當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco交換機(jī)解決網(wǎng)絡(luò)蠕蟲(chóng)病毒入侵

http://www.yibo1263.com　2008-6-28 13:11:26 　來(lái)源:本站　編輯:葉子

　　今年來(lái)網(wǎng)絡(luò)蠕蟲(chóng)泛濫給ISP和企業(yè)都造成了巨大損失，截至目前已發(fā)現(xiàn)近百萬(wàn)種病毒及木馬。受感染的網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭到破壞，以Sql Slammer為例，它發(fā)作時(shí)會(huì)造成丟包率為30%。

　　我們?nèi)绾卧贚AN上防范蠕蟲(chóng)？大家知道，接入交換機(jī)遍布于每個(gè)配電間，我們不可能在每個(gè)接入交換機(jī)上都部署IDS,如何在三成交換的核心部署IDS,對(duì)于匯集了接入層的所有電腦的流量來(lái)說(shuō),工作在第七層軟件的IDS無(wú)法處理海量數(shù)據(jù).這樣監(jiān)控不現(xiàn)實(shí).經(jīng)過(guò)長(zhǎng)期研究利用cisco catalyst交換機(jī)的安全特性和netflow就可以發(fā)現(xiàn)可以流量.蠕蟲(chóng)的特性就是發(fā)作時(shí)會(huì)稍描大量的IP,從而產(chǎn)生大量的TCP,ICMP,UPD 流量.

　　這里的netflow和傳統(tǒng)的IDS的一個(gè)主要區(qū)別是不包含高程信息.一邊硬件高速處理.我把netflow部署在cisco 4006上.所以netflow不能對(duì)ip packets作深度分析,但足夠發(fā)現(xiàn)蠕蟲(chóng)了.例如,一個(gè)正常用戶有50-150的活動(dòng)連接就可以接受,如果一個(gè)用戶發(fā)起大量( >1000個(gè))活動(dòng)流就肯定有問(wèn)題.通過(guò)分析我們可以發(fā)現(xiàn)原地址,但通過(guò)源地址還不足以定位源頭.

　　比如我們要知道登陸的端口,登陸的用戶等信息.我們可以用netflow捕捉可以流量并導(dǎo)向網(wǎng)絡(luò)分儀.catalyst繼承了安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)IBNS,源IP防護(hù),動(dòng)態(tài)ARP檢測(cè)等功能.再結(jié)合ACS還可以定位登陸用戶的信息在netflow collector上編寫(xiě)個(gè)script,當(dāng)發(fā)現(xiàn)可以流量時(shí)候就以email的方式發(fā)給管理員,并push到手機(jī)上.

　　掌握了以上信息administrator 就可以馬上采取以下行動(dòng):通過(guò)SPAN捕捉可以流量,將接入層的某交換機(jī)的某端口,或某VLAN的流量鏡像到核心層的某個(gè)端口(接IDS)來(lái).作為個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師這些操作也就5分鐘搞定了.

【收藏】【打印】【進(jìn)入論壇】

·Cisco交換機(jī)生成樹(shù)協(xié)議配置

·Cisco交換機(jī)出現(xiàn)環(huán)路的處理方法

·cisco交換機(jī)端口隔離的實(shí)現(xiàn)方法

·講解初學(xué)Cisco交換機(jī)配置注意事項(xiàng)

·5種常見(jiàn)的cisco交換機(jī)故障解決方案

·Cisco交換機(jī)端口ipmac綁定技巧

·教你如何識(shí)別Cisco交換機(jī)的型號(hào)

·Cisco交換機(jī)基本命令配置大全

·Cisco交換機(jī)IOS升級(jí)故障排除

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费