[index] AT-DC2552XS コマンドリファレンス 2.5.4.1
Note - トランクグループ(saX, poX)、および、トランクグループの所属ポートでは、攻撃検出機能を使用できません。
Note - 同一ポート上で攻撃検出機能、インターフェースACL、ポリシーマップを併用する場合、すべての機能を通過しないとパケットは出力されません。詳細は「トラフィック制御」/「ハードウェアパケットフィルター」の「各種フィルター機能の処理フロー」をご参照ください。
| 不正なIPオプションを含むパケットを送りつける攻撃。ただし、本機能では「不正」かどうかの判定は行わず、すべてのIPオプション付きパケットの受信レートによって本攻撃を検出する | IPオプション付きIPパケットの受信レートが毎秒20個を超えた | |||
| 始点と終点に同じアドレスを設定したIPパケットを送りつけることによるDoS攻撃 | 始点・終点に同じIPアドレスがセットされたIPパケットを受信した | |||
| 特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる攻撃 | 再構成後のICMPデータサイズ(IPヘッダーとICMPヘッダーを除いたサイズ)が63447バイトを超えるフラグメント化されたICMP Echo(Ping)パケットを受信した | |||
| 始点アドレスを詐称(標的のアドレスを設定する)したPingパケットを中継サイトのディレクテッドブロードキャストアドレスに送り、中継サイトから標的サイトに大量にリプライを送りつけさせるDoS攻撃 | あらかじめ設定しておいたディレクティドブロードキャストアドレス宛てのICMP Echo(Ping)パケットを受信した | |||
| TCPのSYNパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し、標的システムのコネクションキーを枯渇させるDoS攻撃 | TCP SYNパケットの受信レートが毎秒60個を超えた | |||
| IPパケットのオフセット情報を偽造したパケットを送り、パケットの復元処理をうまくできないといったTCP/IP実装上の問題をついた攻撃 | 不正なオフセットを持ったフラグメントを含むフラグメント化されたIPパケットを受信した |
awplus# show platform classifier statistics utilization brief ↓ |
Note - Ping of Death攻撃とTeardrop攻撃の検出機能はCPUに負荷をかけるため、必要なポートでのみ本機能を有効化してください。また、これらの攻撃の検出機能をフラグメントパケットが多い環境で使用することはおすすめできません。
awplus(config)# interface port1.0.1 ↓ awplus(config-if)# dos ipoptions action shutdown ↓ awplus(config-if)# dos land action shutdown ↓ |
awplus(config-if)# dos smurf broadcast 192.168.10.255 action shutdown ↓ |
Note - Smurf攻撃の検出条件となるディレクティドブロードキャストアドレスは1ポートあたり1つしか設定できません。
awplus> show dos interface port1.0.1 ↓ DoS settings for interface port1.0.1 ----------------------------------------- Port status : Enabled ipoptions : Enabled Action : Shutdown port Attacks detected : 0 land : Enabled Action : Shutdown port Attacks detected : 0 ping-of-death : Disabled smurf : Enabled Action : Shutdown port Attacks detected : 0 synflood : Disabled teardrop : Disabled |
awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no dos ipoptions ↓ awplus(config-if)# no dos land ↓ awplus(config-if)# no dos smurf ↓ |
(C) 2011-2013 アライドテレシスホールディングス株式会社
PN: 613-001633 Rev.D