McAfee® Network Security Platform
(旧 IntruShield)
サービス拒否 (DoS) 攻撃防止技術
サービス拒否防止技術
目次
1. 概要 ... 3 2. DoS/DDoS 攻撃の種類... 4 2.1. 量による DoS 攻撃 ... 4 2.1.1. TCP SYN ... 4 2.1.2. TCP Full Connect ... 4 2.1.3. TCP ACK/FIN ... 4 2.1.4. TCP RST ... 4 2.1.5. DNS フラッド ... 4 2.1.6. UDP フラッド ... 4 2.1.7. ICMP フラッド ... 5 2.1.8. TCP/UDP/ICMP 以外のフラッド攻撃 ... 5 2.2. エクスプロイトによる DoS 攻撃 ... 53. Network Security Platform による DoS/DDoS 攻撃の検出 ... 5
3.1. 量による DoS 攻撃の検出 ... 6
3.1.1. しきい値による攻撃の検出 ... 6
3.1.2. 学習機能 (統計的なアノマリ) による攻撃検出 ... 6
3.2. エクスプロイトによる DoS 攻撃の検出 ... 7
4. Network Security Platform による DoS/DDoS 攻撃の阻止 ... 8
4.1. 統計的アノマリ ... 10 4.2. SYN Cookie ... 11 4.3. ステートフル TCP エンジン ... 11 4.4. DNS 保護 ... 11 4.5. レート制限 ... 11 4.6. ACL ... 12
サービス拒否防止技術
1. 概要
この資料では、McAfee Network Security Platform について次の情報を説明します。
Network Security Platform で検出可能なサービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃の種類 DoS 攻撃と DDoS 攻撃に対して実行可能なアクション サービス拒否攻撃とは サービス拒否 (DoS) 攻撃は、正規ユーザによるサービス、システム、ネットワークの使用を不能に する悪質な行為です。他の攻撃と異なり、DoS 攻撃では、攻撃対象のサーバに侵入したり、アクセ ス権を取得する必要はありません。DoS 攻撃の目的は、正規のユーザにサーバが提供するサービス を利用させないことです。 攻撃者は、攻撃対象がクラッシュしたり、外部ネットワークからアクセス不能になるか、正規のト ラフィックを処理できなくなるまで大量のトラフィックを送信し続けます。実際に攻撃で使用する トラフィックの量は攻撃で使用されるペイロードの種類によって異なります。脆弱な TCP/IP ス タックをクラッシュさせるだけであれば、不正な IP フラグメントをいくつか送信するだけで目的は 達成されますが、同じ TCP/IP スタックで IP フラグメントの再構成を麻痺させるには、完全に一致 する IP フラグメントを大量に送信する必要があります。巧妙な攻撃者は、正規のペイロードと不正 なペイロードを混在させて DoS 攻撃を実行します。DoS 攻撃による影響は様々です。ネットワー ク全体が使用不能になる場合もあれば、特定のホストだけでサービスが使用不能になる場合もあり ます。また、特定のホストの特定のサービスだけが使用不能になることもあります。 DoS 攻撃の大半はフラッド攻撃です。ネットワークに正規の TCP 接続パケットを大量に送信し、 ネットワークの帯域幅を使い果たします。パケットのヘッダーが偽装または改ざんされているため、 不正なパケットでも信頼された送信元から届いたように見えます。 分散型サービス拒否攻撃とは 分散型サービス拒否 (DDoS) は DoS 攻撃の一種で、ネットワーク上に分散している複数のホス トから実行されます。DDoS 攻撃は組織的な攻撃で、マスターという一人の管理者が複数のシ ステムを操作して実行します。攻撃を実行する前に、マスターは所有者に気付かれないように 大量のホストに侵入し、攻撃に使用するソフトウェアをインストールします。実際の攻撃は、 これらのホストから実行されます (このホストはゾンビ、デーモン、エージェント、スレーブ、 ボットなどと言われます)。攻撃の準備が整うと、マスターはゾンビに攻撃命令を送信します。 マスターは攻撃に直接的に関与していないため、DDoS 攻撃の発生源を特定するのは非常に困 難です。DoS 攻撃の場合と同様に、ゾンビから送信されたパケットも偽装され、信頼された送 信元から届いたように見えます。DDoS 攻撃の場合、それぞれの攻撃元から送信される量はそ れほどではありませんが、これらが重なることにより、攻撃対象の機能を麻痺させることが可 能になります。マスターとゾンビとの通信で攻撃を行うため、実際の攻撃者はゾンビの中に身 を隠すことができます。
