McAfee Network Security Platform Denial-of-Service (DoS) Prevention Techniques

Similar documents
Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

PowerPoint プレゼンテーション

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

IPsec徹底入門

PowerPoint Presentation

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

スライド 1

Windows GPO のスクリプトと Cisco NAC 相互運用性

Stealthwatch System v6.9.0 内部アラーム ID

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

なぜIDSIPSは必要なのか?(v1.1).ppt

R80.10_FireWall_Config_Guide_Rev1

1.indd

プレゼンテーション

VPN 接続の設定

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

_mokuji_2nd.indd

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

TFTP serverの実装

McAfee Firewall for Linux リリース ノート

音声認識サーバのインストールと設定

conf_example_260V2_inet_snat.pdf

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

スライド 1

PfRv2 での Learn-List と PfR-Map の設定

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

Windows Server 2003 Service Pack 適用手順書

Microsoft PowerPoint _y.kenji.pptx

2

索引

SMTP ルーティングの設定

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

ASA の脅威検出機能および設定

適応型セキュリティ アプライ アンスの設定

Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ

Client Management Solutions および Mobile Printing Solutions ユーザガイド

LSFE_FW

一般的に使用される IP ACL の設定

適応型セキュリティ アプライ アンスの設定

HDC-EDI Manager Ver レベルアップ詳細情報 < 製品一覧 > 製品名バージョン HDC-EDI Manager < 対応 JavaVM> Java 2 Software Development Kit, Standard Edition 1.4 Java 2

2.5 トランスポート層 147

Attack Object Update

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

WeChat 認証ベースのインターネット アクセス

TeamViewer 9マニュアル – Wake-on-LAN

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

PAN-OS: パケット処理 PAN-OS のパケットフローシーケンス パロアルトネットワークス合同会社

主なスキル Citrix NetScaler の機能の理解 基本的な NetScaler ネットワークアーキテクチャの把握 NetScaler ライセンスの取得 インストール 管理 SSL を使用して NetScaler を保護する方法の理解 トラフィック処理および管理のための NetScaler

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Microsoft Word - ManagerIPChange.doc

ネットワークトラフィック分析を効果的に活用してパワー強化 ネットワークトラフィック分析 7 つの活用法

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

クラスタ構築手順書

使用する前に

Sample 5

TeamViewer マニュアル – Wake-on-LAN

PowerPoint プレゼンテーション

Time Server Pro. TS-2910 リリースノート お客様各位 2019/09/13 セイコーソリューションズ株式会社 Time Server Pro.(TS-2910/TS-2912) システムソフトウェアリリースノート Ver2.1.1 V2.2 変更点 Version 2.2 (

第5回 マインクラフト・プログラミング入門

講座内容 第 1 回オープンネットワークの概念と仕組み ( 講義 90 分 ) 基本的なネットワークの構成及び伝送技術について大規模化 マルチプロトコル化を中心に技術の発展と 企業インフラへの適用を理解する その基本となっている OSI 7 階層モデルについて理解する (1) ネットワークの構成と機

セキュリティ機能の概要

Mobile Access簡易設定ガイド

Oracle DatabaseとIPv6 Statement of Direction

Solstice Pod ネットワーク導入ガイド

コンバージドファブリック仕様一覧

ソフトウェアの説明

Microsoft Word - PCOMM V6.0_FAQ.doc

スライド 1

在学生向けメールサービス

アルファメール 移行設定の手引き Outlook2016

McAfee Virtual Network Security Platformデータシート

VPN の IP アドレス

Prezentace aplikace PowerPoint

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

Syslog、SNMPトラップ監視の設定

ログインおよび設定

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

FormPat 環境設定ガイド

1012  ボットネットおよびボットコードセットの耐性解析

Template Word Document

MIRACLE MH for SNMP サポート SLA( サービスレベルアグリーメント ) ML-CS-0747 本書は サイバートラスト株式会社 ( 以下 サイバートラスト ) が MIRACLE MH for SNMP サポート ( 以下当サポートサービス ) の内容について説明するものである

