【IT168 成都】如何应对网络中频频突发的异常流量(Anomaly Flow )和瞬时异常联线(Anomaly Sessions/ second )一直是管理员比较头痛的问题.原因在于,某个或某些IP的异常流量产生会使整个网络运行缓慢,很容易产生出口瓶颈用户会感觉正常业务如(http,mail,msn etc)受到严重影响,而瞬间的大量非法联线则会对网络的三层,甚至二层设备产生大量封包,不断发起不正常的请求,而去处理这些不正常的联机则会耗费网络设备大量的资源,并降低CPU的正常处理能力,情况严重则会导致整个网络的关键环节(L2 Switch,防火墙等)或者关键业务(如VPN ,Http Server等)当机.而网管员则疲于应付.

　　针对以上情况,我们来探讨如何解决此类故障.首先,我们对产生异常流量以及瞬时并非联机突发的原因进行分析.笔者认为,是以下的某些原因导致产生这样的状况:

　　1  局域网内部, 蠕虫及病毒的影响,且中毒数量有蔓延趋势,形成一定区域的网络风暴,常见的病毒我们比较熟悉的有如下几种: 杀手病毒(Sasser);,疾风病毒(MSBlaster);,红色警戒(Code Red),以及 Nimda病毒等等.关于此类病毒或蠕虫对网络的影响,笔者在此不做详解.

　　2  P2P软件造成的影响,我们发现,多数情况下,如果某个用户正在使用某个P2P 软件如BT,Emule等等,对外发起的sessions数一般会在130个左右,而每个sessions占用的带宽资源并不高(一般从1B到几十K左右),BT或者Emule占用的带宽总数则是每个Sessions的累加值.因此,如果同时启用多个资源下载,则会高达数百的sessions,那么,加入一个局域网内使用P2P软件的使用者增多,则Sessions数值会急剧增加.严重就会使网络不堪负重.

　　3  网外或者网内的攻击.根据使用者的不同网络情况,网外的攻击集中体现在网外黑客扫描端口(Port Scan);DDos攻击; IP Spoofing; Ping of Death等等方式进行攻击,各种攻击方式导致了不同的后果.网内的使用者攻击内网的情况则在一些特殊的场合时常出现.

　　笔者认为,以上的情况是导致异常流量以及异常联机产生,从而影响整个网络正常业务的主要原因.

　　应该从何入手,有效防范此类情况发生?或将此影响减少到最低的程度?,近日,台湾网络安全的领导厂商友旺科技(AboCom,股票代码 2444)整合SMC及Alcatel提出了如下解决方案.示意图如下:

AboCom UTM诊测出Port 1使用者发送大量封包及连线(可根据情况设定)产生

　　   3 AboCom UTM通知Port 1使用者”你已经被Block了,请速洽MIS”.管理员也可以同时收到系统一封警讯Email

　　针对如何有效管理P2P下载行为,我们会在下一篇文章”新型网络安全攻略之-----如何有效应对层出不穷的P2P行为”中详细阐述,敬请各位期待.

　　针对目前VPN应用的不断深化,我们根据用户的实际使用情况,会对VPN网络的稳定性,安全性,方便性做进一步的阐述,推出了”新型网络安全攻略之-----如何构架安全稳定的VPN网络”

友旺科技成都分公司联系方式：
成都友旺科技有限公司
TEL：028-86082019  FAX：028-85214631-605
http://www.abocom.com.cn