サービス拒否防止技術
2. DoS/DDoS 攻撃の種類
大別すると、DoS/DDoS 攻撃は量的なものとエクスプロイトによるものに分類できます。 2.1. 量による DoS 攻撃 量による DoS 攻撃の場合、トラフィックの統計的な分布や量と比べると異常な値を示します。この ような変化がある場合、不正な行為が実行されている可能性があります。量による攻撃は、使用さ れるプロトコルから次のように分類できます。 2.1.1. TCP SYN TCP SYN 攻撃では、偽装された IP アドレスから攻撃対象のホストに大量の SYN パケットが送信 されます。これにより、サーバ上でオーバーフローが発生し、サービス拒否状態になります。 2.1.2. TCP Full Connect TCP Full Connect 攻撃では、有効な送信元 IP が使用され、完全な TCP ハンドシェーク プロセスが 実行されます。攻撃者は、実際の IP と PC を使用して TCP Full Connect 攻撃を実行します。通常、 この攻撃にはボットネットが使用されます。複数のボットネットから TCP Full Connect 攻撃を実行 することで、サーバのリソースを使い果たし、サービス拒否状態を引き起こします。TCP Full Connect 攻撃は、分散システム上のボットネットから実行される DDoS 攻撃といえます。 2.1.3. TCP ACK/FIN TCP ACK/FIN 攻撃では、攻撃対象のホストに大量の TCP ACK/FIN パケットが送信されます。 これにより、帯域幅を使い果たし、サービス拒否状態になります。 2.1.4. TCP RST TCP RST 攻撃では、実行中の TCP セッションを強制的に終了させるために不正な TCP RST パ ケットが大量に送信されます。この攻撃では、パケットの受信、チェック、破棄を行うシステム リ ソースが大量に消費され、サービス拒否状態になります。 2.1.5. DNS フラッド DNS フラッド攻撃では、大量の DNS 要求がサーバに送信されます。DNS は UDP を使用するため、 ハンドシェーク プロセスは実行されません。大量の DNS 要求により、DNS インフラのリソースが 大量に消費され、サービス拒否状態になります。 2.1.6. UDP フラッドUDP フラッド攻撃では、大量の UDP パケットが攻撃対象のシステムに送信されます。2 つの UDP サービス間の通信が確立すると、攻撃対象の任意のポートに大量の UDP パケットが送信されます。 攻撃を受けたシステムは、「Destination Unreachable」ICMP パケットを大量に送信するため、リ ソースが使い果たされ、サービス拒否状態になります。UDP の場合、データ転送時に接続をセット アップする必要はありません。ネットワークに接続していれば誰でも攻撃が可能です。また、特定 のアカウントにアクセスする必要もありません。UDP フラッド攻撃を行うには、ホストの chargen サービスを同じまたは別のコンピュータの echo サービスに接続する手段もあります。この方法で は、非常に多くのパケットが生成されるため、関係するすべてのコンピュータがサービス拒否状態 になります。また、2 つ以上のホストが関係している場合、中間のネットワークを混雑させると、
サービス拒否防止技術 そのネットワーク経由でトラフィックを送受信しているすべてのホストをサービス拒否状態にする ことが可能です。 2.1.7. ICMP フラッド この攻撃では、ネットワークで ICMP Echo 要求または応答パケットを大量に発生させます。攻撃 対象に Echo 要求を大量に送信すると、システムが過密状態になり、要求に応答できなくなります。 応答パケットが大量に発生した場合には、リモートの攻撃者がユーザのネットワーク内の IP アドレ スを偽装している可能性があります。攻撃者がこの偽装アドレスを使用して別のネットワークに ICMP Echo 要求パケットを送信すると、受信したネットワークが要求元のアドレスに応答するため、 この 2 つのネットワーク間で大量の応答/要求が発生します。 2.1.8. TCP/UDP/ICMP 以外のフラッド攻撃 TCP、UDP、ICMP 以外のパケットによるフラッド攻撃もあります。たとえば、IPSec や不正な IP パケット (チェックサムが無効で長さが一致しない IP パケットなど) による攻撃も発生しています。 2.2. エクスプロイトによる DoS 攻撃 エクスプロイトによる攻撃では、ネットワークやシステムの脆弱性が狙われます。エクスプロイト による DoS 攻撃には次のようなものがあります。 攻撃名 説明 TearDrop 攻撃 この攻撃では、他のパケットを重複するように、断片化された ICMP パケッ トを偽装します。これにより、一部の IP スタックがクラッシュしたり、無限 ループに入り、サービス拒否状態になります。
