オーバーライド式
ネットワーク層DDoS攻撃保護の管理ルールセットに対してオーバーライド式を設定し、感度レベルやactionの調整のための特定の範囲を定義します。たとえば、異なる宛先IPアドレスやポートに対して異なる感度レベルを設定できます:宛先IPアドレスAには中程度の感度レベルを、宛先IPアドレスBには低い感度レベルを設定することができます。
オーバーライド式で使用できるフィールドは以下の通りです:
ip.srcip.dstip.proto.numip.lenip.ttltcp.srcporttcp.dstporttcp.flagstcp.flags.acktcp.flags.fintcp.flags.pushtcp.flags.resettcp.flags.syntcp.flags.urgudp.srcportudp.dstport
詳細については、ルール言語のドキュメントのフィールドを参照してください。
-
各式は4,000文字に制限されており、1つの式に約200のIPアドレスを入力できます。ただし、CIDR形式でIPアドレスを入力することができ、これによりより多くのIPアドレスを含めることができます。たとえば、
192.0.0.0/24を使用して、192.0.0.0から192.0.0.255までのIPアドレスに一致させることができます。 -
式は許可リストではなく、攻撃フィンガープリントの一部にはなりません。式はオーバーライドの範囲に適用され、緩和アクションを適用する直前に使用され、感度レベルとアクションを調整する必要があるかどうかを判断します。
たとえば、特定の送信元IPアドレスに一致するパケットに一致する式があり、オーバーライドが感度レベルを低く設定している場合、このオーバーライドはその送信元IPアドレスから直接来るトラフィックの感度レベルを低下させるだけです。DDoS保護システムが単一の宛先IPおよびポートをターゲットにした多くの送信元IPアドレスからの攻撃を検出した場合、生成されたフィンガープリントは攻撃の共通基準にのみ一致し、この例では送信元IPアドレスは含まれません。したがって、トラフィックはユーザーが提供した送信元IPアドレスから来ていないため、システムはデフォルトの高感度レベルで必要な緩和アクションをトリガーします。したがって、オーバーライド式の送信元IPからのトラフィックは、攻撃の宛先IPアドレスとポートのみを含むフィンガープリントのためにブロックされる可能性があります。