利用Catalyst交换机处理蠕虫病毒的入侵

互联网蠕虫的泛滥在最近几年造成了巨大的损失,让很多服务运营商和企业网络的管理员甚为头疼的不仅是其不断的发展变种,而且发作造成的损害也越来越严重。尽管蠕虫本身通常并不破坏任何的数据,但它所带来的直接和间接的破坏使得网络和系统拥塞。受感染的端系统的计算资源会受到严重影响,而病毒的传播则消耗大量的链路带宽,更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪。以SQL Slammer为例,发生感染传播高峰时造成的平均包丢失率为20%,网络的不稳定引起了银行ATM自动提款机不能工作,航空公司的售票系统瘫痪,仅仅两天的时间,就有30万台主机感染了SQL Slammer,造成的损失达数十亿美元。
  今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的网络是企业业务成功的关键。而企业网络的内部和外部的界限越来越模糊,用户的移动性越来越强,过去我们认为是安全的内部局域网已经潜伏着威胁。我们很难保证病毒不会被带入我们的企业网络,而局域网的广泛分布和高速连接,也使其很可能成为蠕虫快速泛滥的温床。如何应对现在新的网络安全环境呢?如何在我们的局域网上防范蠕虫,及时地发现、跟踪和阻止其泛滥,是每个网络管理人员所思考的问题。

  也许这是一个非常大的命题,事实上也确实需要一个系统的、协同的安全策略才能实现。从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络和其所连接的系统,另外即使当蠕虫发生时我们要有措施将其影响尽量缓解,并保护我们的网络基础设施,保证网络的稳定运行。。

  本文将介绍Cisco Catalyst交换机上的一个独特解决方案,以一种非常经济、有效和可扩展的方式来防范蠕虫病毒的危害。

  首先我们要了解蠕虫的异常行为,并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源,即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断,如果确是蠕虫病毒,就要及时做出响应的动作,例如关闭端口,对被感染机器进行处理。

  但是我们知道,接入交换机遍布于每个配线间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理海量的数据,所以不加选择地对所有流量都进行监控是不实际的。

  怎么能找到一种有的放矢、行之有效而又经济扩展的解决方案呢?利用Catalyst交换机所集成的安全特性和Netflow,就可以做到!

  发现可疑流量。 我们利用Cisco Netflow所采集和输出的网络流量的统计信息,可以发现单个主机发出超出正常数量的连接请求,这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标,会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。这是Netflow和传统IDS的一个重要区别,一个流记录里不包含高层信息,这样的好处则是可以高速地以硬件方式处理,适合于繁忙的高速局域网环境。通常部署在核心层和分布层的Catalyst 4500和Catalyst 6500交换机都支持基于硬件的Netflow。所以Netflow不能对数据包做出深层分析,但是已经有足够的信息来发现可疑流量,而且不受“0日”的局限。如果分析和利用得当,Netflow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。

  了解流量模式的基线非常重要。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。

  追踪可疑的源头。识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。

  搜集可疑流量。一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述,Netflow并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。

  有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!

  检测可疑流量. Cat6500 和 Catalyst 4500  ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成,所以对系统性能没有影响。 Catalyst 4500 Sup V-10GE缺省就带了Netflow卡,所以不需增加投资。

  追踪可疑源头。  Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了。  用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式,把相关信息发送给网络管理员。

  在通知email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外还有客户端IP地址和MAC地址 ,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。

  掌握了这些信息后,网管员就可以马上采取以下行动了:

  通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作。
整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!

  我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP 监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst 上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 利用Catalyst交换机处理蠕虫病毒的入侵

    互联网蠕虫的泛滥在最近几年造成了巨大的损失,让很多服务运营商和企业网络的管理员甚为头疼的不仅是其不断的发展变种,而且发作造成的损害也越来越严重.尽管蠕虫本身通常并不破坏任何的数据,但它所带来的直接和间接的破坏使得网络和系统拥塞.受感染的端系统的计算资源会受到严重影响,而病毒的传播则消耗大量的链路带宽,更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪.以SQL Slammer为例,发生感染传播高峰时造成的平均包丢失率为20%,网络的不稳定引起了银行ATM自动提款机不能工作,航空公司的售票系

