思科安全入侵检测与响应解决方案

思科平安入侵检测与响应解决方案Version1.02007-11-03

书目1 当前我们面对的主要平安问题 32 企业网络平安技术的现状分析 72.1 网络平安出现了哪些的问题？ 72.2 须要统一平安管理的发展历程 112.3 SIM平安信息管理的产生 132.4 从平安信息管理SIM发展到平安威逼管理STM 143 思科平安监控和快速响应解决方案 183.1 思科平安监控的手段 18 NetFlow实时监控网络流量 18 思科IDS/IPS监控及网络入侵爱护 233.2 思科快速响应方案 38 CS-MARS的部署优势 42 CS-MARS防卫蠕虫病毒攻击实例 434 思科IPS/MARS的技术指标 50

当前我们面对的主要平安问题在近日召开的2005中国计算机网络平安应急年会(CNCERT／CC’2005)上，国家计算机网络应急技术处理协调中心(简称CNCERT／CC)发布了“2004年全国网络平安状况调查报告”。此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国16个城市2800多个企业的网络平安状况进行的。

调查显示，在各类网络平安技术运用中，防火墙的运用率最高，占77.8%；其次为反病毒软件的应用，占到73.4%；访问限制(25.6%)、加密文件系统(20.1%)和入侵检测系统(15.8%)也是通常运用的网络平安技术。生物识别技术、虚拟专用网络、数字签名和证书运用率较低，其中被访者中有很多人不清晰这些技术，还须要一段时间才能得到市场的认可。

在金融、制造、电信、财税、政府、教化、交通、其他类8个行业中，各行业被调查单位对防火墙与反病毒软件的运用率最高，其中财税、政府、教化行业以反病毒软件最普遍，其他行业都对防火墙运用最为普遍。

被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击，占75.3%。被调查对象认为，引发网络平安事务的缘由中最主要的是“利用未打补丁或未受爱护的软件漏洞”，占50.3%；对员工不充分的平安操作和流程的培训及教化占36.3%；紧随其后的是缺乏全面的网络平安意识教化，占28.7%。

调查数据显示，2004年面临的网络平安威逼最高的是运用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%；其次是有娴熟攻击阅历的攻击者胜利绕过网络平安防护措施，占15.4%；大量或特别密集网络攻击尝试，占13.8%。

此次调查是一次比较全面、客观、公正的社会调查，调查结果反映了我国当前网络平安的实际状况。总体而言，我国网络平安管理水平和技术水平较高，网络平安技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息平安的基础性工作的重视程度比较高；近70%的被调查单位有特地的组织或机构负责内部的网络与信息平安，显示出各单位将网络与信息平安作为自身平安的组成部分的相识有所提高，也反映了近年来国家层面对网络与信息平安提出的要求已逐步得到贯彻执行。

