城域网中大量的病毒和恶意攻击解决方案 [讨论]

wjunjmt

城域网中大量的病毒和恶意攻击解决方案

[讨论]http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk

在网络中有各种各样的数据，这些数据可能是病毒和攻击数据，会导致网络设备的性能s受到大的影响，无法正常的转发数据。

  如：codered  大量的小包
        sql病毒    大量的组播
       还有蠕虫病毒等等
   攻击行为：
         DOS、DDOS等

  当出现这些问题之后，大家需要有更好的办法快速消除问题。
  在病毒出现后大家需要对数据进行分析，已判断哪些数据为不正常数据，并能够对这些不正常数据进行限制。在这方面已经有不错的解决方法：如大家经常提到的流量分析系统。
  大家可以先对网络数据前期作一个分析，对数据进行建立模型。
  然后对网络上所有的流量进行分析，并进行告警。
  一般的分析就做到这里的，剩下就需要手工设置。 （大家可以采用互动协议与防火墙或核心设备交互，在上面增加一些控制，如添加一条指向null接口的路由等）
   在网络攻击上面，再网络设置的时候应该拒绝所有的非公网地址从外网进入。
   在攻击方面大家也可以通过流量分析判断。然后增加相应的控制。
   对于常见的基于icmp的方式大家不在讨论。
   主要关注来自DOS或DDOS等方式。
   对于DDOS分析
   DDOS数据攻击源地址较为分散，攻击源地址经常伪装成私有地址或直接使用被控制主机地址。对于私有地址大家前面说到可以直接通过acl或firewall限制。对于使用公网地址的大家可能就比较麻烦，就算大家查出所有的地址也无法做到限制(N多acl啊)
   比较常见的做法Sink Holes,还有通过tcp syn的限制
   在此方面比较完善的cisco解决方案
   http://www.cisco.com/en/US/products/ps5888/index.html

  希翼通过这个POSTs，大家将网络中碰到的病毒或攻击行为整理出来，然后形成一个通用相对完善的解决方案出来！
http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk