Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show services ids

構文

説明

侵入検出サービス (IDS) イベントに関する情報を表示します。IDS によって収集されたすべてのイベントは、異常として報告されます。たとえば、 create forwardまたはwatch flowFTP パッシブFTP アクティブ などのイベントは、ステートフル ファイアウォールによって純粋に許可されますが、これらのイベントのレートと数を追跡するために異常としてログに記録されます。

オプション

destination-table

攻撃を受けている可能性のあるアドレスの情報を表示します。

pair-table

特定の攻撃の疑いのある送信元と宛先アドレスのペアに関する情報を表示します。

source-table

攻撃者の疑いのあるアドレスの情報を表示します。

brief | extensive | terse

(オプション)指定された出力レベルを表示します。

destination-prefix destination-prefix-name

(オプション)特定の宛先プレフィックスの情報を表示します。

interface interface-name

(オプション)M SeriesおよびT Seriesルーターでは、はsp-fpcpic//portまたはrspnumberにすることができます。interface-name

limit number

(オプション)表示するエントリの最大数。デフォルトでは、すべてのテーブルに、選択した基準のイベント数でソートされた上位 32 エントリが表示されます。追加のエントリを表示するには、limit オプションを設定して最大 256 エントリを設定します。

order

(オプション)次のいずれかのテーブル順序基準に従ってイベントを表示します。デフォルトは異常です。

  • 異常 - 特定の異常に関する情報を表示します。

  • bytes:受信したバイト数で出力を並べ替えます。

  • フロー - フロー数で出力を並べ替えます。

  • パケット—受信したパケット数で出力を並べ替えます。

service-set service-set-name

(オプション)特定のサービス セットに関する情報を表示します。

source-prefix source-prefix-name

(オプション)特定の送信元プレフィックスに関する情報を表示します。

threshold number

(オプション)この数の異常、バイト、フロー、またはパケット数(順序に指定した基準)のイベントに表示を制限します。たとえば、フローが 100 を超えるすべてのイベントを表示するには、注文 フローとしきい値 100 を指定します。

必要な権限レベル

ビュー

出力フィールド

表 1 に、このコマンドの出力フィールド show services ids を示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表1:showサービスids出力フィールド

フィールド名

フィールドの説明

出力レベル

インターフェイス

適応サービスインターフェースの名前。

すべてのレベル

サービスセット

サービス セットの名前。個々の空のサービス セットは表示されませんが、フローを持つサービス セットがない場合は、サービス セットごとにフロー テーブル ヘッダーが出力されます。

すべてのレベル

ソート順

情報を表示するプライマリモード: 異常バイトフロー、または パケット

すべてのレベル

送信元アドレス

送信元アドレスの名前。

すべてのレベル

宛先アドレス

宛先アドレスの名前。

すべてのレベル

時間

情報がテーブルにあった合計時間。

すべてのレベル

フラグ

フラグ には、 強制F (簡潔な出力のみ)、 SYNcookieS (簡潔な出力のみ)、 強制+SYNcookieF+S (簡潔な出力のみ) があります。 SYNcookie フラグは、変換先テーブルでのみ表示されます。

