蠕虫病毒相信大家一定都有所耳闻,因为蠕虫病毒爆发而导致大规模的网络瘫痪的例子屡见不鲜。那么防范蠕虫病毒成为了企业所关注的问题。受感染的端系统的计算资源会受到严重影响,而病毒的传播则消耗大量的链路带宽,更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪。以sql Slammer为例,发生感染传播高峰时造成的平均包丢失率为20%,网络的不稳定引起了银行ATM自动提款机不能工作,航空公司的售票系统瘫痪,仅仅两天的时间,就有30万台主机感染了SQL Slammer,造成的损失达数十亿美元。
今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的网络是企业业务成功的关键。而企业网络的内部和外部的界限越来越模糊,用户的移动性越来越强,过去我们认为是安全的内部局域网已经潜伏着威胁。我们很难保证病毒不会被带入我们的企业网络,而局域网的广泛分布和高速连接,也使其很可能成为蠕虫快速泛滥的温床。如何应对现在新的网络安全环境呢?如何在我们的局域网上防范蠕虫,及时地发现、跟踪和阻止其泛滥,是每个网络管理人员所思考的问题。
也许这是一个非常大的命题,事实上也确实需要一个系统的、协同的安全策略才能实现。从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络和其所连接的系统,另外即使当蠕虫发生时我们要有措施将其影响尽量缓解,并保护我们的网络基础设施,保证网络的稳定运行。
本文将介绍Cisco Catalyst交换机上的一个独特解决方案,以一种非常经济、有效和可扩展的方式来防范蠕虫病毒的危害。
首先我们要了解蠕虫的异常行为,并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源,即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断,如果确是蠕虫病毒,就要及时做出响应的动作,例如关闭端口,对被感染机器进行处理。
但是我们知道,接入交换机遍布于每个配线间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理海量的数据,所以不加选择地对所有流量都进行监控是不实际的。
怎么能找到一种有的放矢、行之有效而又经济扩展的防范蠕虫病毒解决方案呢?利用Catalyst交换机所集成的安全特性和Netflow,就可以做到!
发现可疑流量。 我们利用Cisco Netflow所采集和输出的网络流量的统计信息,可以发现单个主机发出超出正常数量的连接请求,这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标,会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷 (payload)信息。这是Netflow和传统IDS的一个重要区别,一个流记录里不包含高层信息,这样的好处则是可以高速地以硬件方式处理,适合于繁忙的高速局域网环境。通常部署在核心层和分布层的Catalyst 4500和Catalyst 6500交换机都支持基于硬件的Netflow。所以Netflow不能对数据包做出深层分析,但是已经有足够的信息来发现可疑流量,而且不受“0日”的局限。如果分析和利用得当,Netflow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。
了解流量模式的基线非常重要。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。
追踪可疑的源头。识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。
搜集可疑流量。一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述,Netflow并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。
有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!
检测可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成,所以对系统性能没有影响。 Catalyst 4500 Sup V-10GE缺省就带了Netflow卡,所以不需增加投资。
追踪可疑源头。 Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了。 用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式,把相关信息发送给网络管理员。
在通知email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是 FastEThernet4/1,另外还有客户端IP地址和MAC地址,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。
掌握了这些信息后,网管员就可以马上采取以下行动了:
通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如 Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作。
防范蠕虫病毒整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP 监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst 上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!
【编辑推荐】
网速太慢和什么有关?