但是，通过调查也反映出我国企业网络平安方面存在的一些问题，比较突出地反映在网络平安产品运用比较单一，入侵检测系统、身份认证技术、加密技术等普及程度较低，被调查单位内部平安规章不够完善和全面，企业采纳网络平安相关标准作为指导的还不多，企业内部网络平安管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有阅历的黑客、拒绝服务攻击是我国面临的最重要的网络平安威逼。而加强配置管理、刚好获得计算机漏洞信息和网络平安事务信息、保证网络平安技术措施的刚好更新等被认为是最须要的。建立网络平安法律法规、建立网络平安技术监测平台、提高公众网络平安意识被认为是提高网络平安整体水平的最重要的宏观措施。如何应对现在新的网络平安环境呢？如何在我们的网络上确保平安，刚好地发觉问题、跟踪定位和阻挡泛滥，是每个网络管理人员所思索的问题。现在尽管采纳了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络平安，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只须要借助一台没有正确运用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严峻影响企业开展业务的实力，从而导致网络中断和收入损失。因此，企业在网络上部署平安设备和应用的目的不再只是限制访问权限和发觉可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的平安产品通常不能够实行足够快的措施制止攻击和保持网络的稳定性。这使得企业的平安管理人员很难确定为了购买更多的平安技术而增加预算的必要性。有很多相关的因素共同导致了这种僵局，例如：用于爱护和监控网络的各种平安设备――防火墙、IDS、VPN、身份验证设备等――具有不同的、不一样的报告机制。各个平安设备没有足够的网络拓扑信息，因而无法刚好地供应关于网络攻击的信息。一个典型企业中的各种平安设备可能会产生大量关于网络中流经的数据的信息，以至于操作人员无法有效地处理这些信息。综合起来看，我们企业遇到的平安问题主要归结为一下五个方面：对实时平安信息不了解，无法刚好发出预警信息平安设备的管理往往是孤立的平安设备，缺乏整个“网络”的意识事务发生后，无法确诊网络故障的缘由或感染源/攻击源，网络业务复原时间长缺乏“阅历丰富”的网络平安专家去监控，分析，解决问题；成本比较高对某些特定平安事务没有适合的方法，如DDoS攻击，蠕虫病毒等企业网络平安技术的现状分析网络平安出现了哪些的问题？如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依靠信息和网络技术来支持他们在全球市场中的快速成长和扩大。但随之而来的威逼也越来越多——黑客攻击、恶意代码、蠕虫病毒……可以说，网络从没有象今日这样脆弱不堪、危机四伏，不知道什么时候灾难就会驾临 。 在黑客技术发展层面，以及越来越频繁爆发的网络危机来看，黑客们已熟识了防火墙、IDS等平安部件执行的传统访问限制策略。他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，找寻一切可以利用的漏洞。攻击手段更加困难隐藏和立体，如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络平安提出了新的挑战。 从另一个角度来看，企业在网络建设初期网络平安并没有很好地规划。随着网络建设的深化，平安产品不断增加，整体缺乏统一管理，相互间没有沟通交互，信息无法有效整合，是一些信息平安的孤岛。 就象现在人们在关注和谈论的IT孤岛问题一样，各个应用系统之间缺乏有效联系，信息得不到整合，发挥不出其应有的价值。同样的问题放在网络平安上，这一效应就有可能放大成为风险，给企业IT系统的持续运转埋下隐患。 现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。其实这些来自不同平安产品的信息之间存在很大的相关性，假如分开独立地看待这些来自单一设备的信息，很有可能会忽视到一些重要的细微环节或关键因素，致使网络遭遇重大打击。 设想，当一个攻击发生时，防病毒、防火墙、IDS产品都发出了自身的报警信息，由于缺乏事务的关联性，一个事务会引起多个或大量的平安信息。这使网络管理人员无法进行刚好处理，往往顾此失彼，手足无措，无法针对事务做出刚好响应，快速地给出一个良好、有效的解决方法。 不同平安产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整整个网络的防卫策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭遇病毒或攻击的时候，最大限度地削减所遭遇的损失。 假如这种状况持续下去，网络平安管理员所看到的恒久只是一个相对独立的平安信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问题的全部，那些细微环节和隐藏在外表下的真相可能恰恰被忽视，而它们往往是问题的关键所在。像电信运营商这样拥有浩大的全国性网络、网络中平安产品数量众多的大型企业，这种问题尤为突出。 我们传统的手段都是通过网络设备/平安设备发送Syslog到服务器上，作平安的事后审计。一个大型的网络，包含若干的网络产品，这些网络设备随时随地都在发送SysLog信息，每天产生的Log信息达到数万之多，任何一个网络管理员很难通过Syslog来精确定位网络发生的平安故障；即使有丰富学问的网络管理员，能通过Syslog分析得到有用的网络信息，但是速度也是很慢的。 不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事故的响应速度。假如再加上一些稀里糊涂的虚假警报，公司的网络运维人员数量将急剧增长，但这依旧无法保证网络的平安，有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出昂扬的代价。 这就是为什么企业在部署了众多平安设备后，依旧无法有效地进行平安防范的缘由。