最近社内のネットワークが遅く感じられるようになりました。もしかしたら、社内のルーター(CISCO3620)がDOS攻撃を受けているかもしれません。DOS攻撃かどうかの見分け方と対処方法を教えて頂きたいと思います。よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

この質問は、kyouichi6さんの回答にあるように、基本的にはネットワークに詳しい専門の方のコンサルを受けることになると考えられます。



質問された方が、社内ネットワーク管理担当であることを前提としてアドバイスします。
1.遅い原因が特定のどのトラフィックによるものか、見極めが必要です。
 このためには、kyouichi6さんの回答にあるようにどのような通信がどれだけ発生しているかを何らかの方法で(SNMPを用いるMRTG、パケット監視のためのsniffer、tcpdump、Ethereal等)調査することになります。この場合、各プロトコルについての知識が必要です。最近遅くなったということであれば、インターネットへのアクセスが増えたとか、ファイル転送をする業務が定期的に走るようになったとか、社内でファイルサーバを立てたとか、新規にネットワークを用いた業務が増えたとか、こちらの方をまず疑うことをお勧めします。

2.Cisco3620であれば、interfaceやipのトラフィックを表示するコマンドでトラフィックや負荷状況、エラーパケットなどを確認できます。
DoS攻撃を受けたと判断できるとはいいきれませんが、例えばフォーマットエラーのパケットが多量に検出されているとか、ICMPのパケットが試験をしたわけでもないのに、多量に検出されている等であれば、DoS攻撃を受けている可能性があると判断できます。

 ルータにtelnet接続して、show ip traffic または show interfaces 等のコマンドで確認できます。

3.アクセスしてくるIPアドレスを何らかの方法で取得します。
 例えば、取得する方法は、1に記述した方法などになります。社内のIPアドレスがわかっている場合、Cisco3620であれば(IOS11.0以上なら)社内のIPアドレス以外のIPに対するアクセスリストを記述して、これをドロップさせることは可能です。しかし、アクセスリストは専門家でもむずかしい場合があり、ルータの性能は確実に下がりますので、注意が必要です。
 取得したIPアドレスがどこからのものか調査することとなります。

4.遅くなった時期に何があったのか調査できればよいのですが。
 例えば、Cisco3620は、音声系のボードを搭載できるため、VoIPによるIP電話を導入したといったことはないのでしょうか。これはバースト的なトラフィックが発生しますので、重く感じることはあると思われます。さらにこのときに、必要なメモリの増設をしていないとルータがまともに動作しないことも考えられます。
ルータのコンフィグ(設定)について、fair-queue等の設定をした時、トラフィックの洗い出しをしていなかったとか考えられることは様々です。

以上参考になるかわかりませんが、特に遅くなったということがあればCiscoにコンサルを依頼する方法もあります。
    • good
    • 0

攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか?



参考URL:http://www.snort.org/
    • good
    • 0

あまり詳しくないのですが、回答がつかないようですので解る範囲で。



まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してCPU使用率やトラフック等の情報を収集する事が可能です。

また、イーサネットポートでしたら間にシェアードHUBをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。
そのデータがDOS攻撃かどうかはFrom Toのアドレスとパケットのタイプで判断するってのは如何でしょう?

ただ、【社内のネットワーク】との事ですので、

 ・ネットワーク管理担当者
 ・ネットワークの保守業者
 ・ネットワーク構築の際の納入業者

に相談するってのが現実的な話だと思います。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QCISCOのルーターでDDNSが出来る中古で安い製品を教えて下さい

自宅で以下のようなネットワーク構成を考えています。

インターネット---[ルータ]
          ├─[パソコン]
          └─[WEBサーバ]

(1)プロバイダから割り当てられるIPアドレスは、動的なグローバルアドレスです
(2)[パソコン][WEBサーバ]のIPアドレスは[ルータ]から割り当てられるプライベートアドレスです
(3)インターネット側から[WEBサーバ]へアクセスするには[ルータ]の80番ポートにアクセスして来たのを、[WEBサーバ]へルーティングしたいと考えています
(4)[WEBサーバ]はDDNSで名前解決したいと考えています

となると、ルータにDDNSの機能が必要だと考えております。
ただ、CISCOの勉強をしたいのでCISCOのルーターで、DDNSが出来るもので中古の安い製品を教えて頂けますでしょうか?

