互聯(lián)網(wǎng)蠕蟲的泛濫在最近幾年造成了巨大的損失，本文將介紹Cisco Catalyst交換機(jī)上的一個(gè)獨(dú)特解決方案，以一種非常經(jīng)濟(jì)、有效和可擴(kuò)展的方式來防范蠕蟲病毒的危害。

首先我們要了解蠕蟲的異常行為，并有手段來盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來源，即跟蹤到其源ip地址、MAC地址、登錄用戶名、所連接的交換機(jī)和端口號(hào)等等。要搜集到證據(jù)并作出判定，假如確是蠕蟲病毒，就要及時(shí)做出響應(yīng)的動(dòng)作，例如關(guān)閉端口，對(duì)被感染機(jī)器進(jìn)行處理。

但是我們知道，接入交換機(jī)遍布于每個(gè)配線間，為企業(yè)的桌面系統(tǒng)提供邊緣接入，由于成本和治理的原因，我們不可能在每個(gè)接入層交換機(jī)旁都放置一臺(tái)IDS設(shè)備。假如是在分布層或核心層部署IDS，對(duì)于匯聚了成百上千個(gè)百兆/千兆以太網(wǎng)流量的分布層或核心層來說，工作在第7層的軟件實(shí)現(xiàn)的IDS無法處理海量的數(shù)據(jù)，所以不加選擇地對(duì)所有流量都進(jìn)行監(jiān)控是不實(shí)際的。

怎么能找到一種有的放矢、行之有效而又經(jīng)濟(jì)擴(kuò)展的解決方案呢？利用Catalyst交換機(jī)所集成的安全特性和Netflow，就可以做到！

發(fā)現(xiàn)可疑流量。我們利用Cisco Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計(jì)信息，可以發(fā)現(xiàn)單個(gè)主機(jī)發(fā)出超出正常數(shù)量的連接請(qǐng)求，這種不正常的大數(shù)量的流往往是蠕蟲爆發(fā)或網(wǎng)絡(luò)濫用的跡象。因?yàn)槿湎x的特性就是在發(fā)作時(shí)會(huì)掃描大量隨機(jī)IP地址來尋找可能的目標(biāo)，會(huì)產(chǎn)生大量的TCP或ICMP流。流記錄里其實(shí)沒有數(shù)據(jù)包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個(gè)重要區(qū)別，一個(gè)流記錄里不包含高層信息，這樣的好處則是可以高速地以硬件方式處理，適合于繁忙的高速局域網(wǎng)環(huán)境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機(jī)都支持基于硬件的Netflow。所以Netflow不能對(duì)數(shù)據(jù)包做出深層分析，但是已經(jīng)有足夠的信息來發(fā)現(xiàn)可疑流量，而且不受“0日”的局限。假如分析和利用得當(dāng)，Netflow記錄非常適用于早期的蠕蟲或其他網(wǎng)絡(luò)濫用行為的檢測。

了解流量模式的基線非常重要。例如，一個(gè)用戶同時(shí)有50-100個(gè)活動(dòng)的連接是正常的，但是假如一個(gè)用戶發(fā)起大量的(例如1000個(gè))活動(dòng)的流就是非正常的了。

追蹤可疑的源頭。識(shí)別出可疑流量后，同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動(dòng)的環(huán)境中，用戶可以在整個(gè)園區(qū)網(wǎng)中隨意漫游，僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒，否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口，還要定位登錄的用戶名。

搜集可疑流量。一旦可疑流量被監(jiān)測到，我們需要捕捉這些數(shù)據(jù)包來判定這個(gè)不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述，Netflow并不對(duì)數(shù)據(jù)包做深層分析，我們需要網(wǎng)絡(luò)分析工具或入侵檢測設(shè)備來做進(jìn)一步的判定。但是，如何能方便快捷地捕捉可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢？速度是很重要的，否則你就錯(cuò)過了把蠕蟲扼殺在早期的機(jī)會(huì)。除了要很快定位可疑設(shè)備的物理位置，還要有手段能盡快搜集到證據(jù)。我們不可能在每個(gè)接入交換機(jī)旁放置網(wǎng)絡(luò)分析或入侵檢測設(shè)備，也不可能在發(fā)現(xiàn)可疑流量時(shí)扛著分析儀跑去配線間。

