パート１ではDDoSアタックの簡単な概要や、リクエストでウェブサイトを埋め尽くすbotnetによってどのようにそのアッタクが引き起こされるか、またどのようにウェブサイトをアクセス不可な状態にするかなども説明しました。

それはbotnetの一部になり得るただのホームコンピュータではありません。もし、ユーザーがネットワークを危険にさらす悪意のあるウェブサイトをうっかりダウンロードしてしまったら、あらゆるワークコンピュータはセキュリティー侵害をうけることになります。どうやってCiscoネットフローがＤＤoSアタックを特定するのに使われるのでしょう。

フロー活動を監視

　Ciscoネットフローを使用しているネットワークトラフィック監視が疑いのある活動を特定する手助けとなります。全てのルータが動作してからの全体のスパイクがボリュームを流すかどうかを見るにはScrutinizer Vitals を使用してください。

大量のフローを外に出しているルータを特定したら、だれがそのフローを受信しているのか見極めます。

フロー分析を使用

外部ソースからの脅威に対してのスキャンは内部コンピュータがbotnetの一部かどうか特定するのに使われます。Scrutinizer機能のフロー分析モジュールはそのような活動に対してのインターネット内部・外部全てのコネクションを監視するインターネット脅威モニタ です。

ＲＳＴ/ACK送信先アルゴリズムやＳＹＮバイオレーションアルゴリズムと使用時のフローAnalyticsはネットワークワームを捕まえる手助けとなるでしょう。

「フローAnalyticsでのネットワーク活動Analysisは我々のネットフローAnalysis　ソフトウェアの重要な一部分です。」とScrutinizer製品マネージャであるMichealは言っています。私たちのソリューションは何百ものルータや精密なUnique　Indexがホストごとにコンパイルされているかを保障するdeduplicateフローに対してのネットワーク脅威のためのもののようです。

DDoSアタック活動は巧妙に設計された数学的アルゴリズムで特定されます。

Botnetに関するさらなる情報へのリンクです。

先日のCiscoネットワーカーズ‘CiscoLive’ショーで、Nexus 7000のネットフロープロダクトマネージャであるYuan-Chi (Marty)と話す機会がありました。このような人たちと写真を撮るのが好きです。

Ciscoテクノロジーパートナーステータスの一環として、最新のCiscoハードウェアのフレキシブルなネットフローのような最先端のテクノロジーを私たちがサポートしているかどうかを確認するためにCiscoのネットフローについてのキーパーソンと働く機会があります。Nexus 7000をぜひ見てみて下さい。この製品についての素晴らしいオンラインビデオがあります。

基本的に、このハードウェアがフレキシブルなネットフローを追い出すと、ScrutinizerはNBAR、VLAN IDs、MACアドレス等の様々な詳細を運ぶことができます。

とても待ち遠しいです。

基本的なネットフローは、異なる二つのフローのように二つのエンドポイントの間でアップストリームとダウンストリームトラフィックを記録します。ASAデバイスのケースでは、多くの双方向フローは、既に内部で集合していて、シングルフローだと思われます。ですので、フローの両送信先を表示するASAファイアウォール上では、ネットフローによって、フロー記録を報告しました。

今日、各テンプレートが何を示しているのか概要をお話します。

ネットフローエクスポートのためにASAを設定するとき、ネットフローコレクターを通じて、どのイベントを監視したいのかを選択します。現在、私たちが監視しているイベントは、3種類です:

• Flow Create　(フロー作成)
• Flow Denied　(フロー喪失)
• Flow Teardown　(フロー分解)

Flow Create イベントは、ASAデバイスによってフローが作られることを意味します。このイベントは、ASAが許可されたフローのログです。データの記録は、コネクションのソースと送信先をはっきりと召集し、この情報は、フローの送信先を決定するのに便利です。フロー記録のoctetTotalCounts フィールドは、フローを作成する最初のパケットを通じて、何バイト通過したのか表示します。いずれのフロー作成記録も、非常に大きなバイトがあるべきではありません。

Flow Denied は、フローが作成された最初の場所から明らかに喪失したことを意味します。2種類の喪失したイベントを確認するでしょう。喪失したXLATEのないイベントは、そのイベントが喪失し、ソースと送信先IPアドレス、完了しているポートは、変換されません。これは、NATアドレスを使用するときの典型です。

Flow Teardown イベントは、アプライアンスのフローデータベースの中にある現存フローが既に終了していることを表示しています。それは、「自然に」起こること(TCP: fin/fin-ack/ack, UDP: ファイアウォールのタイムアウト)、または、検出された流れの中ほどに問題を抱えるフローである可能性があり、ファイアウォールが止まります。分解イベントは、octetTotalCounts フィールド内の全フローの合計バイト数(インバウンドとアウトバウンドを含む)を示します。

