CISCO安全監(jiān)控分析和響應(yīng)系統(tǒng)測(cè)試報(bào)告

1、mars實(shí)施報(bào)告目錄1mars概述42mars功能簡(jiǎn)介及配置42.1mars拓樸自動(dòng)發(fā)現(xiàn)42.2添加安全設(shè)備62.3配置netflow信息82.4創(chuàng)建自定義規(guī)則92.5創(chuàng)建自定義報(bào)告123mars管理153.1拓樸結(jié)構(gòu)及設(shè)備查看153.2系統(tǒng)統(tǒng)計(jì)信息173.3安全事件操作173.3.1查看incident173.3.2攻擊分析203.3.3攻擊緩解223.4常用報(bào)表查看234mars的報(bào)表功能264.1mars實(shí)用報(bào)表示例264.1.1自定報(bào)告清單264.1.2最多報(bào)告事件設(shè)備統(tǒng)計(jì)284.1.3最大命中規(guī)則統(tǒng)計(jì)284.1.4dos事件報(bào)告304.1.5過(guò)去1天最大訪問(wèn)目的ip端口報(bào)告314.1

2、.6過(guò)去7天最大被拒絕源ip報(bào)告314.1.7過(guò)去7天dos攻擊報(bào)告324.1.8過(guò)去7天最大連接數(shù)網(wǎng)絡(luò)報(bào)告334.1.9過(guò)去7天最多病毒源報(bào)告354.1.10過(guò)去30天最多p2p主機(jī)報(bào)告354.1.11過(guò)去60天入侵報(bào)告364.2mars對(duì)富士康部分園區(qū)的安全分析374.2.1防火墻相關(guān)分析374.2.2ips相關(guān)分析384.2.3其他安全問(wèn)題分析395mars測(cè)試總結(jié)395.1總體評(píng)價(jià)395.2netflow信息的分析功能對(duì)未知攻擊發(fā)現(xiàn)的作用405.3mars的設(shè)計(jì)和部署建議411 mars概述cisco安全監(jiān)控分析和響應(yīng)系統(tǒng)(cs-mars),簡(jiǎn)單的說(shuō)cs-mars的功能就是可以接受各種

3、設(shè)備的事件和數(shù)據(jù),進(jìn)行事件分析.匯總、然后根據(jù)需要生成相關(guān)的報(bào)告結(jié)果. 以達(dá)到識(shí)別和消除網(wǎng)絡(luò)攻擊。2 mars功能簡(jiǎn)介及配置2.1 mars拓樸自動(dòng)發(fā)現(xiàn)1. 通過(guò)80 登進(jìn)mars之后（缺省用戶名密碼pnadmin/pnadmin）,點(diǎn)進(jìn)admin頁(yè)面。2. 點(diǎn) community string and networks 選項(xiàng)，填入要發(fā)現(xiàn)的拓?fù)鋓p 網(wǎng)段和community string之后，按add，填完相關(guān)ip網(wǎng)段之后，按submit。（圖2.1）圖2.1 輸入網(wǎng)絡(luò)設(shè)備的community屬性3. 按back 返回主菜單按vaild network(選

4、擇有效的發(fā)現(xiàn)網(wǎng)絡(luò))，填入有效的發(fā)現(xiàn)網(wǎng)絡(luò)之后，按add，單擊 discover now進(jìn)行設(shè)備發(fā)現(xiàn)，最后按submit完成配置。（圖2.2）圖2.2 輸入有效網(wǎng)絡(luò)4. 配置定時(shí)發(fā)現(xiàn)設(shè)備。選擇 admintoplogy/monitored device update scheduler 選擇default discovery group -edit (選擇定時(shí)發(fā)現(xiàn)的時(shí)間段和發(fā)現(xiàn)的有效網(wǎng)段)。完成后，按run now。（圖2.3）圖2.3 輸入定時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備參數(shù)5. 返回 admin vaild network 按一下discover now ，發(fā)現(xiàn)完成后按click here。（結(jié)果如圖2.4）

