同时 , 一旦蠕虫侵入某个网络的一个主机 , 短时间内就会和这个网络中的其他用户建立连接 , 然后通过TFTP大量拷贝自身进行繁殖 , 数据占据大量带宽 。
这种数据流量的特点是时间短、带宽大 , 对网络造成很大的流量攻击 。
DDOS-Syn flood攻击
对冲击波病毒 , 被感染的设备在2003年8月之后或者日期是15日之后 , 就会向微软的更新站点“windowsupdate.com”的80端口发动synflood拒绝服务攻击 。也就是说 , 从2003年8月16日开始就会一直进行拒绝服务攻击 。这种是典型的DDOS攻击方式 。通过蠕虫本身的感染 , 子网内大量的主机都会被感染 , 一旦触发条件满足 , 在短时间内还会产生大量的数据包通过网络设备 , 对网络产生流量攻击 。
非凡的是 , 为了防止安全系统跟踪到被感染设备 , 以及便于多次发起Syn flood攻击 , 蠕虫病毒修改了源IP地址 , 提供的源IP地址并非本机地址 。
2 Quidway S3500的防病毒机制
2.1 数据转发层面-硬件三层转发处理机制
华为3Com公司的Quidway S3500系列路由交换机的硬件IP转发表全部是最长匹配方式 , 也就是说 , 只有ARP报文的源IP地址才会被用来生成主机路由和ARP地址表项 , 而对ARP报文的目的IP地址是不学习的 , 对一般IP报文的源IP或者目的IP地址更是不会学习 。这一点与采用精确匹配三层转发处理的三层交换机有很大区别 , 后者对于三层转发 , 必须要学习到报文中的源IP地址和目的IP地址以后才能进行硬件交换 , 否则源IP地址和目的IP地址只要有一个未解析 , 则会上送CPU , 由软件协议解析模块进行地址学习 , 同时软件转发数据报文 。故后者在遭遇蠕虫类病毒的目的IP扫描报文时就很轻易会把硬件IP转发表占满 , 导致正常的用户不能上网 , 或者即使能够上网 , 上网速率也非常慢的情况发生;当网络中存在多个病毒源时 , 情况会变得更加糟糕 。当大量的未解析报文涌上CPU的时候 , 出现的情况将是CPU占用率高 , 系统响应时延严重 , 用户感觉上网极慢等问题 。而Quidway S3500路由交换机的硬件IP转发表最长匹配方式就很好地解决了这个问题 , 在遭受此类病毒扫描时不会产生大量无用的硬件IP表项和ARP表项的垃圾表项 , 用户仍能正常上网;而目的IP扫描报文到达Quidway S3500路由交换机的本地网段后 , 虽然设备也需要在本地网段发送ARP请求报文 , 但这项任务的优先级较低 , 不会影响其它业务正常运行 。
2.2 控制层面-对扫描攻击的防御和对设备的保护机制
华为3Com公司的Quidway S3500系列路由交换机在数据转发层面具有完善、高效的防御、反抗病毒入侵的机制的同时 , 为最大限度地保护用户利益 , 从控制层面上 , 通过优化的硬件、软件设计以及合理的网络和设备配置 , 也提供了完备的网络防护措施 。
首先 , 从硬件、软件设计上 , Quidway S3500系列路由交换机使用了性能优异的Motorola公司的一款高性能嵌入式处理器作为主控CPU , 并对软件的中断处理、任务处理以及软件报文解析协议处理模块做了很多优化 , 能够保证在大流量负载情况下 , 每秒仍能处理300个以上的ARP报文或者600个以上的ICMP报文 。并且各种重要协议报文可以以不同的优先级入队 , 接受CPU处理 , 从而保证CPU能够及时优先处理最重要的报文 。对于超过CPU处理能力的报文 , 软件也提供了完善的保护和缓存机制 , 确保CPU使用率在100%时 , 重要业务仍然不会中断 , 同时设备串口控制台的响应也迅速如常 。这样就能在设备受到病毒攻击时 , 在保证设备稳定和正常运行同时 , 最大限度地保证网络流量正常通行 。
推荐阅读
- Cisco Catalyst 6500系列内容交换模块
- 音乐的奥秘——揭密七喜音势力系列“双核”手机
- 思科Catalyst 2900系列XL 10/100交换机
- 思科3500系列交换机的基本配置命令
- Cisco MDS 9000 系列交换阵列管理
- 荣耀20电池容量
- realme Q系列手机什么时候发布 realme Q新机发布时间
- 荣耀9X系列销售29天破300万台 夜间拍照能力堪比夜视仪
- 安卓10.0系统发布时间敲定 正式版系统支持Pixel全系列
- 华为mate30系列屏幕或由三星供货 非LG/京东方