ネットワーク解析ソフト「Colasoft Capsa」をご紹介します。90ヵ国以上で50万を超える利用者がいるパケット解析ソリューションです。中国からDDoS攻撃やARP攻撃があまりに多すぎて、対策が取れない企業の担当者がいましたら「Colasoft Capsa」を使ってみては、いかがでしょうか。
Colasoft Capsa
http://www.colasoft.com/jp/
ちなみに私は、さっっっっっぱり説明を見ても、意味がわかりませんでした。そこでColasoftの蘭さんに、お話しを聞きました。なんか凄そうなソフトなので、どうやって使うかをご紹介します。
中国からDDoS攻撃対策でサーバーが重たくって困っているサーバー管理者やWeb担当者は多いはずですので、ご参考あれ!
以下Colasoft CapsaによるDDoS攻撃対策
Colasoft Capsaは、ネットワーク解析ソフトで主にユーザーのネットワークで一体何が起こったのかを解析するために利用されています。例えば、お使いのネットワークにDDoS攻撃された場合、Capsaを利用してどんなタイプのDDoS攻撃が起こったのか、どのIPが攻撃されたのかを解析できます。
解析結果によって、ファイアウォールの配置を変更するか、サーバー設定を変更することで、防御方法を修正できます。
以下はDDoS攻撃を例に説明します。
1.Capsaを起動
Capsaを起動して、セキュリティ解析という解析プロファイルを選択します。セキュリティ解析プロファイルには、受けたDoS攻撃ビューが提供されています。お使いのネットワークがDoS攻撃された場合、攻撃に関する詳細情報は受けたDoS攻撃ビューに表示されます。
2.DoS攻撃を確認
「受けたDoS攻撃ビュー」をクリックして、そのビューで統計データがあることで、お使いのネットワークは確かにDoS攻撃されたことを確認できます。
3.診断ビューでDDoS攻撃を特定
次に診断ビューに移動します。診断アイテムを確認したところ、ほとんどの診断イベントは「TCP重複した接続試み」であることが分かりました。そのアイテムを選択して、右の「診断アドレス」で一番多いアイテムは三つであることが分かっています。どのアイテムをクリックしても、下の「診断イベント」タブにおける「送信元IPアドレス」は異なっていますが、「宛先アドレス」は全部「×××.91.13.124」であることは分かりました。つまり、誰かが「×××91.13.124」というアドレスにTCP接続を繰り返し試みていることで、DDoS攻撃を起こしています。
4.解決方法を検討
「診断イベント」タブで右クリックして、「×××.91.13.124」というアドレスをノードブラウザにロケートすることで、そのアドレスの具体的な情報を見てみましょう。
TCPセッションビューを見ると、送信元アドレスは全部ポート7000を通じて、「×××.91.13.124」に接続をリクエストしていることが分かりました。だから今回の例の解決方法の一つとして、ポート7000を閉じることができます。
そして、下のシーケンスチャートタブを確認して、どのTCPセッションにも「SYN(接続リクエスト)」しかなく、「ACK(接続確認)」がありません。その繰り返しの接続リクエストがネットワークに負荷をかけるのです。
次はARP攻撃解析
ARP攻撃にはいくつかのタイプがありますが、Colasoft Capsaは「ARPフォーマットエラー」「ARPスキャン」「ARPリクエストストーム」「ARP応答が多すぎる」という四つのイベントの識別をサポートしています。まずCapsaを起動して、セキュリティ解析という解析プロファイルを選択します。セキュリティ解析プロファイルには、ARP攻撃ビューが提供されています。お使いのネットワークがARP攻撃された場合、攻撃に関する詳細情報は受けたARP攻撃ビューに表示されます。
ARP攻撃ビューをクリックして、そのビューで統計データがあるので、ネットワークは確かにARP攻撃されたことを確認できます。
次に診断ビューに移動し、ARP攻撃のタイプを確認しましょう。診断ビューを確認したところ、「ARPフォーマットエラーー」「ARPスキャン」「ARPリクエストストーム」という三つのイベントが発生したことがわかりました。
一番数量の多いのは「ARPフォーマットエラーー」「ARPスキャン」ですが、「ARPフォーマットエラーー」はマークが付いて、やや注意すればよいのです。
