兰溪在线|lanxi.online|兰溪新闻|兰溪在线|兰溪论坛|兰溪信息|兰溪网|兰西网

 找回密码
 立即注册

微信登录

微信扫一扫,快速登录

搜索
热搜: 活动 交友 discuz

社区广播台

查看: 404|回复: 0

Cisco交换机解决网络蠕虫病毒入侵问题

[复制链接]

508

主题

508

帖子

1526

积分

金牌会员

Rank: 6Rank: 6

积分
1526
发表于 2019-4-12 10:43:51 | 显示全部楼层 |阅读模式
今年来网络蠕虫泛滥给ISP和企业都造成了巨大损失,截至目前已发现近百万种及木马。受感染的基础设施遭到破坏,以Sql Slammer为例,它发作时会造成丢包率为30%。
  我们如何在LAN上防范蠕虫?大家知道,接入交换机遍布于每个配电间,我们不可能在每个接入交换机上都部署IDS,如何在三成交换的核心部署IDS,对于汇集了接入层的所有电脑的流量来说,工作在第七层软件的IDS无法处理海量数据.这样监控 不现实.经过长期研究利用cisco catalyst交换机的安全特性和netflow就可以发现可以流量.蠕虫的特性就是发作时会稍描大量的IP,从而产生大量的TCP,ICMP,UPD 流量.这里的netflow和传统的IDS的一个主要区别是不包含高程信息.一边硬件高速处理.我把netflow部署在cio 4006上.所以netflow不能对ip packets作深度分析,但足够发现蠕虫了.例如,一个正常用户有50-150的活动连接就可以接受,如果一个用户发起大量( 1000个)活动流就肯定有问题.通过分析我们可以发现原地址,但通过源地址还不足以定位源头.比如我们要知道登陆的端口,登陆的用户等信息.我们可以用netflow捕捉可以流量并导向网络分仪.catalyst继承了安全特性提供了基于身份的服务IBNS,源IP防护,动态检测等功能.再结合ACS还可以定位登陆用户的信息在netflow collector上编写个ript,当发现可以流量时候就以email的方式发给管理员,并push到上.
  掌握了以上信息administrator 就可以马上采取以下行动:通过SPAN捕捉可以流量,将接入层的某交换机的某端口,或某VLAN的流量镜像到核心层的某个端口(接IDS)来.作为个有经验的工程师这些操作也就5分钟搞定了.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

快速回复 返回顶部 返回列表