フラッディング詳細 (-F -D) レポート
このレポートは、trmdstat コマンドで -F および -D オプションの両方を指定した場合に表示されます。これは、フラッディングのイベント・レコードの内容を表示するものです。このレポートに示される情報は、EZZ8650I、EZZ8651I、EZZ8654I、EZZ8655I、EZZ8677I、および EZZ8678I タイプの SYSLOG メッセージから得られたものです。
SYN フラッディング、インターフェース・フラッディング、および EE XID フラッディングに関連したデータは、それぞれこのレポートの別のセクションに表示されます。SYN フラッディングおよび EE XID フラッディングのデータは、IP アドレスでソートされます。インターフェース・フラッディングのデータは、インターフェース名でソートされます。インターフェース・フラッディング出口および継続レコード・タイプについて、廃棄パケットに関する情報も提供されます。この情報には、フラッディング中に、最も多く廃棄されたプロトコル、 およびインターフェース・フラッディング中に最も多く見つかった廃棄カテゴリーも含まれます。インターフェース・タイプが前のホップの送信元 MAC アドレスを示す場合は、 最も多く見つかった前のホップの送信元 MAC アドレスも示されます。
>trmdstat -FD /tmp/tstlog.log
trmdstat for z/OS CS V2R2 Fri Dec 2 14:09:41 2011
Command Entered : trmdstat -FD /tmp/tstlog.log
Log Time Interval : Nov 11 20:35:01 - Nov 23 14:50:52
Stack Time Interval : Nov 11 20:34:41 - Nov 23 14:50:32
TRM Records Scanned : 227
SYN FLOOD Events
Date and Time/ Local
Local IP Address Port Type SYNsRecvd FirstAck SYNsDiscd SYNsTimeO Duration Correlator
--------------------------------------------- ----- ---- ---------- ---------- ---------- ---------- ---------- ----------
11/20/2011 18:18:15.58 360 E 4536
0.0.0.0
11/20/2011 18:21:18.96 360 X 29 0 29 1 183 4536
0.0.0.0
11/21/2011 14:59:57.18 452 E 4583
192.168.105.25
11/21/2011 15:02:46.79 452 X 197 0 194 257 169 4583
192.168.105.25
11/21/2011 16:59:39.97 444 E 4586
192.168.105.25
11/21/2011 17:02:28.24 444 X 198 0 195 257 168 4586
192.168.105.25
11/21/2011 19:26:42.40 345 E 4610
::
11/21/2011 19:28:21.93 345 X 499 0 495 257 99 4610
::
11/21/2011 18:41:44.76 345 E 4589
2001:db8:0:3:9:42:103:132
11/21/2011 18:44:33.71 345 X 198 1 195 256 168 4589
2001:db8:0:3:9:42:103:132
Interface FLOOD Events
Date and Time/ Interface Type Duration Discard Correlator/ ----------------Most Frequent--------------------
Last Last Source IP/ Count/ ProbeID -----Overall----- -------Source MAC Data-------
Count Dest Address Percent Proto/ Category/ SrcMAC/ Proto/ Category/
Percent Percent Percent Percent Percent
11/22/2011 00:53:07.29 LOSAQDIO4 E 1000 4751
192.168.105.50 89 04070010
192.168.105.25
11/22/2011 00:58:09.65 LOSAQDIO4 C 266 21022 4751 6 Queue 000D602432AE 6 Queue
20023 192.168.105.50 95 04070011 95 94 95 100 99
192.168.105.25
11/22/2011 00:59:10.70 LOSAQDIO4 X 324 21022 4751 6 Queue 000D602432AE 6 Queue
20023 192.168.105.50 95 04070014 95 94 95 100 99
192.168.105.25
11/22/2011 00:53:29.78 OSAQDIO46 E 1000 4752
2001:db8::20a:5eff:fe04:8f16 94 04070010
2001:db8::4039:900:540e:3d0
11/22/2011 00:58:33.62 OSAQDIO46 C 269 16814 4752 6 Queue 00062A714400 6 Queue
15815 2001:db8::20a:5eff:fe04:8f16 92 04070011 94 93 93 100 99
2001:db8::4039:900:540e:3d0
11/22/2011 00:59:33.69 OSAQDIO46 X 325 16821 4752 6 Queue 00062A714400 6 Queue
15822 2001:db8::20a:5eff:fe04:8f16 79 04070014 94 93 93 100 99
