103年度臺北區網I年度報告 單位：國立臺灣大學 計資中心主任：顏嗣鈞教授 報告人：游忠憲、游子興 Email：chyue@ntu.edu.tw/davisyou@ntu.edu.tw 電話：02-33665013/02-33665008 日期：2014/12/4

一、臺北區網中心人力狀況 單位主管：顏嗣鈞 網路管理負責人：游子興 資安業務負責人：游忠憲 E-mail：hcyen@ntu.edu.tw 電話：(02) 33665001 網路管理負責人：游子興 E-mail：davisyou@mtu.edu.tw　 電話：(02) 33665008 資安業務負責人：游忠憲 E-mail：chyue@ntu.edu.tw 電話：(02) 33665013 編制內專職及約聘僱人員8名，其中區網經費及資安經費各約聘2名

二、資訊安全環境整備 通過教育版資訊安全管理制度(ISMS)認證

區網本年度TOP事件 DNS amplification attack(放大攻擊) BOT: H-Worm **BOT: PlugX Trojan

DNS amplification attack 解決方案 在區網IPS上封鎖攻擊，並通知該校負責網管，並協助各校DNS Server復原。 通知DNS管理者，並請其協助將所屬DNS修正設定 設定 ACL： 僅允許符合ACL設定的網段進行recursive query 設定 rate limit： 限制單一 IP 在短時間內的查詢次數

BOT: H-Worm簡介 H型蠕蟲(H-Worm)是一個會以各種方式散播的惡意 VBScript 程式。 蠕蟲程式碼會覆寫修改的檔案而非刪除該檔案，因此無法或是不可能復原資料。 H-Worm的攻擊方式是從受到Bot感染並控制的主機組中，掃描特別容易用於增加攻擊規模與速度的脆弱主機。

BOT: H-Worm分析說明 H-Worm惡意程式具有以下的特徵： 封包內容可能包含以下關鍵字： /is-sending /is-recving /is-enum-driver /is-enum-process /is-cmd-shell /is-ready \x3c\x7c\x3eplus\x3c\x7c\x3e \x3c\x7c\x3eunderworld final\x3c\x7c\x3e 封包內容可以觀察到會透過HTTP方式向特定C&C Server回報：

BOT: H-Worm分析說明 H-Worm惡意程式可能造成的危害：

BOT: H-Worm防範方式 在區網IPS上封鎖攻擊。 確保防毒軟體的安裝與使用功能是否正常。 不使用非法或未知來源的軟體。 落實定期更新作業系統的動作。 對於從網路上任何來路不明(電子郵件或通訊軟體等……)的連結，皆須謹慎而為之。 H-Worm的防毒軟體偵測率非常高，務必落實防毒軟體的防護與掃描。

BOT: PlugX Trojan分析說明

BOT: PlugX Trojan解決辦法 目前尚與遊戲公司聯繫中。因阻擋事件會導致遊戲無法建立連線，目前也未於設備上阻擋。

北區ASOC資安技術分析報告 http://cert.ntu.edu.tw/Module/ASOC/index.php

三、網路中心運作情形 共計50個連線學校 區網中心連線設備兩台： 區網主幹 Router: Cisco 6509 區網 Switch: Cisco 2960

103年度臺北區網I重要事項記錄 103年2月 103年度第一次區網會議 103年2月 The Dude 網管軟體教育訓練累計共四場 103年3月 區網委員會改選 103年5月 區網網頁主機硬碟損毀 103年5月 區網網頁主機虛擬化 103年6月 教育版 ISMS稽核通過 103年7月 103年度區網教育訓練 103年9月 103年度第二次區網會議 103年10月 建置網路品質監控系統 103年 一月 二月 三月 四月 五月 六月 七月 八月 九月 十二月 十月 十一月

區網重要事項記錄 Cont. 推廣與建置網路品質管理軟體 The Dude 提供視覺化之網路拓樸架構圖，可即時觀測網路流量並提供網路異常警示服務，並已建置於台北區網、台大骨幹網路、宿舍、圖書館、校園無線網路 舉辦推廣課程：TANET技術小組會議、台大網管會議、台北區網暑期課程、桃園區網暑期課程

