浅谈Cisco网络系统中对网络病毒监测和应急处理办法.docVIP

浅谈Cisco网络系统中对网络病毒监测和应急处理办法 　　摘要：内联网在为大家的工作提供信息便捷化的同时也为大家带来了一定的困扰和危害，网络病毒便是其最大危害之一。本文提供了利用Cisco路由和变换平台中的NetFlow服务所提供的网络数据流统计功能来发现网络中异常情况，及如何采取应急措施来阻止病毒攻击和扩散的有效方法。 　　关键词：NetFlow；病毒监测；ARP 　　 　　随着各企事业单位、政府机关的办公系统对内联网的依赖性日益增强.保障内联网安全可靠运行，及时发现网络故障，分析判断故障原因.在最短的时间内排除故障已经成网络管理员的首要职责。 　　下面我就Cisco网络系统中对网络病毒的监测和应急处理办法谈几点经验。作为网络管理员常常碰到的问题是用户反映网络突然变得很慢，丢包率增加.甚至无法正常连接服务器。这种情况除了用户自身原因和网络硬件故障外，通常是由于网络病毒攻击造成网络拥塞引起的。典型的例子是2004年5月爆发的震荡波病毒。震荡波病毒通过操作系统漏洞进行主动传播，病毒在被感染的机器上开启TCP端口5554使之成为一个FTP服务器，同时开启多个扫描线程以随机产生的IP为攻击目标对其TCP445端口进行扫描。当发现存在漏洞的系统时便攻击目标计算机并使被感染的计算机下载病毒的拷贝。被感染的计算机系统会出现倒计时对话框.频繁重新启动，系统运行速度明显减慢或死机。恶性网络病毒多针对系统漏洞进行攻击。一旦爆发就会在内联网上迅速传播，当多台被感染的计算机同时向外发起攻击。网络带宽就会被大量占用从而导致网络瘫痪。 　　怎样才能迅速发现网络病毒攻击呢?由于专业的防病毒软件对新病毒的监测有一定的滞后性，往往是病毒已经造成了网络拥塞甚至瘫痪而防病毒软件还未能监测出来。在这种情况下网络管理员可以利用Cisco路由和交换平台中的NetFlow服务所提供的网络数据流统计功能来发现网络中的异常情况，以此作出判断并采取相应措施来保障内联网的正常运行。 　　首先让我们先了解一下什么是NetFlow服务。NetFlow技术是Cis-co公司为满足Intemet／Inlaanet用户对网络带宽及网络性能监控等方面的需求而开发的网络交换技术。网络信息流定义为特定的源和目标间的单向序列数据包。NetFlow通过IP地址和传输层应用端口号来确定信息流的目的地，也可以利用IP协议类型、TOS(Type of Service)以及输入接口来确定特定的信息流。在NetFlow交换启用后，访问控制列表(ACL)只应用在每个信息流的首个数据包上，该数据包所包含的信息被记录在NetFlow的高速缓存中，后面所有的数据包都作为该信息流的一部分进行简单比对处理后通过。这样就绕过了访问列表的检查，提高了传输效率.同时也获取了应用服务和传输数据的统计信息。通过Neff|ow可以进行对用户的网络访问进行实时监控(包括用户的ip地址、网络协议的分布、应用服务类型、数据传输的源和目标等).同时也提供安全性监控和记帐服务。通过它我们可以了解到当前谁在使用网络，他来自哪里，访问什么地方，用户的应用是什么，占用了多少网络资源等。启用NetFlow方法是：在Cisco路由器网络接口配置模式下执行“ip route-cache flow”命令。当NetFlow启动后，可以通过“show ipcache flow”命令来查看Netflow的统计结果。执行结果首先显示的是IP包尺寸划分和IP流交换缓存的一些统计信息，之后是根据IP协议类型划分的统计信息。在这里我们可以看到不同网络应用(FTP、www、SNMP、DNS等)数据流量统计。最后就是发现网络通讯异常情况所应重点关注的链路状态统计信息。下面是各列的含义： 　　第一列：Srelf-源网络接口 　　第二列：SrcIPaddress-源IP地址 　　第三列：Dstff-目的网络接口 　　第四列：DatIPaddress-目的 　　第五列：Pr-协议类型(06-TCP，11-UDP) 　　第六列：StoP-TCP／UDP协议的源端口号(16进制) 　　第七列：DstP-TCP／UDP协议的目的端口号(16进制) 　　第八列：Pkts-数据包个数／每秒 　　由于网络病毒与木马黑客程序攻击的目标IP地址常常是随机产生的，其传播的方法通常是同时开启多个线程对目标地址进行扫描，而且攻击的TCP端口相同，这与正常的通讯存在着明显的区别。如果发现同一个源地址试图在向其它的计算机的相同端口发起连接请求，就可以怀疑这台计算机感染了网络病毒。有时由于内联网中主机较多、网络通信繁忙，产生的较多统计信息条目不便于明确观察，这时可以使用showip cacheflowl include目标IP地址”命令来列出有关IP地址的统计信息。