2001:db8::4039:900:540e:3d0
11/23/2011 14:46:31.78 OSAQDIO46 E 1000 4832
2001:db8::20a:5eff:fe04:8f16 100 04070010
2001:db8::4039:900:610e:3d0
11/23/2011 14:50:32.28 OSAQDIO46 X 225 6018 4832 6 Queue 00062A714400 6 Queue
5019 2001:db8::20a:5eff:fe04:8f16 51 04070014 83 73 83 100 88
2001:db8::4039:900:610e:3d0
XID FLOOD Events
Local IP Address/ -----XID timeouts----- Last
Date and Time Last Source IP Address Type Threshold Flood Count Duration Correlator
---------------------- --------------------------------------- ---- ---------- ---------- ---------- ---------- ----------
11/11/2011 20:34:41.48 192.168.105.53 E 2 3 36
192.168.105.50
11/11/2011 20:38:34.53 192.168.105.53 X 15 17 233 36
192.168.105.50
11/12/2011 03:53:55.49 2001:db8::9:42:105:53 E 2 14 43
2001:db8::20a:5eff:fe04:8f16
11/12/2011 03:58:50.37 2001:db8::9:42:105:53 X 13 26 295 43
2001:db8::20a:5eff:fe04:8f16以下では、SYN フラッディング詳細レポートの各部分について説明します。
- Date and Time
- 日時を示しています。
- ローカル IP アドレス
- バインドされた IP アドレスを示します。
- ローカル・ポート
- バインドされたポート番号を示します。
- タイプ
- 制限状態の開始または終了を示します。
- E
- 開始
- X
- exit
- SYNsRecvd
- SYN フラッディング中に開始されたハンドシェークの数。EXIT レコードでのみ表示されます。
- FirstAck
- SYN フラッディング中に完了したハンドシェークの数。EXIT レコードでのみ表示されます。
- SYNsDiscd
- SYN フラッディング中にランダムで廃棄された SYN の数。EXIT レコードでのみ表示されます。
- SYNsTimeO
- SYN フラッディング中にタイムアウトになった SYN の数。EXIT レコードでのみ表示されます。
- Duration
- フラッディングの期間を秒数で示します。EXIT レコードでのみ表示されます。
- Correlator
- トレースの相関係数を示します。
以下では、インターフェース・フラッディング・イベント・レポートの各部分について説明します。
- Date and Time
- 日時を示しています。
- Interface
- インターフェース・フラッディングの条件を満たしているインターフェースの名前。
- タイプ
- フラッディングの開始、フラッディングの終了、または継続的なフラッディングの条件を指定します。
- E
- 開始
- X
- exit
- C
- 継続
- Duration
- インターフェースのフラッディングの開始が検出されてからの秒数。Duration は、継続および終了の両方のレコードに表示されます。
- Discard Count/Percent
-
- Discard Count
- インターフェース・フラッディングの開始では、 インターフェース・フラッディング検出のトリガーとなった、 廃棄されたインバウンド・パケット数または処理されていないインバウンド・パケット数を示します。インターフェース・フラッディング出口または継続では、 インターフェース・フラッディングが検出されてから廃棄された、 または処理されていないインバウンド・パケット数。
- Discard Percent
- インターフェース・フラッディングの開始では、インターフェース・フラッディング検出のトリガーとなった、廃棄された受信パケットの合計を、パーセンテージで示します。インターフェース・フラッディングの終了または継続では、インターフェース・フラッディングが検出されてから、インターフェースで廃棄された受信パケットの合計を、パーセンテージで示します。
- Correlator/ProbeID
-
- Correlator
- トレースの相関係数を示します。
- ProbeID
- このイベントを生成した IDS probeID を示します。
- Last Count
- 最後の廃棄パケットと同じ送信元 IP アドレスを持つ、 インターフェースの廃棄パケットの連続番号。前の廃棄パケットの送信元 IP アドレスが、最後の廃棄パケットの送信元 IP アドレスと異なる場合は、このカウントは 1 です。インターフェース・フラッディングの継続および終了レコード・タイプについて報告されます。
- Last Source IP/Dest Address
-
- Last Source IP address
- インターフェース・フラッディング状態中に、 このインターフェースで最後に廃棄されたパケットの送信元 IP アドレス。
- Destination Address
- インターフェース・フラッディングが検出されたときに、 そのインターフェースに関連していたローカル IP アドレス。
- Most Frequent
- このデータは、インターフェース・フラッディングが検出されたときから、
インターフェース・フラッディングが終了するまで追跡されます。このカウントには、インターフェース・フラッディング検出の原因となった初期廃棄は含まれていません。
このデータは、インターフェース・フラッディングの継続および終了レコード・タイプについて報告されます。このデータは、インターフェース・フラッディングが検出されたときから、 レコードが生成されるまで累積されます。
- Overall
-
- Proto/Percent
-
- Proto
- 廃棄パケット内の最多 IP プロトコル。このプロトコル値はプロトコル番号、 またはプロトコル値が無効または不明である場合はゼロです。
- パーセント
- 廃棄パケット内でプロトコルが見つかった回数のパーセンテージ。
- Category/Percent
-
- Category
- 廃棄パケット内の最多廃棄カテゴリー。可能な値は以下のとおりです。
- Storage
- パケットを処理するためのストレージが取得できませんでした。ストレージ不足は、 インバウンド・パケット・フラッディング以外の問題がシステムで起きていることを示している可能性があります。
- CheckSum
- パケットにチェックサム・エラーがあります。
- Malform
- 誤った形式のパケットです。
- Dest
- 宛先が見付かりません。例えば、ポートがアクティブでないか予約済みである、一致するソケットが使用可能でない、 あるいは RAW プロトコルのリスナーが存在しません。
- Firewall
- IP セキュリティーにより拒否されたパケットです。
- MedHdr
- メディア・ヘッダーが誤りです。
- Forward
- 自分あてのパケットではありませんが、転送できません。ヘッダーの誤りまたは IPCONFIG NODATAGRAMFWD の指定によって、転送が阻止される場合があります。
- QOSPol
- QoS ポリシーによって、パケットが脱落しました。
- IDSPol
- IDS ポリシーによって、パケットが脱落しました。
- アクセス
- NetAccess、マルチレベル・セキュリティー、または OSM アクセス検査によって、パケットが脱落しました。
- ATTLS
- AT-TLS ポリシーによって、パケットが脱落しました。
- OtherPol
- 他の構成ポリシーによって、パケットが脱落しました。
- Queue
- キュー限界 (IDS に指定されたもの以外) によって、 処理対象のパケットのキューイングが阻止されました。例えば、SYN キュー、再組み立てキュー、UDP または RAW 受信キュー。
- OtherSyn
- SYN キューがいっぱいである場合以外の SYN の問題。
- State
- 状態の不一致。
- UnpackEr
- アンパックの問題が原因で、パケットが脱落しました。
- Misc
- 上記以外のさまざまな理由。例えば、TCP パケットが TCP ウィンドウ外にある、 パケットの再組み立て時に重複するフラグメントが見つかったなどです。
- パーセント
- 廃棄パケット内で廃棄カテゴリーが見つかった回数のパーセンテージ。
- Source MAC Data
- Source MAC Data は、
前のホップの送信元 MAC アドレスの提供をサポートするマイクロコード・レベルでの LCS 装置および OSA QDIO 装置について報告されます。
これは他の装置については表示されません。このデータは、インターフェース・フラッディングの継続および終了レコード・タイプについて報告されます。
- SrcMAC/Percent
-
- SrcMAC
- 廃棄パケット内で最も多く見つかった、前のホップの送信元 MAC。送信元 MAC の提供をサポートしていない装置については、このフィールドに値 N/A が表示されます。
- パーセント
- 廃棄パケット内で、最多送信元 MAC が見つかった回数のパーセンテージ。
- Proto/Percent
-
- Proto
- 送信元 MAC アドレスに関連した廃棄パケット内で見つかった最多 IP プロトコル。このプロトコル値はプロトコル番号、 またはプロトコル値が無効または不明である場合はゼロです。
- パーセント
- 送信元 MAC アドレスに関連した廃棄パケット内でプロトコルが見つかった回数のパーセンテージ。
- Category/Percent
-
- Category
- 送信元 MAC アドレスに関連した廃棄パケット内で見つかった最多廃棄カテゴリー。可能な値は Most Frequent Overall Category にリストされた値と同じです。
- パーセント
- 送信元 MAC アドレスに関連した廃棄パケット内で廃棄カテゴリーが見つかった回数のパーセンテージ。
以下のリストでは、EE XID FLOOD 詳細レポートの各部分について説明します。
- Date and Time
- 日時を示しています。
- ローカル IP アドレス
- XID フラッディングの宛先 IP アドレスを示します。
- Last Source IP Address
- EE XID フラッディング状態になっている間にこのローカル IP アドレスに対してタイムアウトになった、最後の XID の送信元 IP アドレス。
- Type
- 制限状態の開始または終了を示します。
- E
- 開始。XID タイムアウトしきい値には、タイプ E を使用します。XID タイムアウトしきい値は、EE XID フラッディングが検出される前に発生した XID タイムアウトの数です。
- X
- 終了。EE XID フラッディング中にタイムアウトになった XID の数には、タイプ X を使用します。
- XID
- タイムアウト
- Last Count
- そのローカル IP アドレスに対して最後にタイムアウトになった XID と同じ送信元 IP アドレスを持つ、XID タイムアウトの連続数。 直前にタイムアウトになった XID の送信元 IP アドレスが、最後にタイムアウトになったパケットの送信元 IP アドレスと異なる場合、このカウントは 1 になります。
- Duration
- フラッディングの期間を秒数で示します。 Duration は、終了レコードでのみ表示されます。
- Correlator
- トレースの相関係数を示します。
- messages suppressed
- 抑止されたアタック・メッセージの数、アタック・タイプ、および日時。このデータは、EZZ9327I メッセージから得られます。詳しい説明は、trmdstat レポートの一般概念を参照してください。
インターフェース・フラッディング・イベント・レポートの幅は 132 文字です。このレポートを表示または印刷する場合は、この幅に合った出力装置を使用してください。