[index] CentreCOM x510シリーズコマンドリファレンス 5.4.2

トラフィック制御 / 攻撃検出

  - 基本設定

攻撃検出機能は、スイッチポートでDoS（サービス妨害）攻撃と思われるトラフィックを検出したときに、該当ポートを一定時間シャットダウンして、本製品と配下のネットワークを保護する機能です。

基本設定

本機能で検出できる攻撃と検出のための設定コマンド、検出条件は次表のとおりです。

表 1：検出対象の攻撃一覧

攻撃名称 攻撃解説 設定コマンド 検出条件

IPオプション攻撃不正なIPオプションを含むパケットを送りつける攻撃。ただし、本機能では「不正」かどうかの判定は行わず、すべてのIPオプション付きパケットの受信レートによって本攻撃を検出する dos ipoptions IPオプション付きIPパケットの受信レートが毎秒20個を超えた

Land攻撃始点と終点に同じアドレスを設定したIPパケットを送りつけることによるDoS攻撃 dos land 始点・終点に同じIPアドレスがセットされたIPパケットを受信した

Ping of Death攻撃特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる攻撃 dos ping-of-death 再構成後のICMPデータサイズ（IPヘッダーとICMPヘッダーを除いたサイズ）が63447バイトを超えるフラグメント化されたICMP Echo（Ping）パケットを受信した

Smurf攻撃始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクテッドブロードキャストアドレスに送り、中継サイトから標的サイトに大量にリプライを送りつけさせるDoS攻撃 dos smurf あらかじめ設定しておいたディレクティドブロードキャストアドレス宛てのICMP Echo（Ping）パケットを受信した

SYNフラッド攻撃 TCPのSYNパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し、標的システムのコネクションキーを枯渇させるDoS攻撃 dos synflood TCP SYNパケットの受信レートが毎秒60個を超えた

Teardrop攻撃 IPパケットのオフセット情報を偽造したパケットを送り、パケットの復元処理をうまくできないといったTCP/IP実装上の問題をついた攻撃 dos teardrop 不正なオフセットを持ったフラグメントを含むフラグメント化されたIPパケットを受信した

攻撃検出機能の設定はスイッチポートごとに行います。
1つのポートに対して、複数の攻撃を検出するよう設定することができます。

Note - Ping of Death攻撃とTeardrop攻撃の検出機能はCPUに負荷をかけるため、必要なポートでのみ本機能を有効化してください。また、これらの攻撃の検出機能をフラグメントパケットが多い環境で使用することはおすすめできません。

■ たとえば、スイッチポート1.0.1において、IPオプション攻撃とLand攻撃の検出機能を有効化するには、次のようにします。
これらの攻撃を検出した場合は、ポートを1分間シャットダウン（物理的にリンクダウン）します。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# dos ipoptions action shutdown ↓ awplus(config-if)# dos land action shutdown ↓

なお、Smurf攻撃の検出機能を有効化するときは、本製品に直結されているIPサブネットのディレクティドブロードキャストアドレスを指定する必要があります。
本製品は、対象スイッチポートにおいて指定したアドレス宛てのICMP Echo（Ping）パケットを受信すると、Smurf攻撃が発生したと認識します。

awplus(config-if)# dos smurf broadcast 192.168.10.255 action shutdown ↓

Note - Smurf攻撃の検出条件となるディレクティドブロードキャストアドレスは1ポートあたり1つしか設定できません。

■ 攻撃検出機能の設定や状態を確認するには、show dos interfaceコマンドを使います。

awplus> show dos interface port1.0.1 ↓ DoS settings for interface port1.0.1 ----------------------------------------- Port status : Enabled ipoptions : Enabled Action : Shutdown port Attacks detected : 0 land : Enabled Action : Shutdown port Attacks detected : 0 ping-of-death : Disabled smurf : Enabled Action : Shutdown port Attacks detected : 0 synflood : Disabled teardrop : Disabled

■ 攻撃検出機能を無効化するには、各コマンドをno形式で実行します。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no dos ipoptions ↓ awplus(config-if)# no dos land ↓ awplus(config-if)# no dos smurf ↓

PN: 613-001763 Rev.A

攻撃名称	攻撃解説	設定コマンド	検出条件
IPオプション攻撃	不正なIPオプションを含むパケットを送りつける攻撃。ただし、本機能では「不正」かどうかの判定は行わず、すべてのIPオプション付きパケットの受信レートによって本攻撃を検出する	dos ipoptions	IPオプション付きIPパケットの受信レートが毎秒20個を超えた
Land攻撃	始点と終点に同じアドレスを設定したIPパケットを送りつけることによるDoS攻撃	dos land	始点・終点に同じIPアドレスがセットされたIPパケットを受信した
Ping of Death攻撃	特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる攻撃	dos ping-of-death	再構成後のICMPデータサイズ（IPヘッダーとICMPヘッダーを除いたサイズ）が63447バイトを超えるフラグメント化されたICMP Echo（Ping）パケットを受信した
Smurf攻撃	始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクテッドブロードキャストアドレスに送り、中継サイトから標的サイトに大量にリプライを送りつけさせるDoS攻撃	dos smurf	あらかじめ設定しておいたディレクティドブロードキャストアドレス宛てのICMP Echo（Ping）パケットを受信した
SYNフラッド攻撃	TCPのSYNパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し、標的システムのコネクションキーを枯渇させるDoS攻撃	dos synflood	TCP SYNパケットの受信レートが毎秒60個を超えた
Teardrop攻撃	IPパケットのオフセット情報を偽造したパケットを送り、パケットの復元処理をうまくできないといったTCP/IP実装上の問題をついた攻撃	dos teardrop	不正なオフセットを持ったフラグメントを含むフラグメント化されたIPパケットを受信した