CERNET:以技術(shù)守護(hù)校園

來源:中國教育和科研計(jì)算機(jī)網(wǎng) 時間:2022-06-21

  2022年初,在大家以為疫情將要結(jié)束之時,新一輪疫情反撲。在傳染力極強(qiáng)的奧密克戎病毒的影響下,高校陸續(xù)實(shí)施封閉管理,從生活到學(xué)習(xí)全面轉(zhuǎn)移到線上。

  與兩年前相比,這一輪疫情對校園網(wǎng)的壓力極大:兩年前,學(xué)生們大都分散在家,這一次,學(xué)生基本在校內(nèi),網(wǎng)絡(luò)需求集中在校內(nèi)。校園網(wǎng)的穩(wěn)定運(yùn)行,成為高校抗疫的關(guān)鍵點(diǎn),與抗疫的勝利緊密相連。

  迅速響應(yīng),毅勇行動。面對疫情帶來的巨大挑戰(zhàn),中國教育和科研計(jì)算機(jī)網(wǎng)CERNET與運(yùn)營單位賽爾公司用技術(shù)全力守護(hù)著校園。

  一項(xiàng)全力保障的任務(wù)

  “為做好疫情防控期間的網(wǎng)絡(luò)保障,提高在線教學(xué)體驗(yàn),昨夜今晨,上海教育城域網(wǎng)和CERNET互聯(lián)線路在徐匯校區(qū)機(jī)房已完成大幅度升級擴(kuò)容?!?月14日一早,上海交通大學(xué)信息化推進(jìn)辦公室、網(wǎng)絡(luò)信息中心副主任姜開達(dá)在社交平臺說。

  當(dāng)時上海的疫情反撲開始嚴(yán)重,高校紛紛進(jìn)入封閉管理模式,學(xué)校的活動大都轉(zhuǎn)為線上進(jìn)行。這使得上海節(jié)點(diǎn)帶寬壓力驟增,出口流量幾乎跑滿,必須緊急擴(kuò)容。

  3月12日,接到CERNET主干網(wǎng)擴(kuò)容任務(wù)后,CERNET上海節(jié)點(diǎn)、賽爾上海分公司緊急調(diào)配資源,與上海教育城域網(wǎng)管理中心和上海市大數(shù)據(jù)中心教育信息化團(tuán)隊(duì)緊密配合,連續(xù)奮戰(zhàn),于14日凌晨2點(diǎn),完成百G擴(kuò)容。此次擴(kuò)容行動最大程度保障了上海師生在校園封閉管理期間,高速訪問互聯(lián)網(wǎng)資源的需求。

  因在線教學(xué)的巨大帶寬壓力,帶寬的擴(kuò)容、保障與優(yōu)化,成為貫穿疫情期間的一項(xiàng)持續(xù)行動。

  5月初,CERNET收到消息:同濟(jì)大學(xué)與上海地區(qū)網(wǎng)互聯(lián)帶寬20G已經(jīng)跑滿,學(xué)校的線上教學(xué)活動受到極大影響。但基于上海前期多輪擴(kuò)容,當(dāng)下線路已滿,再追擴(kuò)容難度很大。

  經(jīng)過討論,CERNET運(yùn)行團(tuán)隊(duì)提出建議:用下一代互聯(lián)網(wǎng)CERNET2線路開通IPv4OverIPv6隧道,從而讓學(xué)??梢酝ㄟ^CERNET2的設(shè)備來接入業(yè)務(wù),實(shí)現(xiàn)用戶帶寬的增加。

  但在嘗試接入線路后,測試結(jié)果并不理想,流量始終無法超過1M,網(wǎng)站訪問也不穩(wěn)定。反復(fù)測試后,終于發(fā)現(xiàn)問題所在,并在第一時間妥善處理。再次測試后,流量成功跑至4G,此次擴(kuò)容任務(wù),切實(shí)保障了同濟(jì)大學(xué)的用網(wǎng)需求。

  一項(xiàng)全新的技術(shù)支持

  如果說主干網(wǎng)保障是一項(xiàng)日常工作,那么協(xié)助高校防范與治理“挖礦”則是2022年CERNET面臨的一項(xiàng)全新工作。

  3月以來,CERNET網(wǎng)絡(luò)中心接到不少高校治理“挖礦”的技術(shù)求助。

  虛擬貨幣的生產(chǎn)過程被稱為“挖礦”。因?yàn)楸忍貛胚^去幾年迅速增值,全球“挖礦”活動愈發(fā)嚴(yán)重。但“挖礦”本身對能源產(chǎn)生巨大消耗,同時影響著金融等各個領(lǐng)域,基于此,國家相關(guān)部門去年年底加大治理力度,要求各領(lǐng)域全面梳理排查虛擬貨幣“挖礦”活動。今年3月開始,我國對“挖礦”的治理進(jìn)入攻堅(jiān)期,其中,高校因本身特有的硬件基礎(chǔ)和用戶特點(diǎn)成為重點(diǎn)治理領(lǐng)域。