Ping of Death 攻撃 脆弱な TCP/IP スタックが存在するシステムに最大許可サイズ (65,536 バイ ト) を超えたパケットを送信し、システムをクラッシュさせます。
LAND 攻撃 送信元と宛先の IP アドレスとポート番号が一致するパケットを送信して、脆 弱なシステムを不安定な状態にします。
3. Network Security Platform による DoS/DDoS 攻撃の検出
McAfee Network Security Platform は、ハードウェアとソフトウェアを統合したソリューションで、 数百 Mbps から数ギガビットまでの回線速度に対応しています。既知の攻撃だけでなく、新しい攻 撃、DoS/DDoS など、様々な攻撃からネットワークを保護します。
Network Security Platform アーキテクチャは、しきい値やポリシーによる検出技術以外に自己学習 機能を搭載し、DoS/DDoS 攻撃を検出します。
ネットワーク管理者は、サーバが過負荷状態で使用不能にならないようにデータ トラフィックに制 限を設定できます。このしきい値は、対応する DDoS 攻撃の範囲や使用可能な統計データによって 選択します。自己学習機能を有効にすると、Network Security Platform がネットワークの使用状況 やトラフィックのパターンを学習し、正規のネットワーク操作での許容範囲を判断します。この学 習アルゴリズムは、すべてのネットワーク トラフィックで一般的に発生する増加率を考慮し、 DDoS トラフィックによる急増かどうかを識別します。量の増減だけでなく、パケット間の相関関 係も学習するので、TCP/IP プロトコルの動作やルーティング情報を正確にキャプチャリングします。 人気のある Web サイトやネットワークでは、大きな事件が発生したり、新しいプログラムやサー
サービス拒否防止技術 ビス、アプリケーションの利用開始日などにトラフィックが突発的に急増することがあるため、精 度の高い DoS 検出技術は不可欠です。 悪質なプログラマが数百または数千のホストを悪用して特定の対象に攻撃を実行しても、この 2 つ の技術を組み合わせることにより、あらゆる DoS/DDoS 攻撃を正確に検出することができます。 3.1. 量による DoS 攻撃の検出
Network Security Platform は、量による DoS 攻撃をしきい値と統計的アノマリから検出します。通 常、この 2 つ方法を組み合わせて検出を行います。
3.1.1. しきい値による攻撃の検出
しきい値は、Network Security Manager の DoS ポリシーに設定します。しきい値に達すると、DoS 攻撃が発生したと見なされます。
Network Security Manager では、次のしきい値をカスタマイズできます。 受信リンク使用率 (バイト/秒) 受信 ICMP パケット 受信 IP フラグメント サイズの大きい受信 ICMP パケット サイズの大きい受信 UDP パケット 拒否された TCP パケット 受信 TCP 接続 受信 TCP SYN 受信 UDP パケット 3.1.2. 学習機能 (統計的なアノマリ) による攻撃検出 新しいセンサは最初の 48 時間を学習モードで動作します。48 時間が経過すると、センサは自動的 に検知モードに移行し、ネットワークが正常に稼動しているときのトラフィック パターンの基準 (長期プロファイル) を設定します。最初の 48 時間は DoS 攻撃が実行されていないことを前提とし ています。 検知モードへの移行後も統計データの収集を継続し、長期プロファイルを更新します。長期プロ ファイルは、ネットワークの状況に合わせて常に更新されています。 センサは、数分間の短期プロファイルも生成します。 学習モードのプロファイルはセンサ レベルでカスタマイズできます。VLAN タグまたは CIDR ブ ロック内のサブインターフェースと個々の CIDR ホストは、学習モードの特定の設定で DoS 攻撃か ら保護されます。これは、DMZ またはその他の場所にあるサーバを DoS 攻撃から保護する場合に 有効です。また、リソースごとに個別のプロファイルが作成されます。 統計的な方法では、一定の時間内に生成された統計データを使用して、短期または長期プロファイ ルを作成します。通常、プロファイルのトラフィック パターンに外れたネットワーク トラフィック が見つかると、DoS 攻撃と見なされます。 センサは、通常のトラフィックで学習したデータと比較しながら統計的アノマリを監視します。新 しいセンサは最初の 48 時間を学習モードで動作します。48 時間が経過すると、センサは自動的に