すべてのレベル

アプリケーション

FTPTelnet などの構成済みアプリケーション。

すべてのレベル

バイト

送信元から宛先アドレスに送信された合計バイト数(単位:千(k) または百万(m)。

すべてのレベル

パケット

送信元から宛先アドレスに送信されたパケットの総数(単位:千(k)または百万(m)。

すべてのレベル

フロー

送信元から宛先アドレスに送信されたパケットのフローの総数(単位:千(k)または百万(m)。

すべてのレベル

異常

異常テーブル内のパケットの総数(単位:千(k)または百万(m)。

すべてのレベル

異常の説明

次のタイプの異常の 1 つ以上。詳細については、 システムログエクスプローラのステートフルファイアウォールセクションの詳細な説明を参照してください。

  • TCPセッションの最初のパケットがSYNではない

  • シーケンス番号が重複しているため、ICMP エコー要求がドロップされました

  • ICMP エコー応答がドロップされました。一致するシーケンス番号がありません

  • ICMP エコー要求がドロップされました。エコー応答のないエコー要求が多すぎます

  • ICMP ヘッダー長のチェックに失敗しました

  • ICMP パケット長が 64K を超える

  • IP フラグメント アセンブリ タイムアウト

  • IP フラグメント長エラー

  • IP フラグメントのオーバーラップ

  • IP パケット長が 64K を超える

  • IP パケットが短すぎます

  • ブロードキャスト宛先アドレスを持つIPパケット

  • チェックサムエラーのあるIPパケット

  • 不正な長さのIPパケット

  • TTL が 0 の IP パケット

広範囲

異常の説明 (続き)

  • バージョン 4 以外の IP パケット

  • 陸上攻撃(IP 送信元アドレス = 宛先アドレス)

  • 一致する SFW ルールがありません。破棄フローを作成しようとしています

  • 開いているセッションの数が IDS 制限を超えています。パケットがドロップされました

  • パケット レートが IDS 制限を超えています。パケットがドロップされました

  • セッション作成率が IDS 制限を超えている。パケットがドロップされている

  • SFW アプリケーション メッセージが長すぎます

  • SFW 破棄パケットに未構成の IP オプション タイプが含まれています

  • 廃棄フローによる SFW ドロップ パケット

  • SFW ドロップされた TCP ウォッチ パケット

  • SFW ルールは、FTP アクティブ モード データ パケットの受け入れを要求し、フォワード フローを作成しようとしています

  • SFW ルールは、FTP パッシブ モードのデータ パケットの受け入れを要求します。フォワード フローを作成しようとしています

  • SFW ルールはパケットの受け入れを要求します。転送フローまたはウォッチ フローを作成しようとしています

  • SFW ルールはパケットの破棄を要求します。破棄フローを作成しようとしています

  • SFW ルールはパケットの拒否を要求します。拒否フローを作成しようとしています

  • SFW 廃棄フローではパケットをドロップする必要があります

  • SFW SYN防御

  • スマーフ攻撃(IPブロードキャストアドレスへのping)

  • TCP FIN/RST または SYN/(URG|フィン|RST) フラグセット

  • TCP ヘッダー長のチェックに失敗しました

  • TCP ポート スキャン (ポート が LISTEN 状態ではない)

  • TCP シーケンス番号 0 および FIN/PSH/RST フラグの設定

  • TCP シーケンス番号 0 でフラグが設定されていない

  • TCP 送信元または宛先ポート 0

  • TCP SYNフラッド攻撃

  • UDP ヘッダー長のチェックに失敗しました

  • UDP ポート スキャン (ポート が LISTEN 状態ではない)

  • UDP 送信元または宛先ポート 0

広範囲

カウント

特定の異常が発生した回数(千 (k) または百万 (M)。

広範囲

レート(eps)

異常イベント数/秒IDS サブシステムはレートの加重平均を維持しようとしますが、これは低レートでの正確な攻撃の受信レートを反映していない可能性があります。ただし、毎秒 160 イベントを超える高いレートでは、レートは一般的に一致します。

広範囲

経過

同じタイプのイベントが最後に発生してからの時間。

広範囲

IDS テーブル エントリーの合計数

IDS テーブル内のエントリーの数。この数は、表示されるすべてのエントリの合計であるとは限りません。

すべてのレベル

失敗した IDS テーブル項目の挿入の合計数

テーブルがいっぱいだったためにテーブルに許可されなかった IDS エントリの数

すべてのレベル

イベントの総数(クローズされたフローと検出された異常)

システムが起動されてから、またはコマンドが実行されてから show ids services のイベントの合計数。

すべてのレベル

サンプル出力

show services ids destination-table

show services ids destination-table extensive

show services ids宛先テーブル広範な注文異常

ショーサービスIDSペアテーブル拡張

show services ids pair-table extensive 制限

show services ids source-table extensive

show services ids source-table extensive 制限

リリース情報

Junos OSリリース7.4より前に導入されたコマンド。