Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用

Linux系統(tǒng)

在科大校園網(wǎng)管理中的應(yīng)用張煥杰email/msn:james@中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心2008-11-82024/8/201Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用主要內(nèi)容中國科大校園網(wǎng)絡(luò)歷史與現(xiàn)狀網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)服務(wù)KD-50-I基于龍芯2F的萬億次高性能機(jī)2024/8/202Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用中國科大校園網(wǎng)絡(luò)的發(fā)展歷史1993年開始規(guī)劃1994年建成FDDI主干的校園網(wǎng)6臺FDDI路由器，24個10M子網(wǎng)1995年連接中國教育和科研網(wǎng)CERNET1999年連接ChinaNET2000年改造為千兆以太網(wǎng)主干2005年改造為萬兆主干，全面支持IPv62024/8/203Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用10GCERNET西區(qū)核心節(jié)點(diǎn)網(wǎng)絡(luò)信息中心東校區(qū)西校區(qū)南校區(qū)服務(wù)器群超級計算平臺CNCNET中國科學(xué)技術(shù)大學(xué)校園網(wǎng)絡(luò)主干及出口示意圖1G200M1G600MCERNET2CHINANET教三樓生命科學(xué)學(xué)院加速器計算機(jī)科學(xué)系信息學(xué)院火災(zāi)科學(xué)實(shí)驗(yàn)室高性能計算中心圖書館西區(qū)活動中心力三樓力二樓力一樓南區(qū)教學(xué)樓南區(qū)辦公樓MBA中心軟件學(xué)院南區(qū)圖書館南區(qū)實(shí)驗(yàn)樓南區(qū)學(xué)生宿舍防火墻防火墻防火墻防火墻西區(qū)學(xué)生宿舍力四樓南區(qū)匯聚節(jié)點(diǎn)東區(qū)學(xué)生宿舍行政辦公樓理化中心大樓理化一號樓大禮堂微尺度物理樓數(shù)學(xué)樓教一樓教二樓化學(xué)樓藝術(shù)樓出版社東區(qū)活動中心繼續(xù)教育學(xué)院電四樓電子工程與信息系10G科研樓東區(qū)核心節(jié)點(diǎn)網(wǎng)絡(luò)中心核心節(jié)點(diǎn)計算中心匯聚節(jié)點(diǎn)校園無線網(wǎng)覆蓋2024/8/204Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用中國科大校園網(wǎng)現(xiàn)狀萬兆主干，支持IPv4、IPv63臺核心交換機(jī)處理3層路由其他設(shè)備當(dāng)作2層交換機(jī)使用IPv4/IPv6雙棧通過VRF-lite(VPNRoutingandForwardingLite)支持2個IP地址空間4個出口CERNET/CERNET2電信/網(wǎng)通從CNNIC申請了16C地址以利用電信出口2024/8/205Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用中國科大校園網(wǎng)現(xiàn)狀校園網(wǎng)上看到的校內(nèi)計算機(jī)數(shù)1天內(nèi)活動的，12000臺7天內(nèi)活動的，16000臺安裝IPv6協(xié)議的機(jī)器數(shù)1天內(nèi)活動的，1200臺7天內(nèi)活動的，2000臺是CERNET合肥主節(jié)點(diǎn)，CERNET2合肥節(jié)點(diǎn)，同時也是安徽省教育科研網(wǎng)中心2024/8/206Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用1天內(nèi)活動的IPv4機(jī)器數(shù)2024/8/207Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用校園網(wǎng)”網(wǎng)絡(luò)天氣圖”2024/8/208Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用科大校園網(wǎng)絡(luò)提供的服務(wù)隨時隨地的高帶寬網(wǎng)絡(luò)接入服務(wù)全校使用DHCP自動分配IP地址IPv4/IPv6雙棧多種網(wǎng)絡(luò)應(yīng)用服務(wù)多達(dá)1G的郵件/主頁VOD等Internet應(yīng)用電子校務(wù)等業(yè)務(wù)系統(tǒng)對個人用戶，網(wǎng)絡(luò)費(fèi)用的分擔(dān)以包月方式靈活方便的“網(wǎng)絡(luò)通”服務(wù)2024/8/209Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用安徽省教育科研網(wǎng)絡(luò)主干示意圖蕪湖市安徽師范大學(xué)安慶市安慶師范學(xué)院銅陵市銅陵學(xué)院池州市池州學(xué)院黃山市黃山學(xué)院宣城市宣城職業(yè)技術(shù)學(xué)院馬鞍山市安徽工業(yè)大學(xué)巢湖市巢湖學(xué)院蚌埠市安徽財經(jīng)大學(xué)宿州市宿州學(xué)院淮北市淮北煤炭師范學(xué)院亳州市亳州職業(yè)技術(shù)學(xué)院阜陽市阜陽師范學(xué)院CERNET武漢南京2.5G155M155MSDH南環(huán)9個市共享155MSDH北環(huán)7個市共享合肥市安徽農(nóng)業(yè)大學(xué)安徽醫(yī)科大學(xué)安徽建工學(xué)院三聯(lián)職業(yè)技術(shù)學(xué)院安徽考試院合肥工業(yè)大學(xué)合肥師范學(xué)院安徽新