用NBAR来防止红色代码(Code Red)和尼姆达(Nimda)蠕虫

最新推荐文章于 2023-08-21 11:21:46 发布
最新推荐文章于 2023-08-21 11:21:46 发布
阅读量721 收藏
点赞数
分类专栏: security CISCO 文章标签: 路由器 url input interface cisco class

一.什么是NBAR?
基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.在使用NBAR的时候要先启用CEF特性.

数据包描述语言模块(PDLM)从路由器的闪存里加载,用于在不使用新的Cisco IOS软件,或重启路由器的情况下对新的协议或应用程序进行识别.

二.NBAR的限制?
NBAR不能在以下几种逻辑接口上使用:1.快速以太网信道.
2.使用了隧道或加密技术的接口.
3.SVI.
4.拨号接口.
5.多链路PPP(MLP).

NBAR的一些限制:
1.不支持多于24个的并发URL,HOST或MINE的匹配类型.
2.不支持超过400字节的URL匹配.
3.不支持非IP流量.
4.不支持组播或其他非CEF的交换模式.
5.不支持被分片的数据包.
6.不支持源自或去往运行NBAR的路由器的IP流量.
三.如何配置NBAR?

配置NBAR的基本步骤:
1.启用CEF特性:
Aiko(config)#ip cef
2.把流量分类,定义class map:
Aiko(config)#class-map [match-all|match-any] {map-name}
3.定义NBAR要匹配的协议:
Aiko(config-cmap)#match protocol {protocol}
4.设置policy map:
Aiko(config)#policy-map {policy-name}
5.调用class map:
Aiko(config-pmap)#class {class-map}
6.设置策略:
Aiko(config-pmap-c)#{action}
7.把策略应用在接口上:
Aiko(config-if)#service-policy {input|output} {policy-map}

四.用NBAR来防止红色代码(Code Red)和尼姆达(Nimda)蠕虫病毒的例子:
!
ip cef
!
class-map match-all DENY-ATTACK
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
match protocol http url "*readme.eml*"
!
policy-map Aiko
class DENY-ATTACK
drop
!
interface Serial0
ip address 10.0.0.1 255.255.255.252
service-policy input Aiko