Oracle DatabaseとIPv6 Statement of Direction

QualysGuard(R) Release Notes

プロダクト仕様書 SLB

<4D F736F F D E096BE8E9197BF5F984193AE F B40945C432E646F63>

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Untitled

SURFNAVIへのW2003SP2適用時の注意

セキュリティ機能の概要

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

CD-ROM 版をご使用の場合 インストールガイド CD-ROM ドライブ \doc\ インストールガイド.pdf 基本操作ガイド CD-ROM ドライブ \doc\ 基本操作ガイド.pdf 設定ガイド CD-ROM ドライブ \doc\ 設定ガイド.pdf ダウンロード版をご使用の場合 インストー

McAfee Web Gateway Cloud Service インストール ガイド

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

Transcription:

McAfee ( 旧 IntruShield) サービス拒否 (DoS) 攻撃防止技術バージョン 0.1

2 目次 1. 概要... 3 2. DoS/DDoS 攻撃の種類... 4 2.1. 量による DoS 攻撃... 4 2.1.1. TCP SYN... 4 2.1.2. TCP Full Connect... 4 2.1.3. TCP ACK/FIN... 4 2.1.4. TCP RST... 4 2.1.5. DNS フラッド... 4 2.1.6. UDP フラッド... 4 2.1.7. ICMP フラッド... 5 2.1.8. TCP/UDP/ICMP 以外のフラッド攻撃... 5 2.2. エクスプロイトによる DoS 攻撃... 5 3. による DoS/DDoS 攻撃の検出... 5 3.1. 量による DoS 攻撃の検出... 6 3.1.1. しきい値による攻撃の検出... 6 3.1.2. 学習機能 ( 統計的なアノマリ ) による攻撃検出... 6 3.2. エクスプロイトによる DoS 攻撃の検出... 7 4. による DoS/DDoS 攻撃の阻止... 8 4.1. 統計的アノマリ... 10 4.2. SYN Cookie... 11 4.3. ステートフル TCP エンジン... 11 4.4. DNS 保護... 11 4.5. レート制限... 11 4.6. ACL... 12

3 1. 概要 この資料では McAfee について次の情報を説明します で検出可能なサービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃の種類 DoS 攻撃と DDoS 攻撃に対して実行可能なアクション サービス拒否攻撃とは サービス拒否 (DoS) 攻撃は 正規ユーザによるサービス システム ネットワークの使用を不能にする悪質な行為です 他の攻撃と異なり DoS 攻撃では 攻撃対象のサーバに侵入したり アクセス権を取得する必要はありません DoS 攻撃の目的は 正規のユーザにサーバが提供するサービスを利用させないことです 攻撃者は 攻撃対象がクラッシュしたり 外部ネットワークからアクセス不能になるか 正規のトラフィックを処理できなくなるまで大量のトラフィックを送信し続けます 実際に攻撃で使用するトラフィックの量は攻撃で使用されるペイロードの種類によって異なります 脆弱な TCP/IP スタックをクラッシュさせるだけであれば 不正な IP フラグメントをいくつか送信するだけで目的は達成されますが 同じ TCP/IP スタックで IP フラグメントの再構成を麻痺させるには 完全に一致する IP フラグメントを大量に送信する必要があります 巧妙な攻撃者は 正規のペイロードと不正なペイロードを混在させて DoS 攻撃を実行します DoS 攻撃による影響は様々です ネットワーク全体が使用不能になる場合もあれば 特定のホストだけでサービスが使用不能になる場合もあります また 特定のホストの特定のサービスだけが使用不能になることもあります DoS 攻撃の大半はフラッド攻撃です ネットワークに正規の TCP 接続パケットを大量に送信し ネットワークの帯域幅を使い果たします パケットのヘッダーが偽装または改ざんされているため 不正なパケットでも信頼された送信元から届いたように見えます 分散型サービス拒否攻撃とは 分散型サービス拒否 (DDoS) は DoS 攻撃の一種で ネットワーク上に分散している複数のホストから実行されます DDoS 攻撃は組織的な攻撃で マスターという一人の管理者が複数のシステムを操作して実行します 攻撃を実行する前に マスターは所有者に気付かれないように大量のホストに侵入し 攻撃に使用するソフトウェアをインストールします 実際の攻撃は これらのホストから実行されます ( このホストはゾンビ デーモン エージェント スレーブ ボットなどと言われます ) 攻撃の準備が整うと マスターはゾンビに攻撃命令を送信します マスターは攻撃に直接的に関与していないため DDoS 攻撃の発生源を特定するのは非常に困難です DoS 攻撃の場合と同様に ゾンビから送信されたパケットも偽装され 信頼された送信元から届いたように見えます DDoS 攻撃の場合 それぞれの攻撃元から送信される量はそれほどではありませんが これらが重なることにより 攻撃対象の機能を麻痺させることが可能になります マスターとゾンビとの通信で攻撃を行うため 実際の攻撃者はゾンビの中に身を隠すことができます