よろしくお願い致します。

Aベストアンサー

> ただ上記ネットワーク構成では[WEBサーバ]に割り当てられているIPアドレスはプライベートアドレスですが、何かやり方があれば教えて下さい。

例えばDiCEの場合、IPアドレスの自動検出を設定しておけば、とあるWebサイトにアクセスしてBBルータに払い出されているグローバルIPアドレスを拾ってきます
他のDynamicDNSソフト(例えばddclientのようなLinux用DDNSソフト)もuse=webの設定をしておけば同等の動きをします

#このくらいの機能がないと大半の人がDDNS使えません

Q自分のPCが自分のルータへDOS攻撃してます。

ルータのログを見て発見しました。
ZooneAlermを入れれば、ルータへは届かなくなりましたが、
ZooneAlermのログには「外部へ向かう不正パケット」がブロックされた旨、出ています。
ウイルス対策は、AVG、AD-Aware でしていますが、何も出ません。
これで、3台目です。
2台目の時は、販売店に頼んでディスクの物理フォーマットをしてみましたが、
状況は、変わりませんでした。
で、知りたいのは、1台目はまぁいいとして、2台目から3台目に移った経路です。
2台目と3台目をLANで繋いだことはありません(そもそも常に1台の構成)
ネットに繋ぐ前には、ちゃんとAVG、AD-Awareを入れてからにしています。
共通なのは、ルータと、AVG等がいったフラッシュメモリデスクやCDです。
侵入者によって、BIOSが書きかえられるというのは聞いたことがあります。
で、ルータやメモリデスクのファームウエアが書き換えられる可能性は、
あるのでしょうか?
わざわざマカフィーを購入して、サポートに聞いてみましたが、
「最新のマカフィーで検出されないのだからウイルスではない=サポート対象外」と言われました。

ルータのログを見て発見しました。
ZooneAlermを入れれば、ルータへは届かなくなりましたが、
ZooneAlermのログには「外部へ向かう不正パケット」がブロックされた旨、出ています。
ウイルス対策は、AVG、AD-Aware でしていますが、何も出ません。
これで、3台目です。
2台目の時は、販売店に頼んでディスクの物理フォーマットをしてみましたが、
状況は、変わりませんでした。
で、知りたいのは、1台目はまぁいいとして、2台目から3台目に移った経路です。
2台目と3台目をLANで繋いだことはあり...続きを読む

Aベストアンサー

>> コレガに10.0.0.Xのパケットが見える筈がないからです。
> 逆に、PCからコレガも見えないと思いますが

いいえ。
コレガの設定をNo.5のようにすると、コレガの配下のネットワークアドレスは192.168.1.0となるので、NetGearのWAN側には192.168.1.Xのアドレスが与えられます。
(DHCPで取得する場合、Xは11から60までのどれか。)
(NetGearのWAN側に手動で設定する場合は、Xは2から254までのどれかでないと通信できない。)
NetGearのNATが正しく機能しているなら、PCから送出されるパケットの送信元IPアドレスは192.168.1.Xに変換されるので、コレガにはPCの10.0.0.Yのアドレスは見えません。
(つまりコレガには、NetGearが送信しているようにしか見えない。)
このときルータ(今の場合、NetGear)は、送信元ポート番号(つまり返信先ポート番号)もIPアドレスとセットで変換して記憶しているので、インターネットからの応答パケットは、返信先ポート番号から元のIPアドレス(10.0.0.Y)に変換して、PCに届きます。

