CERNET:以技術守護校園

來源:中國教育和科研計算機網 時間:2022-06-21

  2022年初,在大家以為疫情將要結束之時,新一輪疫情反撲。在傳染力極強的奧密克戎病毒的影響下,高校陸續實施封閉管理,從生活到學習全面轉移到線上。

  與兩年前相比,這一輪疫情對校園網的壓力極大:兩年前,學生們大都分散在家,這一次,學生基本在校內,網絡需求集中在校內。校園網的穩定運行,成為高校抗疫的關鍵點,與抗疫的勝利緊密相連。

  迅速響應,毅勇行動。面對疫情帶來的巨大挑戰,中國教育和科研計算機網CERNET與運營單位賽爾公司用技術全力守護著校園。

  一項全力保障的任務

  “為做好疫情防控期間的網絡保障,提高在線教學體驗,昨夜今晨,上海教育城域網和CERNET互聯線路在徐匯校區機房已完成大幅度升級擴容。”3月14日一早,上海交通大學信息化推進辦公室、網絡信息中心副主任姜開達在社交平臺說。

  當時上海的疫情反撲開始嚴重,高校紛紛進入封閉管理模式,學校的活動大都轉為線上進行。這使得上海節點帶寬壓力驟增,出口流量幾乎跑滿,必須緊急擴容。

  3月12日,接到CERNET主干網擴容任務后,CERNET上海節點、賽爾上海分公司緊急調配資源,與上海教育城域網管理中心和上海市大數據中心教育信息化團隊緊密配合,連續奮戰,于14日凌晨2點,完成百G擴容。此次擴容行動最大程度保障了上海師生在校園封閉管理期間,高速訪問互聯網資源的需求。

  因在線教學的巨大帶寬壓力,帶寬的擴容、保障與優化,成為貫穿疫情期間的一項持續行動。

  5月初,CERNET收到消息:同濟大學與上海地區網互聯帶寬20G已經跑滿,學校的線上教學活動受到極大影響。但基于上海前期多輪擴容,當下線路已滿,再追擴容難度很大。

  經過討論,CERNET運行團隊提出建議:用下一代互聯網CERNET2線路開通IPv4OverIPv6隧道,從而讓學校可以通過CERNET2的設備來接入業務,實現用戶帶寬的增加。

  但在嘗試接入線路后,測試結果并不理想,流量始終無法超過1M,網站訪問也不穩定。反復測試后,終于發現問題所在,并在第一時間妥善處理。再次測試后,流量成功跑至4G,此次擴容任務,切實保障了同濟大學的用網需求。

  一項全新的技術支持

  如果說主干網保障是一項日常工作,那么協助高校防范與治理“挖礦”則是2022年CERNET面臨的一項全新工作。

  3月以來,CERNET網絡中心接到不少高校治理“挖礦”的技術求助。

  虛擬貨幣的生產過程被稱為“挖礦”。因為比特幣過去幾年迅速增值,全球“挖礦”活動愈發嚴重。但“挖礦”本身對能源產生巨大消耗,同時影響著金融等各個領域,基于此,國家相關部門去年年底加大治理力度,要求各領域全面梳理排查虛擬貨幣“挖礦”活動。今年3月開始,我國對“挖礦”的治理進入攻堅期,其中,高校因本身特有的硬件基礎和用戶特點成為重點治理領域。

  但如何治理挖礦?對于今年年初的高校來說還是一個難題。因為沒有過往經驗可以借鑒。在接到治理求助后,CERNET通過篩查數據、編寫程序,對學校半年以來的流量記錄進行比對,并結合威脅情報分析、態勢感知、關聯流量分析等技術,分析判斷出可疑的礦池地址,篩查出幾千個地址段,最終協助學校及時治理校內“挖礦”行為。

  在治理的過程中,教育網“挖礦”監測平臺起到了重要作用。這是CERNET專門為支持教育領域防范“挖礦”而開發的平臺。平臺將流量日志和礦池IP相互匹配,確認具有挖礦嫌疑的IP地址。經人工復核后,對可能存在挖礦活動的高校通知提醒,協助高校及時發現處理挖礦活動。

  截至6月16日,平臺共檢測出400多所學校的4308個IP疑似存在“挖礦”行為,收集到9324個礦池地址,數據每天更新,他們還根據全國高校挖礦活動的密集程度形成治理地圖,為相關領域提供數據支持。

  授人以魚,不如授人以漁。CERNET網絡運行部門還和清華大學信息化技術中心聯合發布《挖礦病毒自查和防護指南》,為廣大高校處置挖礦提供了切實可行的實際操作方法。

  在CERNET的助力下,教育領域防范“挖礦”工作進展取得初步成效,既保障教育領域網絡安全,也助力國家向碳達峰、碳中和目標的實現,體現了教育網服務教育和國家的大網擔當。

