セキュリティ機能の概要と問題クラス
・セキュリティ機能概要
・設定と監視
・問題クラスとアルゴリズム
・問題クラスとアルゴリズム(新/更新中)
セキュリティ機能概要
セキュリティ機能はEnterprise Edition専用の機能です。
Editionの概要はこちらをご確認ください。またビルド12.6.288よりUI上の表示機能名が「攻撃」から「セキュリティ」に変更されました。
セキュリティ機能は、NetFlow
Analyzerが受信したフローデータのIPアドレスやサブネットマスク、ペイロードの容量、プロトコル、ポート情報などを参照し、例えばポート/ホストスキャンやSYN/TCPスキャン、SYN/ICMPフラッド攻撃やSmurf攻撃などのDDoS/DoS攻撃を検知します。
問題の発生はアラート機能からも発報可能、さらに問題を発生させているトラフィックの通信情報を専用ページで可視化いただけます。
設定と監視
セキュリティ機能を利用するまでの設定準備と、監視の運用を簡易的にご紹介します。
- Enterprise Edition セントラルサーバーGUIにログイン
- 画面左上のプルダウンメニューから特定のコレクターを選択
- 設定 > フロー解析 > セキュリティ分析 へ遷移
セキュリティ分析で機能の有効化、さらに監視対象や問題定義、アルゴリズム管理やしきい値を設定 - 設定 > フロー解析 > レポートプロファイル > セキュリティ へ遷移
発生時に発報させる対象の問題や特定のしきい値条件をアラートプロファイルとして設定
※SMSでの発報は対応しておりません - セキュリティダッシュボード、セキュリティ(装置)、セキュリティ(インターフェース)、セキュリティから情報を確認
問題クラスとアルゴリズム
詳細はこちらをクリック
次の表には、本ドキュメントで使用されている重要な略語と説明を示します。
|
設定 |
説明 |
|
IP |
インターネットプロトコルアドレス |
|
Src |
送信元 |
|
Dst |
宛先 |
|
P2P |
ピアツーピア |
|
ToS |
Type of Service |
|
DoS |
サービス拒否/Denial of Service |
|
TCP:U-A-P-R-S-F |
TCP:URG、ACK、PSH、RST、SYC、FIN |
次の表には、問題の分類に使用するクラスと説明を示します。
|
クラス名 |
説明 |
|
不良送信元・宛先 |
フローの送信元IPか宛先IPが疑わしいことを示す。 |
|
疑わしいフロー |
フローに送信元IPや宛先IP以外の疑わしい属性があることを示す。 |
|
DoS |
サービス拒否攻撃(Denial of Service)。 |
|
スキャンとプローブ |
フローは、複数のポートを使用して特定のホストに送信されるか、単一ポート上の複数のホストに送信される。 |
次の表では、さまざまなしきい値の定義を示します。
|
集約上限設定 |
|
|
最小値 |
ヒューリスティクス解析を実行し、ポートスキャン、ホストスキャン、受信フラッドなどの派生的な問題の存在を確認するのに必要な、最低限のフロー数。 |
| 最大値
|
デフォルト設定時に単一イベントで発生可能な最多フロー数。この値はTCP SYN違反やTCP FIN違反などベースの問題でしきい値としても利用する。 |
|
送信元パターン設定 |
|
| 最小水平スパン | 最小特徴的送信元ホスト数 - ホストスキャン(リバース) |
| 最小垂直スパン | 最小特徴的送信元ポート数 - ポートスキャン(リバース) |
| 最小対角スパン | 制約下での最小特徴的送信元エンドポイント数: (送信元ホスト = 送信元ポート = 送信元エンドポイント) - 対角スキャン(リバース) |
| 最小アスペクト比 |
1:送信元ポートごとの最小送信元ホスト - ホストスキャン(リバース) 2:送信元ホストごとの最小送信元ポート - ポートスキャン(リバース) |
| 最小占有率 | イベント内の送信元エンドポイントの最小スプレッド - ホストスキャン(リバース)、ポートスキャン(リバース)、グリッドスキャン(リバース)占有率 = 送信元エンドポイント ÷ (送信元ホスト × 送信元ポート) |
| 最小流動率 | 送信元エンドポイントごとの最小ヒット数 - 送信フラッド |
| 最小発散 | 送信元ホストごとの最小宛先ホスト - 送信フラッド |
|
宛先パターン設定 |
|
| 最小水平スパン | 最小特徴的宛先ホスト数 - ホストスキャン |
| 最小垂直スパン | 最小特徴的宛先ポート数 - ポートスキャン |
| 最小対角スパン | 最小制約下での特徴的宛先エンドポイント数: (宛先ホスト = 宛先ポート = 宛先エンドポイント) - 対角スキャン |
| 最小アスペクト比 |
1:宛先ポートごとの最小送信元ホスト - ホストスキャン 2:宛先ホストごとの最小送信元ポート - ポートスキャン |
| 最小占有率 | イベント内の宛先エンドポイントの最小スプレッド - ホストスキャン、ポートスキャン、グリッドスキャン占有率 = 宛先エンドポイント ÷ (宛先ホスト × 宛先ポート) |
| 最小流動率 | 宛先エンドポイントごとの最小ヒット数 - 受信フラッド |
| 最小収束 | 宛先ホストごとの最小宛先ホスト - 受信フラッド |
次の表では、アドバンストセキュリティ分析モジュールが検出する異常を示します。
|
異常 |
説明 |
|
攻撃 |
宛先側で最小収束と最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのフロー。 |
|
受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのフロー。 |
|
送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのフロー。 |
|
ポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているフロー。 |
|
ホストスキャン
|
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているフロー。 |
|
対角スキャン |
単一/複数の送信元ホストから複数宛先ホストへのフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンド
ポイントの数にも等しい |
|
グリッドスキャン |
宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているフロー。 |
|
ポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、少数の送信元ホストから単一/複数宛先ホストへ、複数送信元ポートを使用して通信しているフロー。 |
|
ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超えつつも使用する送信元ポートは少ない、複数の送信元ホストから単一/複数宛先ホストへのフロー。 |
|
対角スキャン(リバース) |
複数の送信元ホストから単一/複数宛先ホストへのフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
|
グリッドスキャン(リバース) |
送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのフロー。 |
次の表では、検出した問題の説明と分類を示します。
|
問題名 |
説明 |
クラス |
| 超過ブロードキャストフロー | ブロードキャスト トラフィックが特定送信元IPのしきい値を超えているもの。 | 不良送信元・宛先 |
| 超過マルチキャストフロー | マルチキャスト トラフィックが特定送信元IPのしきい値を超えているもの。 | 不良送信元・宛先 |
| 超過ネットワークキャストフロー | ネットワークIP宛てのトラフィックが特定送信元IPのしきい値を超えているもの。 | 不良送信元・宛先 |
| 無効送信元・宛先フロー | エンタープライズ境界に関係なく、無効な送信元/宛先IP(例:送信元/宛先IPのループバックIPやIANAローカルIP)。 | 不良送信元・宛先 |
| 無効ToSフロー | ToS値が無効のフロー。 | 不良送信元・宛先 |
| LAND攻撃フロー | 同一の送信元IPと宛先IPを持つフロー。攻撃されたマシンは自身に向かって応答し続けることになるものLocal Area Network Denial attack)。 | 不良送信元・宛先 |
| 不正形式IPパケット | BytePerPacketが最小値である20オクテット(バイト)以下のフロー。20オクテットでもヘッダー部のみのサイズであリペイロードが無く、それに満たない場合、パケット破損等の理由でヘッダーの送信元・宛先情報が有効か保証できないことになる。 | 不良送信元・宛先 |
| 非ユニキャストの送信元フロー | 送信元IPが、マルチキャスト、ブロードキャスト、またはネットワークIPであるもの(ユニキャストではない)。 | 不良送信元・宛先 |
| TCP SYN違反 | TCPフラグが2/SYNとなっているTCPフローで、上限に達しているか超過しており、かつ、以下の派生的な問題のいずれも満たさないもの。 (TCPフラグが000010で、SYNのみが1。10進法にすると000010→2) |
疑わしいフロー |
|
宛先側で最小流動率および最小収束を超える、複数の送信元ホストから少数の宛先ホストへのTCP SYNフロー。 |
DoS/フラッシュクラウド | |
| TCP SYN受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP SYNフロー。 | DoS/フラッシュクラウド |
| TCP SYN送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP SYNフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP SYNフロー。 |
DoS/フラッシュクラウド |
| TCP SYNポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP SYNフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP SYNフロー。 |
スキャン/プローブ |
| TCP SYNホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP SYNフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP SYNフロー。 |
スキャン/プローブ |
| TCP SYN対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
SYNフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP SYNグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP SYNフロー。 | スキャン/プローブ |
| TCP SYNポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP SYNフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP SYNフロー。 |
スキャン/プローブ |
| TCP SYNホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP SYNフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、複数の送信元ホストから単一/複数宛先ホストへのTCP SYNフローで、送信元ホストより使用する送信元ポートの数が少ないもの。 |
スキャン/プローブ |
|
TCP SYN対角スキャン(リバース) |
複数の送信元ホストから単一/複数宛先ホストへのTCP
SYNフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
|
TCP SYNグリッドスキャン(リバース) |
宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP SYNフロー。 |
スキャン/プローブ |
| 超過ショートTCP SYN_ACKパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)で、TCPフラグ値が18/SAに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが010010で、ACKとSYNが1、他は0。10進法にすると010010→18) |
疑わしいフロー |
| ショートTCP SYN_ACK受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP SYN_ACKフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP SYN_ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP SYN_ACKポートスキャン | 1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACKフロー。2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACKフロー。 | スキャン/プローブ |
| ショートTCP SYN_ACKホストスキャン | 1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_ACKフロー。
2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
SYN_ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACK。 | スキャン/プローブ |
| ショートTCP SYN_ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
SYN_ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_ACKグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 | スキャン/プローブ |
| 超過空TCPパケット | ペイロードがまったくないTCPフロー。すなわち、BytePerPacketは正確に40オクテット(バイト)で、TCP受信フラグ値が25~27、29~31)で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが011xx0で、URGとFINが0でその他は1。ただし、011101の28/APRを除外し超過ショートTCP PSH_ACK_No-SYN_FINパケットは排除する) |
|
| 空TCP攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへの空TCPフロー。 | DoS/フラッシュクラウド |
| 空TCP受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 | DoS/フラッシュクラウド |
| 空TCP送信フラッド |
1:ペイロードがまったくない空TCPフロー。すなわち、送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのBytePerPacketは正確に40オクテットとなる(バイト)。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 |