4 2. DoS/DDoS 攻撃の種類 大別すると DoS/DDoS 攻撃は量的なものとエクスプロイトによるものに分類できます 2.1. 量による DoS 攻撃 量による DoS 攻撃の場合 トラフィックの統計的な分布や量と比べると異常な値を示します この ような変化がある場合 不正な行為が実行されている可能性があります 量による攻撃は 使用されるプロトコルから次のように分類できます 2.1.1. TCP SYN TCP SYN 攻撃では 偽装された IP アドレスから攻撃対象のホストに大量の SYN パケットが送信されます これにより サーバ上でオーバーフローが発生し サービス拒否状態になります 2.1.2. TCP Full Connect TCP Full Connect 攻撃では 有効な送信元 IP が使用され 完全な TCP ハンドシェークプロセスが実行されます 攻撃者は 実際の IP と PC を使用して TCP Full Connect 攻撃を実行します 通常 この攻撃にはボットネットが使用されます 複数のボットネットから TCP Full Connect 攻撃を実行することで サーバのリソースを使い果たし サービス拒否状態を引き起こします TCP Full Connect 攻撃は 分散システム上のボットネットから実行される DDoS 攻撃といえます 2.1.3. TCP ACK/FIN TCP ACK/FIN 攻撃では 攻撃対象のホストに大量の TCP ACK/FIN パケットが送信されます これにより 帯域幅を使い果たし サービス拒否状態になります 2.1.4. TCP RST TCP RST 攻撃では 実行中の TCP セッションを強制的に終了させるために不正な TCP RST パケットが大量に送信されます この攻撃では パケットの受信 チェック 破棄を行うシステムリソースが大量に消費され サービス拒否状態になります 2.1.5. DNS フラッド DNS フラッド攻撃では 大量の DNS 要求がサーバに送信されます DNS は UDP を使用するため ハンドシェークプロセスは実行されません 大量の DNS 要求により DNS インフラのリソースが大量に消費され サービス拒否状態になります 2.1.6. UDP フラッド UDP フラッド攻撃では 大量の UDP パケットが攻撃対象のシステムに送信されます 2 つの UDP サービス間の通信が確立すると 攻撃対象の任意のポートに大量の UDP パケットが送信されます 攻撃を受けたシステムは Destination Unreachable ICMP パケットを大量に送信するため リソースが使い果たされ サービス拒否状態になります UDP の場合 データ転送時に接続をセットアップする必要はありません ネットワークに接続していれば誰でも攻撃が可能です また 特定のアカウントにアクセスする必要もありません UDP フラッド攻撃を行うには ホストの chargen サービスを同じまたは別のコンピュータの echo サービスに接続する手段もあります この方法では 非常に多くのパケットが生成されるため 関係するすべてのコンピュータがサービス拒否状態になります また 2 つ以上のホストが関係している場合 中間のネットワークを混雑させると

