DICTATTACK – 辞書攻撃

メソッドの説明

この検知メソッドは、さまざまなネットワークプロトコルを標的にした辞書攻撃を明らかにします。定期的に繰り返され、送信元IPアドレスとターゲットIPアドレス間で同じデータフロー特性を持つリクエストを検出します。最初に検出するのは、MaxIntervalパラメータで定義された最大期間で定期的に繰り返されるフローです。これらのフローの最小試行回数(MinAttemptsパラメータ)に達すると、各プロトコルでの通信が疑わしいと見なされ、データ転送の特性が計算されます。これらの特性では、転送データのばらつきがキャプチャされます。疑わしいフロー内の転送データのばらつきが、定義されているトレランスより小さい場合、これらの2つのステーション間の通信は攻撃としてマークされます。

このメソッドは、辞書攻撃の実行に悪用されるプロトコルに応じて、次のサブメソッドを提供します。それぞれのサブメソッドが、その名前に含まれているプロトコルを悪用する辞書攻撃を検知します。

• SMTPProtocol

• SambaProtocol

• VNCProtocol

• IMAPProtocol

• POP3Protocol

• FTPProtocol

• SSHProtocol

• TelnetProtocol

• RDPProtocol

• HTTPProtocol

メソッド設定

このメソッドは、ネットワーク内のすべてのIPアドレスに対して適用し、自組織のサーバに対する攻撃だけでなく、ネットワークからインターネットに向かって実行される攻撃も監視することをお勧めします。トラフィックの適切な監視場所は中央のスイッチか、可能であれば入出力インターネット回線です。

メソッドパラメータ

• MaxInterval: ログイン試行間の最大時間遅延。

• MinAttempts: ログイン試行の最小回数。

• Tolerance: 検知のトレランス設定。Toleranceは、-1～1の範囲の実数の間隔で設定できます。0はゼロトレランスを意味します。正の数値を入力すると、トレランスは増加します。負の数値を入力すると、トレランスは減少します。これにより、多数の誤検知除外が見つかった場合に検知トレランスを減らすことができます。Toleranceは、プロトコルごとに個別に設定できます。

• Ports: 検知が行われるポート。

• AnalyzeTCPFlags: IMAPプロトコルのフローデータ内のTCPフラグの検査をアクティブ化し、検知アルゴリズムをより正確にします。これは、利用されるフローソースがTCPフラグを埋める場合にのみ使用できます。

フィルタの割り当て

送信元またはターゲットIPアドレスの制限。

結果の解釈

このメソッドの結果は辞書攻撃の識別です。この検知メカニズムでは、定期的に繰り返される正当な通信が攻撃として評価されてしまうことがあります(例: 設定が誤っているため、サービスへの認証を試行し続けているものの失敗するデバイスなど)。誤検知除外の数が多い場合は、Toleranceパラメータの値を減らすか、MinAttemptsパラメータの値を増やすことをお勧めします。