私たちのネットフローとsフロー分析ツールを使用すると、ネットフローテンプレートを見ているときに「Graph」と言う単語をクリックすると、ネットフローを表示させることができます。ここに、どのようにScrutinizer　v7がテンプレートを表示させているのかお見せします:

「Flow View 」をクリックすると、全てのテンプレート上の生フローデータにもアクセスすることが可能です。Flow Viewは、テンプレート内に含まれる全フィールドを表示します:

Flow View ウィンドウ内から、選択したフィールド上で、検索することが可能です。上記のフローテンプレートで、そのユーザ用にトラフィック分析をするめに特定のユーザネームを検索することが可能でした。

ASAファイアウォールからネットフローを集めることへの興味は、最近の大変ホットな話題となっています。Plixerでは、その全てを扱うネットフローとsフロー分析ツールを開発しています。

どうやってネットフローデータに一味加え、ネットワーク使用マップに息吹を与えていますか。驚くべきネットワークマップを作成するためにネットワーク監視ツールでホームデザインのために作られたツールの結合を試みて下さい。

例えば,Floorplannerを使うとオフィス空間の家具を含めた2Dや3Dのフロア構想を作成することができます。そしてそこにScrutinizerネットフローやｓフローAnalyzer のようなネットワーク管理ツールを追加します。Scrutinizerのネットワークマップツールで, 各デスクトップ、プリンタ、ウェブカメラなどにワイヤー収納のスイッチやルータからリンクを追加できます。

実行したもののレビューがすぐにできますか。NOCの大スクリーンモニタに表示された下記の例のような３Dオフィスネットワークマップを想像して下さい。感動しましたか。

あなたのNOCに表示されたこのマップでネットワークの利用が全て見ることができます。

ネットワークが遅い？このマップとフロアプランで、誰が帯域幅を占領しているのか彼らがどこにいるのか、ネットフローAnalyzer ツールで監視することができます。彼らのリンクに入り込み、Ciscoネットフローテクノロジーは彼らが何をしているのか教えてくれます。

ネットフローがASAでどのように操作されるのかを尋ねる声を耳にしました。ScrutinizerがASAからのフローを操作するので、ネットフローがどのようにASAで操作されるのかを説明したCiscoからの情報を掲載したいと思います。

“ASAネットフロー

ASAはネットフローのバージョン９のみをサポートしていて、バージョン５をサポートする予定はありません。ASA上のネットフローはイベントドリブンです。プラットフォームのルーティングとは違い、徐々に起こるアップデートを送信しません。NSEL記録はフローの作成もしくは解体時、またはACL否認イベントの間にのみ送信されます。これがリアルタイムでフロー情報を見るためにたくさんの方が予想する問題ですが、残念ながらネットフローはASA上でそのように動作しません。フローが解体され、NSELが生成された後にのみ転送されたバイトの総計を見ることができます。また、プラットフォームのルーティングとは違い、ToSビットやTCPフラッグを投入しません。最後に、ASA上の全てのフローは双方向性です。フローの全てのカウンターはA->BもしくはB->Aの方向で流れているトラフィックのために増えるでしょう。

制限

・    テンプレート更新記録はデータ記録の数ではなく、時間のインターバルに基づいて送信されます。（ASAテンプレートインターバルを設定する方法を学ぶ）

・    ネットフロー記録は収集されたデータとしてASAにおいてリアルタイムで見ることはできません。

・    ネットフローは動作の著しい効果を持っていますが、同じ情報の通常のsyslog動作より劣るべきではありません。メモリ内で上昇があっても、最小であるべきです。重複したsyslogを持つ設定されたネットフローは著しい動作のヒットを起こすことができます。

たくさんの方々はCiscoルータ上でのネットフローの操作に慣れ親しんでいて、ネットフローを実装することによって誰がネットワーク上で帯域を使用しているのかを知りたいと思っています。残念なことに、ASA上のネットフローはリアルタイムでデータを見る機能を提供していません。データはフローが終了し、分析された後に収集されることができますが、ネットフロー記録のリアルタイムな閲覧はサポートしていません。

嬉しいお知らせはASAからのトラフィックパターンを見ることができるようになり、ASAからのネットフロー情報を活用することができるようになったということです。Syslog監視をLogalotと一体化させて全てのASAイベントをより閲覧できるようにすることができます。

Cisco TechWise TV

Cisco TechWise TVはビデオカメラの前で２人のおもしろいCisco社員が異なるテクノロジーを解決する番組です。招待された特別ゲストに加え、CiscoソリューションのエキスパートであるRobb BoydとJimmy Ray Purserが下記のようなネットワーク管理のトピックについて話し合ったり、デモンストレーションしたりします。