區網重要事項記錄 Cont. 區網網頁主機硬碟控制卡毀損 2014/5/1 11:00 On Board Raid Card 突然損壞 區網確實落實ISMS 備份機制，資料全由備份檔案 100%復原 藉此機會將實體主機虛擬化: 省電、備份容易、縮短未來災難復原時間

於區網會議分享網管經驗 DNS 查詢使用 TANET與非TANET主機比較 蘋果日報 www.appledaily.com.tw 使用Ping 及Traceroute 比較 蘋果日報、Facebook 皆有顯著差異 蘋果日報 www.appledaily.com.tw DNS: 168.95.1.1 (Hinet) DNS: 140.111.1.20 (教育部)

於區網會議分享網管經驗 Cont. OpenSSL Heartbleed 漏洞版本分析 RedHat/CentOS 之openssl-1.0.1e-16.el6_5.7 是否還有漏洞? RedHat --Backporting Security Fixes 為了保持套件穩定性, 不希望新版程式除了更新 bug 外,  還帶來一些可能跟舊版不相容的功能, 因此 Radhat 會自行修改舊版本的原始程式, 僅修補 bug 的部分

於區網會議分享網管經驗 Cont. 所以不能只看 1.0.1e 就判斷是否有漏洞, 必須看最後的版本號. openssl-1.0.1e-16.el6_5.4 – 還有 Heartbleed 漏洞 openssl-1.0.1e-16.el6_5.7 – 已經修正

四、推動網路資訊應用環境與導入 網路管理機制 IPv6 導入現況 增加連線單位 MRTG Ping 品質監控 Ping Latency Ping Packet Lost% IPv6 導入現況

連線單位 MRTG Ping品質監控 緣起: 10/24 區網與台北市網連線異常 CRC error 之盲點 ping packet lost 很高，但雙方介面皆無 CRC error CRC error 之盲點 僅能顯示於點對點直接相連的兩個介面 電路租用非直接相連，無法明確顯示CRC error 仍有賴 Ping 及 Packet Lost% 偵測電路異常 每五鐘 ping 10 次 Packet Lost Rate %

連線單位MRTG Ping品質監控 Cont.

連線單位MRTG Ping品質監控 Cont. 法鼓人文社會學院遭受 SNMP flooding攻擊 攻擊前後 ping packet lost % 比較

IPv6 Routing 運作現況 2013 2014 2013 % 2014 % IPv6 ready 17 19 33% 38% IPv6 not ready 34 31 67% 62%

已導入 IPv6 Routing 比例 2013 2014 2013 % 2014 % 大學院校 12 15 71% 79% 高中職 4 3 23% 16% 國中小學 1 6% 5%

五、教育訓練及推廣活動 103年度暑假期間舉辦10場教育訓練，課程內容包含HTML5 動態網頁開發、網路管理、及資訊安全(含智財權與個資保護)等相關議題。 講義電子檔網頁: http://tprc.tanet.edu.tw/d3.php

六、102年計畫績效指標辦理情形 項目 績效指標 實際辦理情形 1 建構區網雲端虛擬伺服器 建置完成。 已建置：區網網頁主機、Cacti 網管主機、The Dude 網管主機、連線學校測試主機(北市網、台藝大、黎明技術..) 2 網路品質偵測系統，提供網路異常訊息 增加 MRTG Ping品質監控 Ping Latency、Ping Packet Lost% 3 整理異常事件處理經驗，針對異常狀況擬定處理對策 SOP 於區網會議分享網管經驗: (1)DNS 查詢結果分析 (2)OpenSSL Heartbleed漏洞版本分析 4 持續開發易於使用之網管PHP小程式 IP 全球地址資料庫查詢 區網出口路徑拓樸圖 Traceroute 出口路徑查詢

七、網路應用特色服務 IP 全球地址資料庫查詢 區網出口路徑拓樸圖 Traceroute 出口路徑查詢 建立Peer IP 資料庫 整合顯示流量圖、Ping、Packet Lost% Traceroute 出口路徑查詢

