このページで
ネットワーク攻撃防御のための IDS スクリーンについて
侵入検知サービス
侵入検知サービス(IDS)画面を使用すると、ネットワーク攻撃の一部であるトラフィックを特定してドロップできます。
IDS 画面では、以下を指定できます。
個々のソースから発信された、または個々の宛先で終了するセッションの数の制限
不審なパケットのタイプ
また、IDS 画面がパケットを識別するときに、パケットをドロップするのではなく、アラームをログに記録することもできます。
IDS スクリーンに加えて、ファイアウォール フィルターとポリサーを使用して、違法な TCP フラグやその他の悪いフラグの組み合わせを停止し、一般的なレート制限を指定できます( ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイドを参照してください)。IDS スクリーンにより、より詳細なレベルのフィルタリングが追加されます。
ファイアウォールフィルターとステートフルファイアウォールフィルターを使用して、IDS画面で処理する必要のないトラフィックを除外します。
利点
複数のタイプのネットワーク攻撃から保護します。
セッションの制限
IDS スクリーンを使用して、個々の送信元または個々の宛先へのトラフィックのセッション制限を設定できます。これにより、ネットワークの検知とフラッディング攻撃から保護します。セッション制限を超えるトラフィックは破棄されます。ICMP などの特定の IP プロトコルを持つトラフィック、または一般的なトラフィックのセッション制限を指定できます。
制限を個々のアドレスに適用するか、特定のプレフィックス長の個々のサブネットからのトラフィックのアグリゲーションに適用するかを決定します。例えば、プレフィックス長が24のIPv4サブネットの集約制限では、192.0.2.2および192.0.2.3からのトラフィックは、192.0.2.0/24サブネットの制限に対してカウントされます。
セッション制限による防御となる一般的なネットワーク監視およびフラッディング攻撃には、以下のものがあります。
ICMP Address Sweep | 攻撃者は、ICMP リクエスト プローブ(pings)を複数のターゲットに送信します。ターゲットマシンが応答すると、攻撃者はターゲットのIPアドレスを受信します。 |
ICMP Flood | 攻撃者は、1つ以上のソースIPアドレスから大量のICMPパケットを送信することで、ターゲットマシンをフラッディングします。ターゲット マシンは、これらの ICMP パケットの処理を試みるとリソースを使用し、有効なトラフィックを処理できなくなります。 |
TCP Port Scan | 攻撃者は、1 つのソースからターゲット マシンの複数の宛先ポートに TCP SYN パケットを送信します。ターゲットが 1 つ以上の宛先ポートから SYN-ACK と返信すると、攻撃者はターゲットで開いているポートを学習します。 |
TCP SYN Flood | 攻撃者は、1つ以上のソースIPアドレスから大量のTCP SYNパケットを送信することで、ターゲットマシンをフラッディングします。攻撃者は、実際の送信元 IP アドレスを使用して TCP 接続が完了したり、偽の送信元 IP アドレスを使用したりして、TCP 接続が完了しない可能性があります。ターゲットは、すべての完了および不完全な TCP 接続の状態を作成します。ターゲットは、接続状態の管理を試みるとリソースを使用し、有効なトラフィックを処理できなくなります。 |
UDP Flood | 攻撃者は、1つ以上のソースIPアドレスから大量のUDPパケットを送信することで、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのUDPパケットの処理を試みるとリソースを使用し、有効なトラフィックを処理できなくなります。 |
送信元または宛先からのトラフィックのセッション制限は以下のとおりです。
最大同時セッション数
最大 1 秒あたりのパケット数
1秒あたりの最大接続数
IDS スクリーンは、次の状態が発生した場合に不審なアクティビティのライン カードの PFEs に動的フィルターをインストールします。
個々の送信元または宛先アドレスの 1 秒あたりのパケット数または 1 秒あたりの接続数が、IDS 画面のセッション制限の 4 倍を超えています。(サブネットアグリゲーションを使用するIDS画面から動的フィルターを作成することはありません。
サービス カード CPU 使用率の割合が設定された値(デフォルト値は 90%)を超えています。
動的フィルターは、IDS 画面で処理されるトラフィックなしで、PFE で不審なトラフィックをドロップします。パケットまたは接続レートが IDS 画面の 4 倍の制限を超えなくなった場合、動的フィルターは削除されます。
不審なパケット パターン
IDS 画面を使用して、不審なパケット パターンのトラフィックを特定してドロップできます。これにより、通常とは異なるパケットを作成してサービス拒否攻撃を仕掛ける攻撃者から保護します。
IDS 画面で指定できる不審なパケット パターンと攻撃は次のとおりです。
ICMP fragmentation attack | 攻撃者は、IP フラグメントであるターゲット ICMP パケットを送信します。ICMP パケットは通常短いため、これらのパケットは不審パケットと見なされます。ターゲットがこれらのパケットを受信すると、パケットの処理からシステム全体のクラッシュまで、結果の範囲が広がることができます。 |
Malformed ICMPv6 packets | 異常な ICMPv6 パケットは、デバイスとネットワークに損害を与える可能性があります。異常な IPv6 パケットの例としては、大きすぎるパケット(メッセージ タイプ 2)、次のヘッダーがルーティング(43)に設定されているパケット、またはルーティング ヘッダーがホップバイ ホップに設定されているパケットがあります。 |
ICMP large packet attack | 攻撃者は、IP 長が 1024 バイトを超えるターゲット ICMP フレームを送信します。ほとんどの ICMP メッセージは小さいため、これらのパケットは疑わしいパケットと見なされます。 |
Ping of death attack | 攻撃者は、IP データグラム長(ip_len)が IP パケットの最大有効長(65,535 バイト)を超えるターゲット ICMP ping パケットを送信し、パケットをフラグメント化します。ターゲットが IP パケットの再構築を試みると、バッファー オーバーフローが発生し、その結果、システムがクラッシュ、フリーズ、再起動することがあります。 |
Bad option attack | 攻撃者は、正しくフォーマットされていない IPv4 オプションまたは IPv6 拡張ヘッダーを持つターゲット パケットを送信します。これにより、ルーターとターゲットの IP スタックの実装に応じて、予測不能な問題が発生する可能性があります。 |
Fragmented IP packets | IP フラグメントには、特定の IP スタック実装のパケット再構築コードの脆弱性を悪用しようとする攻撃者の試みが含まれている場合があります。ターゲットがこれらのパケットを受信すると、その結果には、パケットの正しい処理からシステム全体のクラッシュまで、さまざまな可能性があります。 |
IPv6 extension headers | 攻撃者は、サービス拒否攻撃やフィルターのバイパスに拡張ヘッダーを悪意を持って使用する可能性があります。 |
IPv4 options | 攻撃者は、サービス拒否攻撃に IPv4 オプションを悪意を持って使用する可能性があります。 |
IP teardrop attack | 攻撃者は、重複するフラグメント化されたターゲット IP パケットを送信します。ターゲットマシンは、パケットの再アセンブリを試みるとリソースを使用し、有効なトラフィックを処理できなくなります。 |
IP unknown protocol attack | 攻撃者は、プロトコル番号が IPv4 の場合は 137 を超え、IPv6 の場合は 139 を超えるターゲット パケットを送信します。未知のプロトコルは悪意のあるものかもしれません。 |
TCP FIN No ACK attack | 攻撃者は、FIN ビットが設定されていても、ACK ビットが設定されていないターゲット TCP パケットを送信します。これにより、攻撃者はターゲットのオペレーティング システムを識別したり、ターゲット上の開いているポートを識別することができます。 |
Land attack | 攻撃者は、ターゲットの IP アドレスを含むターゲット のスプーフィングされた SYN パケットを宛先と送信元 IP アドレスの両方として送信します。ターゲットは、リソースを使って自分自身に繰り返し返信します。もう 1 つの種類のランド攻撃では、SYN パケットには同じ送信元と宛先のポートが含まれています。 |
TCP SYN ACK ACK attack | 攻撃者は、接続を完了せずに、ターゲットとの Telnet または FTP 接続を開始します。ターゲットのセッションテーブルを満たすことができるため、デバイスは正規の接続要求を拒否します。 |
TCP SYN FIN attack | 攻撃者は、SYN ビットと FIN ビットの両方が設定されたターゲット TCP パケットを送信します。これにより、TCP スタックの実装に応じて、ターゲットで予期しない動作が発生する可能性があります。 |
SYN fragment attack | 攻撃者はターゲットの SYN パケット フラグメントを送信します。ターゲットは SYN フラグメントをキャッシュし、残りのフラグメントが到着するのを待って、それらを再構築して接続を完了できるようにします。SYN フラグメントのフラッドは最終的にホストのメモリ バッファを満たし、有効なトラフィック接続を防ぎます。 |
TCP no flag attack | 攻撃者は、フラグを含まず、ターゲットの TCP パケットを送信します。これにより、TCP スタックの実装に応じて、ターゲットで予期しない動作が発生する可能性があります。 |
TCP WinNuke attack | 攻撃者は、緊急(URG)フラグを設定した TCP セグメントを送信し、Windows を実行しているターゲットのポート 139 宛てに送信します。これにより、ターゲット マシンがクラッシュする可能性があります。 |