サービス拒否防止技術 検知モードに移行し、ネットワークが正常に稼動しているときのトラフィック パターンの基準 (長 期プロファイル) を設定します。最初の 48 時間は DoS 攻撃が実行されていないことを前提として います。 検知モードへの移行後も統計データの収集を継続し、長期プロファイルを更新します。長期プロ ファイルはネットワークの状況に合わせて常に更新されています。 センサは、攻撃を正確に検知するために以下の状況を確認しています。 プロファイル汚染 送信元 IP の分類 (「統計的アノマリ」を参照) プロファイル汚染の確認 長期プロファイルを作成する目的は、通常のトラフィック レベルを定義することです。センサは、 定義した通常レベルと比較して異常な急増を特定します。 また、センサは収集した統計データを使用して短期プロファイル (数分間の統計データの平均) を作 成します。 DoS 攻撃発生時のデータが短期プロファイルに入り、このプロファイルで長期プロファイルが更新 されると、長期プロファイルの質が低下します。
この質の低下を防止するため、Network Security Platform では次の対策を講じています。
検知モードで、統計的アノマリが短期間に多数検知された場合、長期プロファイルの更新を一 時的に中断します。 パーセンタイルを使用します。短期間のデータで大きな変化が数回だけ検知された場合、平均 値は影響を受けると考えられますが、パーセンタイルの値にはほとんど影響しません。たとえ ば、試験の効果を判断するため、試験を受けた 4 人の学生の評価を 0-29、30-49、50-69、70-100 で分類するとします。3 人の学生の評価がそれぞれ 95%、93%、92% で、4 人目が 0% と すると、平均スコアは 70% になってしまいますが、4 人の中で 3 人は 70-100 の範囲に入って います。試験の効果を判断する場合には、このパーセンタイルの範囲を有効な測定値として使 用できます。 3.2. エクスプロイトによる DoS 攻撃の検出
Network Security Platform では、特定のエクスプロイト攻撃を検出するために、攻撃シグネチャを 使用しています。
シグネチャは攻撃のプロファイルです。シグネチャによって特定の攻撃が検出できます。Network Security Platform では、従来の方法 (大量のトラフィック) ではない DoS 攻撃をエクスプロイト シ グネチャで検出しています。たとえば、HTTP: Microsoft IIS..SLASH.. DenialofService エクスプロ イトは、サーバが再起動するまで、古いバージョンの IIS サーバがクライアントに応答しないよう にする要求を識別します。
センサは、シグネチャを使用して様々なレベルのトラフィックを分析します。Network Security Platform のシグネチャは、フロー、プロトコル解析、パケット検索の枠組みで機能し、脆弱性を利 用した DoS 攻撃や、DDoS 攻撃ツールを利用した攻撃を検出します。
サービス拒否防止技術
たとえば、Network Security Platform の検知メカニズムでは、HTTP トラフィック フローだけでな く、GET 要求を含む HTTP トラフィック フローを識別できます。また、GET 要求に
/cgi-bin/calendar.pl が指定された HTTP トラフィック フローや、month という名前で値が February の パラメータと、このパスを含む GET 要求を検知することも可能です。
Network Security Platform では、1 つの攻撃に対して複数のシグネチャが定義できます。攻撃シグ ネチャはより具体的なものになります。これにより、特定のプラットフォームに特別な影響を及ぼ すネットワーク活動から、非常に特殊で悪影響を及ぼす特定のコードまで識別することができます。 シグネチャには、その特殊性と重大度に基づいて様々な信頼度と重大度が割り当てられています。 Network Security Platform の既知の攻撃と一致するネットワーク イベントが発生すると、複数のシ グネチャが使用されます。