5 そのネットワーク経由でトラフィックを送受信しているすべてのホストをサービス拒否状態にすることが可能です 2.1.7. ICMP フラッド この攻撃では ネットワークで ICMP Echo 要求または応答パケットを大量に発生させます 攻撃対象に Echo 要求を大量に送信すると システムが過密状態になり 要求に応答できなくなります 応答パケットが大量に発生した場合には リモートの攻撃者がユーザのネットワーク内の IP アドレスを偽装している可能性があります 攻撃者がこの偽装アドレスを使用して別のネットワークに ICMP Echo 要求パケットを送信すると 受信したネットワークが要求元のアドレスに応答するため この 2 つのネットワーク間で大量の応答 / 要求が発生します 2.1.8. TCP/UDP/ICMP 以外のフラッド攻撃 TCP UDP ICMP 以外のパケットによるフラッド攻撃もあります たとえば IPSec や不正な IP パケット ( チェックサムが無効で長さが一致しない IP パケットなど ) による攻撃も発生しています 2.2. エクスプロイトによる DoS 攻撃 エクスプロイトによる攻撃では ネットワークやシステムの脆弱性が狙われます エクスプロイトによる DoS 攻撃には次のようなものがあります 攻撃名 TearDrop 攻撃 Ping of Death 攻撃 LAND 攻撃 説明 この攻撃では 他のパケットを重複するように 断片化された ICMP パケットを偽装します これにより 一部の IP スタックがクラッシュしたり 無限ループに入り サービス拒否状態になります 脆弱な TCP/IP スタックが存在するシステムに最大許可サイズ (65,536 バイト ) を超えたパケットを送信し システムをクラッシュさせます 送信元と宛先の IP アドレスとポート番号が一致するパケットを送信して 脆弱なシステムを不安定な状態にします 3. による DoS/DDoS 攻撃の検出 McAfee は ハードウェアとソフトウェアを統合したソリューションで 数百 Mbps から数ギガビットまでの回線速度に対応しています 既知の攻撃だけでなく 新しい攻撃 DoS/DDoS など 様々な攻撃からネットワークを保護します アーキテクチャは しきい値やポリシーによる検出技術以外に自己学習機能を搭載し DoS/DDoS 攻撃を検出します ネットワーク管理者は サーバが過負荷状態で使用不能にならないようにデータトラフィックに制限を設定できます このしきい値は 対応する DDoS 攻撃の範囲や使用可能な統計データによって選択します 自己学習機能を有効にすると がネットワークの使用状況やトラフィックのパターンを学習し 正規のネットワーク操作での許容範囲を判断します この学習アルゴリズムは すべてのネットワークトラフィックで一般的に発生する増加率を考慮し DDoS トラフィックによる急増かどうかを識別します 量の増減だけでなく パケット間の相関関係も学習するので TCP/IP プロトコルの動作やルーティング情報を正確にキャプチャリングします 人気のある Web サイトやネットワークでは 大きな事件が発生したり 新しいプログラムやサー

