この記事では、Network Security Platform の DoS(サービス拒否)プロファイルの学習モードと検出モードについて説明します。
学習モード
学習モードは、Sensor が最初にネットワークに追加されたときに開始されます。標準的な学習モードの期間は通常 48 時間です。その後、Sensor は検出モードに入りますが、時間の経過とともに連続的に調整を続けます。
学習モード期間中、Sensor はトラフィックを BIN にカタログ登録します。Sensor は、サブネットごとに BIN のトラフィックを分割し、Sensor ごとに合計 128 個の BIN を割り当てます。 BINは、10.0.0.0/8 および 112.0.0.0/5 などの大きなネットワーク セグメントを参照する場合や、8.8.8.0/29 などのより狭い範囲のセグメントを参照する場合があります。
各 BIN には、特定のプロトコルのトラフィック量を表す値が含まれます。
BIN の表示方法:
- Sensor へのコマンドライン セッションを開きます。
- 次のコマンドを入力し、Enter キーを押します。
show dospreventionprofile <packet-type> <direction>
例:
show dospreventionprofile tcp-syn inbound
0: 0.0.0.0/2 AS=1.568% LT=25.000% ST=0.00% ltR=0.001 stR=0.000
1: 128.0.0.0/3 AS=12.500% LT=0.039% ST=0.00% ltR=0.000 stR=0.000
2: 64.0.0.0/7 AS=0.781% LT=0.110% ST=0.00% ltR=0.000 stR=0.000
3: 192.0.0.0/7 AS=0.781% LT=2.499% ST=0.00% ltR=0.001 stR=0.000
4: 96.0.0.0/5 AS=3.125% LT=1.831% ST=0.00% ltR=0.001 stR=0.000
5: 160.0.0.0/4 AS=6.250% LT=0.534% ST=0.00% ltR=0.000 stR=0.000
6: 80.0.0.0/5 AS=3.125% LT=0.609% ST=0.00% ltR=0.000 stR=0.000
- AS(%) -- この BIN が専有する IP アドレス空間のパーセンテージ
- LT(%) -- この BIN に該当する長期トラフィックのパーセンテージ
- ST(%) -- この BIN に該当する短期トラフィックのパーセンテージ
- ltRate -- この BIN の長期平均トラフィック レート(パケット/秒)
- stRate -- この BIN の短期トラフィック レート(パケット/秒)
検出モード
48 時間の学習モード期間が経過すると、Sensor は自動的に検出モードになります。DoS のデフォルト ブロックはありません。Sensor が受け入れ可能なネットワーク プロファイルを確立したら、ブロックを有効にすることができます。
Network Security Manager で DoS ブロックを有効にする:
- Manager にログインします。
- 左ペインから IPS 設定 を選択します。
- 詳細ポリシー タブをクリックします。
- デフォルト IPS 攻撃設定 を選択します。
- 目的の攻撃タイプを見つけてブロックに設定します。
Sensor が検出モードで、DoS 攻撃である可能性が検出されると、問題の可能性のあるトラフィックの検出を含む BIN が変更され、#(ハッシュ)が表示されます。 Sensor は、特定の攻撃(ブロックとアラート、またはアラートのみ)の設定に基づいてトラフィックに対応します。
DoS 防止の重大度としきい値
Sensor は、ネットワーク トラフィックの小さな変化や DoS 攻撃と解釈される可能性のあるイベントに対して誤検知を防止するために、プロファイルを継続的に調整します。検出された攻撃の重大度に基づいてこの動作をカスタマイズし、必要に応じてしきい値を調整することができます。
重大度の表示方法:
- Sensor へのコマンドライン セッションを開きます。
- 次のコマンドを入力して ENTER を押します。
show dospreventionseverity <packet-type> <direction>
注:テクニカルサポートでは、ネットワークの詳細な知識があり、変更によって DoS 攻撃が誤検知されないことが確かである場合以外は、デフォルトの重大度レベルを変更しないことを推奨しています。
特定の攻撃のしきい値を変更する方法:
- Manager にログインします。
- IP 設定 を選択します。
- 詳細ポリシー を選択します。
- デフォルト IPS 攻撃設定 を選択します。
- しきい値 タブを選択し、変更する特定の攻撃を編集します。