IP全球地址資料庫查詢 緣起: 使用兩種免費全球地址資料庫查詢 台大國際頻寬使用率分析: 國家/地區/ISP/AS# VPN 帳號登入 IP 地點分析: 帳號盜用 駭客攻擊來源地址分析 使用兩種免費全球地址資料庫查詢 DB 網址 網段筆數 更新日期 GeoLite2 http://dev.maxmind.com/geoip/geoip2/geolite2/ 2,986,478 November 2014 ip2location http://lite.ip2location.com 2,178,274

IP全球地址資料庫查詢 Cont. 顯示 IP 對應之： 國家、城市、經緯度

區網出口路徑拓樸圖 緣起: 連線學校抱怨 nod32 防毒軟體下載緩慢 tracert www.eset.tw 路徑: 1    <1 ms    <1 ms   gateway163-16.ntu.edu.tw [163.28.16.254] 2    10 ms    11 ms   bb-MOE-TWAREN.TANet.edu.tw [192.83.196.111]   -> 教育部 3     1 ms     1 ms     Internet-TWASR-TANet.edu.tw [203.72.43.10]    -> 教育部 4     1 ms     1 ms     45-61-41-175.TWGATE-IP.twgate.net [175.41.61.45] -> TWGATE 5    23 ms    26 ms  54-60-41-175.TWGATE-IP.twgate.net [175.41.60.54] -> TWGATE 6    32 ms    29 ms  103.22.203.26        7    25 ms    25 ms  162.159.249.135 教育部TWGate(5G) 頻寬幾乎全天滿載

區網出口路徑Peer IP對應表 路徑 IP 中華電信 Hinet 211.22.226.186 211.20.43.62 202.39.199.102 教育部 192.83.196.111 遠傳 Seednet 139.175.59.145 139.175.59.149 教育部 > 中研院 192.83.196.111 > 202.169.174.46 和信 KGT 203.133.92.65 TWASR > TWGATE 192.83.196.111 > 203.72.43.10 > 175.41.61.45 台哥大 TFN 211.78.221.25 STM16-USAASR 203.72.43.18 203.72.43.30 台大 NTU 140.112.0.69 清華 NTHU 192.83.196.114 台北市教育網 TP 192.83.196.165 192.83.192.165 192.83.175.165 192.83.196.69 中央 NCU 192.83.196.115 ….

區網出口路徑拓樸圖 Cont.

區網出口路徑拓樸圖 Cont. 建立Peer IP 資料庫 整合網路監測圖: 流量圖、Ping、Packet Lost% Peer IP Ping Latency Packet Lost%

Traceroute 出口路徑查詢 動態顯示出口路徑

Traceroute 出口路徑查詢 Cont. 即時出口路徑之網路品質監測圖

Traceroute 出口路徑查詢 Cont. 整合: IP地址資料庫+ Google Map

Traceroute 出口路徑查詢 1/2

Traceroute 出口路徑查詢 2/2

八、綜合建議 TANET骨幹即將升級，網路壅塞將發生於其他Node TW Gate 5G國際頻寬早已滿載: 市網與區網4G 頻寬已接近滿載:

綜合建議 Cont. 建議改善方法: 針對區網中心可多舉辦技術性教育訓練，以提升網管人員技術能力。 Google Global Cache 可改善區網對外連線壅塞情形，建議可加速進行。 Dropbox 使用 TW Gate 國際頻寬，應多推廣國內提供之雲端空間。 針對區網中心可多舉辦技術性教育訓練，以提升網管人員技術能力。

九、104年工作重點(區網特色推動) 建構即時且自動化之網路品質監控系統 台大區網有非常多的連線單位(50個)，提升網路品質刻不容緩

傳統式管理 – 被動通知 Client Devices: Network Devices: Alerts: Log Analysis Phone Call/email 報修 Network Devices: Log Analysis Bandwidth: MRTG

現代式管理–主動偵測 Client Devices: Performance Test Speed Test: 網頁測速、Android/iPhone Ping Latency、TraceRoute

現代式管理–主動偵測 Cont. Network Devices Health Check: Link: Bandwidth Network Device: Ping Latency/CPU Loading Server: CPU Load/RAM Usage/Disk Usage

簡報完畢 謝謝