なるTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。

TCP Stealth Scan

次のいずれかの条件に一致するTCPパケットを検出したときに、該当攻撃を検出したとみなします。

UDP Port Scan

特定の始点IPアドレスと終点IPアドレスを持ち、終点ポート番号が異なるUDPパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。

チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。

FTPバウンス

IP check

FTPの通信において、クライアントとは異なるIPアドレスを指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。

Port check

FTPの通信において、1024番以下のポート番号を指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。

IPスプーフィング

次のいずれかの条件に一致するIPパケットを検出したときに、該当攻撃を検出したとみなします。

Ping of death

再構成後のサイズが65535Byteを超えるフラグメント化されたICMPパケットを検出したときに、該当攻撃を検出したとみなします。

LAND

始点IPアドレス・ポートと終点IPアドレス・ポートが同一のTCP SYNパケットを検出したときに、該当攻撃を検出したとみなします。

基本設定

攻撃検出機能の設定はIPインターフェースごとに行います。

■ 攻撃検出機能を有効にするには、ip idsコマンドを使います。
たとえば、gigabitEthernet 0.1で攻撃検出機能を有効にし、外部からの攻撃を検出したら該当パケットを遮断するよう設定するには、次のようにします。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip ids in protect


■ 外部からの攻撃検出だけを行うよう設定を変更するには、次のようにします。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip ids in


■ 攻撃検出機能を無効にするには、ip idsコマンドをno形式で実行します。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# no ip ids in


■ 攻撃検出機能の設定を確認するには、show ip ids informationコマンドを使います。

*Router> show ip ids information
IDS information:
Flood Threshold In     :   256
Flood Threshold Out    :   256
Scan Threshold In      :    64
Scan Threshold Out     :   128
Max Fragment Count In  :    45
Max Fragment Count Out :    45
Min Fragment Size In   :   512 (bytes)
Min Fragment Size Out  :   512 (bytes)
Interval time          :     1 (mins)


■ 検出中の攻撃を確認するには、show ip ids detectingコマンドを使います。

*Router> show ip ids detecting
vlan 1: in
  AttackType    SourceIP        DestinationIP   Expire Hits
  icmp-flood    192.168.1.254   192.168.1.1     2      221025


■ 攻撃検出機能の統計情報を確認するには、show ip ids statisticsコマンドを使います。

*Router> show ip ids statistics vlan 1
vlan 1:
  Attack name                  In-Counter   Out-Counter
  IP option check
    Security                              0            0
    Timestamp                             0            0
    Loose Source Route                    0            0
    Strict Source Route                   0            0
    Record Route                          0            0
    Stream ID                             0            0
  DoS Flood
    SYN Flood                             0            0
    ICMP Flood                       215564            0
    UDP Flood                             0            0
    Smurf                                 0            0
  Scan
    TCP SYN Scan                          0            0
    TCP Stealth Scan                      0            0
    UDP Port Scan                         0            0
  ICMP
    ICMP source quench                    0            0
    ICMP timestamp request                0            0
    ICMP timestamp reply                  0            0
    ICMP information request              0            0
    ICMP information reply                0            0
    ICMP mask request                     0            0
    ICMP mask reply                       0            0
  Fragment Attack
    Maximum IP Fragment Count             0            0
    Minimum IP Fragment Size              0            0
    Teardrop/Teardrop2                    0            0
    Bonk/Boink                            0            0
    Jolt/Jolt2                            0            0
  FTP Bounce
    IP check                              0            0
    Port check                            0            0
  IP Spoofing                             0            0
  Ping of death                           0            0
  LAND                                    0            0


他機能との関係(パケット処理順序)

パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。


(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.A