華學(xué)院安徽經(jīng)濟(jì)管理學(xué)院安徽電教館安徽教育廳安徽中醫(yī)學(xué)院合肥學(xué)院電子工程學(xué)院安徽大學(xué)淮南市安徽理工大學(xué)滁州市滁州學(xué)院六安市皖西學(xué)院中國科學(xué)技術(shù)大學(xué)省網(wǎng)中心2024/8/2010Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用合肥中心節(jié)點(diǎn)網(wǎng)絡(luò)天氣圖2024/8/2011Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用安徽省教育科研網(wǎng)主干155M環(huán)網(wǎng)2024/8/2012Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用校園網(wǎng)絡(luò)管理理念開放的校園網(wǎng)絡(luò)只要是支持TCP/IP的系統(tǒng)，都能接入應(yīng)用只要不違反法律法規(guī)，不影響網(wǎng)絡(luò)運(yùn)行，都應(yīng)該支持以用戶為中心接入方式多，滿足各種用戶需要方便使用，盡量少設(shè)置障礙，讓用網(wǎng)絡(luò)像用電用水一樣方便網(wǎng)絡(luò)資源用足、用透2024/8/2013Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2014Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2015Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2016Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用網(wǎng)絡(luò)基礎(chǔ)設(shè)施DNSDHCP認(rèn)證/計費(fèi)網(wǎng)絡(luò)通出口控制學(xué)生宿舍計費(fèi)控制WWW/反向代理VPN接入2024/8/2017Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用DNS服務(wù)網(wǎng)絡(luò)最基本服務(wù)RedHatEnterpriseLinuxASrelease4Bind9.2.4特點(diǎn)：3個view，分別對應(yīng)CERNET、電信、其他部分的用戶，各自查詢的結(jié)果是不同IP，如，分別對應(yīng)682024/8/2018Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用DHCP服務(wù)全校范圍內(nèi)使用DHCP方式分配IPv4地址DHCP并不是為了節(jié)省IP地址，而是為了方便用戶優(yōu)點(diǎn)方便用戶，尤其是對移動用戶管理簡單缺點(diǎn)穩(wěn)定性不高一旦私設(shè)DHCPServer，會引起混亂，根據(jù)實(shí)際運(yùn)行的經(jīng)驗(yàn)，這種情況經(jīng)常出現(xiàn)2024/8/2019Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用DHCPServer使用Linux下的DHCPServerDHCPServer的行為由配置文件控制Linux下由程序生成配置文件，以此控制DHCPServer的行為Linux下的DHCPServer支持shared-network，即一個物理網(wǎng)段可以有多個IP網(wǎng)段如，某個子網(wǎng)，原來為/，后來機(jī)器多了，IP地址不夠用，可以增加/，原有的機(jī)器不需要修改2024/8/2020Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用對DHCPServer的控制自動將一些靜態(tài)IP地址從DHCP地址池中排除校內(nèi)主要使用DHCP分配IP，也可以靜態(tài)設(shè)定IP地址。一旦向網(wǎng)絡(luò)信息中心申請某個IP地址靜態(tài)設(shè)定，設(shè)定的IP地址要從地址池中自動排除做法是定時（每隔10分鐘）從數(shù)據(jù)庫中讀出配置信息，讀出靜態(tài)IP地址信息，自動產(chǎn)生配置文件，重新啟動DHCPServer2024/8/2021Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用對DHCPServer的控制將一些用戶私自設(shè)立的靜態(tài)IP地址排除對于私自設(shè)立的靜態(tài)IP地址，也要排除為了避免IP地址沖突，DHCP在分配一個IP地址給用戶的時候，會先ping一下，如果能ping通，說明已經(jīng)在用，不會分配該IP。由于很多機(jī)器設(shè)立了個人防火墻，現(xiàn)在ping的結(jié)果已經(jīng)不可靠，這種工作方式經(jīng)常會產(chǎn)生IP地址沖突我們的做法是通過snmp協(xié)議，收集3層交換機(jī)上的ARP表（即IP-MAC對應(yīng)表）信息，一旦發(fā)現(xiàn)某個不是DHCP分配的IP對應(yīng)有MAC地址信息，即從地址池中排除該IP2天2024/8/2022Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用DHCP系統(tǒng)的監(jiān)控除了定期檢查是否有DHCP_NAK消息判斷是否有私設(shè)的DHCPServer外，還應(yīng)該對DHCPServer的工作狀態(tài)進(jìn)行監(jiān)視，尤其要關(guān)注IP地址池中IP地址的利用率通過分析DHCPServer的IP地址分配記錄，結(jié)合固定的IP地址，用戶私設(shè)的IP地址，統(tǒng)計出各個網(wǎng)段的IP地址利用率2024/8/2023Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2024Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用認(rèn)證/計費(fèi)2個數(shù)據(jù)庫1個sybase，存放帳務(wù)信息1個mysql，存放帳號信息，從sybase同步數(shù)據(jù)Mysql結(jié)構(gòu)基于freeradius，增加了一些字段Freeradius提供2個認(rèn)證入口PPP電話撥號radius認(rèn)證VPNradius認(rèn)證網(wǎng)絡(luò)通的web界面則直接訪問mysql數(shù)據(jù)庫2024/8/2025Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用網(wǎng)絡(luò)通出口控制介紹“網(wǎng)絡(luò)通”服務(wù)利用一個用戶名和密碼，具有如下功能：校內(nèi)無線接入撥號接入90路撥號系統(tǒng)滿足校內(nèi)家屬區(qū)用戶使用VPN接入2個出口/2種類型的VPN接入服務(wù)PPTP/OpenVPN，均提供電信/網(wǎng)通上用戶的接入靈活的對外訪問服務(wù)用戶從校內(nèi)可以自由選擇多種出口組合對外訪問2024/8/2026Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用出口管理網(wǎng)絡(luò)費(fèi)用分擔(dān)的需要緩解帶寬有限與需求無限的矛盾1%的用戶使用超過10%的帶寬10%的用戶使用超過50%的帶寬P2P應(yīng)用普及，更是極大地放大了用戶的需求如何有效利用多個出口個人用戶與集團(tuán)用戶的統(tǒng)一考慮集團(tuán)用戶：很多實(shí)驗(yàn)室建立子網(wǎng)，通過地址轉(zhuǎn)換設(shè)備連接到校園網(wǎng)2024/8/2027Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用出口Web登錄認(rèn)證是“網(wǎng)絡(luò)通”服務(wù)的主要組成部分用戶自主選擇教育網(wǎng)、電信、網(wǎng)通出口的組合來訪問校外網(wǎng)絡(luò)采用包月制按照連接數(shù)付費(fèi)的計費(fèi)原則，集團(tuán)用戶可以按照用戶規(guī)模的大小，選擇更多的連接數(shù)所有校內(nèi)用戶，包括VPN連進(jìn)來的用戶，都可以使用2024/8/2028Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2029Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2030Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用網(wǎng)絡(luò)通原理教育網(wǎng)出口Linux機(jī)器校內(nèi)網(wǎng)絡(luò)電信出口NAT1網(wǎng)通出口NAT電信出口NAT2電信出口NAT3Linux機(jī)器完成認(rèn)證、策略路由抓包分析Linux機(jī)器2024/8/2031Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用內(nèi)部的一種數(shù)據(jù)結(jié)構(gòu)100101102100….100101102100….100101102100….長度256*32長度256*16長度256*16一個數(shù)組存放校內(nèi)的IP段信息每段有個數(shù)組存放該段的策略信息修改路由時查找規(guī)則表的處理過程，利用以上結(jié)構(gòu)來查2024/8/2032Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用用戶TCP連接數(shù)限制采用限制用戶TCP連接數(shù)的方式來限制P2P應(yīng)用占用的帶寬目前采用旁路控制程序隔2分鐘抓包分析，對于超限制的或有DoS攻擊異常行為（比如出去的數(shù)據(jù)包遠(yuǎn)遠(yuǎn)多于進(jìn)來的）的IP直接從Web登錄上踢下去，并發(fā)消息給用戶提示用戶可以通過多繳費(fèi)增加連接數(shù)限制，方便大的實(shí)驗(yàn)室共享上網(wǎng)，這在學(xué)校里非常普遍抓包的內(nèi)容放在數(shù)據(jù)庫中，方便掌握流量異常記錄2024/8/2033Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用學(xué)生宿舍計費(fèi)控制采用直接控制交換機(jī)端口開、關(guān)的方式數(shù)據(jù)庫中記錄宿舍信息點(diǎn)和交換機(jī)端口的對應(yīng)信息通過snmp協(xié)議控制交換機(jī)對應(yīng)接口的Adminstatus，如果Adminstatus設(shè)置為enable，信息點(diǎn)開通，如果設(shè)置為disable，信息點(diǎn)禁用以上控制對用戶完全透明，只要信息點(diǎn)繳費(fèi)后開通，用戶用起來跟在校內(nèi)其他地方一樣使用net-snmp來控制2024/8/2034Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用WWW/反向代理公網(wǎng)對校內(nèi)的各種服務(wù)器訪問速度經(jīng)常不理想既然有多個出口，應(yīng)該充分利用這些出口，來提高外網(wǎng)用戶對服務(wù)器的訪問速度兩個問題需要解決如何通過DNS服務(wù)器的設(shè)置，把外網(wǎng)用戶對服務(wù)器的解析分散到不同的IP上如何解決外網(wǎng)用戶訪問多個IP地址對同一個服務(wù)器的訪問2024/8/2035Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用外網(wǎng)對服務(wù)器訪問的優(yōu)化利用Linux下DNS服務(wù)器bind，針對不同區(qū)域（運(yùn)營商）的IP設(shè)置多個view不同來源的IP，查詢同一個域名返回不同出口的IP地址CERNET

