企业网络问题评估分析─众至相关解决方案(4/6)
作者:2012/8/20 6:50:24

问题3:计算机被殭尸病毒控制或是***而不知道。

多数的企业都希望自己的工作网络环境是一个既稳定又安全,但是很可惜,就是会有一些网络攻击者时常在寻找漏洞作攻击,万一不幸被锁定成为攻击的目标,很可能就会造成网络的瘫痪。时常,我们会抱怨网络带宽不足,上网的速度像乌龟爬行一样慢,就算带宽在加到怎么大还是永远感到不足。但是网络上网速度慢真的是带宽不足吗?有时候我们去细探原因,发现它已成为恶意软件攻击的目标,像是后门程序、蠕虫、Spware或病毒的攻击。

从上图中,我们可以看出当一台计算机被******而成为Botnet殭尸网络新成员的时候,他会先向C&C Server注册,成为殭尸网络中的一个成员,并等候它的指示。而Botherder可以透过C&C Server知道目前有多少botclient成员?它们分部在哪些区域?可以让他们进行哪些攻击行为?当Botherder想要发起恶意攻击时,只要对C&C Server下指令就可以了,C&C Server会将接受到的指令传给所有的Botclient,由Botclient攻击目标并回传执行的结果。

从上,我们可以知道Botnet的攻击是无远弗届且多变,对企业来说该怎么做才可以事先预防呢?很多的网络***行为,虽然并没有让企业感受他的立即性,但如果我们可以事先做预防管控,是不是就可以减少这些危害发生呢?

众至解决方案方案3:

避免计算机被殭尸病毒控制或是******佳工具─IDP/Botnet侦测防御

祸起萧墙,威胁无所不在,网络安全的威胁日益变化,殭尸木马攻击手法让传统UTM 内建的防火墙跟防毒系统相继失去效果,传统的***跟病毒攻击法是受***时马上发作,用户会反应给网络管理者,网络不稳定,此时去查询网络封包异常记录就可以看出端倪。

但这一切对于殭尸木马病毒通通无效,病毒会潜伏在网络正常封包中默默的搜集信息,当攻击者的号角响起时,一起发作攻击或***信息,在一场混战中分不清谁是攻击者谁是受害者。

在建置因特网之初,都会假设攻击者是来自外部网络,随着防护对象的不同配置防火墙、IDP(***检测)、防毒墙,简单说明每个资安设备的防护目标,IDP(***检测)***主要的工作是阻挡外部有***的网络攻击封包,一般都会建置在防火墙的***外面,防毒墙也没办法有效侦测出木马潜伏期的特征值。

IDP 具有BotNet 侦测的特征值,会看到MAIL SERVER、内部SERVER或是UTM外部IP来的封包有问题,管理者认为这2台设备中了殭尸病毒,把计算机杀毒、重灌系统后发现状况依然存在,因为真正的发信者是藏在内部的某一台计算机中,因此,在这个架构下,无法找到真正的殭尸木马的地址。

传统的资安设备的假设前题是『内部网络是安全的』,刚好中了殭尸病毒的下怀,在这些设备中无法真正察觉出隐藏的木马,或者找出NAT后有问题计算机,这样还是无法解决问题。

在导入殭尸木马阻挡机制之前,不影响所有人的网络行为下,启用『***模式』,将所有的封包导入分析引擎中,观察数天后,藉由LOG 的分析,就可以解决【是不是真的有殭尸病毒】的疑问了。

在***模式下无法阻挡***的网络封包,如果想把有危害的网络封包直接阻挡,则需要选择『串接管理模式』,并搭配『BotNet过滤设定』及管制条例的运用,就可以阻挡被挟持计算机对外发送的网络封包了。

在***模式下无法阻挡***的网络封包,如果想把有危害的网络封包直接阻挡,则需要选择『串接管理模式』,并搭配『BotNet过滤设定』及管制条例的运用,就可以阻挡被挟持计算机对外发送的网络封包了。

商户名称:上海英宽网络科技有限公司

版权所有©2024 产品网