IT管理者们更希望在问题发生的时候，得到一个综合全面的平安报告，以了解企业网络究竟处于什么样的状态，遭遇过什么样的攻击，正面临着什么样的危急？而不是每一个产品信息的简洁排列，企业须要一个能集中管理全部产品信息、智能化的平安管理中心。 “平安是三分技术，七分管理。”已为大家所广泛熟知，但是怎么管理、怎么进行有效地利用，却始终困围着众多CIO。诚然，一个良好的平安机制和策略能给企业供应肯定的平安保障，但面对网络中数目日益浩大的不同品牌和功能的平安产品，网络管理人员愈发捉襟见肘，单纯依靠人力的管理和维护不但效率低下，而且还面临很多不确定的因素和风险。 综上所述，不难看出，近年来，平安管理中心、集中平安管理平台的理念和整体解决方案越来越得到用户认可的一个深层次缘由。无论是网络平安的产业界，还是行业和企业用户，都越来越重视这一新兴的市场。很多厂商都从不同的层面，提出了各自的集中平安管理解决方案和思想。须要统一平安管理的发展历程统一的平安中心的发展由最起先的基于每一台平安设备的管理，到每一类平安设备（FW/IDS/VPN）的网元级的管理，因为单独的平安设备不能解决平安的网络问题，独立的基于网元的管理更不能解决日益困难的平安的问题，必需寻求新的方法。随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等平安威逼，建设平安的网络是业界目前所追求的志向目标。那么什么是平安的网络？平安的网络是指能够供应平安连接、平安保证、平安认证、平安抵挡以及平安服务，平安感知和管理，具有自我防卫实力的网络系统。单纯从技术的角度而言，目前业界比较认可的平安网络的主要环节包括入侵防护、入侵检测、事务响应和系统灾难复原。入侵防护主要是在平安风险评估和对平安威逼充分了解的基础上，依据对平安的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关平安信息的采集和刚好分析，来发觉网络中的入侵行为或异样行为，刚好提示管理员实行响应动作阻挡入侵行为的接着。事务响应是当发生平安事务的时候所实行的处理手段，与入侵防护和入侵检测不同，事务响应主要体现为专业人员的服务和平安管理。系统复原是指如何在数据、系统或者网络由于各种缘由受到损害后，尽快复原损失前的状态。除此之外，风险评估、平安策略和管理规定等，常常也被作为平安保障的重要部分。但是不论有多少环节，要想实现平安的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的打算工作，有了这些打算工作，事务响应才可以刚好得到各种必要的审计数据，进行精确的分析，实行措施降低损失或者追踪入侵者的来源等。因此，应急响应事实上将各个环节贯穿起来，使得不同的环节相互协作，共同实现平安网络的最终目标。而应急响应能否在攻击者胜利达到目标之前有效地阻挡攻击和快速响应，不但取决于平安产品本身实行了什么技术，更取决于运用和管理产品的人以及网络平安信息管理平台。优秀的信息管理分析工具，可以让平安管理人员对网络的平安状态了如指掌，快速行动，真正实现平安网络。下图为平安网络系统模型，可见平安信息管理具有特别重要的作用。平安信息管理平台涵盖的范围特别广泛，包括风险管理，策略中心，配置管理，事务管理，响应管理、限制系统，学问和情报中心，专家系统等，每个部分都须要严密的设计，相互协作，真正实现一个高效率的，好用的，完整的平安信息集中管理平台。平安管理在平安网络建设的循环中，起到一个承前启后的作用，是实现平安网络的关键，如下图所示在平安集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确推断的依据被不断增加的、多个厂商的平安设备和多个系统所产生的大量平安信息所沉没。比如一次简洁的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭遇攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到平安管理平台就是多次报警，而其实攻击就只有一次。只有能够供应有效管理、隔离和优先处理代表着实际平安威逼的消息自动化处理系统，才可以保证平安响应的时实性，从而才可以在重大的平安灾难来临之前有精确的的应急响应措施。目前的平安集中管理关键技术之一是一种称为平安信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种平安事务数据，供应强大的智能分析和处理实力。SIM平安信息管理的产生 SIM系统可以从多个设备接收日志数据，存储和管理所创建的大量文件，以及实现至少部分的数据证据分析。但是，SIM仍旧不能解决最其中关键的几个问题：1、须要大量训练有素的平安分析人员解读数据和报告。2、现有的分析深度不够，不足以刚好地阻挡正在进行的网络攻击。SIM技术供应的工具可以推断网络是否遭遇了攻击，某些网络组件是否受到了威逼，甚至某些网络组件是否参加了攻击，SIM并没有显示网络攻击的完整路径所须要的网络感知实力，因而无法在攻击发生时能快速制止攻击。3、SIM并不能提高其他平安设备的投资回报。 为弥补SIM的不足，须要提高网络感知实力和加快分析速度，以发觉实际的网络攻击并近乎实时地制止这些攻击。这种被称为平安威逼管理（STM）的实力必需能够自动执行大部分目前由平安分析人员完成的工作，降低对于训练有素的分析人员的需求，让平安人员可以集中精力处理实际的威逼和制定将来的策略及战略。从平安信息管理SIM发展到平安威逼管理STM STM技术监控网络中的各种平安和网络产品产生的日志和报告流量，采纳多种创新技术以精简庞杂的网络事务信息，为网络操作人员供应监控和阻挡网络攻击所必需的信息：1、端到端的网络拓扑感知实力和攻击发觉实力2、高效能进程化和基于进程的主动关联3、集成化的动态主机脆弱性分析和精确跟踪 STM技术从全面感知网络拓扑起先，知道哪些协议在哪里创建了网络地址，以便当某个攻击的源和目地地址发生变更时接着加以跟踪。简洁网络管理协议（SNMP）的运用在设备的IP地址和它的固定硬件MAC地址之间供应了映射，让用户可以精确地识别网络路径上的某个设备。