6 ビス アプリケーションの利用開始日などにトラフィックが突発的に急増することがあるため 精度の高い DoS 検出技術は不可欠です 悪質なプログラマが数百または数千のホストを悪用して特定の対象に攻撃を実行しても この 2 つの技術を組み合わせることにより あらゆる DoS/DDoS 攻撃を正確に検出することができます 3.1. 量による DoS 攻撃の検出 は 量による DoS 攻撃をしきい値と統計的アノマリから検出します 通常 この 2 つ方法を組み合わせて検出を行います 3.1.1. しきい値による攻撃の検出 しきい値は Network Security Manager の DoS ポリシーに設定します しきい値に達すると DoS 攻撃が発生したと見なされます Network Security Manager では 次のしきい値をカスタマイズできます 受信リンク使用率 ( バイト / 秒 ) 受信 ICMP パケット 受信 IP フラグメント サイズの大きい受信 ICMP パケット サイズの大きい受信 UDP パケット 拒否された TCP パケット 受信 TCP 接続 受信 TCP SYN 受信 UDP パケット 3.1.2. 学習機能 ( 統計的なアノマリ ) による攻撃検出 新しいセンサは最初の 48 時間を学習モードで動作します 48 時間が経過すると センサは自動的に検知モードに移行し ネットワークが正常に稼動しているときのトラフィックパターンの基準 ( 長期プロファイル ) を設定します 最初の 48 時間は DoS 攻撃が実行されていないことを前提としています 検知モードへの移行後も統計データの収集を継続し 長期プロファイルを更新します 長期プロファイルは ネットワークの状況に合わせて常に更新されています センサは 数分間の短期プロファイルも生成します 学習モードのプロファイルはセンサレベルでカスタマイズできます VLAN タグまたは CIDR ブロック内のサブインターフェースと個々の CIDR ホストは 学習モードの特定の設定で DoS 攻撃から保護されます これは DMZ またはその他の場所にあるサーバを DoS 攻撃から保護する場合に有効です また リソースごとに個別のプロファイルが作成されます 統計的な方法では 一定の時間内に生成された統計データを使用して 短期または長期プロファイルを作成します 通常 プロファイルのトラフィックパターンに外れたネットワークトラフィックが見つかると DoS 攻撃と見なされます センサは 通常のトラフィックで学習したデータと比較しながら統計的アノマリを監視します 新しいセンサは最初の 48 時間を学習モードで動作します 48 時間が経過すると センサは自動的に

7 検知モードに移行し ネットワークが正常に稼動しているときのトラフィックパターンの基準 ( 長期プロファイル ) を設定します 最初の 48 時間は DoS 攻撃が実行されていないことを前提としています 検知モードへの移行後も統計データの収集を継続し 長期プロファイルを更新します 長期プロファイルはネットワークの状況に合わせて常に更新されています センサは 攻撃を正確に検知するために以下の状況を確認しています プロファイル汚染 送信元 IP の分類 ( 統計的アノマリ を参照) プロファイル汚染の確認 長期プロファイルを作成する目的は 通常のトラフィックレベルを定義することです センサは 定義した通常レベルと比較して異常な急増を特定します また センサは収集した統計データを使用して短期プロファイル ( 数分間の統計データの平均 ) を作成します DoS 攻撃発生時のデータが短期プロファイルに入り このプロファイルで長期プロファイルが更新されると 長期プロファイルの質が低下します この質の低下を防止するため では次の対策を講じています 検知モードで 統計的アノマリが短期間に多数検知された場合 長期プロファイルの更新を一時的に中断します パーセンタイルを使用します 短期間のデータで大きな変化が数回だけ検知された場合 平均値は影響を受けると考えられますが パーセンタイルの値にはほとんど影響しません たとえば 試験の効果を判断するため 試験を受けた 4 人の学生の評価を 0-29 30-49 50-69 70-100 で分類するとします 3 人の学生の評価がそれぞれ 95% 93% 92% で 4 人目が 0% とすると 平均スコアは 70% になってしまいますが 4 人の中で 3 人は 70-100 の範囲に入っています 試験の効果を判断する場合には このパーセンタイルの範囲を有効な測定値として使用できます 3.2. エクスプロイトによる DoS 攻撃の検出 では 特定のエクスプロイト攻撃を検出するために 攻撃シグネチャを使用しています シグネチャは攻撃のプロファイルです シグネチャによって特定の攻撃が検出できます Network Security Platform では 従来の方法 ( 大量のトラフィック ) ではない DoS 攻撃をエクスプロイトシグネチャで検出しています たとえば HTTP: Microsoft IIS..SLASH.. DenialofService エクスプロイトは サーバが再起動するまで 古いバージョンの IIS サーバがクライアントに応答しないようにする要求を識別します センサは シグネチャを使用して様々なレベルのトラフィックを分析します Network Security Platform のシグネチャは フロー プロトコル解析 パケット検索の枠組みで機能し 脆弱性を利用した DoS 攻撃や DDoS 攻撃ツールを利用した攻撃を検出します

