ICMPNOMのログ出力は(TimeWindow ICMPに設定された閾値)1時間の間に、(PingFloodThresholdに設定された閾値)301回以上のpingを打てば検出されますか?
いいえ。
TimeWindowパラメータおよびPingFloodThresholdパラメータは検知の対象が異なります。
TimeWindowはFloodの下にあります。
FloodはICMP Type3メッセージの検知のためです。
TimeWindow:1
ICMPThreshold:400
Type3MsgThreshold:20
上記の意味は1時間の統計データ(ICMP Type3の1時間の平均)から直近5分間のICMPの平均が400%以上増加し、かつトラフィックが最低のトラフィック量(20)以上の場合にICMPタイプ3メッセージ異常が検知されます。
PingFloodThresholdはEcho request floodの下にございます。
PingFloodThreshold:301
上記の意味はICMP ping messagesが301メッセージ以上ある場合、pingfloodイベントタイプが検知されます。
TimeWindowはFloodの下にあります。
FloodはICMP Type3メッセージの検知のためです。
TimeWindow:1
ICMPThreshold:400
Type3MsgThreshold:20
上記の意味は1時間の統計データ(ICMP Type3の1時間の平均)から直近5分間のICMPの平均が400%以上増加し、かつトラフィックが最低のトラフィック量(20)以上の場合にICMPタイプ3メッセージ異常が検知されます。
PingFloodThresholdはEcho request floodの下にございます。
PingFloodThreshold:301
上記の意味はICMP ping messagesが301メッセージ以上ある場合、pingfloodイベントタイプが検知されます。