104 年度臺北區網 ( 臺大 ) 年度報告 單位:國立臺灣大學 計資中心主任:顏嗣鈞教授 報告人:游忠憲、游子興 : 電話: / 日期: 2015/12/2 1
一、臺北區網中心人力狀況 單位主管:顏嗣鈞 : 電話: (02) 網路管理負責人:游子興 : 電話: (02) 資安業務負責人:游忠憲 : 電話: (02) 編制內專職及約聘僱人員 8 名,其中區網經費 及資安經費各約聘 2 名 2
二、資訊安全環境整備 通過教育版資訊安全管理制度 (ISMS) 認證 為建立完善之資訊安全管理制度,降低組織內 的重要資產與資訊之風險,台北區網中心於 97 年開始導入教育版 ISMS 制度 98 年至 104 年每年皆通過教育版 ISMS 第三方認 證 3
本年度資安事件統計 時間區間: 104/01/01~104/10/31 臺灣大學 總事件量: 4504 主機多次連線惡意網域 總事件量:
內部主機多次連線惡意網域範例 BLACKLIST User-Agent known malicious user-agent string http - Win.Trojan.Waski ?
Win.Trojan.Waski 分析說明 Win.Trojan.Waski 具有以下的特徵: urilen:<40 User-Agent: http|0D 0A| Cache-Control: no-cache 6
iResearch 分析說明 艾瑞市場諮詢有限公 司 (iresearch) ,為中 國互聯網領域市場調 查顧問公司。 " 鬲砩獗籵 " = 艾瑞意 見通 7
iResearch 分析說明 艾瑞意見通產生的問題: 未經同意直接安裝程式。 植入途徑廣泛。 上傳資料均被加密,無法得知被取走什麼資料。 影響使用效能,如開關機等。 不容易刪除。 8
iResearch 分析說明 來源途徑: QVOD( 快播 ) 影音先鋒 解決辦法: 以反安裝方式移除 C:\iResearch\YJTFS\unins000.exe 以第三方軟體移除 9
三、網路中心運作情形 2015/7 市網 4G 擴增至 5G 2015/9 教育部骨幹 4.8G 擴增至 10G 新伙伴加入 : 私立大同高中、私立再興中學 共計 52 個連線單位
104 年 10 月 更新 Traceroute 查詢系統 104 年 8 月 私立大同高中加入 104 年度臺北區網重要事蹟 11 一月 二月 三月 四月 五月 六月 七月 八月 104 年 6 月 臺北市教育網路頻寬提升 4G -> 5G 教育版 ISMS 稽核通過 104 年 7 月 104 年度區網教育訓練 104年 104 年 9 月 教育部骨幹頻寬提升 4.8G->10G 私立再興中學加入 九月 十月 十一月 十二月 104 年 11 月 104 年度第二次區網會議 104 年 5 月 104 年度第一次區網會議 104 年 2 月 臺大機房更新不斷電系統 104 年 4 月 Google Global Cache 上線服務 104 年 3 月 104 年校園雲端節能計畫上線
區網會議 - 網管經驗分享 Google Global Cache 上線說明 GGC 網路架構、 GGC 運作機制 GGC 是否正常運作 Youtube 播放測試 12
Why Videos Not Playing From the GGC DNS resolver is not in the BGP feed to the GGC Client’s IP GGC is overloaded 13 需為校內 IP 尚未滿載
IP 全球地址資料庫查詢 區網連外架構圖 整合顯示流量圖、 Ping 、 Packet Lost% Traceroute 路徑查詢 BGP Neighbor Accepted Prefix 監控 校園雲端節能計畫 14 四、網路應用特色服務
IP 全球地址資料庫查詢 用途 : 國際頻寬使用率分析 : 國家 / 地區 /ISP/AS# 帳號盜用分析 : VPN 帳號登入 IP 地點分析 駭客攻擊來源分析 購買 IP2Location 商業版本 ( 最新版本 2015/12) 15 版本欄位網段筆數欄位差異 免費版 DB52,178,274 商業版 DB812,857,322ISP, Domain
IP 全球地址資料庫查詢 Cont. 16 顯示 IP 對應之: 國家、城市、經緯度 、 ISP 、 Domain
區網連外架構圖 緣起 : 連線學校抱怨 nod32 防毒軟體下載緩慢 tracert 路徑 : 1 1 ms <1 ms <1 ms ms 3 ms 2 ms bb-MOE-TWAREN.TANet.edu.tw [ ] -> 教育部 3 1 ms 3 ms 2 ms Internet-TWASR-TANet.edu.tw [ ] -> 教育部 TWASR 4 1 ms 1 ms 1 ms TWGATE-IP.twgate.net [ ] -> TWGATE 5 5 ms 1 ms 3 ms TWGATE-IP.twgate.net [ ] 6 24 ms 24 ms 28 ms TWGATE-IP.twgate.net [ ] 7 24 ms 22 ms 27 ms hkg.equinix.com [ ] 8 40 ms 27 ms 27 ms
區網連外架構圖 Cont.