IP查詢返回CERNETIP電信IP查詢返回電信IP其他查詢返回網(wǎng)通IP做法可以googlebindview2024/8/2036Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用外網(wǎng)對服務(wù)器訪問的優(yōu)化基本原則：任何外網(wǎng)都能正常訪問服務(wù)器對應(yīng)的任何一個IP，最多是速度不同。多個IP地址對同一個服務(wù)器的訪問服務(wù)器多網(wǎng)卡設(shè)置多個IP地址，利用服務(wù)器的策略路由功能實(shí)現(xiàn)，只能在Linux上使用，適合流量大的服務(wù)器專門的地址轉(zhuǎn)換設(shè)備，利用地址轉(zhuǎn)換實(shí)現(xiàn)，適合小規(guī)模的校園網(wǎng)設(shè)立反向代理服務(wù)器或7層交換機(jī)實(shí)現(xiàn)，適用面廣，使用方便我們使用Nginx作為反向代理，設(shè)置3個IP地址，用來對上百個校內(nèi)網(wǎng)站進(jìn)行反向代理。Nginx處理的連接數(shù)比squid高1個量級，CPU占用低1個量級。通過以上設(shè)置，外部用戶對服務(wù)器的訪問速度有非常明顯的提高2024/8/2037Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用服務(wù)器多IP策略路由的設(shè)置ip