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

  • 瑞星反病毒20041231_日报

    据瑞星全球反病毒监测网介绍,今日有两个病毒特别值得注意,它们是:"冰河22(Trojan.BingHe.22)"和"艺术品(I-Worm.Bracs)"病毒."冰河22"是著名木马病毒"冰河"的新变种,破坏力极大,利用病毒提供的功能,黑客可以像操作本地电脑一样控制中毒机器."艺术品"是利用电子邮件传播的蠕虫病毒,在系统中释放多个病毒文件.病毒在硬盘中搜索邮件地址,利用系统邮件引擎向外发送邮件. 本日热门病毒

  • 交换机网络安全策略全方位解析

    [交换机网络安全策略全方位解析] 交换机在企业网中占有重要的地位,通常是整个网络的核心所在.在这个黑客入侵风起云涌.病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任. 因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中.安全交换机由此应运而生,在交换机中集成安全认证.ACL(Access Control List,访问控制列表).防火墙.入侵检测甚至防毒的功能,网络的安全真的需要"武装到牙齿". 安全交换机三层含义 交换机最重要的作用就

  • 什么样的交换机是安全的?

    安全交换机-网络界的新宠儿,网络入口的守关者,志在向一切不安全的因素举起大刀. 网络时代的到来使得安全问题成为一个迫切需要解决的问题:病毒.黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨. 交换机在企业网中占有重要的地位,通常是整个网络的核心所在.在这个黑客入侵风起云涌.病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任.因此,交换机要有专业 安全产品的性能,安全已经成为网络建设必须考虑的重中之中.安全交换机由此应运而生,在交换机中集成安全认证.ACL(A

  • 交换机配置中的安全性

    近几年,我国信息化建设得到了迅猛地发展,带宽越来越宽,网络速度翻了几倍,E-Mail在网间的传递流量呈现指数增长,IP语音.视频等技术极大地丰富了网络应用.但是,互联网在拉近人与人之间距离的同时,病毒.黑客也随之不请自到.病毒的智能化,变种.繁殖的快速,黑客工具的"傻瓜"化加上洪水般的泛滥趋势,使得企业的信息系统变得脆弱不堪,随时面临瘫痪甚至被永久损坏的危险.在此形势下,企业不得不加强对自身信息系统的安全防护,期望得到 一个彻底的.一劳永逸的安全防护系统.但是,安全总是相对的,安全措施

  • 利用Google作黑客攻击的原理

    技术天地:GoogleHacking是利用Google的搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息,最近这种以前由黑客手动进行操作的攻击手段可以通过一种新的蠕虫病毒来自动完成.为了引起大家对GoogleHacking的关注与重视,我们编发了这篇文章希望大家通过对Hack的攻击手段的了解,更好的保护自己的信息安全.本文中重在对GoogleHacking攻击手段的理解,对一些攻击的细节不予详述请谅解. 前言: 2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为

  • 黑客入侵攻击方式的 四种最新趋势

    从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1. 扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2. 入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后

  • Rootkit病毒的解决办法

    在诸多病毒类型里面最让人深恶痛绝的就是Rootkit(内核型)蠕虫病毒,许多时候杀毒软件能检测到该病毒,但却无法有效清除.此类病毒的特点是病毒文件为两个或多个,一个是扩展名为EXE的可执行类型文件,一个是扩展名为SYS的驱动类型文件.EXE可执行文件为传统的蠕虫病毒模块,负责病毒的生成.感染.传播.破坏等任务:SYS文件为Rootkit模块. Rootkit也是一种木马,但它较我们常见的"冰河"."灰鸽子"等木马更加隐蔽,它以驱动程序的方式挂入系统内核,然后它负责执

  • 病毒隔离,删除和恢复

    根据恶意代码迹象的重要性对其进行适当的分级是很重要的,因为它们会传播到其他电脑的系统中.一般情况下,对恶意代码进行基本的分析可以确定入侵的是哪种恶意代码,从而也就可以很容易的确定该恶意代码可能采取的行动.大多数情况下,网络的管理者并不一定知道内网被感染电脑的具体数量,但是他们可以判断出感染的规模是大范围的感染还是仅有很少的系统被感染. 4, 隔离,删除和恢复 除了以上介绍的一般性的指导,这节将针对恶意代码的封锁以及对感染来源线索的收集和处理提供详细的建议. 4.1 选择适当的封锁策略 由于恶意代

随机推荐