DOS攻撃の対処方法

最近社内のネットワークが遅く感じられるようになりました。もしかしたら、社内のルーター（CISCO3620）がDOS攻撃を受けているかもしれません。DOS攻撃かどうかの見分け方と対処方法を教えて頂きたいと思います。よろしくお願いします。

No.1 回答者： kyouichi6 回答日時： 2002/01/22 15:16

あまり詳しくないのですが、回答がつかないようですので解る範囲で。

まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してＣＰＵ使用率やトラフック等の情報を収集する事が可能です。

また、イーサネットポートでしたら間にシェアードＨＵＢをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。
そのデータがＤＯＳ攻撃かどうかはFrom Toのアドレスとパケットのタイプで判断するってのは如何でしょう？

ただ、【社内のネットワーク】との事ですので、

　・ネットワーク管理担当者
　・ネットワークの保守業者
　・ネットワーク構築の際の納入業者

に相談するってのが現実的な話だと思います。

No.2 ベストアンサー 回答者： srtype 回答日時： 2002/01/23 16:16

この質問は、kyouichi6さんの回答にあるように、基本的にはネットワークに詳しい専門の方のコンサルを受けることになると考えられます。

質問された方が、社内ネットワーク管理担当であることを前提としてアドバイスします。
１．遅い原因が特定のどのトラフィックによるものか、見極めが必要です。
　このためには、kyouichi6さんの回答にあるようにどのような通信がどれだけ発生しているかを何らかの方法で（ＳＮＭＰを用いるＭＲＴＧ、パケット監視のためのsniffer、tcpdump、Ethereal等）調査することになります。この場合、各プロトコルについての知識が必要です。最近遅くなったということであれば、インターネットへのアクセスが増えたとか、ファイル転送をする業務が定期的に走るようになったとか、社内でファイルサーバを立てたとか、新規にネットワークを用いた業務が増えたとか、こちらの方をまず疑うことをお勧めします。

２．Cisco3620であれば、interfaceやipのトラフィックを表示するコマンドでトラフィックや負荷状況、エラーパケットなどを確認できます。
ＤｏＳ攻撃を受けたと判断できるとはいいきれませんが、例えばフォーマットエラーのパケットが多量に検出されているとか、ＩＣＭＰのパケットが試験をしたわけでもないのに、多量に検出されている等であれば、ＤｏＳ攻撃を受けている可能性があると判断できます。

　ルータにtelnet接続して、show ip traffic または show interfaces　等のコマンドで確認できます。

３．アクセスしてくるＩＰアドレスを何らかの方法で取得します。
　例えば、取得する方法は、１に記述した方法などになります。社内のＩＰアドレスがわかっている場合、Cisco3620であれば（IOS11.0以上なら）社内のＩＰアドレス以外のＩＰに対するアクセスリストを記述して、これをドロップさせることは可能です。しかし、アクセスリストは専門家でもむずかしい場合があり、ルータの性能は確実に下がりますので、注意が必要です。
　取得したＩＰアドレスがどこからのものか調査することとなります。

４．遅くなった時期に何があったのか調査できればよいのですが。
　例えば、Cisco3620は、音声系のボードを搭載できるため、VoIPによるＩＰ電話を導入したといったことはないのでしょうか。これはバースト的なトラフィックが発生しますので、重く感じることはあると思われます。さらにこのときに、必要なメモリの増設をしていないとルータがまともに動作しないことも考えられます。
ルータのコンフィグ（設定）について、fair-queue等の設定をした時、トラフィックの洗い出しをしていなかったとか考えられることは様々です。

以上参考になるかわかりませんが、特に遅くなったということがあればCiscoにコンサルを依頼する方法もあります。

No.3 回答者： nights03 回答日時： 2002/02/06 16:27

攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか？

参考URL：http://www.snort.org/