  但如何治理挖礦?對于今年年初的高校來說還是一個難題。因?yàn)闆]有過往經(jīng)驗(yàn)可以借鑒。在接到治理求助后,CERNET通過篩查數(shù)據(jù)、編寫程序,對學(xué)校半年以來的流量記錄進(jìn)行比對,并結(jié)合威脅情報(bào)分析、態(tài)勢感知、關(guān)聯(lián)流量分析等技術(shù),分析判斷出可疑的礦池地址,篩查出幾千個地址段,最終協(xié)助學(xué)校及時治理校內(nèi)“挖礦”行為。

  在治理的過程中,教育網(wǎng)“挖礦”監(jiān)測平臺起到了重要作用。這是CERNET專門為支持教育領(lǐng)域防范“挖礦”而開發(fā)的平臺。平臺將流量日志和礦池IP相互匹配,確認(rèn)具有挖礦嫌疑的IP地址。經(jīng)人工復(fù)核后,對可能存在挖礦活動的高校通知提醒,協(xié)助高校及時發(fā)現(xiàn)處理挖礦活動。

  截至6月16日,平臺共檢測出400多所學(xué)校的4308個IP疑似存在“挖礦”行為,收集到9324個礦池地址,數(shù)據(jù)每天更新,他們還根據(jù)全國高校挖礦活動的密集程度形成治理地圖,為相關(guān)領(lǐng)域提供數(shù)據(jù)支持。

  授人以魚,不如授人以漁。CERNET網(wǎng)絡(luò)運(yùn)行部門還和清華大學(xué)信息化技術(shù)中心聯(lián)合發(fā)布《挖礦病毒自查和防護(hù)指南》,為廣大高校處置挖礦提供了切實(shí)可行的實(shí)際操作方法。

  在CERNET的助力下,教育領(lǐng)域防范“挖礦”工作進(jìn)展取得初步成效,既保障教育領(lǐng)域網(wǎng)絡(luò)安全,也助力國家向碳達(dá)峰、碳中和目標(biāo)的實(shí)現(xiàn),體現(xiàn)了教育網(wǎng)服務(wù)教育和國家的大網(wǎng)擔(dān)當(dāng)。

  一場與DDoS攻擊的斗爭

  在“挖礦”的新挑戰(zhàn)外,校園網(wǎng)還面臨著一些傳統(tǒng)的網(wǎng)絡(luò)安全攻擊,其中,DDoS拒絕服務(wù)攻擊是典型代表。前不久北京健康寶系統(tǒng)在使用高峰期遭受境外攻擊,采用的手段就是DDoS攻擊。如何協(xié)助高校發(fā)現(xiàn)和處理DDoS攻擊,也是CERNET一直以來的重點(diǎn)工作。

  4月的一天,CERNET網(wǎng)絡(luò)中心接到賽爾重慶分公司求助:“部分高校遭受DDoS攻擊,導(dǎo)致用戶無法正常訪問網(wǎng)絡(luò)資源?!?/p>

  DDoS拒絕服務(wù)攻擊是一種傳統(tǒng)攻擊手段,以破壞服務(wù)可用性為目的,會直接導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)無法提供正常服務(wù)。而在疫情期間,學(xué)校的各項(xiàng)工作對網(wǎng)絡(luò)高度依賴,此時發(fā)生DDoS攻擊,影響更嚴(yán)重。

  接到報(bào)障后,CERNET網(wǎng)絡(luò)運(yùn)行部門緊急啟動安全應(yīng)急預(yù)案,抓取用戶流量信息進(jìn)行分析,發(fā)現(xiàn)這次攻擊除了涉及面廣,攻擊手段還很多樣,溯源后,追蹤到了所有攻擊的源地址,隨后緊急分析出應(yīng)對方案,及時幫助用戶解決了攻擊,恢復(fù)了業(yè)務(wù)。