4. Network Security Platform による DoS/DDoS 攻撃の阻止
DoS/DDoS 攻撃が検出されると、Network Security Platform は以下の方法で様々な DoS 攻撃を阻止 します。ハイパーリンクをクリックすると、関連する情報が表示されます。
攻撃 推奨 コメント
TCP SYN SYN Cookie
統計的アノマリ
Network Security Manager では、すべての攻撃トラ フィックを阻止し、正規のトラフィックを許可するよう に、SYN Cookie を設定できます。
IPS Policy Editor で送受信トラフィックの両方に「TCP SYN or FIN Volume too high」ポリシーを設定し、TCP SYN または TCP FIN 受信攻撃または送信攻撃をブロッ クできます。
組織内で使用する場合、既知の送信元からのトラフィッ クだけを許可するように、Network Security Manager で ACL を設定できます。
統計的アノマリと比較すると、SYN Cookie の設定は効 果的です。
TCP Full Connect 統計的アノマリ 組織内で使用する場合、既知の送信元からのトラフィッ
クだけを許可するように、Network Security Manager で ACL を設定できます。 TCP ACK/FIN/RST ステートフル TCP 統計的アノマリ
Network Security Manager で TCP フロー違反を DENY_NO_TCB に設定すると、この攻撃はブロックで きます。
IPS Policy Editor で送受信トラフィックの両方に「TCP SYN or FIN Volume too high」ポリシーを設定し、TCP SYN または TCP FIN 受信攻撃または送信攻撃をブロッ
サービス拒否防止技術
攻撃 推奨 コメント
クできます。
IPS Policy Editor で送受信トラフィックの両方に「TCP RST Volume too high」ポリシーを設定し、TCP RST 攻 撃をブロックできます。 また、TCP フローを設定しても TCP RST フラッドをブ ロックできます。 これらの攻撃を阻止するため、McAfee ではステートフ ル TCP を使用することをお勧めします。 DNS フラッド DNS 保護 統計的アノマリ DNS 偽装対策機能を使用すると、DNS フラッド攻撃を 回避できます。この機能は、センサの CLI コマンドで有 効にできます。
IPS Policy Editor で送受信トラフィックの両方に「UDP Packet Volume too high」ポリシーを設定し、UDP フ ラッド攻撃をブロックできます。
TCP のパフォーマンスに問題がなければ、DNS 保護を 使用してください。
UDP フラッド 統計的アノマリ
レート制限
IPS Policy Editor で送受信トラフィックの両方に「UDP Packet Volume too high」ポリシーを設定し、UDP フ ラッド攻撃をブロックできます。
Network Security Manager で ACL を設定すると、ネット ワークで予期しない UDP トラフィックをブロックでき ます。
ICMP フラッド 統計的アノマリ
レート制限
IPS Policy Editor で送受信トラフィックの両方に「ICMP Packet Volume too high」と「ICMP Echo Request or Reply Volume too high” 」ポリシーを設定し、ICMP フ ラッド攻撃をブロックできます。
Network Security Manager で ACL を設定すると、ネット ワークで予期しない ICMP トラフィックをブロックでき ます。
TCP/UDP/ICMP 以外のフラッド攻 撃
統計的アノマリ IPS Policy Editor
で送受信トラフィックの両方に「Non-TCP-UDP-ICMP Volume too high」ポリシーを設定し、 TCP/UDP/ICMP 以外の攻撃をブロックできます。
サービス拒否防止技術 攻撃 推奨 コメント エクスプロイトに よる DoS 攻撃 Network Security Platform シグネ チャ