STM技术可以运用来自于路由器、交换机和其他计算机的完整配置信息，以及来自于平安设备的信息建立网络的完整视图。 STM技术首先从平安设备和网络组件接收网络事务，将事务信息与它的网络感知实力结合到一起，发觉网络攻击活动集中的“热点”，并且显示攻击终端之间的网络路径。随后指出操作人员可以制止攻击的网络或者平安设备，为阻挡危急流量供应精确的设备位置和适当的设备配置信息。图1（从上往下读图）显示了STM技术用于削减原始网络事务数据量和制止网络攻击的创新流程： 网络上的多个设备――包括平安设备（防火墙和IDS）、网络设备（路由器和交换机）和终端系统（服务器）――发送日志和网络信息，从路由器和交换机采集CiscoIOSNetFlow数据，获得用于集成事务数据的网络性能和记账数据，识别异样网络流量和突变。 进程化可以利用网络拓扑感知功能将多个事务汇总成端到端的进程。图2显示了一个典型的进程。网络地址在攻击路径中发生了变更，而NAT感知功能对于关联不同的事务具有重要的意义。 图1从网络事务到攻击制止 基于进程的主动关联可以利用内置的和用户定义的规则，将关于多个进程的信息与NetFlow数据关联到一起，以发觉可能的完整网络攻击（简称攻击）。对于每个可能的攻击，进行自动的脆弱性扫描。这包括检查攻击是否胜利到达目标（它可能会被某个防火墙或者服务器中的主机IDS阻截），以及目标是否的确可能遭遇攻击（它的操作系统可能不会遭遇这种攻击的影响）。自动脆弱性扫描会运用关于终端系统的信息发觉误报，制定规则以削减将来对可能攻击的分析和处理。 将实际的攻击通知操作人员，并告知制止方法。精确跟踪可以自动搜集主机信息，获得关于实际事务的完整信息。每天数百万个事务可能会精简到数十个攻击――一个操作人员就足以对这些事务进行解读和处理。为分析人员供应肯定数量（可设置）的事务，由其确定它们是真正的攻击还是误报。只需做出一个确定，就可以识别误报，快速削减获得的事务数量。作为上述流程的一个典型例子，请参考图2中的箭头所显示的攻击路径。STM技术可以接收这些事务，并利用它在不同节点的网络拓扑和NAT感知实力将这些事务汇总为单个进程。在图2中，（留意攻击的目的地地址被防火墙的NAT更改）STM技术可以将防火墙两侧的事务识别为同一个进程的不同部分――尽管存在不同的地址。 图2进程化TM STM技术可以依据内部规则比较进程的细微环节（进程内部关联）和其他进程的细微环节（进程间关联），以发觉某个潜在的攻击。假如存在潜在的攻击，会依据对攻击目标的实际扫描，进行脆弱性分析，确定潜在攻击是一个须要报告和制止的攻击，还是一个可以忽视的误报。 在最低层次上，STM技术可以被看做一个有效的、高性能的SIM。在较高层次上，它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击进行证据分析，为平安威逼管理树立很多新的标准和方法，提高平安威逼的响应速度，从而真正实现综合统一的平安技术体系，使平安系统具有快速响应威逼的实力，利于自防卫平安网络的建设。思科平安监控和快速响应解决方案思科平安监控的手段网络的平安监控的前提必需实时了解网络运行的状况，包括网络的实时流量，网络整体的拓扑，网络平安设备部署的全景，网络平安策略的部署，网络设备的级别配置，等等。所以，网络平安的快速响应必需基于整个网络的平安监控分析。思科供应有多种平安监控分析的手段。思科全部的路由器和大部分中高端交换机都具备的Netflow功能就是最常用的一种流量统计视察的常用手段；思科IDS、网络分析模块、CSA等也是网络平安监控的重要手段。NetFlow实时监控网络流量最近调查显示，NetFlow的采纳率正在不断上升。很象基于RMON的探针的NetFlow能够为用户供应有关特定应用在哪里被运用、为什么被运用、被如何运用以及被谁运用，以及这种运用有可能如何影响网络的信息。NetFlow是Cisco公司的IOS软件的一部分，而其当前的版本9目前正在IETF以IPFIX的名称进行标准化。当然，这使得NetFlow/IPFIX作为有关异构环境里的网络上的应用流程的信息的一样来源更具吸引力了。NetFlow供应IP源地址、IP目的地址、源端口、目的端口、三层协议类型和服务级别信息。几年来，服务供应商始终运用NetFlow。它们始终被NetFlow的如下特点所吸引：它在大型WAN环境里所具有的伸缩实力；它能够帮助支持对等点上的最佳传输流；它可用来进行建立在单项服务基础之上的基础设施最优化评估；它在解决服务和平安问题方面所表现出来的价值；它能够为服务计费供应基础。然而，NetFlow却远非万能。它无法供应应用反应时间，而且，考虑到不断增长的动态端口安排趋势，它在依据端口特征识别应用方面的实力还远远不够。此外，过去，NetFlow很难实现，而且在性能方面表现也不好。因此，它事实上是无法在大多数IT部门实现的最佳实践。如今状况发生了很大的变更。调查发觉路由器性能影响降低到了最低的大约2%至3%，而且，NetFlow部署只须要一个星期的时间。采纳它的另一个缘由是：可以报告和分析NetFlow的软件—如出自Crannog、Micromuse、NetScout和NetQoS公司的管理软件包得到了很大的改进。NetQoS公司的产品可以依据入站传输流对出站传输流进行评估以简化部署。NetFlow同样对于服务建模以及计费应用很有价值，而且，对于诸如Q1Labs公司和Arbor公司的Peakflow之类的平安厂商很有用，在这方面，NetFlow所具备的捕获异样通信流量的实力对于蠕虫、拒绝服务攻击以及其他与平安相关的问题的报警很有价值。此外，第三方产品也通过诸如应用服务器映射和旨在依据广泛的WAN部署进行调整的包分析技术之类的方法，提高了NetFlow识别独特应用数据流的实力。 必需指出的是，NetFlow/IPFIX只是捕获和分析应用传输流的众多技术中的一项。NetFlow/IPFIX所具备的别出心裁的特点就是它的内在优势：能够利用当前基础设施捕获大型的且通常是分布式网络上的普遍存在的连接特定的通信行为。 我们以2003蠕虫王(Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，m)爆发的例子来说明Netflow在防范网络异样流量攻击的好处。

