[index]
CentreCOM ARX640S コマンドリファレンス 5.0.0
ファイアウォール / 攻撃検出
- 検出可能な攻撃と検出条件
- IPオプション
- DoSフラッド
- SYN Flood
- ICMP Flood
- UDP Flood(UDP Ping-Pong Attack)
- Smurf
- ICMP
- フラグメント攻撃
- Maximum IP Fragment Count
- Minimum IP Fragment Size
- Teardrop/Teardrop2
- Bonk/Boink
- Jolt/Jolt2
- ポートスキャン
- TCP SYN Scan
- TCP Stealth Scan
- UDP Port Scan
- FTPバウンス
- IP check
- Port check
- IPスプーフィング
- Ping of death
- LAND
- 基本設定
- 他機能との関係(パケット処理順序)
攻撃検出機能(IDS)は、サービス妨害攻撃(DoS)や不正アクセスと思われるトラフィックを検出してログに記録するとともに、該当トラフィックを遮断することで、本製品と配下のネットワークを保護する機能です。
検出可能な攻撃と検出条件
本機能が検出可能な攻撃は下記のとおりです。
- IPオプション
Security、Timestamp、Loose Source Route、Strict Source Route、Record Route、Stream ID
- DoSフラッド
SYN Flood、ICMP Flood、UDP Flood、Smurf
- ICMP
source quench、timestamp request/reply、information request/reply、mask request/reply
- フラグメント攻撃
Maximum IP Fragment Count、Minimum IP Fragment Size、Teardrop/Teardrop2、Bonk/Boink、Jolt/Jolt2
- ポートスキャン
TCP SYN Scan、TCP Stealth Scan、UDP Port Scan
- FTPバウンス
IP check、Port check
- IPスプーフィング
- Ping of death
- LAND
以下、各攻撃の検出仕様について説明します。
IPオプション
下記のIPオプションを含むIPパケットを検出したときに、該当攻撃を検出したとみなします。
- Security
- Timestamp
- Loose Source Route
- Strict Source Route
- Record Route
- Stream ID
DoSフラッド
SYN Flood
特定の始点IPアドレスを持つTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時32個、送信時128個)に達したときに、該当攻撃を検出したとみなします。
チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。
ICMP Flood
特定の始点IPアドレスを持つICMPパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時32個、送信時128個)に達したときに、該当攻撃を検出したとみなします。
チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。
UDP Flood(UDP Ping-Pong Attack)
始点ポートが7(echo)で終点ポートが19(chargen)のUDPパケットを検出したときに、該当攻撃を検出したとみなします。
Smurf
次の条件に一致するICMP echoパケットを検出したときに、該当攻撃を検出したとみなします。
- 受信時
終点IPアドレスがリミテッドブロードキャストアドレス、または、自インターフェースのディレクティドブロードキャストアドレスのどれかと一致する(ただし、32ビットマスクで設定されたインターフェースのアドレスは除外)
- 送信時
終点IPアドレスが送信インターフェースのディレクティドブロードキャストアドレスと一致する(ただし、32ビットマスクで設定されたインターフェースのアドレスは除外)
ICMP
下記のICMPパケットを検出したときに、該当攻撃を検出したとみなします。
- source quench(タイプ4)
- timestamp request(タイプ13)
- timestamp reply(タイプ14)
- information request(タイプ15)
- information reply(タイプ16)
- mask request(タイプ17)
- mask reply(タイプ18)
フラグメント攻撃
Maximum IP Fragment Count
1つのIPパケットがしきい値(初期値45個)より多くのフラグメントに分割されていることを検出したときに、該当攻撃を検出したとみなします。
最大フラグメント数のしきい値はip ids fragment-countコマンドで変更できます。
Minimum IP Fragment Size
しきい値(初期値512Byte)よりも小さいIPフラグメントパケットを検出したときに、該当攻撃を検出したとみなします(ただし、最終フラグメントはチェックしません)。
最小フラグメントサイズのしきい値はip ids fragment-sizeコマンドで変更できます。
Teardrop/Teardrop2
処理済みフラグメントと重複するオフセット値を持つIPフラグメントパケットを検出したときに、該当攻撃を検出したとみなします。
Bonk/Boink
UDPヘッダーに重なるようなオフセット値を持つUDPパケットのフラグメントを検出したときに、該当攻撃を検出したとみなします。
Jolt/Jolt2
再構成後のサイズが65535Byteを超えるフラグメント化されたICMP echo replyまたはUDPパケットを検出したときに、該当攻撃を検出したとみなします。
ポートスキャン
TCP SYN Scan
特定の始点IPアドレスと終点IPアドレスを持ち、終点ポート番号が異なるTCP SYNパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。
チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。
TCP Stealth Scan
次のいずれかの条件に一致するTCPパケットを検出したときに、該当攻撃を検出したとみなします。