8 たとえば の検知メカニズムでは HTTP トラフィックフローだけでなく GET 要求を含む HTTP トラフィックフローを識別できます また GET 要求に /cgibin/calendar.pl が指定された HTTP トラフィックフローや month という名前で値が February のパラメータと このパスを含む GET 要求を検知することも可能です では 1 つの攻撃に対して複数のシグネチャが定義できます 攻撃シグネチャはより具体的なものになります これにより 特定のプラットフォームに特別な影響を及ぼすネットワーク活動から 非常に特殊で悪影響を及ぼす特定のコードまで識別することができます シグネチャには その特殊性と重大度に基づいて様々な信頼度と重大度が割り当てられています の既知の攻撃と一致するネットワークイベントが発生すると 複数のシグネチャが使用されます 4. による DoS/DDoS 攻撃の阻止 DoS/DDoS 攻撃が検出されると は以下の方法で様々な DoS 攻撃を阻止します ハイパーリンクをクリックすると 関連する情報が表示されます 攻撃 推奨 コメント TCP SYN SYN Cookie 統計的アノマリ Network Security Manager では すべての攻撃トラフィックを阻止し 正規のトラフィックを許可するように SYN Cookie を設定できます IPS Policy Editor で送受信トラフィックの両方に TCP SYN or FIN Volume too high ポリシーを設定し TCP SYN または TCP FIN 受信攻撃または送信攻撃をブロックできます 組織内で使用する場合 既知の送信元からのトラフィックだけを許可するように Network Security Manager で ACL を設定できます 統計的アノマリと比較すると SYN Cookie の設定は効果的です TCP Full Connect 統計的アノマリ 組織内で使用する場合 既知の送信元からのトラフィックだけを許可するように Network Security Manager で ACL を設定できます TCP ACK/FIN/RST ステートフル TCP 統計的アノマリ Network Security Manager で TCP フロー違反を DENY_NO_TCB に設定すると この攻撃はブロックできます IPS Policy Editor で送受信トラフィックの両方に TCP SYN or FIN Volume too high ポリシーを設定し TCP SYN または TCP FIN 受信攻撃または送信攻撃をブロッ

9 攻撃推奨コメント クできます IPS Policy Editor で送受信トラフィックの両方に TCP RST Volume too high ポリシーを設定し TCP RST 攻 撃をブロックできます また TCP フローを設定しても TCP RST フラッドをブ ロックできます DNS フラッド DNS 保護 統計的アノマリ これらの攻撃を阻止するため McAfee ではステートフル TCP を使用することをお勧めします DNS 偽装対策機能を使用すると DNS フラッド攻撃を回避できます この機能は センサの CLI コマンドで有効にできます IPS Policy Editor で送受信トラフィックの両方に UDP Packet Volume too high ポリシーを設定し UDP フ ラッド攻撃をブロックできます UDP フラッド 統計的アノマリ レート制限 TCP のパフォーマンスに問題がなければ DNS 保護を使用してください IPS Policy Editor で送受信トラフィックの両方に UDP Packet Volume too high ポリシーを設定し UDP フラッド攻撃をブロックできます ICMP フラッド 統計的アノマリ レート制限 Network Security Manager で ACL を設定すると ネットワークで予期しない UDP トラフィックをブロックできます IPS Policy Editor で送受信トラフィックの両方に ICMP Packet Volume too high と ICMP Echo Request or Reply Volume too high ポリシーを設定し ICMP フラッド攻撃をブロックできます TCP/UDP/ICMP 以外のフラッド攻撃 統計的アノマリ Network Security Manager で ACL を設定すると ネットワークで予期しない ICMP トラフィックをブロックできます IPS Policy Editor で送受信トラフィックの両方に Non- TCP-UDP-ICMP Volume too high ポリシーを設定し TCP/UDP/ICMP 以外の攻撃をブロックできます