Netflow记录的信息： 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1

61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1

NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404

从以上案例可以看出，蠕虫爆发时，应用Neflow分析方法，可以依据病毒流量的NetFlow特征快速定位感染病毒的IP地址，并参考NetFlow数据流的其它特征在网络设备上实行相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。在思科路由器上采集分析NetFlow数据

推断异样流量的流向后，就可以选择合适的网络设备端口，实施Neflow配置，采集该端口入流量的NetFlow数据。

以下是在CiscoGSR路由器GigabitEthernet10/0端口上打开NetFlow的配置实例：

ipflow-exportsourceLoopback0

ipflow-exportdestination*.*.*.619995

ipflow-sampling-modepacket-interval100

interfaceGigabitEthernet10/0

iproute-cacheflowsampled

通过该配置把流入到GigabitEthernet10/0的NetFlow数据送到NetFlow采集器*.*.*.61，该实例中采纳sampled模式，采样间隔为100:1。处理异样流量的方法

（1）切断连接

在能够确定异样流量源地址且该源地址设备可控的状况下，切断异样流量源设备的物理连接是最干脆的解决方法。

（2）过滤

采纳ACL（AccessControlList）过滤能够敏捷实现针对源目的IP地址、协议类型、端口号等各种形式的过滤，但同时也存在消耗网络设备系统资源的副作用，下例为利用ACL过滤UDP1434端口的实例：

access-list101deny

udpanyanyeq1434

access-list101permitipanyany

此过滤针对蠕虫王病毒（SQLSlammer），但同时也过滤了针对SQLServer的正常访问，假如要保证对SQLServer的正常访问，还可以依据病毒流数据包的大小特征实施更细化的过滤策略。