従って、PCからインターネット(今の場合、コレガ)を見ることができます。

逆に、インターネット側から192.168.1.Xや10.0.0.Y宛のパケットが届いても、対応するポート番号がないので、PCには届きません。
これが、ルータが簡易ファイアウォールとして機能する所以です。

また、コレガには届く筈のない10.0.0.Yからのパケットが届いているので、コレガはIP Spoofing(IP偽装)と判断しています。

> さきほど、PCとNetGearを192.168.5.XXXに変えましたが

21時36分51秒のICMPと、20時42分の3発のバケットかな?
いきなり10.0.0.21がいなくなったので、NetGearも戸惑っているようですね。

> 「イントラネットをインタネットに見せかける設定」

意味が分かりません。
ルータの基本的な働きは上に説明した通りで、ルータにとってはWAN側に接続されたネットワークは全てインターネットです。

ところで、どうしてもPCにBackDoorが仕込まれたと思いたいようですが、どうしてそう思いますか?
これまで示されたログを見る限り、BackDoorの兆候はありません。
もしもあなたが、リンクをクリックした時間以外や接続したい以外のサイトのIPアドレスが記録されているなら話は別ですが。
気になるならIPアドレスの管理者をこちらから検索してください。
http://whois.ansi.co.jp/

また最近の市販ウィルス対策ソフトはマルウェア検索機能も備えているので、AVGを一旦アンインストールしてこれら試供版をインストールして検索してみるといいでしょう。
更に、AD-Awareは検索削除機能しかありませんが、AD-Awareと並んで定評のあるSpybotは防御機能もあるので、両方インストールしておくといいでしょう。
http://enchanting.cside.com/security/spybot1.html

>> コレガに10.0.0.Xのパケットが見える筈がないからです。
> 逆に、PCからコレガも見えないと思いますが

いいえ。
コレガの設定をNo.5のようにすると、コレガの配下のネットワークアドレスは192.168.1.0となるので、NetGearのWAN側には192.168.1.Xのアドレスが与えられます。
(DHCPで取得する場合、Xは11から60までのどれか。)
(NetGearのWAN側に手動で設定する場合は、Xは2から254までのどれかでないと通信できない。)
NetGearのNATが正しく機能しているなら、PCから送出されるパケットの送信元IPアドレ...続きを読む

Q社内ネットワークの個人使用

過去にも様々な問答されておりますが、業務中のネット使用把握についてお聞きしたいです。

たまに、ウェブメールの使用や私的な検索も行うもので、興味本位の疑問です。

普通どこまで把握しているものなのでしょうか?
(メール内容?)

勤務先は国内企業で外国、国内それぞれに数十拠点、従業員計役1万人程度で、個人使用はその都度各人の認証確認で使用できます。
一応フィルター(?)かかってるみたいで、アダルトや出会い系には繋がりません。
使用時間を各人が月別に把握できる(把握されてる)
このくらいの規模で、どの程度の状態把握できるものなのでしょうね。