  一場與DDoS攻擊的斗爭

  在“挖礦”的新挑戰外,校園網還面臨著一些傳統的網絡安全攻擊,其中,DDoS拒絕服務攻擊是典型代表。前不久北京健康寶系統在使用高峰期遭受境外攻擊,采用的手段就是DDoS攻擊。如何協助高校發現和處理DDoS攻擊,也是CERNET一直以來的重點工作。

  4月的一天,CERNET網絡中心接到賽爾重慶分公司求助:“部分高校遭受DDoS攻擊,導致用戶無法正常訪問網絡資源。”

  DDoS拒絕服務攻擊是一種傳統攻擊手段,以破壞服務可用性為目的,會直接導致系統或網絡無法提供正常服務。而在疫情期間,學校的各項工作對網絡高度依賴,此時發生DDoS攻擊,影響更嚴重。

  接到報障后,CERNET網絡運行部門緊急啟動安全應急預案,抓取用戶流量信息進行分析,發現這次攻擊除了涉及面廣,攻擊手段還很多樣,溯源后,追蹤到了所有攻擊的源地址,隨后緊急分析出應對方案,及時幫助用戶解決了攻擊,恢復了業務。

  隨著當前國際政治經濟環境復雜化,各種DDoS攻擊事件也層出不窮。為更好地守護主干網和校園網,CERNET不斷提升對DDoS攻擊的溯源和取證能力,并開發了多個攻擊行為分析系統,在多次實戰中發揮了重大作用。

  一個IPv6部署服務平臺

  疫情期間,CERNET對高校IPv6規模部署的技術支持工作仍在有條不紊地進行。

  6月初,甘肅省教育廳對全省教育系統2022年第一季度門戶網站IPv6支持度評測情況進行通報。“教育系統IPv6發展態勢監測平臺”測評數據顯示,賽爾甘肅分公司承擔的甘肅林業職業技術學院校園網IPv6建設項目,以IPv6支持度評分100分、甘肅省內高校IPv6支持度排名第一的成績交付。

  依托特有的技術,CERNET和遍布全國的賽爾技術人員正有力地支持著教育領域的IPv6規模部署行動。

  2017年底,兩辦發布《推進互聯網協議IPv6規模部署行動計劃》,隨后,教育部辦公廳發布關于貫徹落實IPv6規模部署行動計劃的通知,明確指出,“到2020年底,教育系統的各類網絡、門戶網站和重要應用系統完成升級改造,支持IPv6訪問,基于IPv6的安全保障體系基本形成。”

  在當時,對全國大多數高校來說,IPv6的部署是陌生的,充滿了各種技術挑戰。如何為教育領域推進IPv6規模部署提供技術、研究、數據的支持?基于此,在教育部科技司和CERNET網絡中心的支持下,賽爾公司開發了“教育系統IPv6發展態勢監測平臺”。

  平臺通過監測、收集、分析及統計相關單位的IPv6網絡建設、應用建設和運行數據,對教育系統IPv6發展情況進行動態監測和多維度實時分析。在平臺上,學校的IPv6活躍用戶,IPv6網絡性能,網站IPv6支持率這幾個重要因素一目了然。

  這樣,一方面可以形成一個整體的情況,幫助教育部門了解領域整體的IPv6部署情況,從而形成指導性政策。另一方面,對于每所高校來說,就可以獲取到自己IPv6發展的多維度情況,從而形成一個定制化的IPv6部署地圖,清楚自己的短板所在,及時追蹤并補齊。平臺開發到現在,支持著3000多個單位的IPv6規模部署工作。

  CERNET是全球IPv6研究的先鋒,最早建成全球第一個純IPv6主干網CERNET2,并探索研發了下一代互聯網真實源地址驗證體系結構SAVA、兩代網過渡技術IVI,對于引領全球互聯網向下一代互聯網IPv6平滑過渡具有重要意義。

  新形勢下,CERNET和賽爾又在承擔著新的使命。在兩辦發文推動IPv6規模部署行動后,又責無旁貸承擔著教育領域向IPv6過渡的技術服務支持。對于高校在IPv6規模部署中存在的任何技術細節問題,遍布全國的賽爾分公司技術人員都在及時跟進和解決。

  用大網的技術資源和能力,用自己的技術經驗和服務,疫情期間,CERNET人為千千萬萬的教育用戶提供著高質及時的網絡服務,支持著抗疫,守護著校園。