5、圖2.4發(fā)現(xiàn)結(jié)果6. 檢查新發(fā)現(xiàn)的設(shè)備列表。選擇adminsecurity monitor devices，可以看到發(fā)現(xiàn)的設(shè)備清單。（圖2.5）圖2.4發(fā)現(xiàn)的可管理安全設(shè)備2.2 添加安全設(shè)備1. 點(diǎn)擊admin-security monitor devices，添加需要增加管理的設(shè)備。一個(gè)添加設(shè)備的范例如圖2.5所示： 圖2.5添加安全設(shè)備范例：asa2. 在添加安全設(shè)備時(shí)，mars上需要添加設(shè)備的軟件版本要與設(shè)備的版本一致，而且被管理的設(shè)備的軟件版本需要滿足mars的需求（軟件版本請(qǐng)查閱mars的release notes）。為了讓mars了解網(wǎng)絡(luò)詳細(xì)拓?fù)?，需要把每臺(tái)要加入的設(shè)備的 log

6、in password ,enable password 和snmp community配置對(duì)。填完之后，按discovery，此時(shí)設(shè)備已經(jīng)添加完畢。（圖2.6為已管理安全設(shè)備清單）注：如果添加設(shè)備不成功，mars會(huì)提供添加設(shè)備錯(cuò)誤的原因，可根據(jù)原因改正。圖2.6已管理安全設(shè)備清單3. 配置被管理安全設(shè)備要使cs-mars收集的安全設(shè)備的數(shù)據(jù)，還必須都將安全設(shè)備的日志信息發(fā)給cs-mars。因?yàn)槊糠N安全設(shè)備的日志設(shè)置不完全一樣，這里以pix的設(shè)置為例說(shuō)明：logging enablelogging trap warningslogging history notificationsloggin

7、g host campus 802.3 配置netflow信息當(dāng)需要分析netflow信息時(shí)，還應(yīng)為mars配置netflow。1. 配置mars的netflow配置。選擇adminnetflow configuration，配置netflow使用的udp端口，并加入需要分析的netflow報(bào)告的網(wǎng)絡(luò)，不指定加入則分析所有網(wǎng)絡(luò)。（圖2.7）圖2.7配置mars的netflow2. 配置網(wǎng)絡(luò)設(shè)備的netflow。以cisco 2600為例，需要作如下配置：ip flow-export version 5ip flow-export source fastethernet

8、0/1interface fastethernet0/1ip flow ingressip flow egress2.4 創(chuàng)建自定義規(guī)則除了mars提供的安全規(guī)則以外，還可以通過(guò)自定義規(guī)則的方式增加客戶化的安全規(guī)則，用于特定環(huán)境或特定要求之下的事件分析。自定義規(guī)則可以通過(guò)修改系統(tǒng)規(guī)則或增加規(guī)則的方式創(chuàng)建：1. 通過(guò)修改system rule生成。首先找到作為生成基礎(chǔ)的system rule，選上，然后按duplicate，然后對(duì)rule中的配置作相應(yīng)的調(diào)整或增減。（圖2.8）圖2.8修改system rule生成新規(guī)則2. 創(chuàng)建新規(guī)則。進(jìn)入rule頁(yè)面，按add 創(chuàng)建規(guī)則，進(jìn)入規(guī)則命名頁(yè)面（圖

9、2.9），規(guī)則命名完之后，按next到規(guī)則格式頁(yè)面，根據(jù)mars提示，到達(dá)某一參數(shù)時(shí)，選擇你需要的參數(shù)值填入?yún)?shù)框里（圖2.10），填完所有參數(shù)，到達(dá)確認(rèn)框，按yes應(yīng)用（圖2.11）。圖2.9增加新規(guī)則圖2.10配置新規(guī)則參數(shù)圖2.11確認(rèn)新規(guī)則3. 激活規(guī)則和去激活規(guī)則。規(guī)則建立后無(wú)法刪除，當(dāng)不需要使用某規(guī)則時(shí)，可以通過(guò)去激活實(shí)現(xiàn)。只要把a(bǔ)ctive規(guī)則勾上，按 change status 就可將規(guī)則處于非激活狀態(tài)。（圖2.12）圖2.12規(guī)則的激活狀態(tài)2.5 創(chuàng)建自定義報(bào)告mars除了提供大量預(yù)定制報(bào)表以外，還允許管理員自己定義報(bào)表，以下做ips十大類型事件報(bào)告為例，介紹如何創(chuàng)建自定義報(bào)

10、告。1. 點(diǎn)query/reports頁(yè)面，在query頁(yè)面的select report 對(duì)話框中選擇top event types。（圖2.13）圖2.13定制報(bào)表2. 單擊device選項(xiàng)框，選擇此報(bào)表所包含的設(shè)備信息，如ips4240-test，按一下 ，再選擇any，按remove，全部設(shè)備選擇完畢后apply。（圖2.14）圖2.14輸入報(bào)表?xiàng)l件：選擇設(shè)備3. 選擇收集匯總事件的時(shí)間段，然后按apply。（圖2.15）圖2.15輸入報(bào)表?xiàng)l件：選擇時(shí)間段4. 回到主界面，選擇submit。（圖2.16），此時(shí)會(huì)出現(xiàn)兩個(gè)選項(xiàng)submit inline，即在線生成報(bào)表，或者submit b