iltaek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NBAR防止红色代码(Code Red)和尼姆达(Nimda)蠕虫病毒
06-16
基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类
NBAR简介
weixin_34138139的博客
05-13 265
一.什么是NBAR? 基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.在使用NBAR的时候要先启用CEF特性. 数据包描述语言模块(PDLM)从路由器的闪存里加载,用于在不使用新的Cisco IOS软件,或重启路由器的情况下对新的协议或应用程序进行识别. 二.NBAR的限制? NBAR不能...
NBAR
weixin_34370347的博客
03-28 119
QOS分类技术QOS分类是一种标识流量并将流量归类为不同类别的QOS处理过程或机制。 流量归类需要使用流量标识符常见的流量标识符1 入接口2 ISL或802.1P帧中的COS值3 源IP地址或目的IP地址4 IP包头中的IP优先级或DSCP值5 MPLS头中的MPLS EXP值6 应用类型 建议尽量在最靠近流量源的位置进行流量分类(和标记)如:IP电话机和接入层交换机等网...
nbar
weixin_33759269的博客
12-27 188
NBAR基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类 ,在使用NBAR的时候要先启用CEF特性。而且可以使用数据包描述语言模块(PDLM)从路由器的闪存里加 载,用于在不使用新的cisco IOS软件,或重启路由器的情况下对新的协议或应用程序进行识别。1、启动CEF2、流量分类class map3、设置poli...
演示:使用NBAR统计与分析流量
weixin_34217711的博客
12-30 180
演示:使用NBAR统计与分析流量    NBAR(Network-Based Application Recognition,基于网络的应用识别)的作用主要是对动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类,在分类的同时,还可以对该分类数据流量进行统计。NBAR对网络数据的匹配之一就是通过自身的一个匹配协议列表,如图6.19所示,它对网络所使用的大多数协议都能进行识别。如果NBAR...
使用MQC配置NBAR
blakegao的专栏
09-20 1018
配置NBAR的步骤和命令如下所示。 (1)如果需要,从思科网站下载PDLM文件,并把它存放在Flash内存中。 (2)启用快速转发特性。NBAR需要CEF支持。 Router(config)# ip cef  (3)加载PDLM文件到内存中。 Router(config)# ip nbar pdlm flash://directory/file-name  direct
NBAR详解
weixin_34306676的博客
01-17 568
NBAR (Network-Based Application Recognition) 的意思是网络应用识别。 NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通 ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80 ,也能做到控制一般 ACLs 不能做到动态的端口的那些协...
使用 NBAR(基于网络的应用程序识别) 进行应用流量分析
最新发布
ITmoster的博客
08-21 287
基于网络的应用识别 (NBAR) 是一种分类引擎,可为网络基础设施提供智能网络分类。它可以识别各种各样的应用程序,包括使用动态端口的应用程序。NBAR 可用于处理使用已知端口伪造“高优先级流量”的恶意应用程序,以及使用非确定性端口的非标准应用程序。
基于网络的应用程序识别(NBAR
虹科网络安全的博客
03-26 774
文章目录简介什么是下一代基于网络的应用程序识别(NBAR2)?应用程序性能和NBAR关注我们 简介 基于网络的应用程序识别(NBAR)是思科应用程序可见性和控制(AVC)解决方案套件中具有QoS支持的网络流量分类引擎,该解决方案套件使用深度包检测(DPI)来按应用程序对网络流量进行分析和分类。它支持广泛的协议和端口以识别应用程序流量,还支持灵活的数据包描述语言模块(PDLM)以快速添加新协议。结合NBAR与其他技术,特别是指标收集和导出代理,管理和报告系统以及服务质量 (QoS)控制系统,完善了应用程序可
QOS之NBAR
weixin_34388207的博客
06-13 207
一、什么是NBAR? NBAR的全称是Network−Based Application Recognition,译为基于网络的应用识别。它可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.在使用NBAR的时候 要先启用CEF特性. 二、NBAR的缺陷 首先,NBAR不能在以下几种逻辑接口上使用: 1、快速以...
Cisco_NBAR封杀BT和电驴下载
weixin_34318272的博客
07-28 174
NBAR(Network-BasedApplicationRecognition)的意思是网络应用识别。NBAR是一种动态能在四层到七层发现协议的技术。它不同于ACL,仅仅依靠端口号进行对应用服务的判断,更加精准的是可以通过数据包本身的描述进行识别判断,该数据属于哪一种服务,可以对使用动态分配TCP/UDP端口号(如P2P下载软件)的应用程序和HTTP流量等进...
Cisco nbar限制BT方法大全
weixin_34007879的博客
11-15 96
目前常用的办法是:   方法1、采用Cisco公司的nbar来限制;   配置步骤如下:   ------------定义Class-map-------------;   !   class-map match-all bittorrent   match protocol bittorrent   class-map match-all edonkey  ...
NBAR 应用
weixin_34228387的博客
01-07 119
NBAR : Network-Based Application Recognition PDLM: Packet De.ion Language Moudule NBAR的缺陷 首先,NBAR不能在以下几种逻辑接口上使用: 1、快速以太网信道. 2、使用了隧道或加密技术的接口. 3、SVI. 4、拨号接口. 5、多链路PPP(M...
GEE中MODIS地表反射率产品比较
热门推荐
zqk的博客
04-12 1万+
MOD09GQ、MOD09GA、MOD09Q1、MOD09A1、 MCD43A4.006 MODIS Nadir BRDF-Adjusted Reflectance Daily 500m
Network Based Application Recognition (NBAR) 网络应用程序识别
weixin_34133829的博客
11-12 221
一.什么是NBAR? 基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类. NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80,也能做到控制一般 ACLs ...
使用NBAR更有效的识别与封堵网络应用
weixin_34364071的博客
01-06 154
使用NBAR更有效的识别与封堵网络应用         近期有学生在面试时遇到企业询问关于封堵BT、电驴和其他一些P2P程序的方法,除了我过去在课程中讲过的使用ACL的方法外,其实用CISCONBAR功能更有效可以防止这些应用。只是开启NBAR后占用的资源会大一些,估计在15%以上吧。     一、认识NBAR NBAR (Network-Based Application Reco...
taylorwin(n,nbar,sll)加窗函数 c代码
03-29
这是一个实现taylorwin(n,nbar,sll)加窗函数的C代码: ```c #include <math.h> void taylorwin(int n, int nbar, double sll, double *w) { double alpha = nbar * M_PI; double beta = asinh(1 / sll) / M_PI; double f1 = cosh(beta * alpha); double f2 = sinh(beta * alpha); double f3 = cos(beta * alpha); double f4 = sinh(beta * sqrt(1 - pow(alpha, 2))); double f5 = cos(beta * sqrt(1 - pow(alpha, 2))); double f6 = 1 / f4; double f7 = 1 / f5; for (int i = 0; i < n; i++) { double x = (2.0 * i - n + 1) / (2.0 * n); double y = sqrt(1 - pow(x, 2)); double u = beta * y; double v1 = sinh(u * nbar); double v2 = cosh(u * nbar); double v3 = cos(u * nbar); double v4 = sinh(u * sqrt(1 - pow(nbar, 2))); double v5 = cos(u * sqrt(1 - pow(nbar, 2))); double v6 = 1 / v4; double v7 = 1 / v5; double w1 = v1 / (f1 - v2); double w2 = v3 / f3; double w3 = v6 / (f4 - v7); double w4 = v7 / (f5 - v6); double w5 = v2 / (f1 - v1); w[i] = w1 * w2 * w3 * w4 * w5; } } ``` 该函数的输入参数为:窗口长度n,抗混叠滤波器中的参数nbar和最大副瓣衰减量sll。输出参数为一个长度为n的double数组,存储taylorwin加窗函数的值。 该函数使用了C标准库中的一些数学函数,如sinh、cosh、cos、asinh等,需要在代码文件中包含math.h头文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值