今年來網絡蠕蟲泛濫給ISP和企業都造成了巨大損失，截至目前已發現近百萬種病毒及木馬。受感染的網絡基礎設施遭到破壞，以Sql Slammer為例，它發作時會造成丟包率為30%。
    我們如何在LAN上防范蠕蟲？大家知道，接入交換機遍布于每個配電間，我們不可能在每個接入交換機上都部署IDS,如何在三成交換的核心部署IDS,對于匯集了接入層的所有電腦的流量來說,工作在第七層軟件的IDS無法處理海量數據.這樣監控 不現實.經過長期研究利用cisco catalyst交換機的安全特性和netflow就可以發現可以流量.蠕蟲的特性就是發作時會稍描大量的IP,從而產生大量的TCP,ICMP,UPD 流量.這里的netflow和傳統的IDS的一個主要區別是不包含高程信息.一邊硬件高速處理.我把netflow部署在cisco 4006上.所以netflow不能對ip packets作深度分析,但足夠發現蠕蟲了.例如,一個正常用戶有50-150的活動連接就可以接受,如果一個用戶發起大量( >1000個)活動流就肯定有問題.通過分析我們可以發現原地址,但通過源地址還不足以定位源頭.比如我們要知道登陸的端口,登陸的用戶等信息.我們可以用netflow捕捉可以流量并導向網絡分儀.catalyst繼承了安全特性提供了基于身份的網絡服務IBNS,源IP防護,動態ARP檢測等功能.再結合ACS還可以定位登陸用戶的信息在netflow collector上編寫個script,當發現可以流量時候就以email的方式發給管理員,并push到手機上.
    掌握了以上信息administrator 就可以馬上采取以下行動:通過SPAN捕捉可以流量,將接入層的某交換機的某端口,或某VLAN的流量鏡像到核心層的某個端口(接IDS)來.作為個有經驗的網絡工程師這些操作也就5分鐘搞定了.