11、atch，即生成報(bào)表，并保存成一個(gè)記錄，方便查看。（圖2.17）圖2.16提交報(bào)表圖2.17報(bào)表方式選擇5. 報(bào)表生成后，將出線在報(bào)表頁(yè)面的user report中，mars將按配置生成報(bào)告。用戶可以看到每一個(gè)報(bào)告的完成狀態(tài)和完成時(shí)間，也可以隨時(shí)指示mars再次生成報(bào)告。當(dāng)報(bào)告的status到達(dá)100%時(shí)，可以按view results查看報(bào)告。（圖2.18）圖2.18報(bào)表狀態(tài)3 mars管理3.1 拓樸結(jié)構(gòu)及設(shè)備查看mars通過(guò)對(duì)所有被管理安全設(shè)備的分析，可以生成完整的網(wǎng)絡(luò)拓?fù)鋱D。進(jìn)入 summary 頁(yè)面，在hotspot graph 面板按 full topo graph 就可以看到整體

12、的拓樸結(jié)構(gòu)。（圖3.1）圖3.1整網(wǎng)拓?fù)鋱D可以通過(guò)右鍵操作，放大和縮少這個(gè)拓?fù)鋱D。上圖中所畫的云是被管理安全設(shè)備接口直連的網(wǎng)段。每個(gè)圖標(biāo)代表一種安全設(shè)備，以下是mars的圖標(biāo)示例：table16-1 icons and states in topology healthy attacker compromised （已經(jīng)危及安全）compromised and attacking clouds firewall reporting host host ids network router switch 通過(guò)點(diǎn)擊相應(yīng)的圖標(biāo)，可以查看對(duì)應(yīng)設(shè)備的信息。（圖3.2）圖3.2設(shè)備信息設(shè)備信息能夠提供設(shè)備

13、型號(hào)，名稱，軟件版本，接口的mac地址等信息。3.2 系統(tǒng)統(tǒng)計(jì)信息mars可以實(shí)時(shí)地顯示系統(tǒng)的統(tǒng)計(jì)信息，如收到的安全事件數(shù)量，分別屬于什么等級(jí)（高、中、低），收到的session數(shù)量，收到的netflow事件數(shù)量，以及進(jìn)行關(guān)聯(lián)后，信息的壓縮比率等。（圖3.3）圖3.3系統(tǒng)統(tǒng)計(jì)信息3.3 安全事件操作mars具有豐富詳盡的安全事件查看功能，管理員能夠通過(guò)mars的界面即使地獲得網(wǎng)絡(luò)當(dāng)前發(fā)生的事件。3.3.1 查看incident在summary頁(yè)面中，可以點(diǎn)擊查看攻擊事件的整個(gè)拓?fù)?。（圖3.4）圖3.4攻擊拓?fù)潼c(diǎn)擊incidents 頁(yè)面，該頁(yè)面已列出近來(lái)發(fā)生incident 清單。（圖3.5）

14、圖3.5安全事件（incident）清單選中相應(yīng)的incident id 之后，按view，就可以查看事件詳細(xì)信息，比如下圖就是一個(gè)完整的蠕蟲攻擊的實(shí)例，可以看到一個(gè)安全事件是由分析多個(gè)攻擊session而得出來(lái)的。（圖3.6）圖3.6蠕蟲攻擊實(shí)例下圖是一個(gè)icmp flood攻訐的部分內(nèi)容示例。（圖3.7）圖3.7 icmp flood攻擊事件信息片斷3.3.2 攻擊分析mars可以實(shí)現(xiàn)具體攻擊的分析，通過(guò)對(duì)某個(gè)安全事件的查看，就能得到攻擊的類型，源、目標(biāo)和攻擊跳板的信息。以下就是mars生成的一個(gè)具體攻擊的攻擊拓?fù)鋱D。（圖3.8）圖3.8攻擊拓?fù)鋱D及選中session信息上圖列出了一個(gè)安全