建立各節點 IP 資料庫 整合網路監測圖 : 流量圖、 Ping 、 Packet Lost% 19 流量圖 Peer IP Ping Latency Packet Lost%
Traceroute 路徑查詢 動態顯示出口路徑 20
21
Facebook 路由異動 頻寬不足 2015/9 之後 Facebook 路徑 2015/9 之前 Facebook 路徑
Facebook 路由異動 Cont. 2015/10/22 教育部 ISP 節點頻寬擴充 23 頻寬擴充
24
BGP Neighbor Accepted Prefix 眾多 ISP peering ,監控 BGP Prefix 筆數 25
校園雲端節能計畫 26/15 環境 : 6 Servers 、 180 TB 已建置 : 113 VMs 參與單位 :19 學校
虛擬主機分類 27/10
雲端設備機櫃耗能量測 28/15 可量測總耗能 及各別插座的耗能 AMP 安培數 Walt 瓦數
中小學機房耗能量測 29/15 勾式電源量表
五、綜合建議 開放 IP 結尾 連線 TANet 遠傳 ADSL 使用者反應使用 IP: 無法 連線 TANet Traceroute 測試 教育部對外 ISP Router
IP 結尾 是否合法 網站結尾也是.0 阻擋之 ACL: deny ip any 阻擋目的 IP: X.X.X.0 (0 結尾 ip) deny ip any 阻擋目的 IP: X.X.X.255 (255 結尾 ip) 31
IP 結尾 是否合法 將台大 IP: / 直接當成 一個 Class B 使用 網路位址 : 廣播位址 : 合法主機位址 : ~ 因此下列位址可被合法分配給主機 、 … 、 … 為何 ISP 要使用大於 Class C 之網段 ? 32
Akamai 下載測試 (Hinet) 33 Win7 SP1.iso 下載
Akamai 下載測試 ( 教育部 ) 34 Win7 SP1.iso 下載
Akamai in Hinet 下載速度 區網與 Hinet Peer 線路, 在 之前, 最高頻寬 接近 1Gbps, 但之後最高頻寬僅剩 500Mbps 35
Netflow Based 網路攻擊告警系統 建構即時且自動化之網路品質監控系統 六、未來目標 36
Netflow Based 網路攻擊告警系統 37 MRTG 僅能顯示網路異常 無法得知攻擊來源 Netflow 監控系統 可分析攻擊來源 Open Source: Nfdump + NfSen
TopN Port 38 Port: 53 DNS 攻擊
TopN IP 39 連線學校校內 IP
TopN to IP 多個 Random IP 進行 DNS 攻擊, 耗盡頻寬資源
設定自動告警系統 可彈性設定異常 Threshold Flows 較過去 ” 一小時平均 ” 增加 20% Packets 較過去 ” 一小時平均 ” 增加 20% 41
即時自動化網路品質系統 傳統式管理 – 被動通知 Phone Call/ 報修 現代式管理 – 主動偵測 Performance Test Speed Test: 網頁測速、 Android/iPhone Ping Latency 、 TraceRoute Network Devices Health Check Link: Bandwidth Network Device: Ping Latency/CPU Loading Server: CPU Load/RAM Usage/Disk Usage 化被動為 主動 改善傳統被動式網路異常通知,建構化被動為 主動之網路品質監控系統 42/70
問卷回饋 43
連線學校目前遭遇最大困難 44
維運管理的建議 近日發現本校 FB 連線異常,詢問區網中心承辦 人,才發現有其他連線學校也同樣反應 FB 無 法連線,是否可以將這類的消息儘早提供給其 他連線學校,或是有什麼樣的討論區可提供北 區的連線學校做集中反應? 考慮架設討論區供連線學校交流 提供新手網管基礎 / 進階教育訓練。 於明年開設網管系列課程 盡可能提升連線頻寬及 ISP 業者商討降低月租 費。 台灣智慧光網近期將與台大機房接線,預計於明年 初上線 45
綜合整體服務的表現 46
簡報完畢 謝謝 47