纽盾基于等级保护的网络异常分析处理

    网络信息安全是一个企业信息化发展和进步的重要信息安全基础，也是国家信息安全等级保护基本要求的内容之一。现在各个企事业单位都高度重视网络信息安全管理，把信息安全纳入各行各业的生产安全同等管理。纽盾科技从06年开始着手研发网络安全检测技术。先后研发生产了纽盾防毒交换机，纽盾网络异常检测器等全系列产品。为各企事业单位的信息等级保护提供了必要的支撑。

　　异常情况分析与处理

　　异常情况描述

　　1、 网络出现ARP病毒：

　　当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

　　由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。

　　该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。

　　2、 网络出现蠕虫类的病毒：

　　此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND)，使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

　　3、 网络出现回路：

　　如果使用两条线连接同一个交换机,就构成了回路.因此在回路产生的时候需要对交换机配置生成树协议,不然的话信息会无终止传输,引起广播风暴.整个网络瘫痪.例如刚有新机器加入网络的时候,从本身接入交换机产生一个mac地址和端口对照表,然后该交换机将该表传到相邻交换机,在另一个端口会穿回来,从而又增加一个mac地址表,这样无限制的传输会引起网络带宽用尽,从而瘫痪.

　　4、 网络出现非法DHCP服务器：

　　一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。合法DHCP服务器可以提供正确的数据，但一些私接的路由器和服务器，成为了非法DHCP的主要来源。非法DHCP服务器提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能，因为广播包会发向网络中的所有设备，合法还是非法服务器先应答是没有任何规律的。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到INTERNET了。

　　异常情况分析

　　当网络遇到异常情况时，技术人员首先关心的是如何确定位置并修复异常，使网络快速恢复正常运行。因此，纽盾科技的网络异常检测器已经及时地收集好了相关的信息，并对所发生的问题进行系统分析，通常从以下4个方面进行分析。

　　(1)网络异常流量问题：部分电脑中了蠕虫类，病毒后，发生了大量的异常访问和异常流量。

　　(2)网络硬件设备异常：如设备连接、硬件、线路回路等问题而引发网络不稳定或网路异常问题。

　　(3)网络配置问题：如非法DHCP的接入，配置问题(VLAN划分重叠等)造成网络不稳定异常。

　　(4)网络访问身份认证问题：如IP冲突，任意更改MAC地址，非法身份访问有权限的系统等。

　　异常情况处理

　　(1) 网络异常流量问题：纽盾科技研发的网络异常检测器，在发现有电脑在瞬间发出大量的异常流量时，首先对交换机端口进行控制，从而避免中了网络病毒的电脑造成整个网络的瘫痪。

(图一)NDM发现异常，下达封锁指令，交换机关闭端口

(图二)系统检测到会话数异常，对MAC地址进行封锁

(图三)系统检测到端口异常，对MAC地址进行封锁

　　(2)网络硬件设备异常：如设备连接、硬件、线路回路等问题而引发网络不稳定或网路异常问题。

(图四)交换机回路，造成封包，被封锁

　　(3)网络配置问题：如非法DHCP的接入，配置问题(VLAN划分重叠等)造成网络不稳定异常。

(图五)检测到非法DHCP，进行处理

　　(4)网络访问身份认证问题：如IP冲突，任意更改MAC地址，非法身份访问有权限的系统等。

(图六)检测到非法IP/MAC，对该地址进行封锁

　　4 结语

　　纽盾科技研发的网络异常检测器基于等级保护的网络安全防护方法，提出了一系列的网络控制和防护方法，从而实现了各个企事业单位的安全防护的信息等级保护要求。纽盾科技的网络异常检测器在诸多的案例中加以应用。如烟草行业，电力行业，政府行业，金融行业，医疗行业，IDC运营等等都有了大量的应用案例。这些案例都充分表明：纽盾科技的网络异常检测器使用简单、管理高效，完全能够达到国家等级保护的各项要求，达到了各个行业的网络安全总体防护的要求。在工程实施中，能够兼容不同厂家的设备。是网络安全等级保护的必备平台，是网络管理人员的重要工具。咨询电话：4007058858，网址：http://www.newdon.net■