互聯(lián)網(wǎng)蠕蟲的泛濫在最近幾年造成了巨大的損失，讓很多服務(wù)運營商和企業(yè)網(wǎng)絡(luò)的治理員甚為頭疼的不僅是其不斷的發(fā)展變種，而且發(fā)作造成的損害也越來越嚴重 。盡管蠕蟲本身通常并不破壞任何的數(shù)據(jù)，但它所帶來的直接和間接的破壞使得網(wǎng)絡(luò)和系統(tǒng)擁塞 。受感染的端系統(tǒng)的計算資源會受到嚴重影響，而病毒的傳播則消耗大量的鏈路帶寬，更可怕的是網(wǎng)絡(luò)基礎(chǔ)設(shè)備受到影響而造成網(wǎng)絡(luò)的不穩(wěn)定甚至癱瘓 。以SQL Slammer為例，發(fā)生感染傳播高峰時造成的平均包丟失率為20%，網(wǎng)絡(luò)的不穩(wěn)定引起了銀行ATM自動提款機不能工作，航空公司的售票系統(tǒng)癱瘓，僅僅兩天的時間，就有30萬臺主機感染了SQL Slammer，造成的損失達數(shù)十億美元 。
今天的企業(yè)越來越多地把要害業(yè)務(wù)應(yīng)用、語音、視頻等新型應(yīng)用融合到IP網(wǎng)絡(luò)上，一個安全、可靠的網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)成功的要害 。而企業(yè)網(wǎng)絡(luò)的內(nèi)部和外部的界限越來越模糊，用戶的移動性越來越強，過去我們認為是安全的內(nèi)部局域網(wǎng)已經(jīng)潛伏著威脅 。我們很難保證病毒不會被帶入我們的企業(yè)網(wǎng)絡(luò)，而局域網(wǎng)的廣泛分布和高速連接，也使其很可能成為蠕蟲快速泛濫的溫床 。如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)安全環(huán)境呢？如何在我們的局域網(wǎng)上防范蠕蟲，及時地發(fā)現(xiàn)、跟蹤和阻止其泛濫，是每個網(wǎng)絡(luò)治理人員所思考的問題 。
也許這是一個非常大的命題，事實上也確實需要一個系統(tǒng)的、協(xié)同的安全策略才能實現(xiàn) 。從網(wǎng)絡(luò)到主機，從核心層到分布層、接入層，我們要采取全面的企業(yè)安全策略來保護整個網(wǎng)絡(luò)和其所連接的系統(tǒng)，另外即使當(dāng)蠕蟲發(fā)生時我們要有措施將其影響盡量緩解，并保護我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)的穩(wěn)定運行 。。
本文將介紹Cisco Catalyst交換機上的一個獨特解決方案，以一種非常經(jīng)濟、有效和可擴展的方式來防范蠕蟲病毒的危害 。
首先我們要了解蠕蟲的異常行為，并有手段來盡早發(fā)現(xiàn)其異常行為 。發(fā)現(xiàn)可疑行為后要能很快定位其來源，即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等 。要搜集到證據(jù)并作出判定，假如確是蠕蟲病毒，就要及時做出響應(yīng)的動作，例如關(guān)閉端口，對被感染機器進行處理 。
但是我們知道，接入交換機遍布于每個配線間，為企業(yè)的桌面系統(tǒng)提供邊緣接入，由于成本和治理的原因，我們不可能在每個接入層交換機旁都放置一臺IDS設(shè)備 。假如是在分布層或核心層部署IDS，對于匯聚了成百上千個百兆/千兆以太網(wǎng)流量的分布層或核心層來說，工作在第7層的軟件實現(xiàn)的IDS無法處理海量的數(shù)據(jù)，所以不加選擇地對所有流量都進行監(jiān)控是不實際的 。
怎么能找到一種有的放矢、行之有效而又經(jīng)濟擴展的解決方案呢？利用Catalyst交換機所集成的安全特性和Netflow，就可以做到！
發(fā)現(xiàn)可疑流量 。我們利用Cisco Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計信息，可以發(fā)現(xiàn)單個主機發(fā)出超出正常數(shù)量的連接請求，這種不正常的大數(shù)量的流往往是蠕蟲爆發(fā)或網(wǎng)絡(luò)濫用的跡象 。因為蠕蟲的特性就是在發(fā)作時會掃描大量隨機IP地址來尋找可能的目標(biāo)，會產(chǎn)生大量的TCP或ICMP流 。流記錄里其實沒有數(shù)據(jù)包的載荷(payload)信息 。這是Netflow和傳統(tǒng)IDS的一個重要區(qū)別，一個流記錄里不包含高層信息，這樣的好處則是可以高速地以硬件方式處理，適合于繁忙的高速局域網(wǎng)環(huán)境 。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow 。所以Netflow不能對數(shù)據(jù)包做出深層分析，但是已經(jīng)有足夠的信息來發(fā)現(xiàn)可疑流量，而且不受“0日”的局限 。假如分析和利用得當(dāng)，Netflow記錄非常適用于早期的蠕蟲或其他網(wǎng)絡(luò)濫用行為的檢測 。

推薦閱讀

• 

  土豆燒排骨怎么做好吃又簡單?
• 

  糯米糍荔枝什么時候成熟? 糯米糍荔枝產(chǎn)地在哪里
• 

  2023年無錫融創(chuàng)樂園醫(yī)護人員可以免費游園嗎
• 

  如何用空氣炸鍋做焗飯
• 

  劍魂online好玩嗎
• 

  高速最低車速標(biāo)準(zhǔn)是多少?
• 

  軍職在線http502是什么意思
• 

  浙江別稱 浙江的別稱是什么
• 

  學(xué)前班六一兒童節(jié)演講稿
• 

  餃子餡是用五花肉還是瘦肉 餃子餡用五花肉還是用瘦肉
• 

  合成大西瓜入口，西瓜大核桃小西瓜甜來核桃苦照樣子寫句子
• 

  冷凝器的工作原理是什麼
• 

  爆款的打造思路 打造爆款技巧
• 

  食用酒精跟醫(yī)用酒精的區(qū)別
• 

  4種工具3種偵探方法 查女人出軌的最好方法
• 

  怎么取消Win11推薦的項目？Win11取消推薦的項目方法

• 華為Quidway S8016骨干交換機在銀行中的應(yīng)用
• Cisco Catalyst 4500交換機所支持的線路卡和模塊
• 決戰(zhàn)在邊緣之思科Catalyst系列交換機
• 組圖 用戶高速接入 桌面千兆交換機導(dǎo)購
• 如何利用Catalyst交換機處理蠕蟲病毒的入侵
• 組圖 淺談骨干交換機和桌面交換機的區(qū)別
• 上海貝爾阿爾卡特7450 ESS以太網(wǎng)業(yè)務(wù)交換機
• 大容量 上海貝爾阿爾卡特8版GSM移動交換機
• 上海貝爾阿爾卡特數(shù)字程控用戶交換機OmniPCX Office
• 上海貝爾阿爾卡特OmniPCX Enterprise數(shù)字程控用戶交換機