Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS

Table of Contents

ICMPANOM – ICMP異常

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

この検知メソッドでは、ICMPトラフィックでの不審な通信が発見されます。このメソッドでは、ワーム拡散の兆候であるICMPタイプ3メッセージの増加数が報告されます。ネットワーク内のノードの長期的な振る舞いが監視され、現在の観測とノードの統計が比較されます。また、ネットワークのグローバル統計とも比較されます。さらに、ICMPスキャン、ICMPスマーフ、pingフラッド攻撃、およびICMPパケットの過剰ペイロードを検出できます。

TimeWindowパラメータでは、長期統計を収集および処理するためのタイムウィンドウ(時間単位)を指定します。TimeWindowに0を設定した場合、ICMPタイプ3メッセージ異常の検知が無効になります。ICMPThresholdパラメータでは、観測しているICMPタイプ3メッセージに許可されている最大の増加を指定します。Type3MsgThresholdパラメータを使用して、1つのIPアドレスに対するICMPタイプ3メッセージの下限を設定します(異常トラフィックと見なせる最小メッセージ数)。ICMPSmurfICMPScanパラメータを1に設定すると、ICMPスマーフ攻撃とICMPスキャンがそれぞれ有効になります。この検知メソッドのうちICMPスキャンに関する部分は、最小スキャンデバイス数によって制限することもできます(ScannedDevicesパラメータ)。

ICMPエコー要求フラッド検知は、PingFloodThresholdパラメータによって制限されます。この値は、エコー要求の最小送信パケット数を定義します。値が0の場合、エコー要求フラッド検知は実行されません。

ICMPパケットの過剰ペイロードの検知は、MinimalPacketsおよびMinimalPayloadパラメータによって制限されます。これらは、それぞれのICMPタイプパケットの最小数とその最小平均ペイロードに相当します。MinimalPayloadパラメータが0の場合、ICMPパケットの過剰ペイロードの検知は実行されません。

このメソッドは、以下のサブメソッドで構成されます。

  • DestinationUnreachIP: デバイスで受信されたICMPタイプ3 (宛先到達不能)メッセージの数がこのデバイスの長期的な平均値を超える場合にレポートします。

  • DestinationUnreachNetwork: デバイスで受信されたICMPタイプ3 (宛先到達不能)メッセージの数が監視対象のネットワーク全体の長期的な平均値を超える場合にレポートします。

  • SmurfAttack: ICMP Smurf手法を使用しているDoS攻撃をレポートします。

  • ICMPScan: ICMPプロトコルを使用しているネットワーク内のライブデバイスのスキャニングをレポートします。

  • sub-PingFlood: Ping flood手法を使用しているDoS攻撃をレポートします。

  • LargePayload: ペイロードが大きいICMPエコー要求パケットをレポートします(通常とは異なるプロトコルを用いた潜在的なデータ転送または機密データの悪意ある流出)。

メソッド設定

このメソッドは、すべてのIPアドレスに適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。

メソッドパラメータ

  • TimeWindow: ICMPトラフィックの統計を保存するタイムウィンドウ(移動タイムウィンドウの長さ)。このパラメータの値が0の場合、ICMPトラフィックの量の測定異常の検知は無効になります。

  • ICMPThreshold: ICMPタイプ3メッセージ数の増加の閾値(パーセンテージ)。以前の統計およびネットワーク平均との比較に使用されます。

  • Type3MsgThreshold: ICMPタイプ3メッセージの最小数の閾値。

  • ICMPSmurf: ICMPスマーフ攻撃検知(ICMPメッセージを使用した、増幅されたDoS攻撃)の有効化。

  • ICMPScan: 水平ICMPスキャン検知の有効化。

  • ScannedDevices: スキャンするデバイスの最小数の閾値。

  • PingFloodThreshold: ICMPエコー要求メッセージ数の閾値。パラメータ値が0の場合、ICMPエコー要求フラッド検知は無効になります。

  • MinimalPackets: ICMPプロトコルを使用した大量転送を検知するために使用されるICMPタイプパケットの最小数の閾値。

  • MinimalPayload: ICMPプロトコルを使用した大量転送を検知するために使用されるパケットあたり最小バイト数の閾値。パラメータ値が0の場合、この検知は無効になります。

フィルタの割り当て

フィルタは、送信元または宛先IPアドレスの制限に使用されます。

結果の解釈

このメソッドでは、ICMPタイプ3メッセージ(到達不能)の増加を検知できます。この現象は、ワーム拡散中、特にUDPプロトコルが使用されているとき、およびポートが閉じられているホストからICMPポート到達不能メッセージが返されるときにに発生する可能性があります。また、不適切な設定のデバイスが、利用できないUDPサービスにアクセスしようとしてることを意味している可能性もあります。ICMPスキャンはネットワーク上のライブホストを検出するために使用されますが、マルウェアによって使用されることもあります。ICMPスマーフ攻撃の目的は、大量のICMPエコー応答を使用してネットワーク、特に被害者への接続リンクを溢れさせることです。

TitleResults for “How to create a CRG?”Also Available inAlert