＊    成功したVoIP移動；このエピソードはジッター、待ち時間、パケット減少やセキュリティについてです。（Ciscoネットフローは全てのVoIPトラフィックをサポートしており、PlixerのWebNMはどのベンダーのVoIPサービスも監視します。）

＊    見えない攻撃者：ボットを止める：このエピソードはハッカーがネットワークに侵入するために使うツールやテクノロジーについてです。（２つのパートに分かれているブログのネットワークがボットネットの一部かを確認するためにネットフローを使用を読んでみて下さい。）

TechWiseテレビエピソードの台本はCisco.comで閲覧可能です。バイトサイズでのTechWiseテレビポッドキャストはこちらからダウンロード可能です。ユーザはビデオを見るためにCisco.comで登録しなければいけませんが、ポッドキャストはiTuneでダウンロード可能です。

Cisco Pressのポッドキャスト及びビデオ

その他にもCiscoネットワークアドミンの教育的なビデオやポッドキャストがCisco PressのInformITサイトでネットワーキングシリーズの一環として無料で提供されています。ビデオやポッドキャストはCiscoのネットワーキングバイブルであるTCP/IPルーティングVolume 1及びVolume 2の著者であるJeff Doyleのような良く知られたCisco Pressの著者によるインタビューです。最近の下記のようなトピックがあります。

＊    Cisco ASA：全て含まれたセキュリティプラン：Omar SantosがCiscoの適応可能なセキュリティアプライアンスについての概要を語っています。（こちらでASAでどのようにネットフローを操作するかについても読んでみて下さい。）

＊    IPv6について学ぶための方法：Chip PopoviciuがIPv6トレーニングの重要性について語っています。（IPv6は無料のScrutinizer v7でサポートされています。）こちらでIPv6用のCiscoルータでどうやってネットフローを設定するかを学んで下さい。

これがこのブログシリーズのパート１です。オープンソースのツールやユーティリティ、またPlixerによって使われているいくつかのとても良い無料ツールを来週紹介しますので、それもぜひ読んで下さい。

とにかくこのブログは詳細データを探していたお客様ととやりとりした通信についてです。

・複数ルータを介して

・特定のサブネットで

ScrutinizerはおそらくフィルタのためのネットフローとSフローの中ではよい商品の一つです。 Scrutinizerがあると詳細データを入力したり出力することが可能です。 It allows you to include or exclude specific data.  このフィルタをチェックして下さい。

リストの中で、ネットフローｖ9ではとても重要な特定のネットフローテンプレート同様、特定のアプリケーション（NBAR含む）のフィルタを追加できることに注目して下さい。 TCP flagsのフィルタ、異なるルータ特にABC等からの複数インタフェース追加、サブネットや特定のプロトコル、Scrutinizerでさえ追加できます。

ソフトウェアが活用できるようにデザインされる際、どの様にフレキシブルネットフローがどれだけ感謝されるかデモするのが好きです。

ネットフローからのMAC addressesを探しているなら(フィルタリストには表示なし)フロービューを使用することができます。ただただ見事です。

電話で対応したお客様の為にフィルタと選択されたフィルタのレポートを作成しました。 (残念ながらホストとIPアドレスにブロックされてしましました。

上の図は3つの異なるルータから3つのインタフェースを追加し、24.0.0.0クラス　Aサブネットのホストにフィルタされました。このことで助けが必要だったら電話して下さい。ネットワークトラフィックAnalysisには良いフィルタが必要でScrutinizerはその条件を満たしています。

上の地図は世界中の感染場所を表しています。Malicious Software Removal ツール実行1000回ごとに、排除されたコンピュータの数を表すCCMと呼ばれるメトリックで発表されました。

 
MicrosoftSIRv7レポート
SIRv7レポートで, Microsoftは2008年下半期から2009年上半期にかけて、企業環境でのワーム感染の数は2倍になったと言及しています。このことで、ワームは5位のよく出くわす脅威から2位になりました。

Microsoftのスマートスクリーンフィルタは2008年下半期の35％から2009年上半期の44％の上昇を検知した多機能潜在的に厄介なソフトウェアの量を決定する手助けをします。SIRv7レポートの統計に基づくと、Microsoftの独自評価はセキュリティ測定はダウンロードする前にモールウェアを停止している、としています。

