OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

DOS攻撃の対処方法

  • 困ってます
  • 質問No.202851
  • 閲覧数930
  • ありがとう数2
  • 気になる数0
  • 回答数3
  • コメント数0

お礼率 57% (50/87)

最近社内のネットワークが遅く感じられるようになりました。もしかしたら、社内のルーター(CISCO3620)がDOS攻撃を受けているかもしれません。DOS攻撃かどうかの見分け方と対処方法を教えて頂きたいと思います。よろしくお願いします。
通報する
  • 回答数3
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.2
レベル3

ベストアンサー率 100% (1/1)

この質問は、kyouichi6さんの回答にあるように、基本的にはネットワークに詳しい専門の方のコンサルを受けることになると考えられます。

質問された方が、社内ネットワーク管理担当であることを前提としてアドバイスします。
1.遅い原因が特定のどのトラフィックによるものか、見極めが必要です。
 このためには、kyouichi6さんの回答にあるようにどのような通信がどれだけ発生しているかを何らかの方法で(SNMPを用いるMRTG、パケット監視のためのsniffer、tcpdump、Ethereal等)調査することになります。この場合、各プロトコルについての知識が必要です。最近遅くなったということであれば、インターネットへのアクセスが増えたとか、ファイル転送をする業務が定期的に走るようになったとか、社内でファイルサーバを立てたとか、新規にネットワークを用いた業務が増えたとか、こちらの方をまず疑うことをお勧めします。

2.Cisco3620であれば、interfaceやipのトラフィックを表示するコマンドでトラフィックや負荷状況、エラーパケットなどを確認できます。
DoS攻撃を受けたと判断できるとはいいきれませんが、例えばフォーマットエラーのパケットが多量に検出されているとか、ICMPのパケットが試験をしたわけでもないのに、多量に検出されている等であれば、DoS攻撃を受けている可能性があると判断できます。

 ルータにtelnet接続して、show ip traffic または show interfaces 等のコマンドで確認できます。

3.アクセスしてくるIPアドレスを何らかの方法で取得します。
 例えば、取得する方法は、1に記述した方法などになります。社内のIPアドレスがわかっている場合、Cisco3620であれば(IOS11.0以上なら)社内のIPアドレス以外のIPに対するアクセスリストを記述して、これをドロップさせることは可能です。しかし、アクセスリストは専門家でもむずかしい場合があり、ルータの性能は確実に下がりますので、注意が必要です。
 取得したIPアドレスがどこからのものか調査することとなります。

4.遅くなった時期に何があったのか調査できればよいのですが。
 例えば、Cisco3620は、音声系のボードを搭載できるため、VoIPによるIP電話を導入したといったことはないのでしょうか。これはバースト的なトラフィックが発生しますので、重く感じることはあると思われます。さらにこのときに、必要なメモリの増設をしていないとルータがまともに動作しないことも考えられます。
ルータのコンフィグ(設定)について、fair-queue等の設定をした時、トラフィックの洗い出しをしていなかったとか考えられることは様々です。

以上参考になるかわかりませんが、特に遅くなったということがあればCiscoにコンサルを依頼する方法もあります。
-PR-
-PR-

その他の回答 (全2件)

  • 回答No.1
レベル10

ベストアンサー率 42% (77/183)

あまり詳しくないのですが、回答がつかないようですので解る範囲で。 まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してCPU使用率やトラフック等の情報を収集する事が可能です。 また、イーサネットポートでしたら間にシェアードHUBをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。 そのデータがDOS攻撃かどうかはFrom Toのアドレ ...続きを読む
あまり詳しくないのですが、回答がつかないようですので解る範囲で。

まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してCPU使用率やトラフック等の情報を収集する事が可能です。

また、イーサネットポートでしたら間にシェアードHUBをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。
そのデータがDOS攻撃かどうかはFrom Toのアドレスとパケットのタイプで判断するってのは如何でしょう?

ただ、【社内のネットワーク】との事ですので、

 ・ネットワーク管理担当者
 ・ネットワークの保守業者
 ・ネットワーク構築の際の納入業者

に相談するってのが現実的な話だと思います。


  • 回答No.3
レベル6

ベストアンサー率 33% (1/3)

攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか? ...続きを読む
攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか?
このQ&Aのテーマ
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