背景介绍
随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,在网络带来高效和快捷的同时,网络攻击的多样化发展和带宽的爆发式增长对网络安全产品的处理性能和防护的精准性提出了更高的要求。
某移动通信公司所在地,有常住800多万人口,下辖八个分公司,拥有员工近2500多人,其网络无缝覆盖整个地区。为了更好的给用户提供快捷、高速的网络接入服务,该移动公司在城域网上的两条链路出口链接CMNET,出口带宽分别增加为10G与10G。尽管增加了网络带宽,却不能完全保障用户接入网络的质量。依据管理经验判断,该移动公司整个网络中存在大量的蠕虫病毒、网络探测扫描、DOS/DDoS攻击以及P2P类流量,导致网络带宽被无用的消耗,也极大的影响用户网络接入速度。
加之管理员也缺乏对整个网络中网络流量的构成、应用流的指向以及终端用户网络行为进行管控,导致网络中蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游)肆虐。尤其是,这些混合威胁的风险,给用户的信息网络造成了严重的破坏。能否在如此大流量的背景下,及时发现并阻断网络入侵行为,保证网络系统的安全和正常运行已经成为该移动公司所面临的主要问题。
环境分析
通过对该移动信息网络中数据包的进一步分析,发现其主要威胁来源如下:
首先,通过抓取用户的网络环境中的报文发现,存在大量的DNS域名解析请求,通过分析这些请求解析的域名大多数都是无效域名。根据实时抓包的数据判断,应 该是某些攻击软件随机生成的网络上根本不存在的域名。当攻击软件向网络中的DNS服务器发送域名解析请求时,移动的DNS服务器会自动查找是否有对应的缓 存,如果查找不到并且该域名无法直接由服务器解析的时候,该DNS 服务器会向其上层DNS服务器递归查询域名信息。这些大量无效的域名连续性请求,给服务器带来了很大的负载,无法向正常的请求返回DNS查询结果,直接导 致网络无法访问,给用户造成极大的困扰。 其次,在该网络中存在大量的无效IP地址和无效的服务请求,从整个报文分析,这些IP地址都是在进行扫描或者探测主机的漏洞,利用伪造的IP地址,对该网 络中服务器进行弱点和漏洞探测。在技术人员专门对该网络中特定的服务器进行定点排查发现,一些主机在短时间内对外进行了大量的TCP连接请求,而这些请求 的目标端口相同,数据包大小和数据包中的内容也很相似,更为重要的是目标IP地址和目标服务都无法得到应答,通过进一步分析,是该用户网络中存在大量的网 络蠕虫。这些蠕虫攻击大肆掠夺性的占用网络带宽资源,不仅严重干扰整个网络的正常运行,还直接影响了正常用户的网络接入质量,造成宝贵的带宽资源浪费。 再次,无法有效预警和控制突发性网络流量异常,让网络管理员无所适从;从网络流中分析,可以明显的看出存在ICMP扫描攻击和TCP扫描攻击,但这不是引 起网络异常的主要原因。在节假日或者某些特定的政府会议期间,网络访问流量的指向以及网络中应用流的变化和网络中混杂的各种DOS/DDOS攻击流,让网 络运营的技术人员无法全面了解这些流量细分的种类,只能被动的依靠经验进行主观判断,无法对其中非正常的流量进行有效的干预和控制。 最后,缺失了对于终端用户接入网络行为的监查与过滤;尽管对于主干网络运营的技术人员而言,并不需要对终端用户进行上网行为的控制,但却需要了解终端用户 网络行为的构成。一方面,可分析总结用户网络访问行为的喜好,便于对用户行为进行深度分析,以便提供更好的服务;另一方面,可对终端用户所产生的网络攻击 流量进行有效的阻断和取证定位。
实施部署
天融信在该移动城域网边界两个出口处分别部署天融信的擎天万兆入侵防御系统,用于该移动的城域网络的网络入侵防御与监测。将入口的数据流经分光器后,引流到天融信入侵防御系统网络探测引擎,进行网络数据流的清洗。