15、事件的攻擊拓?fù)鋱D，圖中顯示攻擊源，攻擊目標(biāo)，攻擊的session號(hào)，當(dāng)選擇某個(gè)session號(hào)時(shí)，會(huì)彈出小窗口，顯示此session的詳細(xì)信息。而下圖（圖3.9）則單獨(dú)列出了nachi蠕蟲攻擊的細(xì)節(jié)。圖3.9蠕蟲攻擊細(xì)節(jié)3.3.3 攻擊緩解mars有攻擊緩解的功能，即針對(duì)某個(gè)攻擊，它能夠向管理員提出第三層的攻擊緩解建議，讓管理員手動(dòng)實(shí)施；或者向管理員提出第二層的攻擊緩解建議，并可以選擇手動(dòng)實(shí)施或自動(dòng)實(shí)施。在詳細(xì)攻擊事件信息圖中，選擇collapse選項(xiàng)，就可以看到攻擊還擊標(biāo)志（紅色），點(diǎn)擊白色拓?fù)錁?biāo)志之后，就可查看到攻擊事件路徑圖。（圖3.10）圖3.10攻擊事件路徑圖點(diǎn)擊紅色緩解標(biāo)記之后，m

16、ars就會(huì)提出針對(duì)這個(gè)攻擊的相應(yīng)緩解建議。（圖3.11）圖3.11攻擊緩解建議第二層的緩解建議可以通過(guò)點(diǎn)擊 push鍵應(yīng)用到設(shè)備上。3.4 常用報(bào)表查看mars在summary中提供接近實(shí)時(shí)的事件信息（圖3.12），也提供一些預(yù)先定義好的常用的報(bào)表。圖3.12 summary界面系統(tǒng)默認(rèn)提供的summary reports可以在主頁(yè)面激活成“my report”。當(dāng)激活這些report后，在my report的頁(yè)面就可以看到所有的激活了的報(bào)表。圖13顯示所有被激活的my report。圖3.13 my report界面點(diǎn)其中一個(gè)report以后，可看到以下相對(duì)應(yīng)的圖表。（圖14）圖3.14 m

17、y report中的一個(gè)報(bào)表在報(bào)表中的每一行后，都有一個(gè)圖標(biāo)，點(diǎn)擊這個(gè)圖標(biāo)就可以進(jìn)入相關(guān)參數(shù)的自定義報(bào)告，第二章已描述如何制作自定義報(bào)表。（圖3.15）圖3.15通過(guò) my report制作自定義報(bào)表4 mars的報(bào)表功能mars具有強(qiáng)大的報(bào)表功能，能夠幫助用戶監(jiān)視和分析網(wǎng)絡(luò)、主機(jī)以及數(shù)據(jù)庫(kù)的運(yùn)行情況， 用戶可以根據(jù)這些信息作出安全事件響應(yīng)和系統(tǒng)調(diào)整。4.1 mars實(shí)用報(bào)表示例以下是在測(cè)試過(guò)程中生成的一些報(bào)表示例。4.1.1 自定報(bào)告清單圖4.1是自定義報(bào)告的清單，用戶可以選中之后作各種操作，如：重新提交，查看結(jié)果，刪除，編輯等等。圖4.1自定義報(bào)表清單4.1.2 最多報(bào)告事件設(shè)備統(tǒng)計(jì)圖4.

18、2是按照?qǐng)?bào)告事件數(shù)量的多少對(duì)所有的被管理設(shè)備進(jìn)行排序。管理員通過(guò)這個(gè)報(bào)表可以了解在網(wǎng)絡(luò)中的哪里產(chǎn)生最多的事件，那些設(shè)備報(bào)告的事件最多。圖4.2最多報(bào)告事件設(shè)備統(tǒng)計(jì)4.1.3 最大命中規(guī)則統(tǒng)計(jì)圖4.3是按命中的安全規(guī)則數(shù)進(jìn)行排序的統(tǒng)計(jì)。管理員通過(guò)這個(gè)報(bào)表可以知道系統(tǒng)中發(fā)生最多的問(wèn)題在哪里。圖4.3最大命中規(guī)則統(tǒng)計(jì)4.1.4 dos事件報(bào)告圖4.4顯示dos攻擊的統(tǒng)計(jì)。通過(guò)這個(gè)報(bào)表，可以了解過(guò)去一段時(shí)間里，發(fā)生了何種dos攻擊，數(shù)量分別是多少。圖4.4 dos事件報(bào)告4.1.5 過(guò)去1天最大訪問(wèn)目的ip端口報(bào)告圖4.5顯示了過(guò)去一天內(nèi)，對(duì)目的ip端口訪問(wèn)的排序。從圖中可以發(fā)現(xiàn)，對(duì)445端口的訪問(wèn)在

