用SDN的方法抵御WannaCry勒索蠕虫

日期:2017-5-18作者:吴坪来源:TechTarget中国

WannaCry   网络运营   网络安全   SDN   

【TechTarget中国原创】

WannaCry勒索程序是一个蠕虫病毒,只攻击Windows操作系统(受影响的漏洞微软在2017年3月14日发布的补丁中已经修复,但大量客户并没有及时更新)。攻击时间始于2017年5月12日,最早发现与西班牙、英国等数十个国家,随后几天世界各地均受到不同程度的影响,攻击者使用28种语言向受害者勒索比特币。由于影响巨大,微软不得不为早已停止支持的Windows XP和Windows Server 2003紧急提供了安全补丁。

WannaCry事件的爆发无疑是一次对大众的很好的安全教育,对广大的Ops团队来说也是一次不错的拉练。今天我们要讨论的是如何利用SDN保护网络资源防御攻击。

用SDN的方法抵御WannaCry攻击

WanaCry通过SMB Service的OOB攻击,上传恶意软件复制自身,加密宿主机上的文件从而勒索用户。一般在安全领域的做法有以下几个方法:

  • 给所有有潜在威胁的系统打补丁。微软早在三月份就发布了MS17-010的补丁。
  • 更新安全信息库。Exploit已经公布,各大安全厂商跟进update了安全库。有防火墙的部门要及时更新安全库。启用相关安全选项。可以发现并阻断,但是没法消除。也没法防止在防火墙内部传播。
  • 关闭445端口。如果没有买安全服务,不能更新安全数据库,则必须在防火墙上关闭445端口,防止外来攻击和病毒传播。但这样会失去445端口的服务能力,同时同样对于内部攻击就无能为力。
  • 隔离易感染的机器,断网。
  • 断网开机,逐个排查。

可见以上每一种方案都需要很多人力物力去实施,假设你有成百上千台机器或机器还在移动如笔记本电脑,这个工作量和难度就比较大了。而SDN的环境中解决这个问题可以用一个大杀器:流表下发。

流表下发与清洗

通过下发流表到所有的节点,把所有445端口的流量暂时引导到一个清洗中心,在清洗中心进行过滤。如果发现攻击特征则可以下发流表阻隔该VM/HOST的445端口或者隔离整个VM。清洗之后的流量再引导回原节点。

由于SDN控制器知道每一个节点的OS,甚至可以更加智能的有选择的只把有潜在威胁的445端口的流量引导到清洗中心(Windows 10之前的OS)。这样对于客户来讲一切照旧,不需要紧急断网,不需要停顿业务,也不需要独立购买昂贵的服务(但依然需要有服务商)。

SDN服务商可以通过简单的流表配置和下发迅速的把所有流量转移,达到清洗流量,隔离感染源头,维护原有业务,同时对于客户来讲一切都是透明的:business as usual.

不可否认,防火墙依然是网络安全的核心部件。但是对于突发事件如WanaCry这样的病毒,SDN的方法迅速、高效、简单透明,有着很大的优势。也许今后的安全需要两者进一步的融合。

SDN不光可以Define network,还可以Defend network。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

吴坪
吴坪

云杉网络硅谷公司CTO,清华大学硕士,资深网络专家。从事网络相关工作超过15年,专注于网络设计,网络安全,获得1项美国专利。曾就职于朗讯科技,飞塔信息,瞻博网络。

网络安全最佳实践>更多

相关推荐

技术手册>更多

  • 带宽管理手册

    “带宽”对于网络管理人员、建筑师和技术人员来说是毫无意义的一个术语,相反,他们使用“数据传输率”、“连接性能”或者甚至“网速”来简单地代替这个术语,这就说明了一个问题,我们对网络有点无知。

  • 路由协议基础

    路由器提供了将异构网互联的机制,实现将一个网络的数据包发送到另一个网络。而路由就是指导IP数据包发送的路径信息。路由协议就是在路由指导IP数据包发送过程中事先约定好的规定和标准。管理路由器需要了解这种路由器的基本语言,也就是路由协议。你对基本的路由协议越熟悉,将来诊断网络路由协议中的故障就越容易。

  • 使用脚本管理Windows网络(更新版)

    “授人以鱼,不如授人以渔。”的确如此。而在忙碌的IT世界里,这也适用于脚本化管理:“给人一个有用的脚本,不如教他自己写脚本。”

  • 如何使用Cisco路由器创建IPsec VPN

    本专题将详细地、一步步地解释Cisco IOS IPSec VPN配置概念和实现基于软件及硬件的VPN网关。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 虚拟化
  • 服务器
  • 数据中心