10 攻撃推奨コメント エクスプロイトに よる DoS 攻撃 Network Security Platform シグネ チャ IPS Policy Editor で送受信トラフィックの両方にポリシーを設定し エクスプロイト攻撃 (3000 以上 ) をブロックできます は次の方法 DoS 攻撃を阻止します これらは単独で使用することも 組み合わせて使用することもできます 4.1. 統計的アノマリ は 次のような方法で統計的アノマリを検出し DoS 攻撃を阻止します センサは 方向別に追跡したパケットタイプごとにプロファイルを作成します 送信元 IP プロファイルでは IP アドレス空間全体を最大 128 の排他的な IP アドレスブロック ( ビンといいます ) に分類しています これは CIDR アドレス指定でアドレス空間を分類する方法とほとんど同じです 各ビンは 接頭辞と接頭辞の長さ (2 から 32 ビット ) で識別します アドレスの最初の n ビットがビンの接頭辞と一致すると IP アドレスはそのビンに分類されます さらに 該当するプロファイルの特定のビンに送信元 IP が関連付けられます 各ビンには 次の 2 つのプロパティがあります このビンに属する IP から送信された正規のトラフィックの割合 IP アドレス空間全体でこのビンの IP 範囲が占める割合 送信元 IP が適切に分類されると センサは DoS 攻撃からネットワークを保護できます 統計的アノマリが発生すると 対象の送信元 IP プロファイルで次のアクションが実行されます 長期間のトラフィックに占める比率が低いビンが IP 空間の大部分を占めている場合 このビンの IP が送信元に設定されているパケットがすべてブロックされます これにより 偽装した送信元 IP アドレスで広範囲に実行される攻撃を阻止できます 短期間のトラフィックに占める比率が高く 平常時と比べて短期間のトラフィックの割合が明らかに増加している場合 このビンの IP が送信元に設定されているパケットがすべてブロックされます これにより 実在の IP アドレスを使用して小規模なネットワークから実行される攻撃を阻止できます 長期間のトラフィックで占める比率が高いビンが IP 空間を占めている割合が小さい場合 このビンの IP が送信元に設定されているパケットはブロックされません これにより 不正ではないと確認されているホストのブロックを回避できます 2 つ目の判断基準と 3 つ目の判断基準の両方に一致した場合は 3 つ目の判断基準の例外となります つまり 短期のトラフィックレベルが長期の最高レベルを明らかに超えている場合 不正でない ビンの送信元 IP がブロックされます これにより 最近乗っ取られた正規のホストから実行される攻撃を阻止できます DoS 攻撃を阻止するには ネットワーク上の SYN パケットの割合をファイアウォールで制限するよりも 送信元の IP を分類するほうが効果的です このような方法と の主な違いは 帯域制限を行うデバイスが無作為にトラフィックをブロックする点です つまり 正規のトラフィックも攻撃トラフィックと同じ確率でブロックされます 一方 Network Security

