項目一覧
ネットワーク攻撃防御のための IDS 画面について
侵入検出サービス
侵入検出サービス(IDS)画面は、ネットワーク攻撃の一部であるトラフィックを特定してドロップする方法を提供します。
IDS 画面では、以下を指定できます。
個々の送信元から発信されたセッション数、または個々の宛先で終了したセッション数の制限
不審なパケットの種類
また、IDS 画面でパケットが識別されたときに、パケットをドロップするのではなく、アラームを記録するように選択することもできます。
IDS画面に加えて、ファイアウォールフィルターとポリサーを使用して、不正なTCPフラグやその他の不正なフラグの組み合わせを阻止し、一般的なレート制限を指定できます( ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照)。IDS 画面では、より詳細なフィルタリングを追加できます。
ファイアウォールフィルターとステートフルファイアウォールフィルターを使用して、IDS画面で処理する必要のないトラフィックをフィルタリングします。
利点
数種類のネットワーク攻撃に対する保護を提供します。
セッション制限
IDS 画面を使用して、個々の送信元または個々の宛先へのトラフィックのセッション制限を設定できます。これにより、ネットワーク プローブ攻撃やフラッディング攻撃から保護します。セッション制限を超えるトラフィックはドロップされます。セッション制限は、ICMP などの特定の IPプロトコルを使用するトラフィック、または一般的なトラフィックに対して指定できます。
制限を個々のアドレスに適用するか、特定のプレフィックス長の個々のサブネットからのトラフィックのアグリゲーションに適用するかを決定します。たとえば、プレフィックス長が 24 の IPv4 サブネットの制限を集約すると、192.0.2.2 および 192.0.2.3 からのトラフィックは 192.0.2.0/24 サブネットの制限に対してカウントされます。
セッション制限で保護される一般的なネットワークプローブ攻撃とフラッディング攻撃には、次のようなものがあります。
| ICMP Address Sweep | 攻撃者は、ICMPリクエストプローブ(ping)を複数のターゲットに送信します。ターゲットマシンが応答すると、攻撃者はターゲットのIPアドレスを受け取ります。 |
| ICMP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のICMPパケットを送信することで、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのICMPパケットを処理しようとしてリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| TCP Port Scan | 攻撃者は、1つの送信元からターゲットマシンの複数の宛先ポートにTCP SYNパケットを送信します。ターゲットが 1 つ以上の宛先ポートから SYN-ACK で応答すると、攻撃者はターゲットで開いているポートを学習します。 |
| TCP SYN Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のTCP SYNパケットを送信することで、ターゲットマシンをフラッディングします。攻撃者は、実際の送信元 IP アドレスを使用して、TCP 接続を完了したり、偽の送信元 IP アドレスを使用して、TCP 接続が完了しなかったりする可能性があります。ターゲットは、完了した TCP 接続と不完全な TCP 接続すべての状態を作成します。ターゲットは、接続状態を管理しようとしてリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| UDP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のUDPパケットを送信することで、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのUDPパケットを処理しようとしてリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
送信元または宛先へのトラフィックのセッション制限には、以下が含まれます。
同時セッションの最大数
最大パケット数/秒
最大接続数/秒
また、IDS 画面は、以下の条件が発生した場合に、不審なアクティビティがないか、ラインカードの PFE に動的フィルターをインストールします。
個々の送信元アドレスまたは宛先アドレスの 1 秒あたりのパケット数または1 秒あたりの接続数が、IDS 画面のセッション制限の 4 倍を超えています。(動的フィルターは、サブネットアグリゲーションを使用する IDS 画面からは作成されません。
サービス カードの CPU 使用率が設定値を超えています(デフォルト値は 90%)。
動的フィルターは、IDS画面でトラフィックを処理せずに、疑わしいトラフィックをPFEでドロップします。パケットまたは接続レートが IDS 画面の制限値の 4 倍を超えなくなると、動的フィルターが削除されます。
不審なパケットパターン
IDS画面を使用して、疑わしいパケットパターンのトラフィックを特定してドロップすることができます。これにより、通常とは異なるパケットを作成してサービス拒否攻撃を仕掛けようとする攻撃者から保護できます。