（3）静态空路由过滤

能确定异样流量目标地址的状况下，可以用静态路由把异样流量的目标地址指向空（Null），这种过滤几乎不消耗路由器系统资源，但同时也过滤了对目标地址的正常访问，配置实例如下：

iproute205.*.*.255Null0

对于多路由器的网络，还需增加相关动态路由配置，保证过滤在全网生效。

（4）异样流量限定

利用路由器CAR功能，可以将异样流量限定在肯定的范围，这种过滤也存在消耗路由器系统资源的副作用，以下为利用CAR限制UDP1434端口流量的配置实例：

Router#(config)access-list150denyudpanyanyeq1434

Router#(config)access-list150permitipanyany

Router#(config)interfacefastEthernet0/0

Router#(config-if)rate-limitinputaccess-grouprate-limit1508000150020000

conform-actiondropexceed-actiondrop

此配置限定UDP1434端口的流量为8Kbps。

更多关于Netflow的具体信息，可以参考“网络自身平安”和“蠕虫/恶意代码防范“的相关章节。思科IDS/IPS监控及网络入侵爱护 IDS是网络系统里面常见的平安监控组建，IDS往往发送大量的事务报告给网络管理员，管理员常常沉没在大量的事务告警信息里面，而不知所措。早期的IDS系统还常常发生误报警，现在的技术渐渐成熟已经可以完成IPS的功能。 一个入侵检测系统分为四个组件：事务产生器（Eventgenerators）；事务分析器（Eventanalyzers）；响应单元（Responseunits）；事务数据库（Eventdatabases）。事务产生器的目的是从整个计算环境中获得事务，并向系统的其他部分供应此事务。事务分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、变更文件属性等剧烈反应，也可以只是简洁的报警。事务数据库是存放各种中间和最终数据的地方的统称，它可以是困难的数据库，也可以是简洁的文本文件。系统分类依据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统爱护的一般是所在的系统。这种系统常常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID（intrusiondetection）：位于操作系统的内核之中并监测系统的最底层行为。全部这些系统最近已经可以被用于多种平台。比如Cisco的CSA就是这样的一类入侵爱护系统。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式（promiscmode）,对全部本网段内的数据包并进行信息收集，并进行推断。一般网络型入侵检测系统担负着爱护整个网段的任务。入侵检测技术对各种事务进行分析，从中发觉违反平安策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标记（signature-based），另一种基于异样状况（anomaly-based）。对于基于标识的检测技术来说，首先要定义违反平安策略的事务的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法特别类似杀毒软件。而基于异样的检测技术则是先定义一组系统“正常”状况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过视察系统、并用统计的方法得出），然后将系统运行时的数值与所定义的“正常”状况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”状况。两种检测技术的方法、所得出的结论有特别大的差异。基于异样的检测技术的核心是维护一个学问库。对于已知的攻击，它可以具体、精确的报告出攻击类型，但是对未知攻击却效果有限，而且学问库必需不断更新。基于异样的检测技术则无法精确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。入侵检测过程从总体来说，入侵检测系统可以分为两个部分：收集系统和非系统中的信息然后对收集到的数据进行分析，并实行相应措施。信息收集信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且，须要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。入侵检测很大程度上依靠于收集信息的牢靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客常常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这须要保证用来检测网络系统的软件的完整性，特殊是入侵检测系统软件本身应具有相当强的坚实性，防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面（这里不包括物理形式的入侵信息）：系统和网络日志文件黑客常常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已胜利入侵了系统。通过查看日志文件，能够发觉胜利的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID变更、用户对文件的访问、授权和认证信息等内容。很明显地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。非正常的书目和文件变更网络环境中的文件系统包含很多软件和数据文件，他们常常是黑客修改或破坏的目标。书目和文件中非正常变更（包括修改、创建和删除），特殊是那些正常状况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客常常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。非正常的程序执行网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。信号分析对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发觉违反平安策略的行为。该过程可以很简洁（如通过字符串匹配以找寻一个简洁的条目或指令），也可以很困难（如利用正规的数学表达式来表示平安状态的变更）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著削减系统负担，且技术已相当成熟。它与病毒防火墙采纳的方法一样，检测精确率和效率都相当高。但是，该方法存在的弱点是须要不断的升级以应付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。统计分析统计分析方法首先给系统对象（如用户、文件、书目和设备等）创建一个统计描述，统计正常运用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何视察值在正常值范围之外时，就认为有入侵发生。例如，原来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为困难的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然变更。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于探讨热点和快速发展之中。完整性分析完整性分析主要关注某个文件或对象是否被更改，这常常包括文件和书目的内容及属性，它在发觉被更改的、被特咯伊化的应用程序方面特殊有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变更。