11 Platform は 送信元 IP を分類することで攻撃トラフィックと正規のトラフィックを区別するため 攻撃トラフィックがブロックされる可能性のほうが高くなります 注 : す 統計的アノマリは大半の攻撃に対して有効な方法ですが 誤検知が発生する可能性もありま 4.2. SYN Cookie SYN フラッド攻撃は サーバのリソースを標的にし TCP メモリを消費させようとします サー バは SYN を受信して SYN+ACK を戻した後 クライアントの ACK メッセージを受信するまで状 態情報を維持しています サーバは半開接続の状態を維持しているため サーバのリソースは解放されず 占有状態を継続します このため サーバが TCP 接続を受け入れられず DoS 状態になる場合があります は SYN フラッド攻撃を阻止するために TCP 初期シーケンス番号を使用します Network Security Manager で SYN Cookie を有効にすると 新しい接続要求を受信したときに サーバは受信した SYN パケットと秘密鍵の情報から初期シーケンス番号 (ISN) を生成し この番号を含む SYN+ACK を返信します 接続要求が正規のホストから送信された場合 サーバはホストから ACK を受信します 接続要求が正規のホストから送信されたものでない場合 TCP セッションは生成されず サービス拒否状態を防ぐことができます 4.3. ステートフル TCP エンジン センサの TCP スタックは TCP プロトコルに必要な状態に従って機能します センサは TCP の状態を確認し 無効な状態のパケットをブロックします 偽装された TCP RST TCP FIN TCP ACK フラッドを阻止するには TCP ステートフルエンジンは有効な手段となります 4.4. DNS 保護 センサの DNS 保護機能を使用すると DNS クライアントはトランスポートプロトコルとして UDP ではなく TCP を使用します これにより DNS サーバを DoS スプーフィング攻撃から保護できます TCP は 3 ウェイハンドシェイクを使用するので TCP 使用時にはスプーフィング攻撃の実行は比較的難しくなります DNS 保護モードを設定するには CLI コマンドを使用します また このコマンドを使用すると 保護サーバリストに DNS スプーフィング対策の IP アドレスを追加したり リストから IP アドレスを削除できます 4.5. レート制限 レート制限は センサのポートから送信される egress トラフィックの割合を制限します センサが In-Line モードで配備されている場合 センサのポートを通過するトラフィックの帯域幅を制限すると センサはトラフィックのレート制限を許可します 特定の帯域幅の値以下のトラフィックが許可され 帯域幅の値を超えるトラフィックがドロップされます センサは レートを制限するトラフィックにトークンバケットを使用します 管理者は 特定のネットワークで DoS 攻撃を阻止するために センサポート固有の帯域幅制限を設定できます この設定はマネージャで行います

12 レート制限は P2P HTTP ICMP などのプロトコル別に設定できます また TCP ポート UDP ポート IP プロトコル番号ごとに設定できます では 個々のセンサポートでレート制限を設定できます たとえば 1A-1B がポートペアの場合 トラフィック管理は 1A と 1B で個別に設定されます ポートのトラフィック管理設定は egress トラフィックのみに適用されます マネージャでは センサの各レート制限キューは名前によって一意に識別されます トラフィック管理キューは プロトコル TCP ポート UDP ポート IP プロトコル番号に従って構成されます センサの各ポートに複数のキューを作成できます マネージャでのトラフィック管理構成は センサの設定を更新する前に行う必要があります レート制限オプションは マネージャのトラフィック管理オプションの一つとして利用できます レート制限は 特定のネットワークでトラフィックの特性に関するすべての情報が利用できる場合に非常に有効な方法となります 正規のトラフィックが削除される可能性もあるため レート制限は慎重に適用する必要があります 4.6. ACL DoS 攻撃の阻止には ACL も有効な手段です ACL は 送信元の IP アドレス 宛先の IP アドレス 特定の CIDR ブロック 宛先のプロトコル / ポートを指定して作成します センサの TCP/UDP ポート ICMP タイプ IP プロトコル別に設定できます また ポート全体に設定することも 個々のポートペアに設定することもできます ネットワークのトラフィックの特性に合わせて ACL を作成すると ACL を DoS 攻撃を回避できます たとえば ネットワークで通常使用されているプロトコルが分かっている場合には そのネットワークで通常発生しないタイプのトラフィックを削除するように ACL を設定できます ルールによる侵入防止が有効になっている場合 応答アクション ( 拒否 ドロップ 拒否 ) を設定できます 組織内で使用する場合 ACL ですべての既知の CIDR から 許可 リストを作成できます サポート情報については mysupport.mcafee.com をご覧ください Copyright 2010 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分についても McAfee, Inc. または供給業者あるいは関連会社の書面による許可なしには 複製 送信 複写 検索システムへの格納 他言語への翻訳 あるいはいかなる形態による使用も禁止されています

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック