スプーフィング検出アラート

IPS 機能を有効にした場合、コンピュータ上のアプリケーションがスプーフィングしたネットワーク トラフィックを送信していることが Host Intrusion Prevention によって検出されると、このアラートが自動的に表示されます。これは、使用中のコンピュータからのトラフィックが、異なるコンピュータから実際に到着しているように、そのアプリケーションが見せかけようとしていることを意味します。これは、送信パケット内の IP アドレスを変更することによって行われます。スプーフィングはいずれにしても疑わしい動作です。このダイアログ ボックスが表示された場合、スプーフィングしたトラフィックを送信しているアプリケーションを直ちに調査してください。

 

[Spoof Detected Alert (スプーフィング検出アラート)] ダイアログ ボックスは、[ポップアップ アラートを表示する] オプションを選択している場合のみ表示されます。このオプションを選択していない場合、スプーフィングされたトラフィックは Host Intrusion Prevention によって自動的にブロックされますが、ユーザへの通知は行われません。

[Spoof Detected Alert (スプーフィング検出アラート)] ダイアログ ボックスは、ファイアウォール機能の [学習モード] のアラートとよく似ています。[Application Information (アプリケーション情報)] および [Connection Information (接続情報)] の 2 つのタブに、阻止したトラフィックに関する情報が表示されます。

[Application Information (アプリケーション情報)] タブには次の情報が表示されます。

[Connection Information (接続情報)] タブには、さらに詳細なネットワーク情報が表示されます。特に、[Local Address (ローカル アドレス)] にはアプリケーションが持っているように見せかけている IP アドレスが表示され、[Remote Address (リモート アドレス)] には実際の IP アドレスが表示されます。

Host Intrusion Prevention は、スプーフィングされたネットワーク トラフィックを検出すると、トラフィックおよびそれを生成したアプリケーションの両方をブロックしようとします。これは、ファイアウォールのルール リストの最後に新しいルールを追加することによって行われます。この[Block spoofing attacker (スプーフィング攻撃者をブロックする)] ルールは、具体的には、ルール リストの別のルールによって変更されない限り、疑わしいアプリケーションによって作成されたトラフィックをすべてブロックします。

Copyright © 2005 McAfee, Inc. All Rights Reserved.