与下列因素有关:A:稳定的电源电压:计算机及其辅助设备周围和传输部分没有电磁干扰,特别是电焊机和大负荷频繁启动对设备的干扰。 有效的电源线截面;符合国标规定的安全绝缘等级。 B:干燥通风温度适宜(必要时加装风扇或空调系统),C:较小的灰尘颗粒度,墙面及其房顶最好进行涂漆处理。 D: .传输部分要有较高的信杂比。 E: 网卡问题:网卡带宽适当,工作稳定。 F:软件设置合理;H:湿度的影响:下雨季节或多雨天及其高湿度地区,线路的绝缘降低,信号电平下跌,导致掉线或不稳定工作。 湿度加速氧化,导致传输中断。 I:温度的影响(特别是夏天白天气温高,晚上气温低):要采取措施降低猫、路由器、网络交换机和计算机设备工作环境温度。 L:经常上网的用户,计算机最少半年要打开计算机外壳,清理一下计算机里面的灰尘。 二:接地系统:按规程(接地装置施工 GB-92)要求:接地必须有两个以上“独立”(不能公用“地”)的接地极,接地极至工作地点的引线截面不小于16平方毫米的多股铜线,每个“独立”接地极的接地电阻不得大于5欧姆。 用户线屏蔽层立即接地,将干扰降低在最低限度;自来水管和电力的(N线)地不可作为接地极,接地线不可缠绕,要用银粉导电膏涂后,用螺丝紧固。 雷电时:要断开一切与外界联接的线路,避免设备人身事故,以免发生火警事故。 三:系统干净利索:人穿衣服不在于衣服的档次,而在于是否干净整洁;因此:A: 合法软件,及时升级补丁;删除不用文件,及时清理上网垃圾及定期进行碎片整理、优化系统结构;B:合法有效的杀毒软件,经常升级病毒库;防火墙、共享上网软件、网络加速软件等设置合理,设置不当同样会影响用户使用。 C:非运行软件及其他文件不要放入运行盘或桌面;打开某些软件就有掉线现象,卸载该软件。 D: 平时对计算机(包括辅助)设备加强监视运行维护,做到:设备整洁,通风良好,连接接触电阻尽量小,温湿度适中,绝缘优良,布线整齐美观。 四: 链接良好:检查主机与各辅助【键盘、鼠标、音箱、(五类线)网络线R45接头、接地线、电源多用插板、电源线等等】必须(接触电阻在µΩ)良好,检查入户线路的接头、电话线插头等是否接触(µΩ)可靠,以减少机线故障;布线:衡平竖直,清晰整齐(不得缠绕)。 五: 合适的接收电平(无线网卡是:接收场强、光端机是:接收光功率电平):无线用户:由于用户终端距离基地站距离不同,接收场强电平也不尽相同;因此,终端AGC和基地站AGC就显得尤为重要了。 用户端的计算机要与运营商设备的AGC配合,从而满足设备的接收电平,计算机能可靠的接收(信杂比较高)的有用信号。 六:带外隔离度越大越好,带内衰减越小越好:xDSL、宽带、无线、光纤等用户,都要提供带内衰减最小(小于1dB),带外隔离度(大于60dB以上)。 信杂比也要大于60dB以上。 只要你做好上述几个方面的工作,你不但可以消除目前的故障;今后也不会产生其他的故障了。
请问我的电脑网速太慢怎么办?
