侵入検知サービス (IDS)

侵入検知サービス (IDS) は、以下のサポートを提供します。

• スキャンの検出および報告
• TCP 接続および UDP 受信キューのトラフィック調整
• アタックの検出、報告、および防止

最初の 2 つのサービスには、SMC-R 通信とは直接対話しない TCP 接続のセットアップ時に実行される検査が含まれています。

最後のサービスには、さまざまな検査が含まれます。ほとんどの検査が、インバウンド TCP パケットに対して実行されます。つまり、これらの検査は SMC-R 通信には適用されません。このサービスに含まれる以下の 2 つの検査は、SMC-R リンクを通過する TCP 接続に適用されます。

• TCP キュー・サイズ・イベント

  IDS ポリシーを使用して、SMC-R リンクを通過する TCP 接続の送信または受信キューが、キュー内のデータの量または経過時間が原因で制限された場合にこれを検出できます。キューが制限された場合は、TCP 接続をリセットするか、キューが制限されなくなるまで状態をモニターできます。

  SMC-R リンクを通過する TCP 接続に対して、送信または受信キューを制限できます。

  • 送信キューは、送信用にデータが準備できているが送信できない場合、または 30 秒を超えて確認されていないピアのリモート・メモリー・バッファー (RMB) にデータが保管されている場合に、制限されていると見なされます。
  • 受信キューは、配信用にデータが準備できているが、アプリケーションがそのデータを 30 秒を超えて受信しない場合に制限されていると見なされます。
  • どちらかのキューで制限が発生すると、適用されている IDS ポリシーに基づいて、TCP 接続がモニターされるか、停止されます。
• グローバルな TCP 停止イベント

  多数の TCP 接続を作成してそれらを停止させ、データを送信できないようにすることにより、システム・リソースを消費するように意図されたアタックを、IDS を使用して検出できます。アクティブな TCP 接続の 50% 以上が停止しており、1000 以上の TCP 接続がアクティブな場合が、グローバルな停止状態です。停止した接続をリセットすることも、状態のモニターを続けることもできます。

  SMC-R リンクを通過する TCP 接続は、グローバルな TCP 停止イベントの対象となります。SMC-R リンクを通過する TCP 接続は、TCB が書き込みブロックされた場合に停止接続として扱われます。