城域网中大量的病毒和恶意攻击解决方案 [讨论]
在网络中有各种各样的数据,这些数据可能是病毒和攻击数据,会导致网络设备的性能s受到大的影响,无法正常的转发数据。如:codered 大量的小包
sql病毒 大量的组播
还有蠕虫病毒等等
攻击行为:
DOS、DDOS等
当出现这些问题之后,我们需要有更好的办法快速消除问题。
在病毒出现后我们需要对数据进行分析,已判断哪些数据为不正常数据,并能够对这些不正常数据进行限制。在这方面已经有不错的解决方法:如我们经常提到的流量分析系统。
我们可以先对网络数据前期作一个分析,对数据进行建立模型。
然后对网络上所有的流量进行分析,并进行告警。
一般的分析就做到这里的,剩下就需要手工设置。 (我们可以采用互动协议与防火墙或核心设备交互,在上面增加一些控制,如添加一条指向null接口的路由等)
在网络攻击上面,再网络设置的时候应该拒绝所有的非公网地址从外网进入。
在攻击方面我们也可以通过流量分析判断。然后增加相应的控制。
对于常见的基于icmp的方式我们不在讨论。
主要关注来自DOS或DDOS等方式。
对于DDOS分析
DDOS数据攻击源地址较为分散,攻击源地址经常伪装成私有地址或直接使用被控制主机地址。对于私有地址我们前面说到可以直接通过acl或firewall限制。对于使用公网地址的我们可能就比较麻烦,就算我们查出所有的地址也无法做到限制(N多acl啊)
比较常见的做法Sink Holes,还有通过tcp syn的限制
在此方面比较完善的cisco解决方案
[url]http://www.cisco.com/en/US/products/ps5888/index.html[/url]
希望通过这个POSTs,大家将网络中碰到的病毒或攻击行为整理出来,然后形成一个通用相对完善的解决方案出来! 现在靠管理员去响应网络攻击已经是不现实了.
cisco推出的SDN(自防御网络)对网管人员来说是个可以关注的概念!
安全已经变成了网络的一部分,安全已经和网络密不可分,安全无处不在。今后的计算机网络不但要具有保护网上主机系统,网上终端系统,网上应用系统的能力,关键是要网络本身也具有自我保护能力,自我防御能力,自我愈合能力,一旦受到网络蠕虫,网络病毒的侵扰甚至网络攻击时,能够快速反应,做到网络能够发现攻击,发现病毒,消除蠕虫,做到即保护网络应用的同时,又保护了网络自身,这就是思科所倡导的新一代的“自防御网络”计划 (Self -Defending Network)。 那不是以后都要用cisco的东西 看过了!谢谢.写得很好!:):) [quote]原帖由 [i]蓝猫[/i] 于 2006-8-31 09:57 AM 发表
现在靠管理员去响应网络攻击已经是不现实了.
安全已经变成了网络的一部分,安全已经和网络密不可分,安全无处不在。今后的计算机网络不但 ... [/quote] 现在偶基本上用的是sniffer,单机版的,比较麻烦,都是出了问题才去看是谁在发包 谢谢 努力学习中 这方面,经验应该可以解决一切
页:
[1]