今年来网络蠕虫泛滥给ISP和企业都造成了巨大损失,截至目前已发现近百万种病毒及木马。受感染的网络基础设施遭到破坏,以Sql Slammer为例,它发作时会造成丢包率为30%。 我们如何在LAN上防范蠕虫?大家知道,接入交换机遍布于每个配电间,我们不可能在每个接入交换机上都部署IDS,如何在三成交换的核心部署IDS,对于汇集了接入层的所有电脑的流量来说,工作在第七层软件的IDS无法处理海量数据。
这样监控 不现实。经过长期研究利用cisco catalyst交换机的安全特性和netflow就可以发现可以流量。蠕虫的特性就是发作时会稍描大量的IP,从而产生大量的TCP,ICMP,UPD 流量。这里的netflow和传统的IDS的一个主要区别是不包含高程信息。
一边硬件高速处理。我把netflow部署在cisco 4006上。所以netflow不能对ip packets作深度分析,但足够发现蠕虫了。例如,一个正常用户有50-150的活动连接就可以接受,如果一个用户发起大量( >1000个)活动流就肯定有问题。
通过分析我们可以发现原地址,但通过源地址还不足以定位源头。比如我们要知道登陆的端口,登陆的用户等信息。我们可以用netflow捕捉可以流量并导向网络分仪。catalyst继承了安全特性提供了基于身份的网络服务IBNS,源IP防护,动态ARP检测等功能。
再结合ACS还可以定位登陆用户的信息在netflow collector上编写个script,当发现可以流量时候就以email的方式发给管理员,并push到手机上。 掌握了以上信息administrator 就可以马上采取以下行动:通过SPAN捕捉可以流量,将接入层的某交换机的某端口,或某VLAN的流量镜像到核心层的某个端口(接IDS)来。
作为个有经验的网络工程师这些操作也就5分钟搞定了。
答:中了W32蠕虫病毒发现每个文件夹下都多了一个与该文件夹同名的子文件夹,其实是伪装的exe文件,尝试双击打开便又会弹出更改注册表的提示。杀毒软件中有3月份的病毒库...详情>>
问:同事ip:10.101.107.28 我的IP:10.101.104.23我们在...
答:你们公司是WINDOWS域环境吗,如果是的话,你在网上邻居里应该能看到对方的主机。让她把文件夹共享出来就可以。 如果不是WINDOWS域,那得看你们是不是在一个...详情>>
问:数据结构顺序表的建立,可定义顺序表 #define maxnum elemtyp...
答:打开VC ,然后点击新建,出来界面之后选择Win32 Console Application并输入工程的名称和选择项目的位置,然后出现“一个空工程”,在点击“...详情>>
