网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

   
专 题 栏 目
相 关 文 章

如何设置 Discuz!V7.0 
一周软件回顾 Vista SP2
酷似Vista 预览Win Home
MaxDOS v6标准 加强 VIS
Discuz!NT v1.0正式版横
支持Vista 腾讯QQ2007Be
从开源到开放Discuz!NT
Discuz!7.0正式版于12月
Discuz!7.0亲自动手体验
Discuz!新版碟报 更简便

 
Cisco交换机解决网络蠕虫病毒入侵           
Cisco交换机解决网络蠕虫病毒入侵
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-11 23:27:55
 




 

今年来网络蠕虫泛滥给ISP和企业都造成了巨大损失,截至目前已发现近百万种病毒及木马。受感染的网络基础设施遭到破坏,以Sql Slammer为例,它发作时会造成丢包率为30%。

  我们如何在LAN上防范蠕虫?大家知道,接入交换机遍布于每个配电间,我们不可能在每个接入交换机上都部署IDS,如何在三成交换的核心部署IDS,对于汇集了接入层的所有电脑的流量来说,工作在第七层软件的IDS无法处理海量数据.这样监控 不现实.经过长期研究利用cisco catalyst交换机的安全特性和netflow就可以发现可以流量.蠕虫的特性就是发作时会稍描大量的IP,从而产生大量的TCP,ICMP,UPD 流量.

  这里的netflow和传统的IDS的一个主要区别是不包含高程信息.一边硬件高速处理.我把netflow部署在cisco 4006上.所以netflow不能对ip packets作深度分析,但足够发现蠕虫了.例如,一个正常用户有50-150的活动连接就可以接受,如果一个用户发起大量( >1000个)活动流就肯定有问题.通过分析我们可以发现原地址,但通过源地址还不足以定位源头.

  比如我们要知道登陆的端口,登陆的用户等信息.我们可以用netflow捕捉可以流量并导向网络分仪.catalyst继承了安全特性提供了基于身份的网络服务IBNS,源IP防护,动态ARP检测等功能.再结合ACS还可以定位登陆用户的信息在netflow collector上编写个script,当发现可以流量时候就以email的方式发给管理员,并push到手机上.

  掌握了以上信息administrator 就可以马上采取以下行动:通过SPAN捕捉可以流量,将接入层的某交换机的某端口,或某VLAN的流量镜像到核心层的某个端口(接IDS)来.作为个有经验的网络工程师这些操作也就5分钟搞定了.

  
热门推荐 网络接入实例 常见路由 器设置方法 低端和高端路由 器如何影响网络安全


【责任编辑 王凡】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客