addradd0/25deveth0iprouteadd0/0via26table100vconfigaddeth010ipaddadd0/25deveth0.10iprouteadd0/0via26table101iprouteadd/19via26table99ipruleaddfrom0/0table99pref90ipruleaddfrom0table101pref100ipruleaddfrom0table100pref1012024/8/2038Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用反向代理工作示意圖電信其它CERNETDNS反向代理WWW1WWW2WWW3121.DNS查詢2.HTTP訪問2024/8/2039Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用Nginx統(tǒng)計2024/8/2040Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用VPN接入PPTP與OpenVPN兩種VPN，CERNET、電信、網(wǎng)通接入點(diǎn)PPTP以前基于Windows，現(xiàn)在改為基于LinuxOpenVPN基于Linux，采用橋接方式，直接支持IPv6均使用radius協(xié)議認(rèn)證，并記錄下使用者的公網(wǎng)IP和分配的校園網(wǎng)IP等日志信息2024/8/2041Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用網(wǎng)絡(luò)管理系統(tǒng)配置文件管理環(huán)境監(jiān)視、短信報警流量監(jiān)視惡意網(wǎng)站的封堵2024/8/2042Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用配置文件管理rancid每天凌晨把關(guān)鍵網(wǎng)絡(luò)設(shè)備的信息,包括硬件信息\配置信息取回來,存放到cvs里并把diff的結(jié)果mail給管理員這樣可以方便的跟蹤配置修改歷史2024/8/2043Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用環(huán)境監(jiān)視、短信報警設(shè)備太多，無專人值班設(shè)立各種設(shè)備服務(wù)監(jiān)視的短信報警系統(tǒng)Linux下，基于smstools開發(fā)，通過寫腳本來擴(kuò)展監(jiān)視的對象對環(huán)境狀況、UPS狀況、設(shè)備通斷、服務(wù)正常與否等信息自動監(jiān)視分類型、分時段發(fā)短信給不同的管理員2024/8/2044Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用流量監(jiān)視長期流量趨勢監(jiān)視MRTG、cacti等，原理是利用snmp協(xié)議讀取設(shè)備的統(tǒng)計信息，計算出流量等信息當(dāng)前流量直觀顯示網(wǎng)絡(luò)天氣圖瞬間流量記錄把統(tǒng)計連接數(shù)的抓包結(jié)果，整理后，每隔20分鐘保存在數(shù)據(jù)庫中記錄有每個IP在抓包瞬間的流量統(tǒng)計2024/8/2045Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2046Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2047Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2048Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2049Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意網(wǎng)站對校園網(wǎng)的影響惡意網(wǎng)站內(nèi)容不合法的反動、黃色網(wǎng)站網(wǎng)絡(luò)釣魚網(wǎng)站最常見的qq中獎、taobao中獎、msn釣魚等網(wǎng)站，目的是騙取用戶名和密碼傳播病毒、木馬等惡意程序的網(wǎng)站是大部分ARP攻擊的直接或間接源頭直接影響校園網(wǎng)的正常運(yùn)行2024/8/2050Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意網(wǎng)站的實(shí)例內(nèi)嵌惡意代碼的網(wǎng)站瀏覽器訪問時，如果存在漏洞，會自動下載木馬軟件等惡意軟件，在用戶后臺執(zhí)行通常利用flash、realplayer、windows下的漏洞這些網(wǎng)站往往會被嵌入到正常的網(wǎng)站上，俗稱被“掛馬”惡意代碼中轉(zhuǎn)站為了幫助木馬程序的更新，設(shè)立一些下載網(wǎng)站，木馬程序啟動后，自動下載最新的程序代碼2024/8/2051Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用一個“掛馬”例子深圳職業(yè)技術(shù)學(xué)院汽車與交通學(xué)院http:///ReadNews.asp?NewsID=809這個網(wǎng)頁中有下面一段代碼<scriptsrc=/1.js>1.js內(nèi)容是<iframe