一、网络自身问题 您想要连接的目标网站所在的服务器带宽不足或负载过大。 处理办法很简单,请换个时间段再上或者换个目标网站。 二、网线问题导致网速变慢 我们知道,双绞线是由四对线按严格的规定紧密地绞和在一起的,用来减少串扰和背景噪音的影响。 同时,在T568A标准和T568B标准中仅使用了双绞线的 1、2和3、6四条线,其中,1、2用于发送,3、6用于接收,而且1、2必须来自一个绕对,3、6必须来自一个绕对。 只有这样,才能最大限度地避免串扰,保证数据传输。 本人在实践中发现不按正确标准(T586A、T586B)制作的网线,存在很大的隐患。 表现为:一种情况是刚开始使用时网速就很慢;另一种情况则是开始网速正常,但过了一段时间后,网速变慢。 后一种情况在台式电脑上表现非常明显,但用笔记本电脑检查时网速却表现为正常。 对于这一问题本人经多年实践发现,因不按正确标准制作的网线引起的网速变慢还同时与网卡的质量有关。 一般台式计算机的网卡的性能不如笔记本电脑的,因此,在用交换法排除故障时,使用笔记本电脑检测网速正常并不能排除网线不按标准制作这一问题的存在。 我们现在要求一律按T586A、T586B标准来压制网线,在检测故障时不能一律用笔记本电脑来代替台式电脑。 三、网络中存在回路导致网速变慢 当网络涉及的节点数不是很多、结构不是很复杂时,这种现象一般很少发生。 但在一些比较复杂的网络中,经常有多余的备用线路,如无意间连上时会构成回路。 比如网线从网络中心接到计算机一室,再从计算机一室接到计算机二室。 同时从网络中心又有一条备用线路直接连到计算机二室,若这几条线同时接通,则构成回路,数据包会不断发送和校验数据,从而影响整体网速。 这种情况查找比较困难。 为避免这种情况发生,要求我们在铺设网线时一定养成良好的习惯:网线打上明显的标签,有备用线路的地方要做好记载。 当怀疑有此类故障发生时,一般采用分区分段逐步排除的方法。 四、网络设备硬件故障引起的广播风暴而导致网速变慢 作为发现未知设备的主要手段,广播在网络中起着非常重要的作用。 然而,随着网络中计算机数量的增多,广播包的数量会急剧增加。 当广播包的数量达到30%时,网络的传输效率将会明显下降。 当网卡或网络设备损坏后,会不停地发送广播包,从而导致广播风暴,使网络通信陷于瘫痪。 因此,当网络设备硬件有故障时也会引起网速变慢。 当怀疑有此类故障时,首先可采用置换法替换集线器或交换机来排除集线设备故障。 如果这些设备没有故障,关掉集线器或交换机的电源后,DOS下用 “Ping”命令对所涉及计算机逐一测试,找到有故障网卡的计算机,更换新的网卡即可恢复网速正常。 网卡、集线器以及交换机是最容易出现故障引起网速变慢的设备。 五、网络中某个端口形成了瓶颈导致网速变慢 实际上,路由器广域网端口和局域网端口、交换机端口、集线器端口和服务器网卡等都可能成为网络瓶颈。 当网速变慢时,我们可在网络使用高峰时段,利用网管软件查看路由器、交换机、服务器端口的数据流量;也可用 Netstat命令统计各个端口的数据流量。 据此确认网络数据流通瓶颈的位置,设法增加其带宽。 具体方法很多,如更换服务器网卡为100M或1000M、安装多个网卡、划分多个VLAN、改变路由器配置来增加带宽等,都可以有效地缓解网络瓶颈,可以最大限度地提高数据传输速度。 六、蠕虫病毒的影响导致网速变慢 通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重,危害性极大。 这种病毒导致被感染的用户只要一上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户机子的通讯簿的随机地址上进行邮件发送。 成百上千的这种垃圾邮件有的排着队往外发送,有的又成批成批地被退回来堆在服务器上。 造成个别骨干互联网出现明显拥塞,网速明显变慢,使局域网近于瘫痪。 因此,我们必须及时升级所用杀毒软件;计算机也要及时升级、安装系统补丁程序,同时卸载不必要的服务、关闭不必要的端口,以提高系统的安全性和可靠性。 七、防火墙的过多使用 防火墙的过多使用也可导致网速变慢,处理办法不必多说,卸载下不必要的防火墙只保留一个功能强大的足以。 八、系统资源不足 您可能加载了太多的运用程序在后台运行,请合理的加载软件或删除无用的程序及文件,将资源空出,以达到提高网速的目的。
局域网ARP攻击怎么办
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。 该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。 ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。 以下六个步骤,即可有效防范ARP病毒:1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。 2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。 MS06-014 中文版系统补丁下载地址:MS07-017 中文版系统补丁下载地址:3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。 禁用Windows 系统的自动播放功能的方法:在运行中输入 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。 4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。 5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。 6、安装杀毒软件,及时升级病毒库,定期全网杀毒。
发表评论