L3ANOMALY – L3ネットワークの異常

メソッドの説明

この検知メソッドは、第3層(ネットワーク層)のトラフィック異常を明らかにします。最初の部分は、通信当事者の送信元または宛先IPアドレスが正規の内部ネットワークのものでない状況を検知します(詳細は、RFC 2827を参照してください)。2番目の部分は、ブロードキャストまたはマルチキャスト送信元IPアドレスを含むフローをレポートします。3番目の部分は、送信元および宛先IPアドレスが同一のパケットを検出します。IPv4とIPv6の両方のプロトコルがサポートされます。

InternalNetworksフィルタでは、許可される内部ネットワークのIPアドレス範囲を指定します。これは検知の最初の部分(IPスプーフィング)に重要です。IgnoreBroadMulticastパラメータを有効にすると、マルチキャストまたはブロードキャスト宛先IPアドレスを含むフローに対するIPスプーフィングの検知を禁止できます。リンクローカルIPアドレスとゼロネットワークブロードキャストを含むフローは、デフォルトでIPスプーフィングの検知から除外されます。

このメソッドは、以下のサブメソッドで構成されます。

• IPSpoof: 送信元IPアドレスのスプーフィングをレポートします。検知は、既知の内部IPセグメントのユーザ定義リストに基づいて行われます。

• SourceMulticast: マルチキャスト送信元IPアドレスを持つパケットをレポートします。

• SameIPs: 送信元IPアドレスと宛先IPアドレスが同一のパケットをレポートします。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線または中央のスイッチ(InternalNetworksオプションをオンに設定)です。

メソッドパラメータ

一般

• InternalNetworks: 監視対象ネットワークのすべてのIPアドレスを定義するフィルタの名前。

IPSpoof

• IgnoreBroadMulticast: IPSpoof検知時に、ブロードキャストまたはマルチキャスト宛先IPアドレスを含む接続を省略します。

フィルタの割り当て

このフィルタは、送信元IPアドレスまたは宛先IPアドレスを制限するために使用されます。

結果の解釈

ローカルネットワークの範囲外にあるIPアドレスの通信は、IPスプーフィング(IPヘッダーの変更の試み)を示している可能性があります。不適切なIPアドレス(ブロードキャストまたはマルチキャスト送信元IPアドレス、または同一の送信元および宛先IPアドレス)を含むフローの場合、ネットワーク機器のTCP/IPスタックの実装に関する何らかの問題に対する攻撃である可能性があります。