S3526遭遇蠕虫病毒问题应对策略..doc

3526遭受蠕虫病毒问题应对策略 1、3526遭遇蠕虫病毒的原由 1.1 蠕虫病毒简介 在众多的恶意网络攻击当中，IP扫描是最普遍的一种攻击途径。业界针对恶意IP扫描的防范策略还没有权威的论断，很多设备制造商都认为应该把对网络攻击的防范措施划分到专业防火墙的功能中去，就三层交换机本身而言能够提供防攻击策略的少之又少。 并非所有的三层交换机都会受到IP扫描的影响，只有采用精确匹配转发策略的三层交换机才会受到IP扫描的影响。采用精确匹配转发策略的三层交换机有一个显著的特点就是学习交换机所接收IP报文的源IP和目的IP地址。恶意IP扫描随机或连续不断的发送目的IP地址不断变化的TCP报文，交换机不断的学习这类不断变化的新的目的IP地址并把学习到的IP地址写入IP转发表中去。由于大部分三层交换机的IP表项都不是无限大的，都有一定的容量限制，所以在IP扫描的攻击下，交换机的IP表项很快会被填满，影响正常的IP转发。对于软件学习IP地址的三层交换机而言，连续不断的学习IP地址还会占用相当大的CPU时间片，很可能会导致系统效率的低下甚至导致系统的彻底崩溃。 目前在众多的网络病毒当中，有许多病毒采用了恶意IP地址扫描的途径进行自我复制或恶意攻击，其中以红码病毒（redcode）为典型。红码病毒通过IP扫描发送TCP连接请求，对回应的地址进行自我复制，这样很多时候一个三层交换机下挂的网络中会存在多个被红码病毒感染的客户端主机，这些客户端主机上的红码病毒又会不断的发送IP扫描报文，多个感染病毒的客户机发送给交换机大量的IP扫描报文对采用精确匹配转发策略的三层交换机是一个严峻的考验。 恶意IP地址扫描一直都是对采用精确匹配转发策略三层交换机的一个致命攻击，很多交换机都因为类似红码病毒等概念病毒的攻击而陷入系统崩溃。有时候不可能把防病毒的事情全部推给设备运营商去做，设备本身也应该具有一定的健壮性。 相关宏码病毒的资料，请看附件 1．2 3526的地址学习机制 S3526的mac地址学习和ip地址学习都是软件学习和软件老化维护地址表。3526是典型的精确匹配转发的三层交换机，对于三层转发，必须要学习到报文中的源ip和目的ip以后才能进行硬件交换，否则源ip和目的ip只要有一个未解析，则会上软件进行地址学习，同时软件转发数据报文。 3526支持32个虚接口，ip地址表有16K，地址表虽然大，但是当遭遇蠕虫病毒扫描报文时也会可能会被占满，当网络中存在多个病毒源时，情况会变得更加糟糕。当大量的未解析报文涌上cpu的时候，出现的情况将是cpu占用率高，用户上网慢等问题。 1．3 能否彻底解决 由于3526为精确匹配转发方式，其芯片的转发方式决定了不能从根本消除这个问题，只能通过其他方式来规避，或者采用软件中提供的抑制措施，或者通过杀毒、降级使用、替换设备等方式来解决此问题。 2、软件对付蠕虫病毒采取的方式 2．1 早期的检测预防措施 在3526的老命令行版本中以及目前发布的新命令行版本中，均加入了蠕虫病毒源的检测功能，在老命令行版本中为firewall，3526－0003以及以后的版本缺省为关闭方式，新命令行版本为system-guard,,版本为3526－0009。 软件中对于目的ip地址的学习进行了抽样检测，检测周期为大约10秒，统计在10秒内的从各个源ip来的目的ip地址的学习情况，若是统计到从某个源ip的目的ip地址学习次数超过了设定的门限值，则提示告警，同时对此源ip禁止目的未解析的地址学习，减小对ip地址表的冲击，防止学习满。惩罚时间为老化周期的3倍，在惩罚时间过后，此允许学习来自源ip的目的未解析的报文。 优点：能够提示病毒源ip，对ip地址表的学习有很明显的抑制作用； 缺点：蠕虫病毒的报文仍然会仍给cpu，在软件进行丢弃，仍存在堵塞cpu队列的问题； 2．2 改进的抑制措施 在解决这个问题的初期，尝试过通过配置IP-ANY的acl规则禁止源ip，由于当时IP-ANY的规则存在问题，版本中没有采取此方式。目前IP-ANY的规则已经解决，在新近的版本中版本加入了IP-ANY的过滤规则。 当检测出源ip后，软件同时对此源ip下发一条IP-ANY deny规则，禁止转发来自此源ip的所有的数据报文，此时，所有来自源ip的报文均被交换机硬件丢弃而不上cpu，此源ip也不能ping通交换机虚接口，比较彻底的解决早期报文仍会上cpu的问题。由于感染病毒后的主机对于网络危害较大，IP-ANY的规则可以主机将三层隔离，避免进一步的扩散。 当惩罚时间过后，软件会自动删除针对此源ip的IP-ANY的acl规则，此源ip恢复通讯。 若在下一个检测周期检测到此源ip仍向外发送大量的目的未解析的报文，则按照上面的处理方式，下发IP-ANY规则―――