src=/a0076159/a07.htmwidth=100height=0></iframe>/a0076159/a07.htm的內(nèi)容是<iframewidth=100height=0src=new.html></iframe>new.html是利用幾個媒體播放漏洞下載惡意軟件的代碼2024/8/2052Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用一個網(wǎng)站被掛了多個“馬”LogisgeneratedbyFreShow.

[wide]/

[script]/include/javascript/common.js

[frame]/b7.htm?a023

[frame]/flash.htm

[frame]/14.htm

[frame]/office.htm

[frame]/lz.htm

[frame]/re10.htm

[frame]/re11.htm

[frame]/fs/7.htm

[frame]/a192/fxx.htm

[frame]/a192/fx.htm

[frame]/a192/ilink.html

[frame]/a192/flink.html

[frame]/a192/ss.html

[frame]/a192/ms06014.htm

[frame]/a192/GLWORLD.html

[frame]/sina.htm

[frame]/UU.htm

[frame]/a192/Thunder.html

[frame]/a192/real.htm

[frame]/a192/Real.html2024/8/2053Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意代碼中轉(zhuǎn)站感染病毒的機(jī)器會下載/1234.txt

這個文件內(nèi)容是

[oo]

c0=http://1.111991.net/0.exe

c1=http://1.111991.net/1.exe

c2=http://1.111991.net/2.exe

c3=http://1.111991.net/3.exe

c4=http://1.111991.net/4.exe

c5=http://1.111991.net/5.exe

c6=http://1.111991.net/6.exe

c7=http://1.111991.net/7.exe

c8=http://1.111991.net/8.exe

c9=http://1.111991.net/9.exe

2008年5月5日開始關(guān)注類似的訪問序列2024/8/2054Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意代碼中轉(zhuǎn)站(2)/0808xo.html內(nèi)容是：2008-09-17/mma/1.exe2008-09-15/mma/2.exe2008-09-20/mma/3.exe2008-09-21/mma/4.exe2008-09-23/mma/5.exe2008-09-21/mma/6.exe2008-09-12/mma/7.exe2008-09-13/mma/8.exe2008-08-08/mma/9.exe2024/8/2055Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2056Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2057Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意代碼中轉(zhuǎn)站（3）/dz.asp內(nèi)容是[update]date=20080923[file]isfile=1count=28url1=/ma/cw01.exemark1=aaurl2=/ma/cw02.exemark2=bburl3=/ma/cw03.exemark3=ccurl4=/ma/cw04.exe2024/8/2058Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用2024/8/2059Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意代碼中轉(zhuǎn)站（4）http:///mm.txt內(nèi)容是[oo]c0=08/new/new1.exec1=08/new/new2.exec2=08/new/new3.exec3=08/new/new4.exec4=08/new/new5.exec5=08/new/new6.exec6=08/new/new7.exe2024/8/2060Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用獲取以上信息的方式某些論壇，如