有了上面的分析，下面我們就看如何利用Catalyst的功能來滿足這些需要！

檢測可疑流量。Cat6500和Catalyst 4500(Sup IV,Sup V和Sup V–10 GE)提供了基于硬件的Netflow功能，采集流經(jīng)網(wǎng)絡(luò)的流量信息。這些信息采集和統(tǒng)計(jì)都通過硬件ASCI完成，所以對(duì)系統(tǒng)性能沒有影響。Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡，所以不需增加投資。

追蹤可疑源頭。Catalyst集成的安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)，以及DHCP監(jiān)聽、源IP防護(hù)、和動(dòng)態(tài)ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息，同時(shí)防范IP地址假冒。這點(diǎn)非常重要，假如不能防范IP地址假冒，那么Netflow搜集到的信息就沒有意義了。用戶一旦登錄網(wǎng)絡(luò)，就可獲得這些信息。結(jié)合ACS，還可以定位用戶登錄的用戶名。在Netflow收集器(Netflow Collector)上編寫一個(gè)腳本文件，當(dāng)發(fā)現(xiàn)可疑流量時(shí)，就能以email的方式，把相關(guān)信息發(fā)送給網(wǎng)絡(luò)治理員。

在通知email里，報(bào)告了有不正常網(wǎng)絡(luò)活動(dòng)的用戶CITG，所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機(jī)的IP地址是10.252.240.10，物理接口是FastEthernet4/1，另外還有客戶端IP地址和MAC地址，以及其在5分鐘內(nèi)(這個(gè)時(shí)間是腳本所定義的)發(fā)出的flow和packet數(shù)量。

把握了這些信息后，網(wǎng)管員就可以馬上采取以下行動(dòng)了：

通過遠(yuǎn)程SPAN捕捉可疑流量。Catalyst交換機(jī)上所支持的遠(yuǎn)程端口鏡像功能可以將流量捕捉鏡像到一個(gè)遠(yuǎn)程交換機(jī)上，例如將接入層交換機(jī)上某個(gè)端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個(gè)端口，只需非常簡單的幾條命令即可完成。流量被捕捉到網(wǎng)絡(luò)分析或入侵檢測設(shè)備(例如Cat6500集成的網(wǎng)絡(luò)分析模塊NAM或IDS模塊)，作進(jìn)一步的分析和做出相應(yīng)的動(dòng)作。

整個(gè)過程需要多長時(shí)間呢？對(duì)于一個(gè)有經(jīng)驗(yàn)的網(wǎng)管員來說，在蠕蟲發(fā)生的5分鐘內(nèi)就能完成，而且他不需要離開他的座位！

我們可以看到，這個(gè)解決方案結(jié)合了Catalyst上集成的多種安全特性功能，從擴(kuò)展的802.1x，到DHCP監(jiān)聽、動(dòng)態(tài)ARP檢測、源IP防護(hù)和Netflow。這些安全特性的綜合使用，為我們提供了一個(gè)在企業(yè)局域網(wǎng)上有效防范蠕蟲攻擊的解決方案，這個(gè)方案不需更多額外投資，因?yàn)槔玫氖羌稍贑atalyst上的IOS中的功能特性，也帶給我們一個(gè)思考：如何利用網(wǎng)絡(luò)來保護(hù)網(wǎng)絡(luò)？這些我們?cè)谶x擇交換機(jī)時(shí)可能忽略的特性，會(huì)帶給我們意想不到的行之有效的安全解決方案！