现在的网络面临的一个安全性的挑战,网络上的流量也在成倍的增长,流量的成分也越来越复杂。经济利益的驱动和网络攻击技术门槛的降低使得异常流量也呈爆炸式的增长趋势。现在的攻击都有明确的目标,大部分集中于游戏网站以及大型企业,攻击这些地方会获取一定的赢利。作为一名企业网络管理员,该如何入手防范来势凶猛异常流量攻击,才能保护好企业的信息安全呢?
发现异常流量问题根源
当网络利用率很高,带宽被大量占用,经常有流量暴涨导致网络拥堵——到底是谁在使用网络,在使用网络运行什么程序,导致拥堵的原因是什么,如何找到“凶手”?我们希望从现有网络中获取更为详细的网络管理报表,如:协议的流量分布等。可以透视企业内部网络运作情况,对网络流量可以做到一目了然。
只要网络无法为真正的用户提供正常的服务,将它视为异常流量。常见异常流量为网络层DDoS攻击、应用层DDoS、二层攻击、蠕虫传播等。异常流量的检测分为两个过程:流量数据的采集,流量数据的分析。数据采集的方法大体上分为两类:流量镜像和流级数据采集。数据的分析方法上也可以分为两类:基于数据包信息的特征检测和行为分析和基于包头信息的统计分析。
做好两点保护计算机
目前网络异常流量监测技术呈现迅猛发展的态势,技术和产品不断更新,也朝着越来越智能化的方向发展,具体表现在:流量自学习能力,可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据;蠕虫攻击特征检测,可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力;攻击源的自动追溯,可以提高攻击源的定位效率,从而大大提高应急响应的速度。建立异常流量监控与预警机制,建立终端客户网络,从而为企业提供更精准的信息。当发现这种攻击时,能够及时发布一些预警及处理策略,让企业员工去处理这种网络危机。对企业来说,基础设施与支撑系统的防护主要通过两个方面来做:
第一、网络安全边界的保护。比如:部署结合多种防护技术的多层式防御架构,应该分别在三个层级建置整合式的解决方案,包括了部署在互联网网关、网络传输过程中和桌面终端的各种创新技术,来达到网络安全保证。
第二、做拒绝服务攻击的防范。通过路由过滤或ACL(访问控制列表)的方式可隐藏路由设备等系统的IP地址。注:ACL配置不当或丢失,也会导致用户数据流异常。
异常流量的疏导和控制
除了以上对基础设施及支撑系统的保护外,对企业而言,异常流量的疏导和控制的策略更为重要。因为这种攻击对于企业而言,单单去靠人去跟踪、去封堵根本不够,还要借助一些技术上的手段,主要有三个手段:
第一、采取一定的手段能够把这些害群之马踢出来,对异常流量进行疏导与控制。此外,还要向内部网络延伸防范能力,因为往往内部网络既是攻击源头,也有可能是受害源头,争取把这种边缘化的网络在根源处就处理掉。
第二、流量清洗网络。流量清洗不仅仅是保护企业网络,更主要保护的是基础设施不要被别人攻击。
第三、QoS抑制病毒流量。当攻击存在的时候,往往不是从一个地方来的,而是来自网络的四面八方,拥塞了网络的出口流量。当发现这种流量存在的时候,必须采取一些动作,在多个局域网边缘对攻击流量进行丢弃或流量抑制。
如果企业能够看到全局状态,当发现这种情况时,利用相关的软件来压制这些流量先不要上来,再通过一个集中的出发点做边缘上的控制,这样才会更好地进行流量抑制,为企业信息安全保驾护航。
