ISS技術情報

ISS技術情報 お客様各位 2001年 8月29日 東京都新宿区北新宿３−１−１６ 第2事業本部　セキュリティ営業部 以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。 RealSecure 5.0 Stream.c denial of service attack過剰検出 2001年8月29日 インターネット セキュリティ システムズ株式会社 テクニカルサービス部 RealSecure 5.0 Network SensorにMicro Update 2.3を適用すると、Stream.c denial of service attack（コンソール表示名はStream_DoS）を過剰に検出する場合がございます。この問題についてご報告いたします。 現象： RealSecure 5.0 Network Sensorにおいて、Micro Update 2.3を適応後にStream_DoSの検出件数が極端に増加します。 原因： Internet Security SystemsではFalse Positiveを減少させるため、各シグネチャーの検出精度の向上を図るべく、アルゴリズムの改善を継続的に行っております。Micro Update 2.3におきましても、Stream_DoSの検出アルゴリズムの改善が実施されました。しかしStream_DoS検出用パラメータの初期値が不適切なものとなっており、Stream_DoS過剰検出に結びついています。Stream_DoSのこのパラメータはネットワークの状況に依存するため、値を調整する必要があります。 回避策： 下記のいずれかの方法で回避してください。 Micro Update 3.1を適応する Micro Update 3.1では、Stream_DoSのAckThresholdの初期値が3000となっております。その他Delta changedおよびPoolsizeの初期値がそれぞれ5と245に変更されております。初期値の変更だけですので、ネットワーク環境に応じてAckThresholdの値をさらに調整する必要がありますことにご注意ください。 Advance内のパラメータを調整する ネットワーク内にFreeBSDが存在するか、もしくはMstream_MasterかMstream_Zonbieが同時に検出されている場合、脆弱なホストが存在しているかあるいはMstreamによる分散DoS攻撃の危険性があります。この場合Stream_DoSのパラメータ、具体的にはAdvanceのOptional ParametersのAckThresholdを調整する必要があります。2000からはじめ、10,000でも大きすぎることはありません。実際のStream_DoS攻撃では数秒間で100,000イベントを越えます。そのため実際のStream_DoS攻撃を受けた場合、ネットワーク経由の操作に極端に時間がかかるなど、ネットワークスピードに顕著に影響が表れます。ルーターによっては、ルーター宛もしくはルーターを通るトラフィックが存在しない場合でも、大量のACKパッケージを送信するものがあります。このようなルーターは、ネットワークに対する影響が強い傾向にあるため、False Positiveの原因となってしまいます。 StreamDoSの検出を行わない ネットワーク内にFreeBSDを使用したホストが存在せず、かつMstream_MasterもしくはMstream_Zonbieイベントが同時に発生していない場合、この攻撃自体はそれほど危険ではありません。ご利用のポリシーから、Stream_DoSの検出を削除します。 対応： Micro Update 3.1において、Stream_DoSのAckThresholdパラメータを含め、いくつかのパラメータの初期値が変更されています。Micro Update 3.1の内容につきましては、下記URLをご参照ください。 http://www.isskk.co.jp/eval/readme/RsNwsMu31j.html 以上 Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。 その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。