DoS/フラッシュクラウド |
| 空TCPポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信している空TCPフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信している空TCPフロー。 |
スキャン/プローブ |
| 空TCPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している空TCPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している空TCPフロー。 |
スキャン/プローブ |
| 空TCP対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへの空TCPフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 空TCPグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信している空TCPフロー。 | スキャン/プローブ |
| 空TCPポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 |
スキャン/プローブ |
| 空TCPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える少数送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 |
スキャン/プローブ |
| 空TCP対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 空TCPグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの空TCPフロー。 | スキャン/プローブ |
| 超過ショートTCP ACKパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)で、TCPフラグ値が16/Aに等しくACKを示し、最大値以上であるとともに、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが010000で、ACKのみが1で他は0。10進法にすると010000→16) |
疑わしいフロー |
| ショートTCP ACK受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP SYNフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP ACKポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP ACKフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP ACKフロー。 |
スキャン/プローブ |
| ショートTCP ACKホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP ACKフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP ACKフロー。 |
スキャン/プローブ |
| ショートTCP ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP ACKフロー。 | スキャン/プローブ |
| ショートTCP ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 |
スキャン/プローブ |
| ショートTCP ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える少数送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 |
スキャン/プローブ |
| ショートTCP ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
|
ショートTCP ACKグリッドスキャン(リバース) |
送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP ACKフロー。 | スキャン/プローブ |
| 超過ショートTCP FIN_ACKパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)で、TCPフラグ値が17/FAに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが010001で、ACKとFINが1、他は0。10進法にすると0100011→7) |
疑わしいフロー |
|
|
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP FIN_ACKフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP FIN_ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP FIN_ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP FIN_ACKポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP FIN_ACKフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP FIN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP FIN_ACKホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP FIN_ACKフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP FIN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP FIN_ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
FIN_ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP FIN_ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP FIN_ACKフロー。 | スキャン/プローブ |
| ショートTCP FIN_ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP FIN_ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP FIN_ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
FIN_ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP FIN_ACKグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP FIN_ACKフロー。 | スキャン/プローブ |
| 超過ショートTCPハンドシェイクパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)で、TCP受信フラグ値が19/ASF、22/ARS、23/ARSFのいずれか、TCPセッションの開閉を示し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが010x1xで、ACKとSINは1、URGとPSHは0、RSTとFINは任意。10進数にすると、それぞれ、010011→19、010110→22、010111→23) |
疑わしいフロー |
| ショートTCPハンドシェイク攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCPハンドシェイクフロー。 | DoS/フラッシュクラウド |
| ショートTCPハンドシェイク受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。 | DoS/フラッシュクラウド |
| ショートTCPハンドシェイク送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCPハンドシェイクフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。 |
DoS/フラッシュクラウド |
| ショートTCPハンドシェイクポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCPハンドシェイクフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCPハンドシェイク フロー。 |
スキャン/プローブ |
| ショートTCPハンドシェイクホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCPハンドシェイクフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCPハンドシェイクフロー。 |
スキャン/プローブ |
| ショートTCPハンドシェイク対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCPハンドシェイクフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCPハンドシェイクグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCPハンドシェイクフロー。 | スキャン/プローブ |
| ショートTCPハンドシェイク ポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。 |
スキャン/プローブ |
| ショートTCPハンドシェイクホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイク フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える少数送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイク フロー。 |
スキャン/プローブ |
| ショートTCPハンドシェイク対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCPハンドシェイク グリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCPハンドシェイクフロー。 | スキャン/プローブ |
| 超過ショートTCP PSH_ACK_No-SYN_FINパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)、TCP受信フラグ値が24/PA、28/APR)で、TCP
PSH_ACKを示すがSYN_FINはなく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが011x00で、ACKとPSHは1、RSTは任意、他は0。10進法にすると24→011000と28→011100) |
疑わしいフロー |
| ショートTCP PSH_ACK攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP PSH_SYNフロー。 | DoS/フラッシュクラウド |
| ショートTCP PSH_ACK受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 | DoS/フラッシュクラウド |
| ショートTCP PSH_ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP PSH_ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP PSH_ACKポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP PSH_ACKフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP PSH_ACKフロー。 |
スキャン/プローブ |
| ショートTCP PSH_ACKホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP PSH_ACKフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP PSH_ACKフロー。 |
スキャン/プローブ |
| ショートTCP PSH_ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
PSH_ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP PSH_ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP PSH_ACKフロー。 | スキャン/プローブ |
| ショートTCP PSH_ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 |
スキャン/プローブ |
| ショートTCP PSH_ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 |
スキャン/プローブ |
| ショートTCP PSH_ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
PSH_ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP PSH_ACKグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSH_ACKフロー。 | スキャン/プローブ |
|
超過ショートTCP PSH_No-ACKパケット |
名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)、TCP受信フラグ値が8/P、42/UPS、43/UPSF、44/UPR、45/UPRF、46/UPRS、47/UPRSF)で、TCP
PSHを示すがACKはなく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグがx01xxxで、PSHは1、ACKは0、その他任意。10進法にするとそれぞれ、001000→8、101010→42、101011→43、101100→44、1011101→45、101110→46、101111→47) |
疑わしいフロー |
| ショートTCP PSH攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP PSHフロー。 | DoS/フラッシュクラウド |
| ショートTCP PSH受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 | DoS/フラッシュクラウド |
| ショートTCP PSH送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP PSHフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 |
DoS/フラッシュクラウド |
| ショートTCP PSHポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP PSHフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP PSHフロー。 |
スキャン/プローブ |
| ショートTCP PSHホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP PSHフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP PSHフロー。 |
スキャン/プローブ |
| ショートTCP PSH対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
PSHフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP PSHグリッドスキャン | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP PSHフロー。 | スキャン/プローブ |
| ショートTCP PSHポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 |
スキャン/プローブ |
| ショートTCP PSHホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超えつつも使用する送信元ポートは少ない、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 |
スキャン/プローブ |
| ショートTCP PSH対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
PSHフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP PSHグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP PSHフロー。 | スキャン/プローブ |
| 超過ショートTCP RST_ACKパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)、TCP受信フラグ値が20/AR、21/ARF)で、TCP
RST
ACKフローを示し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが01010xで、ACKとRSTは1、FINは任意、その他は0。10進法では、20→010100、21→010101) |
疑わしいフロー |
| ショートTCP RST_ACK受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP RST_ACKフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP RST_ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP RST_ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP RST_ACKポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP RST_ACKフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP RST_ACKフロー。 |
スキャン/プローブ |
| ショートTCP RST_ACKホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP RST_ACKフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP RST_ACKフロー。 |
スキャン/プローブ |
| ショートTCP RST_ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
RST_ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP RST_ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP RST_ACKフロー。 | スキャン/プローブ |
| ショートTCP RST_ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 |
スキャン/プローブ |
| ショートTCP RST_ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超えつつも使用する送信元ポートは少ない、複数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 |
スキャン/プローブ |
| ショートTCP RST_ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
RST_ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP RST_ACKグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP RST_ACKフロー。 | スキャン/プローブ |
| 超過ショートTCP SYN_ACKパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)で、TCPフラグ値が18/SAに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが010010で、ACKとSYNが1、他は0。10進法にすると010010→18) |
DoS/フラッシュクラウド |
| ショートTCP SYN_ACK受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP SYN_ACKフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP SYN_ACK送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
DoS/フラッシュクラウド |
| ショートTCP SYN_ACKポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACKフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACKホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_ACKフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACK対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
SYN_ACKフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_ACKグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_ACKフロー。 | スキャン/プローブ |
| ショートTCP SYN_ACKポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACKホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 |
スキャン/プローブ |
| ショートTCP SYN_ACK対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
SYN_ACKフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_ACKグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_ACKフロー。 | スキャン/プローブ |
| 超過ショートTCP SYN_RSTパケット | 名目ペイロードがあるTCPフロー。すなわち、BytePerPacketが40~44オクテット(バイト)、TCPフラグ値が6/RSに等しく、TCP
SYN_RSTフローを示すが、URG/ACK/PSHフラグはなく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが000110で、RSTとSYNは1、その他は0。10進法では、000110→6) |
疑わしいフロー |
| ショートTCP SYN_RST攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートTCP SYN_RSTフロー。 | DoS/フラッシュクラウド |
| ショートTCP SYN_RST受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 | DoS/フラッシュクラウド |
| ショートTCP SYN_RST送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートTCP SYN_RSTフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 |
DoS/フラッシュクラウド |
| ショートTCP SYN_RSTポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_RSTフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_RSTフロー。 |
スキャン/プローブ |
| ショートTCP SYN_RSTホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_RSTフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートTCP SYN_RSTフロー。 |
スキャン/プローブ |
| ショートTCP SYN_RST対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートTCP
SYN_RSTフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_RSTグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートTCP SYN_RSTフロー。 | スキャン/プローブ |
| ショートTCP SYN_RSTポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 |
スキャン/プローブ |
| ショートTCP SYN_RSTホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 |
スキャン/プローブ |
| ショートTCP SYN_RST対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートTCP
SYN_RSTフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートTCP SYN_RSTグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートTCP SYN_RSTフロー。 | スキャン/プローブ |
| TCP FIN違反 | TCP受信フローのTCPフラグの値が1/Fか5/RFで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが000x01で、FINは1、RSTは任意、他は0。10進数にすると、それぞれ、000001→1、00101→5) |
疑わしいフロー |
| TCP FIN攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP FINフロー。 | DoS/フラッシュクラウド |
| TCP FIN受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 | DoS/フラッシュクラウド |
| TCP FIN送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP FINフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 |
DoS/フラッシュクラウド |
| TCP FINポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP FINフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP FINフロー。 |
スキャン/プローブ |
| TCP FINホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP FINフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP FINフロー。 |
スキャン/プローブ |
| TCP FIN対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
FINフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP FINグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP FINフロー。 | スキャン/プローブ |
| TCP FINポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 |
スキャン/プローブ |
| TCP FINホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 |
スキャン/プローブ |
| TCP FIN対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
FINフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP FINグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP FINフロー。 | スキャン/プローブ |
| TCP NULL違反 | TCPフラグの値を持つTCPフローが0/NULLに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (何のフラグも立っていない、000000。ステルス スキャン等の可能性あり) |
疑わしいフロー |
| TCP NULL攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP NULLフロー。 | DoS/フラッシュクラウド |
| TCP NULL受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 | DoS/フラッシュクラウド |
| TCP NULL送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP NULLフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 |
DoS/フラッシュクラウド |
| TCP NULLポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP NULLフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP NULLフロー。 |
スキャン/プローブ |
| TCP NULLホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP NULLフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP NULLフロー。 |
スキャン/プローブ |
| TCP NULL対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
NULLフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP NULLグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP NULLフロー。 | スキャン/プローブ |
| TCP NULLポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 |
スキャン/プローブ |
| TCP NULLホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 |
スキャン/プローブ |
| TCP NULL対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
NULLフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP NULLグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP NULLフロー。 | スキャン/プローブ |
| TCP RST違反 | TCPフラグの値を持つTCPフローが4/Rに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが000100で、RSTは1、他は0。10進数にすると、000100→4) |
疑わしいフロー) |
| TCP RST攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP RSTフロー。 | DoS/フラッシュクラウド |
| TCP RST受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 | DoS/フラッシュクラウド |
| TCP RST送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP RSTフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 |
DoS/フラッシュクラウド |
| TCP RSTポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP RSTフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP RSTフロー。 |
スキャン/プローブ |
| TCP RSTホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP RSTフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP RSTフロー。 |
スキャン/プローブ |
| TCP RST対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
RSTフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP RSTグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP RSTフロー。 | スキャン/プローブ |
| TCP RSTポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 |
スキャン/プローブ |
| TCP RSTホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 |
スキャン/プローブ |
| TCP RST対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
RSTフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP RSTグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP RSTフロー。 | スキャン/プローブ |
| TCP SYN_FIN違反 | TCP受信フラグ値が3/SFか7/RSFのTCPフローで、TCP
SYN_FINまたはSYN_RST_FINフローを示すが、URG/ACK/PSHフラグはなく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが000x11で、SYNとFINは1、RSTは任意、その他は0。10進法にするとそれぞれ、000011→3と000111→7) |
疑わしいフロー |
| TCP SYN_FIN攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP SYN_FINフロー。 | DoS/フラッシュクラウド |
| TCP SYN_FIN受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 | DoS/フラッシュクラウド |
| TCP SYN_FIN送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP SYN_FINフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 |
DoS/フラッシュクラウド |
| TCP SYN_FINポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP SYN_FINフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP SYN_FINフロー。 |
スキャン/プローブ |
| TCP SYN_FINホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP SYN_FINフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP SYN_FINフロー。 |
スキャン/プローブ |
| TCP SYN_FIN対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
SYN_FINフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP SYN_FINグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP SYN_FINフロー。 | スキャン/プローブ |
| TCP SYN_FINポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 |
スキャン/プローブ |
| TCP SYN_FINホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 |
スキャン/プローブ |
| TCP SYN_FIN対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
SYN_FINフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP SYN_FINグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP SYN_FINフロー。 | スキャン/プローブ |
| TCP URG違反 | TCPフラグの値を持つTCPフローが受信(32~40、42~63)で、XMASの組み合わせを除くURGフラグのすべての組み合わせを示し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが1x0xx0で、URGのみが1でその他は0。ただし、101001の42/UPFを除外しXMASを排除する) |
疑わしいフロー |
| TCP URG攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP URGフロー。 | DoS/フラッシュクラウド |
| TCP URG受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 | DoS/フラッシュクラウド |
| TCP URG送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP URGフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 |
DoS/フラッシュクラウド |
| TCP URGポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP URGフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP URGフロー。 |
スキャン/プローブ |
| TCP URGホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP URGフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP URGフロー。 |
スキャン/プローブ |
| TCP URG対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
URGフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP URGグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP URGフロー。 | スキャン/プローブ |
| TCP URGポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 |
スキャン/プローブ |
| TCP URGホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 |
スキャン/プローブ |
| TCP URG対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
URGフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP URGグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP URGフロー。 | スキャン/プローブ |
| TCP XMAS違反 | TCPフラグの値を持つTCPフローが41/UPFに等しく、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (TCPフラグが1010001で、URG、PSH、FINは1、その他は0。10進法では、1010001→41) |
疑わしいフロー |
| TCP XMAS受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのTCP XMASフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 |
DoS/フラッシュクラウド |
| TCP XMAS送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのTCP XMASフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 |
DoS/フラッシュクラウド |
| TCP XMASポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているTCP XMASフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているTCP XMASフロー。 |
スキャン/プローブ |
| TCP XMASホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP XMASフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているTCP XMASフロー。 |
スキャン/プローブ |
| TCP XMAS対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのTCP
XMASフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP XMASグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているTCP XMASフロー | スキャン/プローブ |
| TCP XMASポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 |
スキャン/プローブ |
| TCP XMASホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 |
スキャン/プローブ |
| TCP XMAS対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのTCP
XMASフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| TCP XMASグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのTCP XMASフロー。 | スキャン/プローブ |
| 不正形式TCPパケット | BytePerPacketが最小40オクテット(バイト)未満のTCPフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| 不正形式TCP攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへの不正形式TCPフロー。 | DoS/フラッシュクラウド |
| 不正形式TCP受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 | DoS/フラッシュクラウド |
| 不正形式TCP送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへの不正形式TCPフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 |
DoS/フラッシュクラウド |
| 不正形式TCPポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信している不正形式TCPフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信している不正形式TCPフロー。 |
スキャン/プローブ |
| 不正形式TCPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式TCPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式TCPフロー。 |
スキャン/プローブ |
| 不正形式TCP対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへの不正形式TCPフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 不正形式TCPグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信している不正形式TCPフロー。 | スキャン/プローブ |
| 不正形式TCPポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 |
スキャン/プローブ |
| 不正形式TCPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 |
スキャン/プローブ |
| 不正形式TCP対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 不正形式TCPグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの不正形式TCPフロー。 | スキャン/プローブ |
| ICMP要求ブロードキャスト | 宛先受信ポート値が2048/ECHO要求、3328/TIMESTAMP要求、3840/INFORMATION要求、4352/ADDRESS
MASK要求のいずれかのICMP要求フローで、ブロードキャスト/マルチキャストIPに送信され、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 送信元IPに対する増幅攻撃の可能性を示す。 (ICMPにはTCP/UDPのポート概念が無いので、タイプとコードで表現。タイプとコードのセットを16進で表し連結、10進に戻す。たとえば、3328とは、TIMESTAMPのタイプである10進数の13[16進数のD]にコードがないことを表す00(IANA解説)をつけてODOOに変換、さらにこれを、16進数0D00→10進数3328としたもの) |
DoS/フラッシュクラウド |
| ICMP要求ブロードキャスト攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP要求ブロードキャストフロー。 | DoS/フラッシュクラウド |
| ICMP要求ブロードキャスト受信フラッド | 宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP要求ブロードキャストフロー。 | DoS/フラッシュクラウド |
| ICMP要求ブロードキャスト送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP要求ブロードキャストフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP要求ブロードキャストフロー。 |
DoS/フラッシュクラウド |
| ICMP要求ブロードキャストホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP要求ブロードキャストフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP要求ブロードキャストフロー。 |
スキャン/プローブ |
| ICMP要求ブロードキャストホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP要求ブロードキャストフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMP要求ブロードキャストフロー。 |
スキャン/プローブ |
| 超過ICMP要求 | 宛先受信ポート値が2048/ECHO要求、3328/TIMESTAMP要求、3840/INFORMATION要求、4352/ADDRESS
MASK要求のいずれかのICMP要求で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
| ICMP要求受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP要求フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP要求フロー。 |
DoS/フラッシュクラウド |
| ICMP要求送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP要求。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP要求。 |
DoS/フラッシュクラウド |
| ICMP要求ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP要求。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP要求。 |
スキャン/プローブ |
| ICMP要求ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP要求。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMP要求。 |
スキャン/プローブ |
| 超過ICMP応答 | 宛先受信ポート値が0/ECHO応答、3584/TIMESTAMP応答、4096/INFORMATION応答、4608/ADDRESS
MASK応答のいずれかのICMP応答フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
| ICMP応答受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP応答。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP応答。 |
DoS/フラッシュクラウド |
| ICMP応答送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP応答。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP応答。 |
DoS/フラッシュクラウド |
| ICMP応答ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP応答。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP応答。 |
スキャン/プローブ |
| ICMP応答ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP応答。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMP応答。 |
スキャン/プローブ |
| ICMPホスト到達不能 | 宛先受信ポート値が769/ホスト到達不能、773/送信元ルート障害、775/宛先ホスト不明、776/送信元ホスト分離(廃止)、778/宛先ホストとの通信は管理上禁止、780/ホストがToSに到達不能、781/管理上通信禁止のいずれかのICMPホスト到達不能フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 (ICMPにはTCP/UDPのポート概念が無いので、タイプとコードで表現。タイプとコードのセットを16進で表し連結、10進に戻す。たとえば、769とはdestination unreachableのタイプ03とhost unreachablenの01(IANA解説)を0301につなぎ、16進数0301→10進数769としたもの) |
疑わしいフロー |
|
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPホスト到達不能フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPホスト到達不能フロー。 |
DoS/フラッシュクラウド | |
| ICMPホスト到達不能送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPホスト到達不能フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPホスト到達不能フロー。 |
DoS/フラッシュクラウド |
| ICMPホスト到達不能ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPホスト到達不能フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPホスト到達不能フロー。 |
スキャン/プローブ |
| ICMPホスト到達不能ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPホスト到達不能フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPホスト到達不能フロー。 |
スキャン/プローブ |
| ICMPネットワーク到達不能 | 宛先受信ポート値が768/ネットワーク到達不能、774/ネットワーク不明、777/ネットワーク管理上禁止、779/ネットワークがToSに到達不能のいずれかのICMPネットワーク到達不能フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMPホスト到達不能を参照) |
| ICMPネットワーク到達不能受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPネットワーク到達不能フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPネットワーク到達不能フロー。 |
DoS/フラッシュクラウド |
| ICMPネットワーク到達不能送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPネットワーク到達不能フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPネットワーク到達不能フロー。 |
DoS/フラッシュクラウド |
| ICMPネットワーク到達不能ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPネットワーク到達不能フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPネットワーク到達不能フロー。 |
スキャン/プローブ |
| ICMPネットワーク到達不能ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPネットワーク到達不能フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPネットワーク到達不能フロー。 |
スキャン/プローブ |
| 不良送信元・宛先 | ||
| ICMPパラメーター問題フロー | 宛先受信ポート値が3072/IPヘッダー不良、3073/必要なオプションの不足、3074/不良な長さのいずれかのICMPパラメーターの問題フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 一般的に、ローカルまたはリモートの実装エラー、すなわち無効なデータグラムが示される。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
| ICMPパラメーター問題受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPパラメーター問題フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPパラメーター問題フロー。 |
DoS/フラッシュクラウド |
| ICMPパラメーター問題送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPパラメーター問題フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPパラメーター問題フロー。 |
DoS/フラッシュクラウド |
| ICMPパラメーター問題ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPパラメーター問題フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPパラメーター問題フロー。 |
スキャン/プローブ |
| ICMPパラメーター問題ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPパラメーター問題フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPパラメーター問題フロー。 |
スキャン/プローブ |
| ICMPポート到達不能 | 宛先ポートの値が771/ポート到達不能に等しいICMPポート到達不能フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMPホスト到達不能を参照) |
| ICMPポート到達不能受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPポート到達不能フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPポート到達不能フロー。 |
DoS/フラッシュクラウド |
|
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPポート到達不能フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPポート到達不能フロー。 |
DoS/フラッシュクラウド | |
| ICMPポート到達不能ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPポート到達不能フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPポート到達不能フロー。 |
スキャン/プローブ |
| ICMPポート到達不能ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPポート到達不能フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPポート到達不能フロー。 |
スキャン/プローブ |
| ICMPプロトコル到達不能 | 宛先ポートの値が等しい(770/プロトコル到達不能)ICMPプロトコル到達不能フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 アクティブなTCPセッションでサービスの拒否を実行するために使用でき、TCP接続が切断される。 |
DoS/フラッシュクラウド(ICMPホスト到達不能を参照) |
| ICMPプロトコル到達不能受信フラッド |
1:ICMPプロトコル複数の送信元ホストから、宛先側で最小収束および最小フラックスレートを超える複数の送信元ホストから少数の宛先ホストへのICMPプロトコル到達不能フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPプロトコル到達不能フロー。 |
DoS/フラッシュクラウド |
| ICMPプロトコル到達不能送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPプロトコル到達不能フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPプロトコル到達不能フロー。 |
