最新閲覧日:

最近社内のネットワークが遅く感じられるようになりました。もしかしたら、社内のルーター(CISCO3620)がDOS攻撃を受けているかもしれません。DOS攻撃かどうかの見分け方と対処方法を教えて頂きたいと思います。よろしくお願いします。

A 回答 (3件)

攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか?



参考URL:http://www.snort.org/
    • good
    • 0

この質問は、kyouichi6さんの回答にあるように、基本的にはネットワークに詳しい専門の方のコンサルを受けることになると考えられます。



質問された方が、社内ネットワーク管理担当であることを前提としてアドバイスします。
1.遅い原因が特定のどのトラフィックによるものか、見極めが必要です。
 このためには、kyouichi6さんの回答にあるようにどのような通信がどれだけ発生しているかを何らかの方法で(SNMPを用いるMRTG、パケット監視のためのsniffer、tcpdump、Ethereal等)調査することになります。この場合、各プロトコルについての知識が必要です。最近遅くなったということであれば、インターネットへのアクセスが増えたとか、ファイル転送をする業務が定期的に走るようになったとか、社内でファイルサーバを立てたとか、新規にネットワークを用いた業務が増えたとか、こちらの方をまず疑うことをお勧めします。

2.Cisco3620であれば、interfaceやipのトラフィックを表示するコマンドでトラフィックや負荷状況、エラーパケットなどを確認できます。
DoS攻撃を受けたと判断できるとはいいきれませんが、例えばフォーマットエラーのパケットが多量に検出されているとか、ICMPのパケットが試験をしたわけでもないのに、多量に検出されている等であれば、DoS攻撃を受けている可能性があると判断できます。

 ルータにtelnet接続して、show ip traffic または show interfaces 等のコマンドで確認できます。

3.アクセスしてくるIPアドレスを何らかの方法で取得します。
 例えば、取得する方法は、1に記述した方法などになります。社内のIPアドレスがわかっている場合、Cisco3620であれば(IOS11.0以上なら)社内のIPアドレス以外のIPに対するアクセスリストを記述して、これをドロップさせることは可能です。しかし、アクセスリストは専門家でもむずかしい場合があり、ルータの性能は確実に下がりますので、注意が必要です。
 取得したIPアドレスがどこからのものか調査することとなります。

4.遅くなった時期に何があったのか調査できればよいのですが。
 例えば、Cisco3620は、音声系のボードを搭載できるため、VoIPによるIP電話を導入したといったことはないのでしょうか。これはバースト的なトラフィックが発生しますので、重く感じることはあると思われます。さらにこのときに、必要なメモリの増設をしていないとルータがまともに動作しないことも考えられます。
ルータのコンフィグ(設定)について、fair-queue等の設定をした時、トラフィックの洗い出しをしていなかったとか考えられることは様々です。

以上参考になるかわかりませんが、特に遅くなったということがあればCiscoにコンサルを依頼する方法もあります。
    • good
    • 0

あまり詳しくないのですが、回答がつかないようですので解る範囲で。



まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してCPU使用率やトラフック等の情報を収集する事が可能です。

また、イーサネットポートでしたら間にシェアードHUBをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。
そのデータがDOS攻撃かどうかはFrom Toのアドレスとパケットのタイプで判断するってのは如何でしょう?

ただ、【社内のネットワーク】との事ですので、

 ・ネットワーク管理担当者
 ・ネットワークの保守業者
 ・ネットワーク構築の際の納入業者

に相談するってのが現実的な話だと思います。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード


このカテゴリの人気Q&Aランキング

おすすめ情報

カテゴリ