IDS 画面で指定できる不審なパケットパターンおよび攻撃は、以下のとおりです。
| ICMP fragmentation attack | 攻撃者は、IPフラグメントであるターゲットICMPパケットを送信します。ICMPパケットは通常短いため、これらは疑わしいパケットと見なされます。ターゲットがこれらのパケットを受信すると、その結果、パケットの不適切な処理からシステム全体のクラッシュまで、さまざまな結果になる可能性があります。 |
| Malformed ICMPv6 packets | 不正な形式の ICMPv6 パケットは、デバイスやネットワークに損害を与える可能性があります。不正な形式の IPv6 パケットの例としては、大きすぎるパケット(メッセージタイプ 2)、ネクストヘッダーがルーティング(43)、ルーティングヘッダーがホップバイホップに設定されているパケットなどがあります。 |
| ICMP large packet attack | 攻撃者は、IP長が1024バイトを超えるターゲットICMPフレームを送信します。ほとんどのICMPメッセージは小さいため、これらは疑わしいパケットと見なされます。 |
| Ping of death attack | 攻撃者は、IPデータグラム長(ip_len)がIPパケットの最大法定長(65,535バイト)を超え、パケットがフラグメント化されたターゲットICMP pingパケットを送信します。ターゲットがIPパケットを再構成しようとすると、バッファオーバーフローが発生し、システムがクラッシュ、フリーズ、再起動する可能性があります。 |
| Bad option attack | 攻撃者は、不正な形式のIPv4オプションまたはIPv6拡張ヘッダーを使用してターゲットパケットを送信します。これにより、ルーターとターゲットのIPスタック実装によっては、予期しない問題が発生する可能性があります。 |
| Fragmented IP packets | IP フラグメントには、特定の IP スタック実装のパケット再構成コードの脆弱性を悪用しようとする攻撃者の試みが含まれている可能性があります。ターゲットがこれらのパケットを受信すると、その結果、パケットの不適切な処理からシステム全体のクラッシュまで、さまざまな結果になる可能性があります。 |
| IPv6 extension headers | 攻撃者は、サービス拒否攻撃やフィルターのバイパスに拡張ヘッダーを悪意を持って使用できます。 |
| IPv4 options | 攻撃者は、悪意を持ってサービス拒否攻撃に IPv4 オプションを使用できます。 |
| IP teardrop attack | 攻撃者は、重複するフラグメント化されたIPパケットをターゲットに送信します。ターゲット マシンは、パケットを再構成しようとするときにリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| IP unknown protocol attack | 攻撃者は、IPv4では137より大きいプロトコル番号、IPv6では139より大きいプロトコル番号を持つターゲットパケットを送信します。未知のプロトコルが悪意のあるものである可能性があります。 |
| TCP FIN No ACK attack | 攻撃者は、FINビットが設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを特定したり、ターゲットの開いているポートを特定したりできます。 |
| Land attack | 攻撃者は、ターゲットのIPアドレスを宛先と送信元IPアドレスの両方として含む、ターゲットのなりすましSYNパケットを送信します。ターゲットは、自分自身に繰り返し応答するときにリソースを使い果たします。ランド攻撃の別のバリエーションでは、SYNパケットにも同じ送信元ポートと宛先ポートが含まれています。 |
| TCP SYN ACK ACK attack | 攻撃者は、接続を完了せずに、ターゲットとのTelnetまたはFTP接続を開始します。ターゲットのセッションテーブルがいっぱいになり、デバイスが正当な接続要求を拒否する可能性があります。 |
| TCP SYN FIN attack | 攻撃者は、SYNビットとFINビットの両方が設定されたターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
| SYN fragment attack | 攻撃者は、ターゲットとなる SYN パケット フラグメントを送信します。ターゲットはSYNフラグメントをキャッシュし、残りのフラグメントが到着するのを待って、それらを再構成して接続を完了できるようにします。大量の SYN フラグメントが、最終的にホストのメモリバッファを埋め尽くし、有効なトラフィック接続が妨げられます。 |
| TCP no flag attack | 攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
| TCP WinNuke attack | 攻撃者は、緊急(URG)フラグが設定されたTCPセグメントを送信し、Windowsを実行しているターゲットのポート139に送信します。これにより、ターゲットマシンがクラッシュする可能性があります。 |