亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

利用Catalyst交換機防范蠕蟲病毒入侵
2007-02-05   中國公眾科技網

互聯網蠕蟲的泛濫在最近幾年造成了巨大的損失,本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。

??首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。

??但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。

??怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!

??發現可疑流量。我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。

??了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。

??追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。

??搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。

有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!

互聯網蠕蟲的泛濫在最近幾年造成了巨大的損失,本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。

??首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。

??但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。

??怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!

??發現可疑流量。我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。

??了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。

??追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。

??搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。

有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!

熱詞搜索:

上一篇:核心交換機的TRUNK配置詳細講解
下一篇:從交換機原理看廣播風暴的幾種原因

分享到: 收藏