其优点是不管模式匹配方法和统计分析方法能否发觉入侵，只要是胜利的攻击导致了文件或其它对象的任何变更，它都能够发觉。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应当是网络平安产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。 专家系统用专家系统对入侵进行检测，常常是针对有特征入侵行为，是较为智能的方法。专家系统主要是运用规则进行分析，规则即学问，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依靠于学问库的完备性，学问库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的学问转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统学问库的完备性。CiscoIPS4200系列传感器是思科自防卫网络的一个核心组件。在当今繁忙的网络环境中，业务连续性的实现主要依靠于网络入侵爱护，它能在恶意攻击、蠕虫和病毒影响您的数据和资源前终止它们的运行。CiscoIPS4200能精确地检测、分类和终止恶意流量的传输。CiscoIPS技术能够防卫恶意活动，包括蠕虫、干脆攻击、分布式拒绝服务攻击、侦察和应用滥用。模块化检测功能以先进的思科平安特性和网络智能为基础，能检测和防卫对于从应用到ARP的整个网络堆叠的威逼。CiscoIPS技术供应业界领先的入侵爱护，增加了这一功能。CiscoIPS供应自适应平安漏洞和异样流量检测。签名主要集中于平安漏洞，那么即使发生变更，检测威逼的实力也不会受到影响。为应对新兴的“零日”威逼，CiscoIPS能学习您的网络，发觉异样行为，并在无需升级签名的状况下防卫攻击。CiscoIPS技术和签名服务是由思科全球平安专家团队开发的。这些专家对新兴威逼、检测方法和防卫策略进行长期探讨，以便不断供应基于平安漏洞的最新签名和先进的入侵防卫功能。精确的响应CiscoIPS4200系列传感器供应精确的威逼影响分析，帮助您自信地应对威逼。CiscoIPS为每个事务进行实时风险衡量，使您最充分地了解潜在威逼的影响。自适应多维算法结合了攻击细微环节与实时网络学问，生成标准化的风险评估结果。CiscoIPS拥有最丰富的响应措施集，执行敏捷、精确的响应策略。您能为每个网络环境和威逼定制IPS策略–干脆丢弃数据包、终接进程、限速，或在网络中的路由器和其他平安设备上实施接入限制和速率限制。CiscoIPS威逼评定特性能够评估响应后的风险，使平安事务处理者集中精力处理对业务影响最大的事务。在主动响应，优先处理对业务潜在影响最大的事务之后，更新风险衡量结果。CiscoIPS记录每个报警的实时、深化的信息，帮助事务处理者快速诊断和解决问题。环境数据和进程记录供应了每个事务之前、期间和之后的数据包级具体信息。自防卫网络的入侵防卫功能集成最具多样性的IPS传感器系列为网络随意位置的适当工作供应适当工具入侵防卫已集成到网络阵列中解决方案以思科平安特性和网络智能为基础自适应模块化检测引擎供应了快速响应和最短停机时间异样行为检测能防卫零日攻击基于风险的动态威逼评定能实时调整应对攻击的策略协作机箱和网络级关联运用户更为自信网络和端点协作供应了更高可视性和效率基于解决方案的通用管理界面有助于降低运营开支基于策略的管理CiscoIPS4200系列传感器削减了实施平安措施所需的时间和精力，运用留意于策略的管理和关联工具，并供应了必要的精确度，以便您精确调整IPS配置。利用集成的图形化管理和事务阅读工具，开箱即能提高平安可视性，并便利地定义检测策略。利用思科平安监控、分析和响应系统(MARS)，获得有关您的平安状态的统一、端到端视图，并利用统一方式来管理平安事务。利用功能丰富的思科平安管理器(CSM)图形化界面，只需简洁的几步就能更新数千设备上的策略，从而降低变更和配置管理活动的成本。企业永续性CiscoIPS4200系列传感器具容错性，能够缩短停机时间，确保您的IPS解决方案能够承受日常运营中的高峰流量压力。内置的全面监控功能可检测出每个运营层次的潜在故障，包括设备、服务、通信和监控链路故障。自动和手动保证连接选项使您能为最坏的状况定义合适的策略，比如每个通过的数据包都必需检查，或是“无论发生什么状况”您的流量都必需通过等。集成硬件旁路能帮助您将此策略扩展应用到整个系统和电源故障。敏捷的部署作为最多样化的IPS技术产品系列的一个组件，CiscoIPS4200系列传感器能部署在各种网络环境之中。IPS4200系列广泛的性能和接口配置能帮助您在网络边缘、园区网和数据中心中，以无与伦比的敏捷性实施高效的入侵防卫。CiscoIPS4200系列传感器能部署为线内IPS配置、混合IDS配置，或同时支持线内和混合配置。CiscoIPS4200系列设备供应多种多接口配置，包括铜缆和光纤千兆以太网以及万兆以太网接口。您还能配置数千个逻辑接口，并在您的VLAN环境中实施入侵防卫，为您供应了设计敏捷性，以支持您全部繁简不一的部署要求。CiscoIPS技术还供应业界领先的虚拟化功能。虚拟传感器支持配置和传感器状态的虚拟化。如图1所示，传感器几乎能部署在任何须要平安可视性，以便高效终止蠕虫和病毒运行的企业网段之中。多个IPS传感器通过CiscoCatalyst交换机上的以太通道来供应具高可扩展性的负载均衡解决方案供应精彩性能CiscoIPS传感器能满意多种应用和网络的严格要求。在当今的企业中，应用受益于互联网的程度已达到前所未有的水平。IP语音、电子商务、流视频和Web2.0改进了生产率和员工协作。这些网络应用对资源，如连接速率、并发连接数、流量长度、事务处理规模等提出了不同需求。从性能的角度来看，出现了一系列应用类型，从支持融合内容的多媒体环境到通过快速、轻量连接构建的、能进行大量事务处理的环境。CiscoIPS技术在“多媒体”和“事务处理”环境中评估多种参数，帮助您依据实际环境的独特特征，预料真正的IPS性能。多媒体多媒体环境的特征是有丰富的内容。大多数流行网站上的内容都属于多媒体范畴，如视频内容和文件传输等。假如您的环境需访问大量数据和融合内容，您的环境就属于多媒体环境。事务处理事务处理环境的特征是有大量连接。很多类型的电子商务环境都属于事务处理环境，如即时消息传递和语音等。假如您的环境有须要大量连接的应用，而事务处理的规模较小，则您的环境属于事务处理环境。图2显示了从多媒体环境到事务处理环境间的各种环境。产品规格CiscoIPS4270CiscoIPS4260CiscoIPS4255CiscoIPS4240CiscoIPS4215多媒体性能4Gbps2Gbps600Mbps300Mbps80Mbps事务数据性能2Gbps1Gbps500Mbps250Mbps65Mbps标准监控接口4个10/100/1000BASE-TX或4个1000BASE-SX10/100/1000BASE-TX4个10/100/1000BASE-TX4个10/100/1000BASE-TX10/100BASE-TX标准吩咐和限制接口10/100/1000BASE-TX10/100/1000BASE-TX10/100BASE-TX10/100BASE-TX10/100BASE-TX可选监控接口4个10/100/1000BASE-TX2个1000BASE-SX(光纤)(共16个监控接口)4个10/100/1000BASE-TX(9个监控接口)2个1000BASE-SX(4个光纤监控接口)无无4个10/100BASE-TX(5个监控接口)冗余电源有可选无无无自动硬件保持连接支持**支持**支持*支持*支持*机型4机架单元2机架单元1机架单元1机架单元1机架单元高度6.94英寸(17.6厘米)3.45英寸(87.6毫米)1.72英寸(4.37厘米)1.72英寸(4.37厘米)1.7英寸(4.37厘米)宽度19英寸(48.3厘米)17.14英寸(435.3毫米)17.25英寸(43.82厘米)17.25英寸(43.82厘米)16.8英寸(42.72厘米)长度26.5英寸(67.3厘米)20英寸(508毫米)14.5英寸(36.83厘米)14.5英寸(36.83厘米)11.8英寸(29.97厘米)重量80磅(36.3公斤)40磅(18.14公斤)(全加载时)20磅(9.07公斤