DoS/フラッシュクラウド |
| ICMPプロトコル到達不能ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPプロトコル到達不能フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPプロトコル到達不能フロー。 |
スキャン/プローブ |
| ICMPプロトコル到達不能ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPプロトコル到達不能フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPプロトコル到達不能フロー。 |
スキャン/プローブ |
| ICMPリダイレクト | 宛先受信ポート値が1280/ネットワークのリダイレクト、1281/ホストのリダイレクト、1282/ToSおよびネットワークのリダイレクト、1283/ToSおよびホストのリダイレクト)のICMPリダイレクトフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
| ICMPリダイレクト受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPリダイレクトフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPリダイレクトフロー。 |
DoS/フラッシュクラウド |
| ICMPリダイレクト送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPリダイレクトフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPリダイレクトフロー。 |
DoS/フラッシュクラウド |
| ICMPリダイレクトホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPリダイレクトフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPリダイレクトフロー。 |
スキャン/プローブ |
| ICMPリダイレクトホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPリダイレクトフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPリダイレクトフロー。 |
スキャン/プローブ |
| ICMP送信元クエンチフロー | 宛先ポートの値が等しい(1024/送信元クエンチ)ICMP送信元クエンチフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 旧式であるが、ルーターまたはホストの帯域を制限することにより、サービス拒否をトライできる。 |
DoS/フラッシュクラウド(ICMP要求ブロードキャストを参照) |
| ICMP送信元クエンチ受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP送信元クエンチフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP送信元クエンチフロー。 |
DoS/フラッシュクラウド |
| ICMP送信元クエンチ送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP送信元クエンチフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP送信元クエンチフロー。 |
DoS/フラッシュクラウド |
| ICMP送信元クエンチホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP送信元クエンチフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP送信元クエンチフロー。 |
スキャン/プローブ |
| ICMP送信元クエンチホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP送信元クエンチフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMP送信元クエンチフロー。 |
スキャン/プローブ |
| ICMP時間超過フロー | 宛先受信ポート値が2816/Time-to-Liveは0転送中と等しく、2817/Time-to-Liveは0再構築中と等しい)のICMP時間超過フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 トレースルートのトライや分割データグラム再構成の失敗を示す。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
| ICMP時間超過受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP時間超過フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP時間超過フロー。 |
DoS/フラッシュクラウド |
| ICMP時間超過送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP時間超過フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP時間超過フロー。 |
DoS/フラッシュクラウド |
| ICMP時間超過ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP時間超過フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP時間超過フロー。 |
スキャン/プローブ |
| ICMP時間超過ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP時間超過フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMP時間超過フロー。 |
スキャン/プローブ |
| ICMPトレースルートフロー | 宛先ポートが7680/トレースルートに等しいICMPトレースルートフローで、最大値以上であり、次項以降の派生的問題のいずれも満たされないトレースルートのトライを示す。 | 疑わしいフロー |
| ICMPトレースルート受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPトレースルートフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPトレースルートフロー。 |
DoS/フラッシュクラウド |
| ICMPトレースルート送信フラッド |
1:ICM送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPトレースルートフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPトレースルートフロー。 |
DoS/フラッシュクラウド |
| ICMPトレースルートホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPトレースルートフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPトレースルートフロー。 |
スキャン/プローブ |
| ICMPトレースルートホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPトレースルートフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPトレースルートフロー。 |
スキャン/プローブ |
| ToSのICMP到達不能 | 宛先受信ポート値が779/ToSのネットワーク到達不能、780/ToSのホスト到達不能)のICMP
ToS到達不能フローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMPホスト到達不能を参照) |
| ICMP ToS到達不能受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMP ToS到達不能フロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP ToS到達不能フロー。 |
DoS/フラッシュクラウド |
|
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMP ToS到達不能フロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMP ToS到達不能フロー。 |
DoS/フラッシュクラウド | |
| ICMP ToS到達不能ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP ToS到達不能フロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMP ToS到達不能フロー。 |
スキャン/プローブ |
| ICMP ToS到達不能ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMP ToS到達不能フロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用して、複数の送信元ホストから単一/複数宛先ホストへのICMP ToS到達不能フロー。 |
スキャン/プローブ |
| 不正形式ICMPパケット | BytePerPacketが最小28オクテット(バイト)未満のICMPフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| 不正形式ICMP受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへの不正形式ICMPフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式ICMPフロー。 |
DoS/フラッシュクラウド |
| 不正形式ICMP送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへの不正形式ICMPフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式ICMPフロー。 |
DoS/フラッシュクラウド |
| 不正形式ICMPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式ICMPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式ICMPフロー。 |
スキャン/プローブ |
| 不正形式ICMPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの不正形式ICMPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへの不正形式ICMPフロー。 |
スキャン/プローブ |
| ICMPデータグラム変換エラーフロー | 宛先ポートの値が7936/データグラム変換エラーに等しいICMPデータグラム変換エラーフロー。すなわち、有効なデータグラムが、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー(ICMP要求ブロードキャストを参照) |
|
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのICMPデータグラム変換エラーフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPデータグラム変換エラーフロー。 |
DoS/フラッシュクラウド | |
|
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのICMPデータグラム変換エラーフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのICMPデータグラム変換エラーフロー。 |
DoS/フラッシュクラウド | |
| ICMPデータグラム変換エラーホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPデータグラム変換エラーフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているICMPデータグラム変換エラーフロー。 |
スキャン/プローブ |
| ICMPデータグラム変換エラーホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのICMPデータグラム変換エラーフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのICMPデータグラム変換エラーフロー。 |
スキャン/プローブ |
| 超過UDP ECHO応答 | 送信元ポート7(ECHO)からのUDP
ECHO応答で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| UDP ECHO応答受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP ECHO応答。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO応答。 |
DoS/フラッシュクラウド |
| UDP ECHO応答送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP ECHO応答。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO応答。 |
DoS/フラッシュクラウド |
| UDP ECHO応答ポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているUDP ECHO応答。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているUDP ECHO応答。 |
スキャン/プローブ |
| UDP ECHO応答ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO応答。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO応答。 |
スキャン/プローブ |
| UDP ECHO応答対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのUDP
ECHO応答。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| UDP ECHO応答グリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているUDP ECHO応答 | スキャン/プローブ |
| UDP ECHO応答ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO応答。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO応答。 |
スキャン/プローブ |
| 超過UDP ECHO要求 | 宛先ポート7(ECHO)へのUDP
