當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco交換機解決網(wǎng)絡(luò)蠕蟲病毒入侵

http://m.yibo1263.com　2008-6-28 13:11:26 　來源:本站　編輯:葉子

　　今年來網(wǎng)絡(luò)蠕蟲泛濫給ISP和企業(yè)都造成了巨大損失，截至目前已發(fā)現(xiàn)近百萬種病毒及木馬。受感染的網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭到破壞，以Sql Slammer為例，它發(fā)作時會造成丟包率為30%。

　　我們?nèi)绾卧贚AN上防范蠕蟲？大家知道，接入交換機遍布于每個配電間，我們不可能在每個接入交換機上都部署IDS,如何在三成交換的核心部署IDS,對于匯集了接入層的所有電腦的流量來說,工作在第七層軟件的IDS無法處理海量數(shù)據(jù).這樣監(jiān)控不現(xiàn)實.經(jīng)過長期研究利用cisco catalyst交換機的安全特性和netflow就可以發(fā)現(xiàn)可以流量.蠕蟲的特性就是發(fā)作時會稍描大量的IP,從而產(chǎn)生大量的TCP,ICMP,UPD 流量.

　　這里的netflow和傳統(tǒng)的IDS的一個主要區(qū)別是不包含高程信息.一邊硬件高速處理.我把netflow部署在cisco 4006上.所以netflow不能對ip packets作深度分析,但足夠發(fā)現(xiàn)蠕蟲了.例如,一個正常用戶有50-150的活動連接就可以接受,如果一個用戶發(fā)起大量( >1000個)活動流就肯定有問題.通過分析我們可以發(fā)現(xiàn)原地址,但通過源地址還不足以定位源頭.

　　比如我們要知道登陸的端口,登陸的用戶等信息.我們可以用netflow捕捉可以流量并導(dǎo)向網(wǎng)絡(luò)分儀.catalyst繼承了安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)IBNS,源IP防護,動態(tài)ARP檢測等功能.再結(jié)合ACS還可以定位登陸用戶的信息在netflow collector上編寫個script,當(dāng)發(fā)現(xiàn)可以流量時候就以email的方式發(fā)給管理員,并push到手機上.

　　掌握了以上信息administrator 就可以馬上采取以下行動:通過SPAN捕捉可以流量,將接入層的某交換機的某端口,或某VLAN的流量鏡像到核心層的某個端口(接IDS)來.作為個有經(jīng)驗的網(wǎng)絡(luò)工程師這些操作也就5分鐘搞定了.

【收藏】【打印】【進入論壇】

相關(guān)文章：

·透過現(xiàn)象看問題 Cisco交換機狀態(tài)燈

·Cisco交換機生成樹協(xié)議配置

·Cisco交換機出現(xiàn)環(huán)路的處理方法

·cisco交換機端口隔離的實現(xiàn)方法

·講解初學(xué)Cisco交換機配置注意事項

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费