IPS Policy Editor で送受信トラフィックの両方にポリ シーを設定し、エクスプロイト攻撃 (3000 以上) をブ ロックできます。
Network Security Platform は次の方法 DoS 攻撃を阻止します。これらは単独で使用することも、組 み合わせて使用することもできます。
4.1. 統計的アノマリ
Network Security Platform は、次のような方法で統計的アノマリを検出し、DoS 攻撃を阻止します。 センサは、方向別に追跡したパケット タイプごとにプロファイルを作成します。送信元 IP プロ ファイルでは、IP アドレス空間全体を最大 128 の排他的な IP アドレス ブロック (ビンといいます) に分類しています。これは、CIDR アドレス指定でアドレス空間を分類する方法とほとんど同じで す。各ビンは、接頭辞と接頭辞の長さ (2 から 32 ビット) で識別します。アドレスの最初の n ビッ トがビンの接頭辞と一致すると、IP アドレスはそのビンに分類されます。さらに、該当するプロ ファイルの特定のビンに送信元 IP が関連付けられます。 各ビンには、次の 2 つのプロパティがあります。 このビンに属する IP から送信された正規のトラフィックの割合 IP アドレス空間全体でこのビンの IP 範囲が占める割合 送信元 IP が適切に分類されると、センサは DoS 攻撃からネットワークを保護できます。統計的ア ノマリが発生すると、対象の送信元 IP プロファイルで次のアクションが実行されます。 長期間のトラフィックに占める比率が低いビンが IP 空間の大部分を占めている場合、このビン の IP が送信元に設定されているパケットがすべてブロックされます。これにより、偽装した送 信元 IP アドレスで広範囲に実行される攻撃を阻止できます。 短期間のトラフィックに占める比率が高く、平常時と比べて短期間のトラフィックの割合が明 らかに増加している場合、このビンの IP が送信元に設定されているパケットがすべてブロック されます。これにより、実在の IP アドレスを使用して小規模なネットワークから実行される攻 撃を阻止できます。 長期間のトラフィックで占める比率が高いビンが、IP 空間を占めている割合が小さい場合、こ のビンの IP が送信元に設定されているパケットはブロックされません。これにより、不正では ないと確認されているホストのブロックを回避できます。 2 つ目の判断基準と 3 つ目の判断基準の両方に一致した場合は、3 つ目の判断基準の例外となりま す。つまり、短期のトラフィック レベルが長期の最高レベルを明らかに超えている場合、「不正で ない」ビンの送信元 IP がブロックされます。これにより、最近乗っ取られた正規のホストから実行 される攻撃を阻止できます。 DoS 攻撃を阻止するには、ネットワーク上の SYN パケットの割合をファイアウォールで制限する よりも、送信元の IP を分類するほうが効果的です。このような方法と Network Security Platform の主な違いは、帯域制限を行うデバイスが無作為にトラフィックをブロックする点です。つまり、 正規のトラフィックも攻撃トラフィックと同じ確率でブロックされます。一方、Network Security
サービス拒否防止技術 Platform は、送信元 IP を分類することで攻撃トラフィックと正規のトラフィックを区別するため、 攻撃トラフィックがブロックされる可能性のほうが高くなります。 注: 統計的アノマリは大半の攻撃に対して有効な方法ですが、誤検知が発生する可能性もありま す。 4.2. SYN Cookie SYN フラッド攻撃は、サーバのリソースを標的にし、TCP メモリを消費させようとします。サー バは、SYN を受信して SYN+ACK を戻した後、クライアントの ACK メッセージを受信するまで状 態情報を維持しています。サーバは半開接続の状態を維持しているため、サーバのリソースは解放 されず、占有状態を継続します。このため、サーバが TCP 接続を受け入れられず、DoS 状態にな る場合があります。
Network Security Platform は、SYN フラッド攻撃を阻止するために TCP 初期シーケンス番号を使 用します。
