Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS

Table of Contents

DHCPANOM – DHCPの異常

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 6 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

この検知メソッドは、DHCPトラフィックの不審な通信を検知します。このメソッドにより、大量のDHCPトラフィックを生成する過負荷状態のDHCPサーバとクライアントなど、DHCPネットワークトラフィックの増加が浮き彫りになります。ネットワークノードの長期的な振る舞いの監視に基づき、現在のデータ転送をそれぞれのノードの統計、およびネットワークのグローバル統計と比較します。さらに、フィルタによって正当なDHCPサーバとしてマークされていないアドレスから発信される、サーバ(ポート67)からクライアント(ポート68)宛てのUDPトラフィックを監視することによって、偽のDHCPサーバも検知できます。また、このメソッドでは、監視対象のネットワークに使用される正当なDHCPサーバのIPアドレスとMACアドレスの組み合わせを学習することによって、偽のDHCPサーバの高度な検知も実行されます。それぞれのIPアドレスに対応する学習されたMACアドレスが変化すると、イベントが生成されます。

TimeWindowパラメータを使用すると、長期統計を収集および処理するためのタイムウィンドウ(時間単位)を設定できます。DHCPServersフィルタは、ネットワークで使用されるDHCPサーバを定義します。このフィルタは、偽のDHCPサーバを正しく検知するために必要です。DhcpThresholdパラメータは、監視対象のDHCPトラフィックに許可されている最大の増加を指定します。TrafficSizeThresholdパラメータは、個々のIPアドレスについて、すでにフラッド攻撃と見なすことのできるDHCPトラフィックの最小量を指定します。偽のDHCPサーバの検知を有効化するには、FakeDHCPDetEnabledパラメータを使用します。特定のDHCPサーバの通信を異常に増えたDHCPトラフィックの検知から除外できます(DHCPServersフィルタで定義されたサーバ)。偽のDHCPサーバの高度な検知を有効化するには、AdvanceFakeDHCPDetEnabledパラメータを使用します。

このメソッドは、以下のサブメソッドで構成されます。

  • FakeServer: 既知のDHCPサーバのユーザ定義フィルタに基づいて検知された偽のDHCPサーバをレポートします。IPがフィルタに含まれていないDHCPサーバが検知された場合には、イベントが生成されます。この検知は、DHCPServersパラメータが設定されている場合にアクティブになります。

  • ServerOverloadIP: それぞれのデバイスの前回のDHCPトラフィックの統計と比較してDHCPサーバとの通信が著しく増加していることをレポートします。

  • ServerOverloadNetwork: 監視対象のネットワーク全体を対象とした前回のDHCPトラフィックの統計と比較してDHCPサーバとの通信が著しく増加していることをレポートします。

  • OversendingClientIP: 監視対象のネットワーク内でデバイスによって生成されたDHCPトラフィックの量が、それぞれのデバイスの前回のDHCPトラフィックの統計と比較して著しく増加していることをレポートします。

  • OversendingClientNetwork: 監視対象のネットワーク内でデバイスによって生成されたDHCPトラフィックの量が、監視対象のネットワーク全体を対象とした前回のDHCPトラフィックの統計と比較して著しく増加していることをレポートします。

  • ServerChange: 既存のDHCPサーバのMACアドレス変更に基づいて検知された偽のDHCPサーバをレポートします。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体でネットワーク上のすべてのトラフィックに対して適用し、さらにDHCPサーバを定義するフィルタを設定することをお勧めします。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

  • DHCPServers: 監視対象ネットワークで使用されるDHCPサーバのIPアドレスを定義するフィルタ名。

  • AdvanceFakeDHCPDetEnabled: 偽のDHCPサーバの高度な検知の有効化。

  • AdvFakeExpiration: このパラメータで指定された日数の間、監視対象のDHCPサーバが無効な場合は、メソッドのデータベースから削除されます。このパラメータは、偽のDHCPサーバの高度な検知にのみ使用されます。

  • MinimumHistoryCoverage: TimeWindowパラメータのパーセント値を指定します。TimeWindowパラメータのこのパーセント値で指定した期間の統計がこのメソッドで収集される場合は、増加したDHCPネットワークトラフィックの検知を開始できます。

  • FakeDHCPDetEnabled: 偽のDHCPサーバの存在を検知する機能の有効化。

  • TimeWindow: DHCPトラフィックの統計を保存する時間数(スライディングタイムウィンドウの長さ)。

  • DhcpThreshold: DHCPトラフィックの増加の閾値(パーセンテージ)。そのIPアドレスの以前の統計およびネットワーク平均との比較に使用されます。

  • TrafficSizeThreshold: DHCPトラフィックの最小量(KiB)。

  • ExcludeDhcpServers: DHCPトラフィックの増加の検知から、DHCPサーバからの送信トラフィックを除外します。

フィルタの割り当て

フィルタは、送信元または宛先IPアドレスの制限に使用されます。

結果の解釈

このメソッドでは、DHCPトラフィックのフラッド攻撃および通信量の不審な増加を検知できます。たとえば、DHCPサーバのリソース枯渇を狙ったDHCP DISCOVERフラッド攻撃です。偽のDHCPサーバが見つかったということは、中間者攻撃があったか、ネットワークデバイスの設定が誤っている可能性を示唆しています。

TitleResults for “How to create a CRG?”Also Available inAlert