预防、发现、监控与分析异常流量

　　在所有异常流量中,以黑客攻击与病毒对企业影响最为严重;病毒之散播主要是以非固定对象为主,从早期之邮件病毒、蠕虫,到冲击波病毒利用微软操作系统内之安全漏洞,散播的方式从被动到主动,传播速度快,影响范围也越来越大。黑客攻击则是以特定对象为主,以非法入侵方式去更改、破坏或是窃取资料,例如近来出现之DoS(拒绝服务)与DDoS(分布式拒绝服务)攻击方式。DoS之目的就是拒绝服务访问,让服务器充斥大量要求回复的请求,消耗网络带宽与系统资源,导致网络或系统不胜负荷以至于瘫痪,而停止提供正常的网络服务。而DDoS是基于DoS的特殊形式的拒绝服务攻击,主要针对大型与知名网站,如商业公司、搜索引擎和政府部门的网站。它利用网络协议的缺陷或是计算机操作系统之漏洞,伪造大量或是不正常的数据包涌向服务器提供服务的连接端口,使得服务器疲于处理大量的垃圾数据包而无法提供正常的服务。

　　要预防病毒与黑客攻击首先需要完善防护企业的大门,防火墙与IDS是主要防线。防火墙是界于企业内部网络与Internet间第一道关卡,与IDS共同防护已知的病毒与黑客攻击;然而,防火墙与IDS对于新病毒或新的黑客攻击模式并无法事先防范,必须等到管理员手动增加新的存取限制与攻击模式特征后,才能找出问题与解决安全漏洞。针对防火墙这个限制,让不少病毒与黑客有了活动与发展之空间。企业网络人员与各大网络安全系统设备厂商,往往在病毒或黑客造成企业重大的损失后,才能提供有效的解决方法与更新之病毒码。企业网络管理人员希望在一有异常流量时,就能收到警报并进行分析与监控,找出异常流量发生原因、位置与解决方法,以避免病毒继续扩散或主机服务被黑客阻断。有效的网络性能管理系统为企业网络管理人员提供强大与可靠之工具,使他们在处理异常流量时,能够主动预防性地察觉并解决可能发生的问题。

　　网络性能管理系统对异常流量进行监控与分析。流量分析可以为管理人员提供几个指针性网络信息,包括利用率、主机IP、对话列IP、误码、响应时延、原始数据包内容与告警等。利用这些信息我们可以实时监控各网段之利用率、网络应用与业务之运行状况,是否有大量误码包发生等,并且透过长期历史资料统计之基准线数据来比对是否有异常流量出现。有效的性能管理除了对网络整体之利用率提供监控外,对各个应用程序与业务利用率也进行同样的监控,例如当某个应用程序流量异常增加时,也可以提供相同之利用率信息与报警通知网管人员进行深度分析。

　　网络性能管理可以帮助管理人员厘清哪些是正常之流量、哪些是异常流量,以及异常流量的来源与发生之原因。针对可能是由病毒或是黑客攻击所产生之异常流量,我们可以利用下面几个步骤来判断其发生原因:

　　1、发现异常流量

　　2、判断此异常流量所属之应用程序

　　3、找出异常流量发生之原因与散播对象

　　4、针对已知之病毒特征预先告警

　　成功的性能管理不但能帮助发现这些未知之病毒与攻击行为,还可以对已知之病毒与攻击方式加以警戒,防患于未然。已知之病毒与攻击方式,如红色代码病毒以HTTP作为攻击媒介,冲击波病毒利用微软之TCP　135端口来散播,SQL　Slammer　则利用UDP　1434端口来传送大量数据包,黑客利用ICMP进行拒绝服务之攻击等,当这些特征一旦出现在网络上,网络性能管理系统就可以实时侦测并发出告警给相关人员,并且提供详细信息,如造成异常流量之应用程序、是哪些主机所造成的、这些异常流量又被传送什么地方等等,可以帮助管理人员节省不少除错与排障所花之时间,在损失尚未扩大前,就将问题解决。

　　网络性能管理为网络管理的一部分,相较于一般网管平台强调网络设备之管理,或是网络安全管理系统提供之防毒与防黑客入侵,网络性能管理所着重的是流量的监控与分析。