Network Security Manager で SYN Cookie を有効にすると、新しい接続要求を受信したときに、 サーバは受信した SYN パケットと秘密鍵の情報から初期シーケンス番号 (ISN) を生成し、この番号 を含む SYN+ACK を返信します。接続要求が正規のホストから送信された場合、サーバはホストか ら ACK を受信します。接続要求が正規のホストから送信されたものでない場合、TCP セッション は生成されず、サービス拒否状態を防ぐことができます。 4.3. ステートフル TCP エンジン センサの TCP スタックは TCP プロトコルに必要な状態に従って機能します。センサは、TCP の状 態を確認し、無効な状態のパケットをブロックします。偽装された TCP RST、TCP FIN、TCP ACK フラッドを阻止するには、TCP ステートフル エンジンは有効な手段となります。 4.4. DNS 保護 センサの DNS 保護機能を使用すると、DNS クライアントはトランスポート プロトコルとして UDP ではなく TCP を使用します。これにより、DNS サーバを DoS スプーフィング攻撃から保護 できます。TCP は 3 ウェイ ハンドシェイクを使用するので、TCP 使用時にはスプーフィング攻撃 の実行は比較的難しくなります。 DNS 保護モードを設定するには CLI コマンドを使用します。また、このコマンドを使用すると、保 護サーバ リストに DNS スプーフィング対策の IP アドレスを追加したり、リストから IP アドレス を削除できます。 4.5. レート制限 レート制限は、センサのポートから送信される egress トラフィックの割合を制限します。センサが In-Line モードで配備されている場合、センサのポートを通過するトラフィックの帯域幅を制限する と、センサはトラフィックのレート制限を許可します。特定の帯域幅の値以下のトラフィックが許 可され、帯域幅の値を超えるトラフィックがドロップされます。センサは、レートを制限するトラ フィックにトークン バケットを使用します。管理者は、特定のネットワークで DoS 攻撃を阻止す るために、センサ ポート固有の帯域幅制限を設定できます。この設定はマネージャで行います。
サービス拒否防止技術
レート制限は、P2P、HTTP、ICMP などのプロトコル別に設定できます。また、TCP ポート、 UDP ポート、IP プロトコル番号ごとに設定できます。
Network Security Platform では、個々のセンサ ポートでレート制限を設定できます。たとえば、 1A-1B がポート ペアの場合、トラフィック管理は 1A と 1B で個別に設定されます。ポートのトラ フィック管理設定は、egress トラフィックのみに適用されます。 マネージャでは、センサの各レート制限キューは名前によって一意に識別されます。トラフィック 管理キューは、プロトコル、TCP ポート、UDP ポート、IP プロトコル番号に従って構成されます。 センサの各ポートに複数のキューを作成できます。マネージャでのトラフィック管理構成は、セン サの設定を更新する前に行う必要があります。 レート制限オプションは、マネージャのトラフィック管理オプションの一つとして利用できます。 レート制限は、特定のネットワークでトラフィックの特性に関するすべての情報が利用できる場合 に非常に有効な方法となります。正規のトラフィックが削除される可能性もあるため、レート制限 は慎重に適用する必要があります。 4.6. ACL DoS 攻撃の阻止には ACL も有効な手段です。 ACL は、送信元の IP アドレス、宛先の IP アドレス、特定の CIDR ブロック、宛先のプロトコル/ ポートを指定して作成します。センサの TCP/UDP ポート、ICMP タイプ、IP プロトコル別に設定 できます。また、ポート全体に設定することも、個々のポート ペアに設定することもできます。 ネットワークのトラフィックの特性に合わせて ACL を作成すると、ACL を DoS 攻撃を回避できま す。たとえば、ネットワークで通常使用されているプロトコルが分かっている場合には、そのネッ トワークで通常発生しないタイプのトラフィックを削除するように ACL を設定できます。 ルールによる侵入防止が有効になっている場合、応答アクション (拒否、ドロップ、拒否) を設 定できます。組織内で使用する場合、ACL ですべての既知の CIDR から「許可」リストを作成 できます。 サポート情報については、mysupport.mcafee.com をご覧ください。
Copyright © 2010 McAfee, Inc. All Rights Reserved.この印刷物のいかなる部分についても、McAfee, Inc.、または供 給業者あるいは関連会社の書面による許可なしには、複製、送信、複写、検索システムへの格納、他言語への翻訳、 あるいはいかなる形態による使用も禁止されています。