19、某個(gè)時(shí)段有突發(fā)性的增長(zhǎng)，而且占了所有端口的70%以上，說(shuō)明在這個(gè)時(shí)段肯定發(fā)生了蠕蟲爆發(fā)，管理員通過(guò)這個(gè)報(bào)表就可以循序漸進(jìn)地找到問(wèn)題點(diǎn)，進(jìn)行系統(tǒng)優(yōu)化。圖4.5過(guò)去1天訪問(wèn)目的ip端口排序4.1.6 過(guò)去7天最大被拒絕源ip報(bào)告圖4.6對(duì)過(guò)去7天被拒絕的源ip（主要是被防火墻拒絕方案）進(jìn)行排序。通過(guò)這個(gè)報(bào)表，管理員可以清楚了解那些設(shè)備對(duì)網(wǎng)絡(luò)資源的濫用最厲害。圖4.6過(guò)去7天最大被拒絕源ip4.1.7 過(guò)去7天dos攻擊報(bào)告圖4.7統(tǒng)計(jì)過(guò)去7天的dos攻擊。圖4.7過(guò)去7天dos攻擊統(tǒng)計(jì)4.1.8 過(guò)去7天最大連接數(shù)網(wǎng)絡(luò)報(bào)告圖4.8統(tǒng)計(jì)過(guò)去7天發(fā)生最多連接數(shù)的網(wǎng)絡(luò)，并排序。這個(gè)報(bào)表通常由netflo

20、w信息得出，管理員通過(guò)這個(gè)報(bào)表可以了解網(wǎng)絡(luò)中哪個(gè)部分最繁忙，根據(jù)實(shí)際情況可以判斷究竟是業(yè)務(wù)確實(shí)繁忙，還是發(fā)生了病毒或者蠕蟲事件而導(dǎo)致繁忙。圖4.8過(guò)去7天最大連接數(shù)網(wǎng)絡(luò)報(bào)告4.1.9 過(guò)去7天最多病毒源報(bào)告圖4.9對(duì)過(guò)去7天爆發(fā)病毒的源ip進(jìn)行排序。管理員可以根據(jù)這個(gè)報(bào)告進(jìn)行有針對(duì)性的查殺。圖4.9過(guò)去7天最多病毒源報(bào)告4.1.10 過(guò)去30天最多p2p主機(jī)報(bào)告圖4.10統(tǒng)計(jì)過(guò)去30天內(nèi)產(chǎn)生點(diǎn)對(duì)點(diǎn)（p2p）流量最多的主機(jī)。這個(gè)報(bào)告幫助管理員進(jìn)行有針對(duì)性的網(wǎng)絡(luò)資源實(shí)用限制。圖4.10過(guò)去30天最多p2p主機(jī)報(bào)告4.1.11 過(guò)去60天入侵報(bào)告圖4.11統(tǒng)計(jì)過(guò)去60天發(fā)生的入侵，主要是由ips模塊

21、的報(bào)告產(chǎn)生。圖4.11過(guò)去60天入侵報(bào)告4.2 mars對(duì)富士康部分園區(qū)的安全分析4.2.1 防火墻相關(guān)分析從對(duì)已被納入管理的pix防火墻的報(bào)告信息進(jìn)行分析后得出的報(bào)表可以看出：99%以上的事情，是由pix的訪問(wèn)列表拒絕掉所產(chǎn)生的事件記錄匯總，還有1%就是icmp包不可達(dá)，和巨大的icmp包。因此大部分的網(wǎng)絡(luò)拒絕訪問(wèn)都不是人為故意的，通常是由于終端配置的問(wèn)題，或者防火墻沒(méi)有為此類訪問(wèn)配置nat或者路由造成的。從網(wǎng)絡(luò)訪問(wèn)角度去分析，并沒(méi)有出現(xiàn)設(shè)備被攻擊和危及安全的現(xiàn)象。（圖4.12）圖4.12網(wǎng)絡(luò)訪問(wèn)分析4.2.2 ips相關(guān)分析從mars查看ips的匯總記錄來(lái)看，發(fā)生最多的是tcp sync