※業務中の私的利用は・・・うんぬんのありがたいお言葉等は無用でお願いします。

Aベストアンサー

そんな大企業なら、よっぽどブラックリスト扱いでもされた社員でもなければ、構っていられないでしょう・・・。

社員だったらモラルまで誓約して雇用してる筈だし、お互いの信用(会社⇔社員)なくして会社運営は成り立ちませんからね。

Q社内ネットワークで困っています。助けて下さい。

社内ネットワークについて質問です。

現在、私のパソコン(会社のもの)がネットワークにつながらなくて困っています。

現状は次の通りです。

(1)LANケーブルにつなげないで、パソコンを運用するのことは問題ないが、LANケーブルをつなげた途端、フリーズする。

(2)時々、”IPアドレスが重複しています”みたいなエラーが発生する事がある。

(3)社内ネットワークから外されることは、時々ある。

(4)IPアドレスは自動取得になっている。

(5)社内には、40台近くのパソコンがあり、ネットワーク(LAN,無線)でつながっている。

(6)時々、お客様がパソコン持参で、インターネットにつなげる事がある。

(7)ネットワーク自体、パソコン(会社,個人共)が増える度に、各自がネットワーク設定しており、管理者はいない。

(8)ネットワークグループは8グループあり、整備されていない。

仕事にも影響があるので、早く解決したいのですが、原因,解決方法が分かりません。
助けて下さい。

お願いします。

Aベストアンサー

>>(7)のご意見ですが、具体的に何をすれば良いのでしょうか?
>お手数ですが、教えて頂けませんか?
外部の人が利用するようなので、下記のようなネットワーク環境を設定する必要あります。

具体的には
1.DHCPサーバの設置(誰が作る?)
2.社内のPCを全て、DHCPサーバ経由でネットに接続
  *手動で設定したPCはネットが利用できないようにして強制排除
3.社外ユーザにはネット利用の手引きで案内( 単にDHCPサーバのアドレスを明示で済む )

ポイントは社内のPCを勝手に設定する不届き物を排除するように定期的にチェックする必要があって、結局は専任PC管理者が必要になります。

Qもしかしたら架空請求?デスクトップに請求画面が

 アダルトサイトの請求画面が、消しても消しても出るようになり困っています。 
 子供(と言っても20歳過ぎています)が、アダルトビデオの無料動画サイトをキリックしたところ、突然ホップアップウインドウが開くようになり、180日間で64000円の入会金(キャンペーン料金)を要求する画面が消しても消しても勝手に出てきます。2日以内に支払わないと84000円の通常料金を請求しますとの表示もあり、どうしたら良いか困っています。
 もし、確認画面をいい加減に読んでいて「64000円の支払いに同意します。」をクリックしていたとしたら、支払い義務が生じるのでしょうか?誤って同意したとの事情を説明するために電話しようとも思いましたが、連絡を取ること自体が所在を明らかにすることに繋がるような気がして、恐くて連絡していません。メールアドレスや電話番号の登録をしたわけでもなく、ただ無料動画を一度再生しただけのようです。
 払わなかったとしたら、今後どのようなことが考えられますか?自宅の特定とかできてしまうのでしょうか?法外な請求が、正当のものだとしたら将来支払い義務が生じるのでしょうか?支払い義務がないのであれば、画面が表示されなくする方法はありますか?
 このようなことは初めてなので、実態が分からなくて不安に思っていますので、色々と質問してしまいましたが、困っていますのでどなたか対処方法をご存知でしたら教えて下さい。
 よろしくお願いいたします。

 アダルトサイトの請求画面が、消しても消しても出るようになり困っています。 
 子供(と言っても20歳過ぎています)が、アダルトビデオの無料動画サイトをキリックしたところ、突然ホップアップウインドウが開くようになり、180日間で64000円の入会金(キャンペーン料金)を要求する画面が消しても消しても勝手に出てきます。2日以内に支払わないと84000円の通常料金を請求しますとの表示もあり、どうしたら良いか困っています。
 もし、確認画面をいい加減に読んでいて「64000円の支払いに同意します。」を...続きを読む

Aベストアンサー

>払わなかったとしたら、今後どのようなことが考えられますか?

詐欺なんですから何も起こりません。

>電話しようとも思いましたが、連絡を取ること自体が所在を明らかにすることに繋がるような気がして、恐くて連絡していません。

それでOKです、相手は貴方の事は何も判って無いので、何も連絡してはいけません。

請求画面は下記サイトを参考にして消してください、消えなければ又質問してください。

http://milksizegene.blog.fc2.com/blog-entry-57.html
http://6007.teacup.com/aisudaikon/bbs/t3/l50


このカテゴリの人気Q&Aランキング

おすすめ情報