追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。
搜集可疑流量。
一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述,Netflow并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。
有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!
检测可疑流量
Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
