blue 2007-10-8 17:21
响应巧用三层交换安全策略预防病毒,并探讨NBAD功能
“首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源埠号、协议目的埠号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。”
文章写的很专业,我从此文章来探讨一些问题
1.此三层交换器是否要具备s-Flow或Netflow否则如何从信息包头来得知来源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源埠号、协议目的埠号、连接请求方向、ICMP报文类型。故三层交换器一定要有s-Flow或Netflow功能。
2.要建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的,要建立信息过滤表有两种方式(以目前我能力所知):1.是以Patten方式来建立信息过滤表,也就是以特征值(signature)方式来建立,此设备有1.IDP(防入侵侦测)2.内建在第二层网络交换器有称为第四层交换器,但是此设备的致命伤是第二层交换器的ASIC芯片无法承受大量信息包(Packet)来过滤蠕虫的特征值,所以市场上标榜第二层交换器可过滤蠕虫也只是”望梅止渴”,视使用者需求来购买(一个愿打,一个愿挨)。
3.接下来就是重点;也就是运用IEEE协会在2000年所公布NBAD(Netflow Behavior Anomaly Dection)方式来侦测蠕虫,此方式是不需要Patten的特征值(signature),这是重点,一般在市场上有人强调我的第二层交换器有NBAD的功能,我只能说他在胡说八道,为什么?各位”有知识的看官”要收集s-Flow或Netflow的数据包来处理分别来源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源埠号、协议目的埠号、连接请求方向、ICMP报文类型,这些量很大不是一般第二层交换器的ASIC芯片可以负担,所以有人跟你说,我所卖的第二层交换器有NBAD的功能,我只能说这是胡搞。信不信由你。
4.具我所知具备NBAD的功能设备有1.Arbor Network公司的Peak Flow X产品2.Lancope公司的Stealth Watch产品3.Mazu Network公司的Mazu Profiler产品4.Curelan 公司的Flowview FM产品,其中前三家是美国厂商,第四家是台湾厂商价格比较优惠。
结论:NBAD的功能设备是不需要Patten的特征值(signature),第二层交换器有NBAD的功能我只能说这是胡搞,要分析s-Flow或Netflow的数据包需要强大的算法,不是SQL、My SQL所能处理,上述四家有NBAD的功能最大判别方式就是数据库,也就是此设备都是自行开发算法的数据库,决不是SQL、My SQL等数据库。