- IPフィルター/IP NAT機能を併用している場合
- 制御フラグが1つもセットされていない
- FIN/URG/PSHフラグだけがセットされている
- FINフラグだけがセットされている
- SYN/FINフラグだけがセットされている
- SYN/RSTフラグだけがセットされている
- IPフィルター/IP NAT機能を併用していない場合
- 制御フラグが1つもセットされていない
- SYN/FINフラグだけがセットされている
- SYN/RSTフラグだけがセットされている
UDP Port Scan
特定の始点IPアドレスと終点IPアドレスを持ち、終点ポート番号が異なるUDPパケットの数が、基準時間内(初期値1分以内)にしきい値(受信時64個、送信時128個)に達したときに、該当攻撃を検出したとみなします。
チェック基準時間はip ids intervalコマンドで、しきい値はip ids thresholdコマンドで変更できます。
FTPバウンス
IP check
FTPの通信において、クライアントとは異なるIPアドレスを指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。
Port check
FTPの通信において、1024番以下のポート番号を指定するPORTコマンドを検出したときに、該当攻撃を検出したとみなします。
IPスプーフィング
次のいずれかの条件に一致するIPパケットを検出したときに、該当攻撃を検出したとみなします。
- 始点IPアドレスが自インターフェースのIPアドレスと一致する
- 始点IPアドレスがIP NAT機能のグローバル側IPアドレスと一致する
- 始点IPアドレスが、受信インターフェース以外の自インターフェース配下のIPアドレスと一致する
Ping of death
再構成後のサイズが65535Byteを超えるフラグメント化されたICMPパケットを検出したときに、該当攻撃を検出したとみなします。
LAND
始点IPアドレス・ポートと終点IPアドレス・ポートが同一のTCP SYNパケットを検出したときに、該当攻撃を検出したとみなします。
基本設定
攻撃検出機能の設定はIPインターフェースごとに行います。
■ 攻撃検出機能を有効にするには、ip idsコマンドを使います。
たとえば、gigabitEthernet 0.1で攻撃検出機能を有効にし、外部からの攻撃を検出したら該当パケットを遮断するよう設定するには、次のようにします。
*Router(config)# interface gigabitEthernet 0.1 ↓
*Router(config-pppoe-if)# ip ids in protect ↓
|
■ 外部からの攻撃検出だけを行うよう設定を変更するには、次のようにします。
*Router(config)# interface gigabitEthernet 0.1 ↓
*Router(config-pppoe-if)# ip ids in ↓
|
■ 攻撃検出機能を無効にするには、ip idsコマンドをno形式で実行します。
*Router(config)# interface gigabitEthernet 0.1 ↓
*Router(config-pppoe-if)# no ip ids in ↓
|
■ 攻撃検出機能の設定を確認するには、show ip ids informationコマンドを使います。
*Router> show ip ids information ↓
IDS information:
Flood Threshold In : 256
Flood Threshold Out : 256
Scan Threshold In : 64
Scan Threshold Out : 128
Max Fragment Count In : 45
Max Fragment Count Out : 45
Min Fragment Size In : 512 (bytes)
Min Fragment Size Out : 512 (bytes)
Interval time : 1 (mins)
|
■ 検出中の攻撃を確認するには、show ip ids detectingコマンドを使います。
*Router> show ip ids detecting ↓
vlan 1: in
AttackType SourceIP DestinationIP Expire Hits
icmp-flood 192.168.1.254 192.168.1.1 2 221025
|
■ 攻撃検出機能の統計情報を確認するには、show ip ids statisticsコマンドを使います。
*Router> show ip ids statistics vlan 1 ↓
vlan 1:
Attack name In-Counter Out-Counter
IP option check
Security 0 0
Timestamp 0 0
Loose Source Route 0 0
Strict Source Route 0 0
Record Route 0 0
Stream ID 0 0
DoS Flood
SYN Flood 0 0
ICMP Flood 215564 0
UDP Flood 0 0
Smurf 0 0
Scan
TCP SYN Scan 0 0
TCP Stealth Scan 0 0
UDP Port Scan 0 0
ICMP
ICMP source quench 0 0
ICMP timestamp request 0 0
ICMP timestamp reply 0 0
ICMP information request 0 0
ICMP information reply 0 0
ICMP mask request 0 0
ICMP mask reply 0 0
Fragment Attack
Maximum IP Fragment Count 0 0
Minimum IP Fragment Size 0 0
Teardrop/Teardrop2 0 0
Bonk/Boink 0 0
Jolt/Jolt2 0 0
FTP Bounce
IP check 0 0
Port check 0 0
IP Spoofing 0 0
Ping of death 0 0
LAND 0 0
|
他機能との関係(パケット処理順序)
パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。
(C) 2011 アライドテレシスホールディングス株式会社
PN: 613-001491 Rev.A