22、sweep，而這通常是一些應(yīng)用發(fā)生多次重連的情況，大部分并不是有效的惡意攻擊，屬于可接受范圍；一些icmp的掃描也來(lái)自于正常的網(wǎng)絡(luò)測(cè)試，屬于正常范圍；而smtp的header overflow也是由于ips對(duì)雙字節(jié)郵件標(biāo)題分析的誤判造成，屬于正常連接；同時(shí)，mars也能輸出ips送出的，關(guān)于各種p2p軟件的使用報(bào)告。總體看來(lái)，園區(qū)中發(fā)生的惡意攻擊事件并不多。圖4.13 ips事件分析4.2.3 其他安全問(wèn)題分析通過(guò)對(duì)mars的分析，富士康目前在園區(qū)網(wǎng)中發(fā)生最多的安全事件是蠕蟲的頻繁爆發(fā)。通過(guò)上述報(bào)表我們可以看出，在上班時(shí)段，網(wǎng)絡(luò)中目標(biāo)端口為445的流量經(jīng)常會(huì)突發(fā)性地增長(zhǎng)，其帶寬總占有率經(jīng)常超過(guò)

23、80%，而且在同一時(shí)間各種網(wǎng)絡(luò)設(shè)備的cpu占有率也會(huì)有較大的提高。說(shuō)明富士康園區(qū)目前面臨的最大問(wèn)題是蠕蟲。通過(guò)mars的的分析和報(bào)表功能，富士康能夠更加精確地定位蠕蟲的分布，采取有效的措施修補(bǔ)系統(tǒng)。5 mars測(cè)試總結(jié)5.1 總體評(píng)價(jià)通過(guò)對(duì)mars的測(cè)試，可以發(fā)現(xiàn)，mars能夠收集各種安全設(shè)備的信息，對(duì)這些信息進(jìn)行智能的歸總，并以直觀友好的界面向用戶提供相信的數(shù)據(jù)。不僅使管理人員對(duì)系統(tǒng)的狀態(tài)有實(shí)時(shí)準(zhǔn)確的掌握，幫助管理人員及時(shí)地對(duì)安全事件進(jìn)行響應(yīng)，阻止安全問(wèn)題的擴(kuò)散，還能幫助管理人員了解網(wǎng)絡(luò)的使用情況，及時(shí)地對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，以滿足業(yè)務(wù)的需求。總之，mars是一個(gè)對(duì)企業(yè)網(wǎng)絡(luò)管理非常有用的效率工具。

24、5.2 netflow信息的分析功能對(duì)未知攻擊發(fā)現(xiàn)的作用由于攻擊技術(shù)的不斷發(fā)展，當(dāng)攻擊發(fā)生時(shí)，現(xiàn)有的網(wǎng)絡(luò)安全組件 - 例如網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)（ips）、主機(jī)入侵檢測(cè)系統(tǒng)（hids）和防火墻 - 可能無(wú)法及時(shí)地識(shí)別攻擊。很多這樣的系統(tǒng)都依靠一個(gè)攻擊特征數(shù)據(jù)庫(kù)檢測(cè)攻擊，但是在某個(gè)新型攻擊剛剛出現(xiàn)時(shí)，這個(gè)數(shù)據(jù)庫(kù)并不能立即進(jìn)行更新。這樣，進(jìn)入某個(gè)企業(yè)的攻擊就可以在企業(yè)網(wǎng)絡(luò)的專有側(cè)大肆傳播，導(dǎo)致這些安全設(shè)備無(wú)法發(fā)揮應(yīng)有的作用。像blaster這樣的蠕蟲的傳播非常迅速，其中一個(gè)原因就是因?yàn)樗鼈兊牡谝粋€(gè)重要行動(dòng)是發(fā)現(xiàn)盡可能多的目標(biāo)。但是，通過(guò)對(duì)netflow信息的分析，就能夠迅速的發(fā)現(xiàn)上述問(wèn)題，而不需要理會(huì)ips的簽名是否更新。很多遭受攻擊的內(nèi)部和外部主機(jī)，流量流經(jīng)核心路由器、交換機(jī)和防火墻。這些位于流量傳輸途中，負(fù)責(zé)監(jiān)控和報(bào)告包含blaster蠕蟲攻擊的事件的設(shè)備可以通過(guò)設(shè)置向mars設(shè)備提供報(bào)告。這些事件包括安全周邊內(nèi)部的連接和防火墻拒絕的連接。防火墻通過(guò)設(shè)置可以限制端口的對(duì)外訪問(wèn)權(quán)限。mars設(shè)備隨后會(huì)根據(jù)特定端口的流量的突然升高，通過(guò) “端口流量突然增大”規(guī)則來(lái)定位一個(gè)被標(biāo)