ECHO要求で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| UDP ECHO要求受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP ECHO要求。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 |
DoS/フラッシュクラウド |
| UDP ECHO要求送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP ECHO要求。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 |
DoS/フラッシュクラウド |
| UDP ECHO要求ホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO要求。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO要求。 |
スキャン/プローブ |
| UDP ECHO要求ポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 |
スキャン/プローブ |
| UDP ECHO要求ホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 |
スキャン/プローブ |
| UDP ECHO要求対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのUDP
ECHO要求。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| UDP ECHO要求グリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求。 | スキャン/プローブ |
| UDP ECHO要求ブロードキャスト | 宛先ポート7(ECHO)へのUDP ECHO要求で、ブロードキャスト/マルチキャストIPに送信し、最大値以上であり、次項以降の派生的問題のいずれも満たされない送信元IPに対する増幅攻撃の可能性を示す。 | DoS/フラッシュクラウド |
| UDP ECHO要求ブロードキャスト攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP ECHO要求ブロードキャストフロー。 | DoS/フラッシュクラウド |
| UDP ECHO要求ブロードキャスト受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO要求ブロードキャスト送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO要求ブロードキャストホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO要求ブロードキャストフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO要求ブロードキャストフロー。 |
スキャン/プローブ |
| UDP ECHO要求ブロードキャストポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャスト。 |
スキャン/プローブ |
| UDP ECHO要求ブロードキャストホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 |
スキャン/プローブ |
| UDP ECHO要求ブロードキャスト対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのUDP
ECHO要求ブロードキャストフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| UDP ECHO要求ブロードキャストグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO要求ブロードキャストフロー。 | スキャン/プローブ |
| UDP CHARGEN-ECHOブロードキャスト | 送信元ポート19/CHARGEN(Character Generator:RFC
864)から宛先ポート7/ECHOへのUDPフローで、ブロードキャスト/マルチキャストIPに送信し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 送信元IPに対する増幅攻撃の可能性を示す。 |
DoS/フラッシュクラウド |
| UDP CHARGEN-ECHOブロードキャスト攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 | DoS/フラッシュクラウド |
| UDP CHARGEN-ECHOブロードキャスト受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 |
DoS/フラッシュクラウド |
|
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 |
DoS/フラッシュクラウド | |
| UDP CHARGEN-ECHOブロードキャストホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP CHARGEN-ECHOブロードキャストフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP CHARGEN-ECHOブロードキャストフロー。 |
スキャン/プローブ |
| UDP CHARGEN-ECHOブロードキャストホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOブロードキャストフロー。 |
スキャン/プローブ |
| UDP ECHO-CHARGENブロードキャスト | 送信元ポート7/ECHOから宛先ポート19/CHARGEN(Character Generator:RFC
864)へのUDPフローで、ブロードキャスト/マルチキャストIPに送信し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 送信元IPに対する増幅攻撃の可能性を示す。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGENブロードキャスト攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 | DoS/フラッシュクラウド |
| UDP ECHO-CHARGENブロードキャスト受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGENブロードキャスト送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGENブロードキャストホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO-CHARGENブロードキャストフロー。 2.宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO-CHARGENブロードキャストフロー。 |
スキャン/プローブ |
| UDP ECHO-CHARGENブロードキャストホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENブロードキャストフロー。 |
スキャン/プローブ |
| 超過空UDPパケット | 任意のペイロードがないUDPフロー。すなわち、BytePerPacketが正確に28オクテット(バイト)で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| 空UDP攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへの空UDPフロー。 | DoS/フラッシュクラウド |
| 空UDP受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 |
DoS/フラッシュクラウド |
| 空UDP送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへの空UDPフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 |
DoS/フラッシュクラウド |
| 空UDPポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信している空UDPフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信している空UDPフロー。 |
スキャン/プローブ |
| 空UDPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している空UDPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している空UDPフロー。 |
スキャン/プローブ |
| 空UDP対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへの空UDPフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 空UDPグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信している空UDPフロー。 | スキャン/プローブ |
| 空UDPポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 |
スキャン/プローブ |
| 空UDPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 |
スキャン/プローブ |
| 空UDP対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 空UDPグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの空UDPフロー。 | スキャン/プローブ |
| 超過ショートUDPパケット | 名目ペイロードがあるUDPフロー。すなわち、BytePerPacketが29~32オクテット(バイト)で、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| ショートUDP攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのショートUDPフロー。 | DoS/フラッシュクラウド |
| ショートUDP受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 |
DoS/フラッシュクラウド |
| ショートUDP送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのショートUDPフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 |
DoS/フラッシュクラウド |
| ショートUDPポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信しているショートUDPフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信しているショートUDPフロー。 |
スキャン/プローブ |
| ショートUDPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートUDPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているショートUDPフロー。 |
スキャン/プローブ |
| ショートUDP対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへのショートUDPフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートUDPグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信しているショートUDPフロー。 | スキャン/プローブ |
| ショートUDPポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 |
スキャン/プローブ |
| ショートUDPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 |
スキャン/プローブ |
| ショートUDP対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| ショートUDPグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのショートUDPフロー。 | スキャン/プローブ |
| 不正形式UDPパケット | BytePerPacketが最小28オクテット(バイト)未満のUDPフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 |
疑わしいフロー |
| 不正形式UDP攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへの不正形式UDPフロー。 | DoS/フラッシュクラウド |
| 不正形式UDP受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 |
DoS/フラッシュクラウド |
| 不正形式UDP送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへの不正形式UDPフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 |
DoS/フラッシュクラウド |
| 不正形式UDPポートスキャン |
1:宛先側で最小垂直スパンを超える、単一/複数の送信元ホストから単一宛先ホストへの、複数宛先ポートで通信している不正形式UDPフロー。 2:宛先側で最小垂直スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから少数宛先ホストへの、複数宛先ポートで通信している不正形式UDPフロー。 |
スキャン/プローブ |
| 不正形式UDPホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式UDPフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信している不正形式UDPフロー。 |
スキャン/プローブ |
| 不正形式UDP対角スキャン | 単一/複数の送信元ホストから複数宛先ホストへの不正形式UDPフロー。特徴的宛先ホストの数は特徴的宛先ポートの数に等しく、宛先側で最小対角スパンを超える宛先エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 不正形式UDPグリッドスキャン | 宛先側で最小垂直スパンまたは最小水平スパン、および最小占有率を超える、単一/複数の送信元ホストから複数宛先ホストへの、複数宛先ポートで通信している不正形式UDPフロー。 | スキャン/プローブ |
| 不正形式UDPポートスキャン(リバース) |
1:送信元側で最小垂直スパンを超えており、複数送信元ポートを使用して通信している、単一の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 2:送信元側で最小垂直スパン、最小占有率、および、最小アスペクト比を超えており、複数送信元ポートを使用して通信している、少数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 |
