当前位置: 首页最新动态官方新闻

天津大 学未知流量攻防战发布时间:2018-05-24 13:43

天津大 学是教育部直属国家重点大学,其前身为北洋大学,始建于1895年10月2日,是中国 第一所现代大学。1951年经国 家院系调整定名为天津大学,是1959年中共 中央首批确定的16所国家重点大学之一,是“211工程”、“985工程”首批重点建设的大学,入选国家“世界一流大学建设”A 类高校。目前,天津大 学在校师生共计30000多人。

 

随着网 络科技和智能手机的发展,学生们 对网络质量的需求越来越高,校园网的质量与30000多在校师生的学习、生活、娱乐息息相关。据了解,天津大学共有4个ISP出口,分别是电信、联通、移动和教育网。近期,天津大 学网络中心老师反馈:很多师 生反应在访问互联网应用时,出现视频延迟大、网页打不开、文件传输慢等问题,严重影 响教学质量和学生对校园网络的体验度。

 解决方案 

天津大 学网络中心老师了解到Panabit智能应 用网关在全国一类高校中的应用非常广泛,而且高校网络优化经验丰富,不需要 改变原有网络架构,只要将Panabit部署在网络出口,分析、优化校 园网内所有流量,以提升师生用网体验;并在校园网内部署一台Panalog,用作上网日志的存储,以实现 校园网全量数据的留存,为校园 网大数据提供可靠依据。

网络优化拓扑如下:

图一:网络优化拓扑图

通过管 理后台可明显看出,天津大 学的校园网流量异常,视频、网页、游戏等 应用卡顿的主要原因是:未知流量的占比过高,抢占了视频、网页、游戏等应用的带宽。

图二:连接数趋势图

 

从上图 二的连接数趋势图可以看到,18:10左右出 现了未知流量连接数激增的现象,而且占 比明显高于正常校园网,此时在 线用户数量却没有明显的波动,这就说 明此次连接数激增和用户数量没有直接关系。

观察并 分析校园网内流量后,选择有 针对性的对内网异常流量IP进行“单IP限速”控制,并对可疑IP地址进行封杀阻断,如图三所示,将网内异常IP限速50M,这样既 能保证正常流量的通过,又能抑 制可疑未知流量带来的威胁。经过一段时间观察,可看到 策略设置生效后,流量管控效果明显,校园网络恢复畅通。

图三:可疑IP阻断及单IP限速

近几年来,类似的 网络安全事件越来越多,其中大 多是未知流量的威胁,然而仅 以现有的杀毒软件或者安防类产品并不能完全抑制/封杀这些未知流量,这就给 人们的网络生活带来很大的安全隐患。Panabit作为国 内流量分析和控制的领导厂商,基于强大的DPI分析以及高达95%的应用识别能力,在多次 网络蠕虫攻击事件中为腾讯 等安全公司提供了强有力的流量分析及数据支持。其中,在2017年“暗云”事件中,Panabit最先识 别到病毒并成功捕捉到了“暗云”病毒的活体。

众所周知,“暗云”是一个 迄今为止最复杂的木马之一,感染了 数以百万的计算机,暗云木 马使用了很多复杂、新颖的 技术以实现长期潜伏在用户的计算机系统中,而且可 直接感染磁盘的引导区,感染后 即使重装格式化硬盘也无法清除。从2017年6月9日至今,中国国 家互联网应急中心监测发现中国境内已有160余万台 电脑感染了此木马。

【发现“暗云”病毒攻击】

Panabit作为烽 火台威胁情报联盟成员之一,于2017年5月26日19点开始,监测到 一次大面积网络攻击活动。本次活 动呈现的最明显特点是参与攻击的源地址覆盖度超级广泛,几乎在 全国所有省市运营商的骨干网络上均有明显活动。

图四:“暗云”攻击时连接数趋势图

【捕捉病毒活体】

通过Panabit态势感 知系统对网络中数据包的会话分析和URL分析,找出频繁访问www.acsewle.com(病毒控制端)的源IP地址。同时,该源IP对183.60.111.150、59.153.75.7发出大量连接,通过对 攻击源机器进行分析,腾讯云 云鼎实验室工程师在机器中发现暗云Ⅲ的变种,通过对流量、内存DUMP数据等内容进行分析,基本确 定本次超大规模DDoS攻击由“暗云”黑客团伙发起。在对目标机器排查中,发现了MBR中可疑rootkit,在对MBR内容进行分析,我们发现肉鸡机器的MBR与暗云MBR 中INfectedMBR 与 original MBR的相对位置相同,而且病毒均存储在3-63 的60个扇区中。进一步 通过获取到肉鸡机器的流量信息,我们发现机器每隔5分钟会去访问www.acsewle.com:8877/ds/kn.html,从而验证了Panabit正向态 势感知发现的异常URL,进而验 证暗云就是此次发起DDoS的木马。

 

随着黑 客技术和地下黑产利益链的发展,黑客对用户端的攻击,已经由 简单的破坏行为进化到账号窃取、广告劫持、软件散发、刷榜投票和DDoS攻击等 明确的经济行为。与此同时,计算机病毒已经云化,云中虚 拟机最容易被感染,而且CDN是病毒 的最佳散播渠道,云也为 病毒的动态更新提供了便利。基于Panabit强大的DPI数据分 析基础上的态势感知技术,可对Unknown数据分析,从而发 现病毒攻击规律,进而对攻击源、攻击目 标以及攻击特性进行分析,锁定病毒控制端的URL和IP地址,最终锁定病毒活体。

总结

Panabit,旨在对 网络带宽的流量进行精细化的管理优化,并在此基础推出NAT、负载均衡、应用加速、Web认证、审计、态势感 知等一整套解决的方案,优化网络,使网络更加安全、顺畅,实现极速的上网体验!

Panabit推出的高校PPPoE代拨方 案已北京邮电大学、燕京大学、湖北工 业大学等众多高校测试并获得一致好评!

 

 

友情链接:    365彩票官网app   365彩票注册   龙猫彩票如何   博雅彩票官方网站   拉菲二彩票平台