辽宁电力启用GenieATM 有效清除病毒流量并确保正常应用与业物的运行质量
辽宁电力信息网络系统简介
辽宁电力信息网络系统是从1997 年底，按照国家电力公司关于建立全国电力信息网络系统的总体部署投入开始建设的。在全国国有大中型企业中，辽电的信息化建设一直都走在最前列。
目前，辽宁电力信息网络已经完成跨省、跨地区的主干网、城域网、广域网三层网络结构，形成了连接102 个单位(包括国家电力公司、国电东北公司、吉林省电力公司和黑龙江省电力公司)的信息网络枢纽，组成了一个规模较大、覆盖面广并具备一定远程数据交换能力的特大型企业信息网络系统。
信息网络视频系统、办公自动化系统、电话会议系统等多项应用都已经全面应用在辽电的信息网络系统中。

面临问题
从2003 年8 月中旬开始，辽宁电力的网络系统就开始出现异常拥塞的现象，大家普遍反映网络速度越来越慢。
经过初步查询，发现网络中存在大量当时非常流行的“冲击波杀手”蠕虫病毒的ICMP 流量，因此运维人员在核心交换设备SSR8000和防火墙上都对ICMP 流量做了限制。
但是这些限制对改善网络速度并没有明显作用，相反局域网内、网络出口的网络速度均在进一步恶化；与此同时，核心网络设备很快出现了负载超载的情况，尤其是防火墙的CPU 利用率持续100%。

问题分析
尽管网络中部署了Nokia 的防火墙，也在核心交换设备上设置了相应的ACL，但是大多数病毒流量是网内发起的，比如小区内、办公室内等中毒的计算机。这些中毒终端发出的病毒流量一部分留在网内（攻击内部的计算机），一部分则通过出口流向网外（向网外攻击）。

如上图所示，防火墙和ACL 对于留在网内的病毒流量不会起到任何限制作用；对于发往网外的病毒流量，如果中毒终端越来越多、病毒流量也越来越多的话，就会导致防火墙和核心交换设备的高负荷运行，所以会出现防火墙CPU100%的问题。
因此，虽然有部分ICMP 的异常流量被ACL 挡掉，但并没有在网内把它们彻底消除，这些异常流量仍然消耗着网络带宽，网络速度仍然不会有改善。与此同时中毒的机器在发送病毒数据包的同时，还会把病毒传染给越来越多的机器，并且导致防火墙和核心交换设备持续高负荷运行。

导入GenieATM 解决方案
在网络中使用旁路的方式部署GenieATM 流量分析仪。参见下图 右侧。

GenieATM 可以采集核心交换机与出口路由器的流量数据，可以进行用户上网行为分析、蠕虫中毒终端监测、DDoS 攻击源和目标检测、私设地下网站检测、以及路由负载均衡分析等。它的功能涵盖了网络流量分析、网络安全监测的所有细节，并可通过日报、周报、月报的标准报表、对照报表、趋势分析报表等多种格式来报告流量分析结果。
由于GenieATM是以UDP方式接收网络设备发送出来的NetFlow流量数据，所以GenieATM 的部署和上线非常容易，只要IP 可达就可以直接上线，对现有的网络构架和网络应用不会有任何影响。
因此GenieATM 设备直接部署在辽宁电力的网管机房中，对核心网络设备进行流量分析和监控，进一步监测异常流量的来源和目的，以便彻底清除网络中的病毒流量，恢复网络速度并确保正常应用和业务的运行。

GenieATM 的应用
辽宁电力于2003 年11 月7 日开始使用GenieATM 流量分析仪。经过一个阶段的流量分析，不仅网内的病毒流量很好的得到了控制，网络速度也很快恢复正常，而且类似视频会议、办公自动化等正常网络应用的运行也都得到了保证。
此外，灵活的用户身份和权限授权功能和友好的简体中文Web操作界面，使得GenieATM 也很容易就嵌入到辽宁电力现有网络管理平台上，与其他网络管理系统形成互补，实现了全面化的网络管理和流量分析。
总结GenieATM 在辽宁电力的应用，比如：异常流量监测、中毒终端查找、业务流量的监控和分析等等，在丰富网管手段的同时，也从以前防火墙等设备的被动防护，转变为网络安全问题的主动监测和预警，有效的加强了网络安全性和可用性。

其中异常流量监测方法介绍如下：
针对网内的异常流量、蠕虫病毒泛滥等网络安全问题，进行了一系列深入的流量监控和分析，查找到中毒终端的IP 地址；
为了彻底清除病毒流量，对照IP 地址分配表，结合公司内部网站的通知，在网管人员的配合下，给中毒计算机进行病毒软件的安装和运行、给操作系统打补丁等等，并加强内部员工病毒防护意识。

1. 检测异常流量
   小区用户流量成分的Top 10 排名
   分析方法：锁定小区用户的流量，基于应用做Top 10的排名。
   
   GenieATM操作界面参见下图：
   
   
   分析结果：
   小区出方向和入方向的流量中，冲击波变种病毒的ICMP 流量均处在第一名，排在第二、三名的分别是视频聊天和www的流量。
   
   参见下图：
   
2. 快速定位异常流量的来源和目的
   ICMP 流量IP 的 Top 10 排名
   分析方法：锁定小区用户的ICMP流量，基于IP地址做Top 10的排名。
   
   GenieATM操作界面参见下图：
   
   分析结果：
   流出方向：主要有两个用户在发送ICMP的流量，它们的IP分别是：
     • 10.160.28.81，94%的ICMP流量（将近8M）
     • 10.160.28.95，5%的ICMP流量 均是每个包92个字节的行为。
   流入方向：只有一个IP是ICMP流量攻击的对象，那就是10.160.28.95。
   
   
   分析结论： 根据上面的结果可以得知，IP 为10.160.28.81 的机器在攻击IP为10.160.28.95的机器的同时，也把冲击波变种病毒感染给了它。
   
   五分钟之后再次对小区用户的ICMP流量，基于IP地址做Top 10的排名，结果如下：
   
   流出方向第一名还是刚才的第一名，它发出的ICMP流量已经达到17M，同时随着上网的人数的增加，又多了几台发送ICMP数据包的机器。
   被攻击的不仅有网内的用户，也有大量的随机的假地址(10.162.237、10.162.238和10.162.239网段)。每个被攻击的目标是三个Session，每个Session有42数据包，每个数据包92个字节或者120 个字节（Volume/Packet）。
   第二天是周六，在上午10 点左右上网人数也相对集中的时候，再次对小区用户的ICMP流量，基于IP地址做Top 10的排名，出现了同样的结果，如下图所示：
   
   
   找到异常流量的来源和目的IP 地址之后，可以在小区DHCP 服务器上查找这些IP 地址对应的主机的MAC 地址或者Hostname，以便进一步找到这些机器的主人，请他们及时给自己的主机打补丁，并加强网络安全和防病毒的意识。

关于威睿科技 (GenieNRM Inc.)
威睿科技成立于2000年，是亚太地区大型网络流量分析管理的领导品牌。主要产品有GenieATM (Genie Advanced Traffic Management)及GenieNPC (Genie Network Policy Controller)。威睿科技目前在北京、上海、台北设有办公室，各项产品已在中国大陆、台湾、及日本市场，超过200家电信网络服务商、大型企业、大专校院及公家单位等受到支持与肯定。 欲知威睿科技公司产品及服务的进一步信息，请电威睿科技销售服务中心，电话：(10) 6583-1970。若您在其它地区，亦可与当地之办事处联络。因特网使用者亦可利用网络获得更多相关信息，威睿网站：http://www.genienrm.com/