  隨著當(dāng)前國際政治經(jīng)濟(jì)環(huán)境復(fù)雜化,各種DDoS攻擊事件也層出不窮。為更好地守護(hù)主干網(wǎng)和校園網(wǎng),CERNET不斷提升對DDoS攻擊的溯源和取證能力,并開發(fā)了多個攻擊行為分析系統(tǒng),在多次實(shí)戰(zhàn)中發(fā)揮了重大作用。

  一個IPv6部署服務(wù)平臺

  疫情期間,CERNET對高校IPv6規(guī)模部署的技術(shù)支持工作仍在有條不紊地進(jìn)行。

  6月初,甘肅省教育廳對全省教育系統(tǒng)2022年第一季度門戶網(wǎng)站IPv6支持度評測情況進(jìn)行通報(bào)?!敖逃到y(tǒng)IPv6發(fā)展態(tài)勢監(jiān)測平臺”測評數(shù)據(jù)顯示,賽爾甘肅分公司承擔(dān)的甘肅林業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)IPv6建設(shè)項(xiàng)目,以IPv6支持度評分100分、甘肅省內(nèi)高校IPv6支持度排名第一的成績交付。

  依托特有的技術(shù),CERNET和遍布全國的賽爾技術(shù)人員正有力地支持著教育領(lǐng)域的IPv6規(guī)模部署行動。

  2017年底,兩辦發(fā)布《推進(jìn)互聯(lián)網(wǎng)協(xié)議IPv6規(guī)模部署行動計(jì)劃》,隨后,教育部辦公廳發(fā)布關(guān)于貫徹落實(shí)IPv6規(guī)模部署行動計(jì)劃的通知,明確指出,“到2020年底,教育系統(tǒng)的各類網(wǎng)絡(luò)、門戶網(wǎng)站和重要應(yīng)用系統(tǒng)完成升級改造,支持IPv6訪問,基于IPv6的安全保障體系基本形成?!?/p>

  在當(dāng)時,對全國大多數(shù)高校來說,IPv6的部署是陌生的,充滿了各種技術(shù)挑戰(zhàn)。如何為教育領(lǐng)域推進(jìn)IPv6規(guī)模部署提供技術(shù)、研究、數(shù)據(jù)的支持?基于此,在教育部科技司和CERNET網(wǎng)絡(luò)中心的支持下,賽爾公司開發(fā)了“教育系統(tǒng)IPv6發(fā)展態(tài)勢監(jiān)測平臺”。

  平臺通過監(jiān)測、收集、分析及統(tǒng)計(jì)相關(guān)單位的IPv6網(wǎng)絡(luò)建設(shè)、應(yīng)用建設(shè)和運(yùn)行數(shù)據(jù),對教育系統(tǒng)IPv6發(fā)展情況進(jìn)行動態(tài)監(jiān)測和多維度實(shí)時分析。在平臺上,學(xué)校的IPv6活躍用戶,IPv6網(wǎng)絡(luò)性能,網(wǎng)站IPv6支持率這幾個重要因素一目了然。

  這樣,一方面可以形成一個整體的情況,幫助教育部門了解領(lǐng)域整體的IPv6部署情況,從而形成指導(dǎo)性政策。另一方面,對于每所高校來說,就可以獲取到自己IPv6發(fā)展的多維度情況,從而形成一個定制化的IPv6部署地圖,清楚自己的短板所在,及時追蹤并補(bǔ)齊。平臺開發(fā)到現(xiàn)在,支持著3000多個單位的IPv6規(guī)模部署工作。

  CERNET是全球IPv6研究的先鋒,最早建成全球第一個純IPv6主干網(wǎng)CERNET2,并探索研發(fā)了下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)SAVA、兩代網(wǎng)過渡技術(shù)IVI,對于引領(lǐng)全球互聯(lián)網(wǎng)向下一代互聯(lián)網(wǎng)IPv6平滑過渡具有重要意義。

  新形勢下,CERNET和賽爾又在承擔(dān)著新的使命。在兩辦發(fā)文推動IPv6規(guī)模部署行動后,又責(zé)無旁貸承擔(dān)著教育領(lǐng)域向IPv6過渡的技術(shù)服務(wù)支持。對于高校在IPv6規(guī)模部署中存在的任何技術(shù)細(xì)節(jié)問題,遍布全國的賽爾分公司技術(shù)人員都在及時跟進(jìn)和解決。

  用大網(wǎng)的技術(shù)資源和能力,用自己的技術(shù)經(jīng)驗(yàn)和服務(wù),疫情期間,CERNET人為千千萬萬的教育用戶提供著高質(zhì)及時的網(wǎng)絡(luò)服務(wù),支持著抗疫,守護(hù)著校園。