ネットワーク活動分析
会社は追加のホームセキュリティ測定を提供するソリューションによって利益を得ることができます。ネットフローのかしこい使用は異常トラフィックパターンを検知したり内部ネットワークのワームの拡大を止める効果があります。Plixerが行うフロー分析はbotnets、ワームや他の脅威のようなモールウェアを検知するアルゴリズムで届けられます。一方で対ウイルスソリューションはコンピュータの感染を知るのに役立ちます。Flow 分析は内部ネットワークですで多く起こっている問題を探しています。フロー AnalyticsでのScrutinizerは引き続き起こるネットワーク活動監視でネットワークトラフィック分析を統合するネットフローとSフローソリューションの一つです。IDSか IPSデバイスは普通、インターネット接続のみを監視するので、ScrutinizerはワームやネットフローとSフローをエクスポートできる全ネットワーク接続のその他のトラフィックパターンの監視に使用することができます。

私はネットフローAnalyzer を評価してくれている人と話をして、彼のASAフローの見方を知りたいと彼は思っていました。私は初め、彼が正しく設定していたことを確信したかったので、私は彼に質問をしました。

“ASA設定について書いてある文書を見つけましたか。

 “はい、Cisco のウェブサイトで見つけました”

~彼はそう言ったあとすぐに、私のコレクターと働く際に行われるべき設定調節があるかもしれないと考えるようになりました。思った通り、私達はASDMｎにログインして作る小さな調整をする必要がありました。

ほとんどのCiscoデバイスのように、どのくらいの頻度でスイッチやルータやファイヤーウォールがネットフローをエクスポートするか管理することができます。ASAで1分後ごとにフローテンプレートをエクスポートするファイヤーウォールを設定する必要があります。

このことは、Scrutinizerがテンプレートを通常基盤に送らずにフローにタイムリーにアップデートすることができないので重要です。

あなたに逐一フローを提供するために、テンプレートタイムアウト率をデフォルトの30分から1分に修正する必要があります。これをどこに調整するかデモするスクリーンショットが下図です。

なので、もしScrutinizerがあなたのデバイスを発見することができると分かっても、数分後に表示されるインタフェースデータはありません。みなさんにASAのチェックを再度してほしいし、上記で提案している最適なセットアップを実行するようにしてほしいです。

もしCiscoASAについてより詳しく知りたければ、私達に電話して下さい。喜んでフロー監視の始め方をお教えします。

なぜサービスプロバイダには、95パーセンタイルが必要なのでしょうか。
競争力がある価格を保ち、新しいお客様を魅了しようと、サービスプロバイダは、用法に基づく請求書顧客に対して努力をしています。このことは、どのように95パーセンタイルが標準的技法になったのかということです。ここに稼動例があります:  お客様の帯域幅は、スイッチまたは、ルータから測定(試す)され、ログファイルに記録されます。多くの事例では、5分ごとに行なわれています。月の終わりに、サンプルは、広域から低域まで分類され、データの上位5%（30日請求サイクルの約36時間と同じ）は、破棄されます。次に高い測定は、その月で請求可能な利用になります。

報告事例
以下の報告では、95パーセンタイルは、インバウンド(上位)とアウトバウンド(下位)データを分けて計算されています。まっすぐな赤い線（95パーセンタイル）を超えているので、上位にあるライトグリーンのトレンドは、請求が漏れたデータポイントです。

テーブル(2010-01-05 11:40)のハイライト上の上記ALTにご注目ください:このデータポイントを掘り下げ、時間内のこのインターバルで上位通信者、アプリケーション等は誰だったか、確認することができます。 Scrutinizer は、請求を基本としたシンプルな典型的使用において制限はありません。

お客様の利益
お客様は、同時に実際の利用だけに支払いをするので、高速通信の業績を得られます。ISPsは、頻繁にご利用いただくお客様にむやみに売り過ぎてしまう割合について心配する必要がないので愛用しています。別のブログ95th percentileでこのコンセプトをとても良く説明しています。上位5%を破棄したあとに総合帯域幅使用の平均がまだ高い場合には、マイナスになるように95パーセンタイルを働かせることが可能です。いくつかのサービスプロバイダは、Scrutinizerがサポートしている定額の請求システムを利用しています。以下の表で、http (TCP port 80)に関わるどんなトラフィックにおいても、24.x.x.x 内の全トラフィック上では、フィルターを通ることにご注目ください。Scrutinizerは、ネットフローフィールドのどのような組み合わせを基盤にしていても請求可能です。

注意:これはサンプルデータなので上記では、sフローを使用することはできません。

要約
ネットワークトラフィック分析を超えてネットフローは広く使用されています。ネットフローがある請求を基盤としたネットワーク用法は、テクノロジーのために最初に望まれていた使用の一つに戻って来ています。最良のネットフロー報告ツールは、あなたが請求書を送る全ての必要性のために余地を残すことです。