• ベストアンサー

DOS攻撃の対処方法

最近社内のネットワークが遅く感じられるようになりました。もしかしたら、社内のルーター(CISCO3620)がDOS攻撃を受けているかもしれません。DOS攻撃かどうかの見分け方と対処方法を教えて頂きたいと思います。よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • srtype
  • ベストアンサー率100% (1/1)
回答No.2

この質問は、kyouichi6さんの回答にあるように、基本的にはネットワークに詳しい専門の方のコンサルを受けることになると考えられます。 質問された方が、社内ネットワーク管理担当であることを前提としてアドバイスします。 1.遅い原因が特定のどのトラフィックによるものか、見極めが必要です。  このためには、kyouichi6さんの回答にあるようにどのような通信がどれだけ発生しているかを何らかの方法で(SNMPを用いるMRTG、パケット監視のためのsniffer、tcpdump、Ethereal等)調査することになります。この場合、各プロトコルについての知識が必要です。最近遅くなったということであれば、インターネットへのアクセスが増えたとか、ファイル転送をする業務が定期的に走るようになったとか、社内でファイルサーバを立てたとか、新規にネットワークを用いた業務が増えたとか、こちらの方をまず疑うことをお勧めします。 2.Cisco3620であれば、interfaceやipのトラフィックを表示するコマンドでトラフィックや負荷状況、エラーパケットなどを確認できます。 DoS攻撃を受けたと判断できるとはいいきれませんが、例えばフォーマットエラーのパケットが多量に検出されているとか、ICMPのパケットが試験をしたわけでもないのに、多量に検出されている等であれば、DoS攻撃を受けている可能性があると判断できます。  ルータにtelnet接続して、show ip traffic または show interfaces 等のコマンドで確認できます。 3.アクセスしてくるIPアドレスを何らかの方法で取得します。  例えば、取得する方法は、1に記述した方法などになります。社内のIPアドレスがわかっている場合、Cisco3620であれば(IOS11.0以上なら)社内のIPアドレス以外のIPに対するアクセスリストを記述して、これをドロップさせることは可能です。しかし、アクセスリストは専門家でもむずかしい場合があり、ルータの性能は確実に下がりますので、注意が必要です。  取得したIPアドレスがどこからのものか調査することとなります。 4.遅くなった時期に何があったのか調査できればよいのですが。  例えば、Cisco3620は、音声系のボードを搭載できるため、VoIPによるIP電話を導入したといったことはないのでしょうか。これはバースト的なトラフィックが発生しますので、重く感じることはあると思われます。さらにこのときに、必要なメモリの増設をしていないとルータがまともに動作しないことも考えられます。 ルータのコンフィグ(設定)について、fair-queue等の設定をした時、トラフィックの洗い出しをしていなかったとか考えられることは様々です。 以上参考になるかわかりませんが、特に遅くなったということがあればCiscoにコンサルを依頼する方法もあります。

その他の回答 (2)

  • nights03
  • ベストアンサー率33% (1/3)
回答No.3

攻撃かどうかの判断をするのであればIDSを導入してみてはどうでしょうか?

参考URL:
http://www.snort.org/
  • kyouichi6
  • ベストアンサー率42% (77/183)
回答No.1

あまり詳しくないのですが、回答がつかないようですので解る範囲で。 まずCICSCO3620がSNMP対応でしたらMRTGなんかを導入してCPU使用率やトラフック等の情報を収集する事が可能です。 また、イーサネットポートでしたら間にシェアードHUBをいれてパケットモニターを繋いで、どのようなトラフィックが流れているかを調べる事が出来ます。 そのデータがDOS攻撃かどうかはFrom Toのアドレスとパケットのタイプで判断するってのは如何でしょう? ただ、【社内のネットワーク】との事ですので、  ・ネットワーク管理担当者  ・ネットワークの保守業者  ・ネットワーク構築の際の納入業者 に相談するってのが現実的な話だと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • DoS攻撃とは?

    DoS攻撃について質問です。 DoS攻撃で有名なものはF5キーを連打してサーバーに負荷をかける「F5アタック」が有名ですが、こちらの事例もDoS攻撃なのでしょうか。 ホームページ内にあるページをあちこちにアクセスしたところ、 "ご覧になろうとしているページは現在表示出来ない"旨のメッセージが表示されました。 これはDoS攻撃なのでしょうか? また、ありえない話ですが、間違えたリンク先に一度だけアクセスして、 "Oops 404 error! Page not found!"と表示されてサーバーが落ちた、ということがあった場合、こちらもDoS攻撃と言えるのでしょうか?

  • dos攻撃とはなんですか?

    dos攻撃って何ですか?wikiとかでしらべても分かりにくくてわかりません。誰か簡単に教えてください。

  • DoS攻撃にあてはまる?

    似たような質問ですみません。 DoS攻撃とみなされる基準について質問です。 これらはDoS攻撃なのでしょうか? ① サイト内をあちこちアクセスした結果、サーバーが落ちた(混雑中と表示された) ② 404エラーに5回程度アクセスしたことでシステム混雑中となった。 ③ F5キーを10回程度押す ④ 何度も同じサイトにアクセスする(といっても10回未満) そもそもサイトが混雑しているという事は、実際にDoS攻撃を受けているものなのでしょうか?

  • DOS攻撃とDDOS攻撃って何?