「ARPスキャン」は、注意を払って解決する必要があるマークが付いているので、今回の問題はARPスキャンであることをほぼ確認できます。
「ARPスキャン」をクリックして、右の「診断アドレス」に一番多いアイテムは二つですが、どのアイテムをクリックして、下にある宛先IPアドレスは異なっていますが、送信元IPアドレスと送信元MACアドレスはほとんど「×××.68.14.156」と「××.××.FE:01:22:7C」となっています。
つまり送信元IPアドレスと送信元MACアドレスが「×××.68.14.156」と「××.××.FE:01:22:7C」であるマシンがARP攻撃を起こしているのです。このマシンが見つかったら、この問題は解決できると思います。
物理ループとルーティングループ解析
次は物理ループとルーティングループ解析について紹介したいと思います。ルーティングループは異なるネットワークのホスト間でデータパケットを送信しているルーティングプロトコルの不適切な設定によって引き起こされます。ルーティングループの場合、一度通ったルータが経路上にもう一度出現し、パケットを送信すると宛先に届かずにぐるぐると回ってしまいます。
物理ループはデバイス間のループ接続によって引き起こされます。例えば二つのスイッチの間に二つのアクティブなイーサネットリンクがあること。一つのスイッチにおけるリンクを出たブロードキャストパケットは複製され、もう一つのスイッチから返送されます。これはブロードキャストストームとも知られています。
Colasoft Capsaはルーティングループと物理ループという二つの診断イベントの識別をサポートしています。
1、 まずCapsaを起動して、「フル解析」をダブルクリックします。「診断」タブで「ルーティングループ」と「物理ループ」にチェックを入れます。
2、 スタートをクリックして、お使いのネットワークにはルーティングループと物理ループがありましたら、Colasoft Capsaはすぐにそれを識別し、下図のように診断ビューに表示します。
3、 「診断アイテム」タブで「ルーティングループ」を選択し、下図のように「診断アドレス」タブであるアドレスを右クリックし、そのアドレスをノードブラウザにロケートします。すると、右側の統計ビューはそのアドレスに関するデータだけを表示します。
4、 次に物理セッションビューに移動して、そのアドレスに関するセッションを確認します。
5、 物理セッションをダブルクリックして、そのセッションに関するパケット情報を表示します。パケットのデコード情報が表示されていない場合、「デコードビューを表示」と「HEXビューを表示」ボタンをクリックすることで、パケットのデコード情報を表示することができます。デコードビューで「Identifier」をクリックすることで、パケットリストビューにおける「フィールドをデコード」カラムの値を確認したところ、すべてのパケットにおけるこのカラムの値は同じであることが分かります。それは、この例ではネットワークループが原因で、同じパケットがネットワーク内で継続的に転送していることを意味します。例えば、ルータAはそのパケットをルータBに送信し、そしてルータBはまたそのパケットをルータAに返送します。
6、 続いてデコードビューにおける「Time To Live」をクリックすることで、パケットリストにおける「フィールドをデコード」カラムの値は規則的に減少していることが分かります。それはルータデバイスを一回経由するたびにTTL値が1減少するからです。TTLが0になったパケットはその時点で廃棄されます。するとルーティングループの場合、ICMPパケットが無限に転送されることは避けられます。
7、 物理ループを解析する方法はほとんど同じですが、すべてのループパケットのTTL値はルーティングループのように規則的に減少しているのではなく、同じです。それはパケットがローカルネットワークに閉じ込められ、ルータを経由していないからです。従ってTTL値は変わっていません。以下は物理ループに閉じ込められたDNS Queryパケットです。
8、 ルーティングループと物理ループが確認された場合、診断ビューに戻り、ルーティングループと物理ループをダブルクリックすることで、それぞれの原因と間がられる解決方法を確認することができます。
以上です。
なんかこのソフトウェアがあれば、何かDDoS攻撃対策できそうですよね。
Colasoft Capsa
http://www.colasoft.com/jp/
