搜集可疑流量。一旦可疑流量被監(jiān)測到，我們需要捕獲這些數(shù)據(jù)包來判斷這個不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述，Netflow并不對數(shù)據(jù)包做深層分析，我們需要網(wǎng)絡(luò)分析工具或入侵檢測設(shè)備來做進(jìn)一步的判斷。但是，如何能方便快捷地捕獲可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢？速度是很重要的，否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設(shè)備的物理位置，還要有手段能盡快搜集到證據(jù)。我們不可能在每個接入交換機旁放置網(wǎng)絡(luò)分析或入侵檢測設(shè)備，也不可能在發(fā)現(xiàn)可疑流量時扛著分析儀跑去配線間。

有了上面的分析，下面我們就看如何利用Catalyst的功能來滿足這些需要！

檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流經(jīng)網(wǎng)絡(luò)的流量信息。這些信息采集和統(tǒng)計都通過硬件ASCI完成，所以對系統(tǒng)性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡，所以不需增加投資。

追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)，以及DHCP監(jiān)聽、源IP防護(hù)、和動態(tài)ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息，同時防范IP地址假冒。這點非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就沒有意義了。 用戶一旦登錄網(wǎng)絡(luò)，就可獲得這些信息。結(jié)合ACS，還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件，當(dāng)發(fā)現(xiàn)可疑流量時，就能以email的方式，把相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員。

在通知email里，報告了有不正常網(wǎng)絡(luò)活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10，物理接口是 FastEthernet4/1，另外還有客戶端IP地址和MAC地址，以及其在5分鐘內(nèi)(這個時間是腳本所定義的)發(fā)出的flow和packet數(shù)量。

掌握了這些信息后，網(wǎng)管員就可以馬上采取以下行動了：

通過遠(yuǎn)程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠(yuǎn)程端口鏡像功能可以將流量捕獲鏡像到一個遠(yuǎn)程交換機上，例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口，只需非常簡單的幾條命令即可完成。流量被捕獲到網(wǎng)絡(luò)分析或入侵檢測設(shè)備(例如 Cat6500集成的網(wǎng)絡(luò)分析模塊NAM或IDS模塊)，作進(jìn)一步的分析和做出相應(yīng)的動作。

防范蠕蟲病毒整個過程需要多長時間呢？對于一個有經(jīng)驗的網(wǎng)管員來說，在蠕蟲發(fā)生的5分鐘內(nèi)就能完成，而且他不需要離開他的座位！

我們可以看到，這個解決方案結(jié)合了Catalyst上集成的多種安全特性功能，從擴(kuò)展的802.1x，到DHCP 監(jiān)聽、動態(tài)ARP檢測、源IP防護(hù)和Netflow。這些安全特性的綜合使用，為我們提供了一個在企業(yè)局域網(wǎng)上有效防范蠕蟲攻擊的解決方案，這個方案不需更多額外投資，因為利用的是集成在Catalyst 上的IOS中的功能特性，也帶給我們一個思考：如何利用網(wǎng)絡(luò)來保護(hù)網(wǎng)絡(luò)？這些我們在選擇交換機時可能忽略的特性，會帶給我們意想不到的行之有效的安全解決方案！