)20磅(9.07公斤)11.5磅(4.11公斤)机架安装支持支持支持支持支持自动切换100到240VAC100到240VAC100到240VAC100到240VAC100到240VAC频率50–60Hz,单相47–63Hz,单相47–63Hz,单相47–63Hz,单相50–60Hz工作电流12A(100VAC),4.9A(200VAC)8.9A(100VAC)4.5A(200VAC)3.0A3.0A1.5A工作温度10到35°C(50到95°F)10到35°C(50到95°F)0到40°C(32到104°F)0到40°C(32到104°F)5到40°C(41到104°F)非工作温度–40到70°C(-104到158°F)–40到70°C(-104到158°F)–20到65°C(-4到149°F)–20到65°C(-4到149°F)–25到70°C(-13到158°F)工作相对湿度10到90%(非冷凝)10到85%(非冷凝)10到85%(非冷凝)10到85%(非冷凝)5到95%(非冷凝)非工作相对湿度5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)全功率时的热耗散4070Btu/hr648Btu/hr614.2Btu/hr614.2Btu/hr410Btu/hr*配备第三方产品**配备旁路接口卡CiscoIPS4215能精确地查看和爱护65/80Mbps（事务性应用/多媒体应用）流量，适用于多T1/E1和T3环境。此外，CiscoIPS4215上支持多个监控接口，能在单一设备中供应入侵检测和防卫（IDS/IPS）服务，从而同时爱护多个子网。运行于250/300Mbps（事务性应用/多媒体应用）的CiscoIPS4240能为交换环境供应爱护，部署于多个T3子网上，支持多个10/100/1000接口。它可部署于仅部分运用的千兆链路或完全运用的全双工100Mbps环境。CiscoIPS4240-DC以IPS4240为基础，但支持直流电源。IPS4240-DC符合网络设备构建系统（NEBS）标准，能部署在对符合NEBSLevel3有特定要求的环境。CiscoIPS4255供应500/600Mbps（事务性应用/多媒体应用）的性能，能用于爱护部分运用的千兆子网和从多个子网汇聚流量的交换机所传输的信息。CiscoIPS4260供应1/2Gbps（事务性应用/多媒体应用）的爱护性能，能用于爱护千兆子网和从多个子网汇聚流量的交换机所传输的信息。这肯定制设备支持铜线和光纤网络接口卡（NIC）环境，实现了部署敏捷性。CiscoIPS4270供应2/4Gbps（事务性应用/多媒体应用）的爱护性能，能用于爱护千兆子网和从多个子网汇聚流量的交换机所传输的信息。支持端口数量可以达到16个GE，协作虚拟IPS的功能，可以敏捷部署于网络核心与数据中心等网络关键区域。思科快速响应方案 思科于2005年2月分收购了闻名的防卫与响应系统解决方案供应商ProtegoNetworks公司（简称PN），PN供应的PN—MARS是STM系统威逼管理的开山之作。这些系统包括软件、硬件和插入TCP/IP网络的Web管理界面。PN-MARS产品可以关联网络和平安设备配置信息、NetFlow、应用日志和平安事务，让IT人员可以从一个集中的地点实时发觉、跟踪、分析、防卫、报告和存储整个企业网络中的平安事务和攻击。思科收购PN以后，新的产品更名为CS-MARS。核心业务策略、法规和报告CS-MARS可以通过关联网络和平安设备日志、配置和事务，扩展数据来源和支持平安策略。CS-MARS可以在不需运用代理的状况下汇总、分析、报告和存储大量的原始数据和事务数据。基础设施支持几乎全部的TCP/IP网络服务、应用和端口，以及大部分交换机、路由器、防火墙、IDS传感器和平安应用。全面的设备支持实力有助于实现集成。该公司供应的CS-MARSGC（全局限制器）可以充当一个额外的集中策略限制和平安管理层。平安管理和流程自动化高度可视化的、基于Web的管理界面让经过授权的用户可以从任何地方访问CS-MARS。目前，CS-MARS可以供应一种独一无二的防卫功能：用户可以利用攻击路径中的关键设备（路由器、交换机、防火墙）制止攻击或者限制漏洞。 MARS为协调平安信息管理、平安事务管理、响应、威逼防卫和职责履行等任务供应了一系列设备。每个CS-MARS设备每秒钟都能够有效地关联和整合数百个甚至上千个网络和平安事务，并实时地在企业网络中跟踪事务和攻击。运用了这些产品的客户表示，CS-MARS可以削减固定事务和误报率，即那些被跟踪的事务都是“有效的”，而不会与来自日志的干扰信息或者来自于不同网络、平安设备的孤立事务混淆。 全部产品的核心――CS-MARS系列设备所运用的软件――都是相同的。每个设备都是一个一揽子解决方案，可以通过嵌入式Oracle数据库和专用Protego逻辑供应采集、关联、汇总、可视化、查询、响应和报告功能。而且，不同规格的CS-MARS设备可以互联到一起，为不同规模的网络供应一个全面的网络威逼、攻击和业务中断视图。CS-MARS设备可以在本地操作和管理，或者多个MARS设备可以集中通过一个CS-MARSGC（全局限制器）进行集中协调。CS-MARSGC将作为一个附加设备供应。 CS-MARS设备上的软件采纳了独特的设计，可以有效地处理分散的平安相关事务数据，将其汇总到有效的攻击进程中。这包括跨越网络设备的全面NAT解析功能和异样网络流量行为检测。Protego面对进程的平安事务信息视图是依据预定义和用户自定义的事务规则自动关联的。该设备能够检查某个平安漏洞是否被利用，或者某个攻击是否被制止，从而进一步汇总数据、干扰和误报信息。用户可以快速地调查实时事务，或者在事务发生之后调查相关的规则和原始设备数据。而且，CS-MARS软件还可以自动生成防卫选项，从而让IT管理人员可以刚好更改配置；半自动或者手动将其应用到网络和平安设备，以及攻击路径，从而消退系统漏洞，防止攻击者进入企业网络。 全部这些功能都通过一个高度可视化的、实时的分析功能得以实现，而用户可以通过一个详尽的拓扑图和交互式的Web界面运用这些功能。用户界面会标出热点、跟踪轨迹和重要节点。管理功能包括创建定制规则，生成查询和报告，在不丢失背景信息的状况下细化到任何一个等级，以及从某个集中地点管理威逼并将防卫措施推行到企业网络的任何部分。另外，CS-MARS可以自动执行包括调查、审核、攻击路径重建（利用实时的或者以前存储的数据；本地存储会被压缩并不断地存档到NAS存储）在内的整个流程。最终，CS-MARS可以通过全面的设备支持，接收来自于几乎任何数据来源的数据，包括大部分防火墙日志、路由器日志、VPN设备、网络和主机IDS传感器、网络扫描器和应用。 几乎全部的MARS客户都对CS-MARS产品，以及产品为他们的公司带来的价值赐予了很高的评价。一位客户表示：“我无法用市场上的其他产品实现这些功能：他们比其他竞争对手领先了很多年。”另外一位客户表示：“我认为他们很快就会发展壮大：我只希望他们仍旧关注于倾听客户需求和供应卓越的服务。”其他一些客户表示：“他们能够在几周之内将设想的概念变成可用的功能…我对他们能够如此快速地实现我们所希望的功能感到惊异。” 同时全部的客户都表示，他们能够刚好地检测和跟踪病毒、蠕虫、拒绝服务和其他入侵，从而主动实行措施避开损失。另外，客户还表示他们能够跟踪入侵的源和目的地MAC地址，从而加快调查和修复速度，避开可能会在初期问题之后发生的“二次爆发”。

人们认为CS-MARS产品的便利性超出了市场上的其他同类产品。精通网络的IT人员对它的可用性赐予了很高的评价。它可以便利地扩展到数千个设备和数万个事务，并且部署难度相对较低。同样，牢靠性也得到了很高的评价，不过一些受访客户表示，因为该产品还很新，这家公司的成立时间也不长，所以还存在着一些有待改进的环节。CS-MARS的部署优势 在最低层次上，CS制止和响应系统（MARS）设备可以被用作一个有效的、高性能的SIM。在较高层次上，它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击进行证据分析。该产品的真正价值在于它为平安威逼管理树立了很多新的标准： 1、大幅度精简数据：CSMARS设备具有深化的网络拓扑和地址感知实力，可以将数百万个平