SG200/300シリーズマネージドスイッチでのICMPジャンボフレームの防止

ダウンロード オプション

  • PDF     (311.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (78.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (63.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 11 月 29 日
Document ID:SMB2653

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

SG200/300シリーズマネージドスイッチでのICMPジャンボフレームの防止

目的

この記事の目的は、SG200およびSG300シリーズスイッチが一部のICMPジャンボフレームを阻止し、他のジャンボフレームがスイッチを通過できるようにする理由を説明することです。この記事では、ICMPジャンボフレームが原因で発生する問題の一部について説明します。また、サービス拒否(DoS)攻撃とは何か、およびICMPジャンボフレームとどのように関連するかについても説明します。

適用可能なデバイス

・ SG200
・ SG300

スイッチを介したICMPジャンボフレーム

次に、SG200およびSG300シリーズスイッチでジャンボフレームとは何か、およびICMPジャンボフレームが許可されない理由について説明します。

ジャンボ フレーム

ギガビットイーサネットスイッチ(SG200およびSG300シリーズ)とファストイーサネットスイッチ(SF200シリーズスイッチ)は、ジャンボフレームをサポートしています。ジャンボフレームは、標準の1,518バイトから9,000バイトまでのサイズの拡張イーサネットフレームです。したがって、ジャンボフレームは、フレームあたりにより多くのデータを伝送することでデータ転送速度を向上させ、ヘッダーからのオーバーヘッドを削減します。

インターネット制御メッセージ プロトコル(ICMP)

ICMPは、IPデータグラムのエラーに応答して、または診断やルーティングの目的でICMPメッセージを生成するインターネットプロトコルスイートの一部であるネットワーク層プロトコルです。ICMPエラーは常に、発信元データグラムの元の送信元IPアドレスに報告されます。このプロトコルはデータの正しい配布を保証するために非常に重要ですが、さまざまなサービス拒否(DoS)攻撃を実行するために悪意のあるユーザによって悪用される可能性があります。

DoS攻撃は、偽のトラフィックによってネットワークをフラッディングし、ネットワークとサーバのリソースを正当なユーザが使用できなくなったり、正当なユーザに応答しなくなったりします。総当たり攻撃によるDoS攻撃は、サーバを大量のトラフィックでフラッディングすることにより、サーバとネットワークの帯域幅を消費します。次に、ICMPを使用する一般的なDoS攻撃のタイプを示します。

・ ICMP pingフラッド攻撃:ICMP pingフラッド攻撃では、通常はホストからpingコマンドを使用して、大量のpingパケットがターゲットシステムに送信されます。このようにして、攻撃されたシステムは正当なトラフィックに応答できません。

・ ICMP Smurf攻撃:ICMP Smurf攻撃は、スプーフィングされたpingパケットによって標的のマシンをフラッディングします。これらは、標的の標的のスプーフィングされたIPアドレスを含む変更されたパケットです。これにより、誤った情報がローカルネットワーク内のすべてのホストにブロードキャストされます。これらのホストはすべてターゲットシステムへの応答を返し、応答はターゲットシステムの飽和状態になります。使用されているネットワークに多数のホストが存在する場合、標的は大量のトラフィックによってスプーフィングされます。

注:IPスプーフィングとは、送信元の情報を隠す目的で偽造された送信元IPアドレスを持つIPパケットを指します。

・ ping of Death:ping of death攻撃では、攻撃者は最大65.536バイトのIPパケットサイズよりも大きいICMPエコー要求パケットを被害者に送信します。受信したICMPエコー要求パケットが通常のIPパケットサイズよりも大きいため、フラグメント化する必要があります。この結果、被害者はパケットを再構成できないため、OSがクラッシュまたはリブートします。

・ ICMP核攻撃:このタイプの攻撃では、宛先到達不能メッセージのタイプ3のICMPパケットを介して攻撃の標的に核が送信されます。この攻撃の結果、ターゲットシステムは既存の接続との通信を切断します。

SG200およびSG300シリーズスイッチでは、サービス拒否(DoS)防止により、ネットワークマネージャは特定のICMPパケットのブロックを設定できます。DoSなどの多くのネットワーク攻撃ではICMPが使用されるため、デフォルトでは一部のICMPジャンボフレームがブロックされます。そのため、これらのスイッチのファイアウォールでは、セキュリティ上の理由からICMPジャンボフレームがブロックされます。この結果、必要なICMPフラグメンテーションが発生し、DF setメッセージが送信者に到達しません。したがって、送信側はパケットをより小さいサイズで送信するための情報を取得せず、パケットが正常に送信されたことを確認するTCP情報も取得しません。その後、送信側は同じ大きなサイズでフレームを連続して再送信しますが、宛先に到達することはないため、「ブラックホール」と呼ばれる状態になります。

ジャンボフレームを設定するには、Web設定ユーティリティを使用し、Port management > Port Settingsの順に選択してから、Security > Denial of Service Prevention > Security Suite Settingsの順に選択します。

更新履歴

改定 発行日 コメント
1.0
11-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