スキャン/プローブ |
| 不正形式UDPホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 |
スキャン/プローブ |
| 不正形式UDP対角スキャン(リバース) | 複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。特徴的送信元ホストの数は、特徴的送信元ポートの数と等しく、送信元側で最小対角スパンを超える送信元エンドポイントの数にも等しい (ホスト = ポート = エンドポイント)。 |
スキャン/プローブ |
| 不正形式UDPグリッドスキャン(リバース) | 送信元側で最小垂直スパンまたは最小水平スパン、および最小占有率を超えており、複数送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへの不正形式UDPフロー。 | スキャン/プローブ |
| Snork攻撃フロー | 送信元受信ポートが7、19、135のいずれかで、かつ、宛先受信ポート値が135のUDPフローで、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 Windows RPCサービス(EPMAP)に対するサービス拒否攻撃を示す。 |
DoS/フラッシュクラウド |
| UDP Snork攻撃 | 宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP Snorkフロー。 | DoS/フラッシュクラウド |
| UDP Snork受信フラッド |
宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP Snorkフロー。 |
DoS/フラッシュクラウド |
| UDP Snork送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP Snorkフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP Snorkフロー。 |
DoS/フラッシュクラウド |
| UDP Snorkホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP Snorkフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP Snorkフロー。 |
スキャン/プローブ |
| UDP Snorkホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP Snorkフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP Snorkフロー。 |
スキャン/プローブ |
| 超過UDP CHARGEN-ECHOフロー | 送信元ポート19/CHARGEN(Character Generator:RFC
864)から宛先ポート7/ECHOへのUDPフローで、任意のユニキャストIPに送信し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 送信元IPに対する増幅攻撃の可能性を示す。 |
DoS/フラッシュクラウド |
| UDP CHARGEN-ECHO受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP CHARGEN-ECHOフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOフロー。 |
DoS/フラッシュクラウド |
| UDP CHARGEN-ECHO送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP CHARGEN-ECHOフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOフロー。 |
DoS/フラッシュクラウド |
| UDP CHARGEN-ECHOホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP CHARGEN-ECHOフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP CHARGEN-ECHOフロー。 |
スキャン/プローブ |
| UDP CHARGEN-ECHOホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP CHARGEN-ECHOフロー。 |
スキャン/プローブ |
| 超過UDP ECHO-CHARGENフロー | 送信元ポート7/ECHOから宛先ポート19/CHARGEN(Character Generator:RFC
864)へのUDPフローで、任意のユニキャストIPに送信し、最大値以上であり、かつ、次項以降の派生的問題のいずれも満たさないもの。 送信元IPに対する増幅攻撃の可能性を示す。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGEN受信フラッド |
1:宛先側で最小収束および最小流動率を超える、複数の送信元ホストから少数の宛先ホストへのUDP ECHO-CHARGENフロー。 2:宛先側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGEN送信フラッド |
1:送信元側で最小発散および最小流動率を超える、少数の送信元ホストから複数宛先ホストへのUDP ECHO-CHARGENフロー。 2:送信元側で最小流動率を超える、単一/複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENフロー。 |
DoS/フラッシュクラウド |
| UDP ECHO-CHARGENホストスキャン |
1:宛先側で最小水平スパンを超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO-CHARGENフロー。 2:宛先側で最小水平スパン、最小占有率、および、最小アスペクト比を超える、単一/複数の送信元ホストから複数宛先ホストへの、単一の宛先ポートで通信しているUDP ECHO-CHARGENフロー。 |
スキャン/プローブ |
| UDP ECHO-CHARGENホストスキャン(リバース) |
1:送信元側で最小水平スパンを超えており、単一送信元ポートを使用して通信している、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENフロー。 2:送信元側で最小水平スパン、最小占有率、および、最小アスペクト比を超える送信元ポートを使用する、複数の送信元ホストから単一/複数宛先ホストへのUDP ECHO-CHARGENフロー。 |
スキャン/プローブ |
問題クラスとアルゴリズム(新/更新中)
詳細はこちらをクリック
| 超過ブロードキャストフロー | 監視対象インターフェースを通過したセッション毎のブロードキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
※ブロードキャストパケット(ホストのビットが全て1)は、受信したフローデータのIPアドレス/サブネットマスクから認識します。 Smurf攻撃などの検知に効果的です。 |
| 送信元からのブロードキャストフロー | セッション毎の特定送信元IPアドレスからのブロードキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由ブロードキャストフロー | セッション毎の特定ルーター(装置)を経由するブロードキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからのブロードキャストフロー | セッション毎の特定送信元ネットワークからのブロードキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークへのブロードキャストフロー | セッション毎の特定宛先ネットワークへのブロードキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 超過空TCPパケット | 監視対象インターフェースを通過したセッション毎の空の(ペイロードを持たない)TCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
SYNフラッド攻撃やTCP/SYNスキャンなどの検知に効果的です。 |
| 送信元からの空TCPパケット | セッション毎の特定送信元IPアドレスからの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先への空TCPパケット | セッション毎の特定宛先IPアドレスへの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由空TCPパケット | セッション毎の特定ルーター(装置)を経由する空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからの空のTCPパケット | セッション毎の特定送信元ネットワークからの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークへの空のTCPパケット | セッション毎の特定宛先ネットワークへの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 超過空UDPパケット("超過空TCPパケット"という誤訳を修正中) | 監視対象インターフェースを通過したセッション毎の空の(ペイロードを持たない)UDPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
フラッド攻撃やポートスキャンなどの検知に効果的です。 |
| 送信元からの空UDPパケット | セッション毎の特定送信元IPアドレスからの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先への空UDPパケット | セッション毎の特定宛先IPアドレスへの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由空UDPパケット | セッション毎の特定ルーター(装置)を経由する空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからの空のUDPパケット | セッション毎の特定送信元ネットワークからの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークへの空のUDPパケット | セッション毎の特定宛先ネットワークへの空のTCPパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 超過ICMPリクエスト | 監視対象インターフェースを通過したセッション毎のICMP
Requestパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
※ICMP Requestパケット : ポート値2048(Echo Request), 3328(Timestamp Request), 3840(Information Request), 4352(Address Mask Request) Smurf攻撃やポート/ホストスキャン、ICMPフラッド攻撃などの検知に効果的です。 |
| 送信元からのICMPリクエスト | セッション毎の特定送信元IPアドレスからのICMPリクエストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先へのICMPリクエスト | セッション毎の特定宛先IPアドレスへのICMPリクエストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由ICMPリクエスト | セッション毎の特定ルーター(装置)を経由するICMPリクエストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからのICMPリクエスト | セッション毎の特定送信元ネットワークからのICMPリクエストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークへのICMPリクエスト | セッション毎の特定宛先ネットワークへのICMPリクエストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 超過ICMP応答(レスポンス) | 監視対象インターフェースを通過したセッション毎のICMP
Responseパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
※ICMP Responseパケット : ポート値0(Echo Replay), 3584(Timestamp Reply), 4096(Information Reply), 4608(Address Mask Reply) Smurf攻撃やICMPフラッド攻撃などの検知に効果的です。 |
| 送信元からのICMP応答 | セッション毎の特定送信元IPアドレスからのICMPレスポンスパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先へのICMP応答 | セッション毎の特定宛先IPアドレスへのICMPレスポンスパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由ICMP応答 | セッション毎の特定ルーター(装置)を経由するICMPレスポンスパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからのICMP応答 | セッション毎の特定送信元ネットワークからのICMPレスポンスパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークから(へ)のICMP応答 | セッション毎の特定宛先ネットワークへのICMPレスポンスパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 超過マルチキャストフロー | 監視対象インターフェースを通過したセッション毎のマルチキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。
※マルチキャストパケットは、受信したフローデータのIPアドレス 224.0.0.0 ~ 239.255.255.255 から認識されます。 マルチキャストパケットを用いたDoS攻撃などの検知に効果的です。 |
| 送信元からのマルチキャストフロー | セッション毎の特定送信元IPアドレスからのマルチキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| ルータ経由マルチキャストフロー | セッション毎の特定ルーター(装置)を経由するマルチキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 送信元ネットワークからのマルチキャストフロー | セッション毎の特定送信元ネットワークからのマルチキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |
| 宛先ネットワークへのマルチキャストフロー | セッション毎の特定宛先ネットワークへのマルチキャストパケット数をしきい値と比較し、超過を検知した場合はセキュリティアラートを発報します。 |