日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

利用Catalyst交換機(jī)處理蠕蟲(chóng)病毒的入侵

云知道

【利用Catalyst交換機(jī)處理蠕蟲(chóng)病毒的入侵】互聯(lián)網(wǎng)蠕蟲(chóng)的泛濫在最近幾年造成了巨大的損失,本文將介紹Cisco Catalyst交換機(jī)上的一個(gè)獨(dú)特解決方案,以一種非常經(jīng)濟(jì)、有效和可擴(kuò)展的方式來(lái)防范蠕蟲(chóng)病毒的危害 。
首先我們要了解蠕蟲(chóng)的異常行為,并有手段來(lái)盡早發(fā)現(xiàn)其異常行為 。發(fā)現(xiàn)可疑行為后要能很快定位其來(lái)源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機(jī)和端口號(hào)等等 。要搜集到證據(jù)并作出判定,假如確是蠕蟲(chóng)病毒,就要及時(shí)做出響應(yīng)的動(dòng)作,例如關(guān)閉端口,對(duì)被感染機(jī)器進(jìn)行處理 。
但是我們知道,接入交換機(jī)遍布于每個(gè)配線間,為企業(yè)的桌面系統(tǒng)提供邊緣接入,由于成本和治理的原因,我們不可能在每個(gè)接入層交換機(jī)旁都放置一臺(tái)IDS設(shè)備 。假如是在分布層或核心層部署IDS,對(duì)于匯聚了成百上千個(gè)百兆/千兆以太網(wǎng)流量的分布層或核心層來(lái)說(shuō),工作在第7層的軟件實(shí)現(xiàn)的IDS無(wú)法處理海量的數(shù)據(jù),所以不加選擇地對(duì)所有流量都進(jìn)行監(jiān)控是不實(shí)際的 。
怎么能找到一種有的放矢、行之有效而又經(jīng)濟(jì)擴(kuò)展的解決方案呢?利用Catalyst交換機(jī)所集成的安全特性和Netflow,就可以做到!
發(fā)現(xiàn)可疑流量 。我們利用Cisco Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計(jì)信息,可以發(fā)現(xiàn)單個(gè)主機(jī)發(fā)出超出正常數(shù)量的連接請(qǐng)求,這種不正常的大數(shù)量的流往往是蠕蟲(chóng)爆發(fā)或網(wǎng)絡(luò)濫用的跡象 。因?yàn)槿湎x(chóng)的特性就是在發(fā)作時(shí)會(huì)掃描大量隨機(jī)IP地址來(lái)尋找可能的目標(biāo),會(huì)產(chǎn)生大量的TCP或ICMP流 。流記錄里其實(shí)沒(méi)有數(shù)據(jù)包的載荷(payload)信息 。這是Netflow和傳統(tǒng)IDS的一個(gè)重要區(qū)別,一個(gè)流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網(wǎng)環(huán)境 。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機(jī)都支持基于硬件的Netflow 。所以Netflow不能對(duì)數(shù)據(jù)包做出深層分析,但是已經(jīng)有足夠的信息來(lái)發(fā)現(xiàn)可疑流量,而且不受“0日”的局限 。假如分析和利用得當(dāng),Netflow記錄非常適用于早期的蠕蟲(chóng)或其他網(wǎng)絡(luò)濫用行為的檢測(cè) 。
了解流量模式的基線非常重要 。例如,一個(gè)用戶同時(shí)有50-100個(gè)活動(dòng)的連接是正常的,但是假如一個(gè)用戶發(fā)起大量的(例如1000個(gè))活動(dòng)的流就是非正常的了 。
追蹤可疑的源頭 。識(shí)別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID) 。在今天的移動(dòng)的環(huán)境中,用戶可以在整個(gè)園區(qū)網(wǎng)中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的 。而且我們還要防止IP地址假冒,否則檢測(cè)出的源IP地址無(wú)助于我們追查可疑源頭 。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名 。
搜集可疑流量 。一旦可疑流量被監(jiān)測(cè)到,我們需要捕捉這些數(shù)據(jù)包來(lái)判定這個(gè)不正常的流量到底是不是發(fā)生了新的蠕蟲(chóng)攻擊 。正如上面所述,Netflow并不對(duì)數(shù)據(jù)包做深層分析,我們需要網(wǎng)絡(luò)分析工具或入侵檢測(cè)設(shè)備來(lái)做進(jìn)一步的判定 。但是,如何能方便快捷地捕捉可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢?速度是很重要的,否則你就錯(cuò)過(guò)了把蠕蟲(chóng)扼殺在早期的機(jī)會(huì) 。除了要很快定位可疑設(shè)備的物理位置,還要有手段能盡快搜集到證據(jù) 。我們不可能在每個(gè)接入交換機(jī)旁放置網(wǎng)絡(luò)分析或入侵檢測(cè)設(shè)備,也不可能在發(fā)現(xiàn)可疑流量時(shí)扛著分析儀跑去配線間 。
有了上面的分析,下面我們就看如何利用Catalyst的功能來(lái)滿足這些需要!
檢測(cè)可疑流量 。Cat6500和Catalyst 4500(Sup IV,Sup V和Sup V–10 GE)提供了基于硬件的Netflow功能,采集流經(jīng)網(wǎng)絡(luò)的流量信息 。這些信息采集和統(tǒng)計(jì)都通過(guò)硬件ASCI完成,所以對(duì)系統(tǒng)性能沒(méi)有影響 。Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資 。

推薦閱讀