    質問です 長文ですが読んで下さい DOS攻撃とDDOS攻撃ってありますよね たまにゲームや会社のサーバーでネットの攻撃を受けたとニュースで見たり聞いたりします 私はPCを扱っていますがサーバーやインターネットとか全く無知同然ですのでDOS攻撃とDDOS攻撃がどういうものかネット調べました やり方としては1台または複数のPCでターゲットのサーバに負荷をかけるサイバー攻撃、メールボム攻撃やF5攻撃などがあるそうですね 正直どれもよくわかりません 過去の事件で16歳の少年がDOS攻撃かDDOS攻撃をやって掴まったことがありますが金持ちでもない一般家庭の子供でも出来てしまうものなんですかね 私のDOS攻撃とDDOS攻撃のイメージだと ウイルス付きメールを送るかハッキングみたいに相手のサーバーやPCに入り込んでウイルスを流したり設定をいじったりするイメージなんですが DOS攻撃とDDOS攻撃ってどんな風にするものなんですか? それとも世の中で使われているセキュリティやサーバーはPC一台だけで天才でもないただの子供に簡単に壊される代物なんでしょうか? これら詳しく教えてほしいです

  • Dos攻撃をされています

    あるゲームのサーバーを建てていたのですが、20:30ごろにコロンビアからのIPでDos攻撃を受けてるというログが表示され、今現在に至るまで攻撃が続きサーバーの復旧どころかインターネットにすらアクセスできずモデムの設定画面「192.168.1.1」にもアクセスできない状態です。 どなたか復旧させる方法を教えていただけないでしょうか? 使用している回線はNoro光でモデムはHG8045Dを使用しています ※OKWAVEより補足:「So-netの各種設定」についての質問です。

  • パソコンが勝手にDos攻撃しているのですが

    OS:Windows Vista Home Basic セキュリティーソフト:Windows Live One Care 自分のパソコンが勝手にDos攻撃してしまっているのですが、 セキュティーソフトを使っても何のファイルがそれを行っているのかがわからず困っています。 Dos攻撃しているファイルを削除したいのですが、 削除方法とファイルの発見方法を教えてくれませんか。 お願いします。

  • [Error][アラームログ] DoS攻撃

    HG8045QにNetgearのルーターをブリッジーモードで接続しています。接続機器が多いのと、HG8045Qの設置場所から離れた2階で有線接続する必要もあるためです。(ちなみに、HG8045Qの接続場所は、設置業者の人から「ここしかないですね」と言われてしまったので不本意ながら1階になっています) ある日、HG8045Qの[ログ]を見てみると、以下のようなエラーが記録されていました。 [Error][アラームログ] アラームID:303500,アラームレベル:エラー,DoS攻撃 種別:smurf 送信元IPアドレス:***.***.***.*** 宛先IPアドレス:255.255.255.255 送信元MACアドレス:10-0c-6b-ec-27-5a これは、毎日ほぼ同時刻に1回記録されています。 気味が悪いので、[送信元MACアドレス:10-0c-6b-ec-27-5a]このMACアドレスが誰のものかを、https://uic.jp/mac/ で調べました。 結果、[Vendor name: NETGEAR]とのこと。 つまり、HG8045Qにブリッジーモードで接続したルーターから、毎日1回、DoS攻撃と判断されるアクセスが行われているということです。 ここで質問なのですが、以上のことから、 1)Netgearから[DoS攻撃]を受けている。 2)Netgearのルーター経由で、誰かから[DoS攻撃]を受けている。 3)何らかの信号はあるものの、攻撃では無く、HG8045Qの勘違い。 4)その他 どれに該当するでしょうか。 情報が少なくてすみません。現状わかる範囲のことは記載致しました。 他に確認すべきこと、その方法などがありましたらそれもご教示願えますと幸いです。 以上、宜しくお願い致します。 ※OKWAVEより補足:「So-netの各種設定」についての質問です。

  • DOS攻撃を受けているのですが、どうすれば?

    特定のパソコンに対して、DOS攻撃を受けているようなのですが、どのようにすればよろしいでしょうか? カスペルスキー2013を入れていて、それからのメッセージで発覚したのですが、あるポートに対して いろいろなIPから特定ポートに対して、接続をしているようです。メッセージは、1秒毎くらいに次から次へと表示されます。 現状は、インターネットへの接続が出来ない状態(攻撃のせいで、ホームページさえ表示できないかもしれませんが)です。 これは、会社から記述しております。 非常に困っております。 よろしくお願い致します。

  • ネットワークでいう攻撃とは

    インターネットでいう攻撃方法はどんなものがあるのでしょうか? DOS攻撃とか不正侵入とかいろいろはあると思いますがキーワードがあまり浮かびません。 人間に対する誹謗中傷書き込み等は除外してサーバーやネットワーク機器に対するどんな攻撃があるのか 教えてくださると助かります。 よろしくお願いいたします。

  • dos攻撃の基準について

    スクレイピングの練習で、ブログサイトなどから 記事ごとのコメントを取得するプログラムを作っています。 サムネイルに50の記事があるサイトですと、1度に50回アクセスすることになります。 作りながらプログラムを走らせて、修正をしてを繰り返していてふと気づいたのですが、 50回ほどプログラムを起動したので、数時間で2000回くらいアクセスしたことになります。 これって、DOS攻撃と間違えられてしまうのでしょうか。 この量のアクセスはDOS攻撃の範疇に入るのでしょうか。 ご教授いただけると幸いです。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する