SRVNA – サービス利用不可

メソッドの説明

この検知メソッドは、クライアントがアクセスを望んでいるものの、利用できないサービス(IPアドレス/ポート)を検知するために使用されます。このメソッドは、サービスへの最小アクセス回数(AttemptsThresholdパラメータ)と提供されるサービスのIPアドレス(ServiceProvidersパラメータ)を定義するフィルタによって制限できます。イベントが生成された場合、送信元IPアドレスは利用できないサービスのプロバイダのアドレスです。成功した接続の数と接続に成功したクライアントの詳細も提供されます。失敗したリクエストと指定されたサービスへのすべての接続の最小比率を定義するRelativeUnsuccessfulパラメータを使用して検知を制限できます。

このメソッドでは、UDPプロトコルで利用できないサービスを検知します。この部分の検知は、失敗した試行の最小閾値を定義するUDPThresholdパラメータで設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• TCPService: 監視対象のネットワーク内で提供されるTCPサービスが使用できないことをレポートします。クライアントにレスポンスを送信しないサービスや、着信した接続を積極的に拒否するサービスをレポートします。このサブメソッドは、OnlyRejectedパラメータの値がnoに設定されているときに使用されます。

• TCPServiceReset: 監視対象のネットワーク内で提供されるTCPサービスが使用できないことをレポートします。着信した接続を積極的に拒否するサービスのみをレポートします。このサブメソッドは、OnlyRejectedパラメータの値がyesに設定されているときに使用されます。

• UDPService: 監視対象のネットワーク内で提供されるUDPサービスが使用できないことをレポートします。

メソッド設定

このメソッドは、すべてのIPアドレスに対してアクティブ化することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。このメソッドをサンプリングされたトラフィックに対して実行する場合は、OnlyRejectedパラメータをアクティブ化することをお勧めします。

メソッドパラメータ

一般

• ServiceProviders: 障害を検知する必要があるサーバのIPアドレスを定義するフィルタの名前。

TCP

• AttemptsThreshold: 単一のサービス(IPアドレス、プロトコル、ポートで定義されます)への最小アクセス回数の閾値。

• RelativeUnsuccessful: サービスへの失敗したアクセスと合計アクセス回数の比率の閾値(パーセント単位)。

• OnlyRejected: サービスへの拒否されたアクセスの評価(TCP RESETフラグ付きのレスポンスを受け取ったアクセス試行)。

UDPService

• UDPThreshold: UDPプロトコルでのサービスへの最小アクセス回数の閾値。

フィルタの割り当て

このフィルタは、送信元IPアドレス(サーバ)を制限するために使用されます。

結果の解釈

このメソッドは、成功したサービス拒否攻撃を検知するほか、サーバまたはクライアントの設定エラー(意図されたサービスを提供していないサーバまたは提供されていないサービスを要求するクライアント)も検知できます。