交換機(jī)還是比較常用的，于是我研究了一下如何解決IDS的交換機(jī)端口局限問(wèn)題，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。入侵檢測(cè)系統(tǒng)（Intrusion Detection System, IDS）是近兩年熱起來(lái)的安全產(chǎn)品，它在網(wǎng)絡(luò)安全體系中所發(fā)揮的作用是可以檢測(cè)到入侵行為并報(bào)警。這里所說(shuō)的入侵行為涵蓋范圍很廣，不僅包括黑客攻擊，還包括各種網(wǎng)絡(luò)異常行為，如內(nèi)部網(wǎng)絡(luò)機(jī)密信息泄漏和非法使用網(wǎng)絡(luò)資源等等。

為了保障網(wǎng)絡(luò)的安全，要使用很多安全產(chǎn)品，有防病毒、防火墻、服務(wù)器安全加固、加密傳輸和身份認(rèn)證等等。和它們相比，IDS具有更多的智能特性，能夠判斷出網(wǎng)絡(luò)入侵行為并報(bào)警和實(shí)時(shí)阻斷。

但是這兩年，廠商、媒體和網(wǎng)站一直是從正面宣傳IDS的功能，卻回避IDS的缺陷。在眾多的缺陷中，交換機(jī)的數(shù)據(jù)鏡像、VLAN給網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）的運(yùn)用帶來(lái)很大的麻煩。而眾多的IDS廠商卻避而不談，這必然會(huì)誤導(dǎo)用戶，使用戶無(wú)法實(shí)現(xiàn)自身安全價(jià)值的最大化。

問(wèn)題的分析

由于共享式集線器（HUB）可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，將給網(wǎng)絡(luò)安全帶來(lái)極大的威脅，故而現(xiàn)在網(wǎng)絡(luò)，尤其是高速網(wǎng)絡(luò)基本上都采用交換機(jī)（Switch），從而給網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽(tīng)?zhēng)?lái)麻煩。

問(wèn)題之一：交換機(jī)端口鏡像

要了解入侵檢測(cè)系統(tǒng)在交換機(jī)環(huán)境中監(jiān)聽(tīng)的問(wèn)題，需要了解集線器和交換機(jī)在工作原理上的不同。集線器沒(méi)有連接的概念，而是將每一個(gè)數(shù)據(jù)包發(fā)送到集線器的除了該數(shù)據(jù)包進(jìn)來(lái)的端口外的每一個(gè)端口。然而，交換機(jī)是基于連接，當(dāng)交換機(jī)上的一個(gè)臨時(shí)連接進(jìn)來(lái)一個(gè)數(shù)據(jù)包時(shí)，交換機(jī)會(huì)將數(shù)據(jù)包發(fā)送給連接的目的端口，接著從目的端口轉(zhuǎn)發(fā)出去。所以在集線器環(huán)境中，我們能夠?qū)⒕W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器接在任意端口；而對(duì)于交換機(jī)，必須確信傳感器能夠“看”到所需的網(wǎng)絡(luò)流量。

這時(shí)就需要在交換機(jī)上設(shè)置專(zhuān)門(mén)監(jiān)聽(tīng)端口。監(jiān)聽(tīng)端口是交換機(jī)上配置的一個(gè)特殊端口，SPAN（Switch Port Analyzer）通常用來(lái)察看網(wǎng)絡(luò)的使用情況，SPAN端口通常也被稱(chēng)為監(jiān)聽(tīng)（Spy）端口或鏡像（Mirror）端口。

交換機(jī)會(huì)將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽(tīng)端口，這樣網(wǎng)絡(luò)傳感器就可以捕獲到指定端口的數(shù)據(jù)。例如圖１所示，我們?yōu)榱吮O(jiān)聽(tīng)交換機(jī)和資源主機(jī)之間的連接，就需要告訴交換機(jī)將資源主機(jī)的端口的數(shù)據(jù)鏡像到IDS的端口。這種方法可以對(duì)傳輸?shù)臄?shù)據(jù)、接收的數(shù)據(jù)和上述兩者起作用。某些交換機(jī)不支持鏡像端口功能，某些交換機(jī)不能將100%的數(shù)據(jù)傳輸給鏡像端口，因此即使IDS配置了針對(duì)特定攻擊的檢測(cè)規(guī)則，該攻擊也會(huì)被漏掉。而且，交換機(jī)在同一時(shí)刻，只能鏡像一個(gè)端口，所以監(jiān)控多個(gè)機(jī)器將會(huì)變得很困難和不可能，此外，在交換環(huán)境，端口鏡像還有如下缺陷：

◆通常連接到交換機(jī)時(shí)都是全雙工的，即在100MB的交換機(jī)上雙向流量可能達(dá)到200MB，但監(jiān)聽(tīng)端口的流量最多達(dá)到100MB，從而導(dǎo)致交換機(jī)丟包；

◆為了節(jié)省交換機(jī)端口，很可能配置為一個(gè)交換機(jī)端口監(jiān)聽(tīng)多個(gè)其它端口，在正常的流量下，監(jiān)聽(tīng)端口能夠全部監(jiān)聽(tīng)，但在受到攻擊的時(shí)候，網(wǎng)絡(luò)流量可能加大，從而使被監(jiān)聽(tīng)的端口流量總和超過(guò)監(jiān)聽(tīng)端口的上限，引起交換機(jī)丟包；

◆一般的交換機(jī)在負(fù)載較大的時(shí)候，監(jiān)聽(tīng)端口的速度趕不上其它端口的速度，從而導(dǎo)致交換機(jī)丟包。如果一個(gè)監(jiān)聽(tīng)端口要監(jiān)聽(tīng)所有交換機(jī)端口的數(shù)據(jù)，那么交換機(jī)的丟包現(xiàn)象會(huì)更加嚴(yán)重；

◆增加監(jiān)聽(tīng)端口即意味做需要更多的交換機(jī)端口，這可能需要購(gòu)買(mǎi)額外的交換機(jī)，甚至修改網(wǎng)絡(luò)結(jié)構(gòu)（例如原來(lái)在一臺(tái)交換機(jī)上的一個(gè)VLAN現(xiàn)在需要分布到兩臺(tái)交換機(jī)上）；

◆不同廠商、不同型號(hào)的交換機(jī)對(duì)鏡像端口支持功能的強(qiáng)弱是不同的。有的交換機(jī)能夠?qū)⑷我舛丝谠O(shè)置為鏡像端口，有的交換機(jī)只能將某個(gè)端口設(shè)置為鏡像端口（如端口1）；有的交換機(jī)在鏡像端口上可以監(jiān)聽(tīng)所有端口的數(shù)據(jù)，有的交換機(jī)在鏡像端口上同時(shí)只能監(jiān)聽(tīng)某一個(gè)端口；

◆支持監(jiān)聽(tīng)的交換機(jī)比不支持的交換機(jī)要貴許多，很多網(wǎng)絡(luò)在設(shè)計(jì)時(shí)并沒(méi)有考慮到網(wǎng)絡(luò)監(jiān)聽(tīng)的需求，購(gòu)買(mǎi)的交換機(jī)并不支持網(wǎng)絡(luò)監(jiān)聽(tīng)，或者監(jiān)聽(tīng)性能不好，從而在準(zhǔn)備安裝NIDS的時(shí)候需要更換交換機(jī)。