DOS – サービス拒否攻撃

メソッドの説明

サービス拒否攻撃または分散型サービス拒否攻撃を検知するためのメソッド。このメソッドは、監視対象ネットワーク上の各デバイスに対する受信パケットと送信パケットの比の評価に基づいています。データが閾値を超えるとイベントが生成されます。この閾値は履歴データに基づいて定義されます。イベント生成時、送信元IPアドレスは攻撃の被害者のアドレスであり、攻撃者はイベントのターゲットとしてリストされます。

このメソッドは、以下のサブメソッドで構成されます。

• Volumetric: 大量の帯域幅を消費するDoS攻撃をレポートします。検知は、デバイスの着信/発信パケット比の急激な変化に基づきます。

• SYNFlood: SYNフラッドの手法を使ったDoS攻撃をレポートします。

• FIN2WAIT: ターゲットサーバのリソースを消費する、(クライアント側から)終了していない大量の接続の手法を使ったDoS攻撃をレポートします。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所は、インターネット接続回線または中央のスイッチ(広大なネットワークを持つ大規模な組織の場合)です。

メソッドパラメータ

一般

• AttackersThreshold: 同時に攻撃しているデバイスの最小数。

• Threshold: (攻撃被害者の)受信パケットと送信パケットの比の最小増加(標準偏差の増分)の閾値。

• AbsoluteThreshold: (攻撃被害者の)受信パケットと送信パケットの最小比の閾値。

• MinimalIncoming: (攻撃被害者の)受信パケットの最小数の閾値。

• WindowLength: 監視対象ネットワーク上のデバイスに対する受信パケットと送信パケットの統計を保存する時間数(スライディングタイムウィンドウの長さ)。

• MaxBpp: 接続が潜在的な攻撃であると見なすべきパケットあたりの最大バイト数。

SYNFlood

• SYNPackets: DoS攻撃と見なすべき、SYNパケットのみを含むフローの最小数(簡易的な検知)。

Fin2Wait

• F2WThreshold: 一方の通信パートナーで終端した接続の最小数。これはFin2Wait DoS攻撃の検知に使用されます。

フィルタの割り当て

このフィルタは、送信元IPアドレス(攻撃の被害者)の制限に使用されます。

結果の解釈

このメソッドは、指定された最小範囲のDoS/DDoS攻撃に対して信頼性の高いアラートを出します。