momentum Probe Type-R

TAPAS　Terilogy Advanced Platform for Apps

Zero LossData Record

Reltime -Indexing

が

Lastlinemomentum

OrcaGUI來抽取・下載

需要的Data

momentumPSCLI

CLI來抽取・下載需要的Data

momentumDNS Viewer用在無縫的連接

Packet data和各種DNS圖表的専用Viewer 與其他產品聯合

PaloAlto

etc

APPs

Interface

CaptureProbe

DNS ViewerTM

DNS專業的報表工具～鑽取到Packet Data來檢測出DNS攻撃的徵兆!! ～

近年來,DNS DDoS攻撃比以前還擴大及複雜,所以利用現存的監測技術方式很難檢測出DNS攻撃,例如Slow Drip DNS Attack等

現有的DNS監測系統很難利用統計資料檢測出DNS攻撃,但是通過momentum DNS Viewer™與momentum Probe™的聯合時可利

用統計資料檢測出DNS攻撃後,可無縫的鑽取到Packet Data的監測系統

Apps

有効利用momentum Probe的Data,

根據客戶的需求開發出的Apps！！

Terilogy Advanced Platform for Apps = TAPAS利用momentum momentum Probe™的索引機能,於作成Apps以及API的架構

DNS專業的報表工具

沒有統一的DNS監測工具

● 對於不同BIND的版本時,需要再次調整監控工具● 通常都使用很多的監控工具

無法處理沒有顯示在統計資料裡的攻撃

● 沒有出現在統計資料上的攻撃時,很難判断是非攻撃

緊急時無法提取必要的Data

● 因為沒有鏈接Graph和Packet Data,所以需要匹配信息和 Packet的必要● 等影響到Service後,想開始採集Packet Data時,已經採集 不到有効的Data

momentum DNS Viewer來統一

● 就算不同的版本時,DNS的Protocol也是同樣的● 就算使用不同的BIND版本,也可以提供統一的Viewer功能

關於沒有顯示在統計資料裡的攻撃也能應付

● 根據Domain所包含的Sub-Domain的Unique数,對於遞歸的 FQDN也可視化於Query的数量● 超出閾值時,將生成NXDomain的名單,並且通知管理員

緊急時可以得到需要的Packet Data

● 鏈接統計図和Packet Data,可無縫的下載Packet Data● 因為有收集所有的Packet,所以能下載過去的Data

momentum Apps在TAPAS community site線上免費提供

您將能夠下載並且在任何時候都能使用

DNS監測的難題（例如BIND） momentum DNS Viewer™來解決

・DNS的通信都全部可視化・檢測出DNS攻撃的徵兆・從統計資料特定PCAP來Drilldown抽出Data

DNS Viewer

● DNS Viewer Report Summary

構造圖與每個組件的作用

範例圖

● Loader Templatename Description

・ Descript the traffic of interface

・ The basic report of DNS Viewer・ The history trend report

・ Summarize Record type

・ Analyze Cache poisoning attack

・ The history trend report・ Request/ Response (Recursion) report

・ Summarize RCODE(including No Error, NXDomain, Refused)

・ The summary of ServFail(RCODE=2)

・ The summary of NXDomain(RCODE=3)

・ Top 10 on request（QR=0) FQDN

・ Top 10 on request （QR=0)clients

・ Top 10 on response（QR=1) clients

・ Top 10 on request（QR=0)server IP address

・ Top 10 on FQDN of NXDomain(RCODE=3)

・ Top 10 on Domain of NXDomain・ Analyze slow drip attack

interface traffic

Request/Response - time chart

Request - RRType time chart

Request/Response (Cache) Trend

Request/Response (Recursion) Trend

Response - RCODE time chart

Response - ServFail time chart

Response - NXDomain time chart

Request - TOP10 Name

Request - TOP10 Clients

Response - TOP10 Clients

TOP10 DNS Server Work-load

TOP10 FQDN NXDomain

TOP10 Domain NXDomain

tmplate id 0

fields/ tmplate name

TEMPLATE_ID

PROTOCOL

IPV4_SRC_ADDR

IPV4_DST_ADDR

L4_SRC_PORT

L4_DST_PORT

ICMP_TYPE

HTTP_URL/DNS_Name

TOS

VLAN_L1

VLAN_L2

DNS_ID

DNS_QR

DNS_RD

DNS_RA

DNS_Rcode

DNS_Type

MIL_SEC

1

mil_sec

2

5tuple

3

icmp

4

http

7

vlan_tag

8

dnsall_off

○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○

○ ○ ○ ○

○ ○

○ ○

○

○

○

○

○

○

○

○

○

○

DNS Traffic

DNS Server

統計資料

PCAP

完全記録DNS的通信・完全記録DNS的通信・通過分析標頭作出Index,另外同時作出一秒

單位的統計資料

・提供View・警報・Drilldown分析

momentum Probe

・根據被提供的資訊,採取措施

外部DNS管理員

提供資訊請求合作

● ServFail Trend ● Traffic Trend

● Top 10 Domain NXDomain

・通過ServFail的可視化,能檢測出DNS權威Server的負載

・能比較過去和現在的趨勢

・能縮小時間範圍,針對収到的PCAP文件來做詳細得分析

・Top 10 FQDN能可視化於獨一的毎個FQDN的Query数量

・Top 10 NXDomain能通過統計Domain裡的Sub-Domain (Host)的Unique数來可視化Query的Randomize数量

・就算FQDN被Randomize後,也可以簡單地檢測出來

・由momentum Probe™產生可視化的統計資料

・因為是使用統計資料產生的圖,所以能快速的顯示圖表

・利用momentum Probe™能同時保存Packet並且生成統計資料

momentum DNS ViewerTM momentum ProbeTM

● Top 10 Domain FQDN

・随時把握DNS的狀況,快速的檢測出異常・檢測出異常後,快速的縮小調査的範圍・高效地收集所需要詳細分析的通信Packet Data・分析原因,採取措施

管理員

Terilogy 股份有限公司日本東京都千代田區九段北 1-13-5　Hulic 九段大廈 4F　郵遞區號 : 102-0073

電話 ( 總機 )：+81-3-3237-3291 傳真：+81-3-3237-3293 URL. http://www.terilogy.com E-mail. momentum@terilogy.com

SLB

× N