/bbs/forum-31-1.html

/forumdisplay.php?fid=22http:///report.asp從校園網(wǎng)對外訪問的日志中分析如果計算機(jī)有ARP攻擊行為，可以查找該IP在有ARP攻擊行為前的日志查找訪問較明顯序列的日志，如1.exe2.exe3.exe用戶報告發(fā)現(xiàn)可疑的下載，可以把文件提交給

/

測試，檢查是否是惡意軟件2024/8/2061Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用惡意網(wǎng)站的一般封堵方法客戶端封堵某些瀏覽器或個人防火墻在訪問惡意網(wǎng)站的時候，會給出提示，并阻擋訪問校園出口封鎖防火墻檢測到下載惡意軟件時可以阻擋IPS入侵防御系統(tǒng)可以阻斷管理員手工增加黑名單路由，更新復(fù)雜，維護(hù)成本高網(wǎng)絡(luò)主干封鎖增加黑名單路由，發(fā)往這些地方的數(shù)據(jù)包被丟棄教育網(wǎng)主干增加了約150條黑名單路由，禁止對這些IP的訪問但由于大部分學(xué)校都用其他出口，因此封堵效果一般2024/8/2062Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用教育網(wǎng)主干網(wǎng)黑名單路由例子hef1-bgw>showiproute|incB9[200/70]via,2d11hB96[200/70]via,2d11hB19[200/70]via,2d11hB36[200/70]via,2d11hB36/32[200/70]via,2d11hB04/32[200/70]via,2d11hB89/32[200/70]via,2d11hB13/32[200/70]via,2d11hB32[200/70]via,2d11hB34/32[200/70]via,2d11hB3/32[200/70]via,2d11h2024/8/2063Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用在路由器上封鎖IP的方式首先在路由器上增加null0路由iproute55null0把要封鎖IP的下一跳設(shè)置為,如要封鎖3直接增加靜態(tài)路由

iproute355

需要在所有路由器上增加利用BGP注入路由（遠(yuǎn)程觸發(fā)黑洞路由，Remote-TriggeredBlackHoleRouting

）在一個觸發(fā)路由器上增加，利用BGP廣播給其他路由器做法可以參考/3c6vl7

（WormMitigationTechnicalDetails

）2024/8/2064Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用觸發(fā)路由器設(shè)置routerbgp999...redistributestaticroute-mapSTATIC-TO-BGP...route-mapSTATIC-TO-BGPpermit10matchtag66setipnext-hopsetcommunityno-export999:000setoriginigp

route-mapSTATIC-TO-BGPpermit20...iproute355Null0Tag662024/8/2065Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用遠(yuǎn)程觸發(fā)黑洞路由優(yōu)缺點(diǎn)優(yōu)點(diǎn)在一臺觸發(fā)路由器上配置，自動廣播到其他路由器，使用方便數(shù)據(jù)包是在最近的路由器上丟棄缺點(diǎn)手工修改配置比較麻煩無法有效的跟蹤相關(guān)信息(如：什么時候增加的，增加的原因)無法自動刪除黑名單，必須要手工刪除總之，管理員比較辛苦2024/8/2066Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用利用BGP協(xié)議的自動封堵方法黑名單信息存放在數(shù)據(jù)庫中黑名單信息管理方式管理員通過Web界面添加/刪除黑名單程序與入侵檢測系統(tǒng)自動進(jìn)行添加/刪除管理員在添加時可以設(shè)置有效期，到期后自動刪除通過一個簡單的BGP客戶端，把數(shù)據(jù)庫里的黑名單信息發(fā)送給路由器剩下的操作與傳統(tǒng)遠(yuǎn)程觸發(fā)黑洞路由完全一樣2024/8/2067Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用路由服務(wù)器與接收黑名單的路由器配置WEB界面管理數(shù)據(jù)庫路由服務(wù)器路由器BGP協(xié)議BGP協(xié)議備用路由服務(wù)器BGP協(xié)議2024/8/2068Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用路由器上的配置routerbgp64600nosynchronizationneighbor7remote-as64512neighbor7ebgp-multihop255neighbor41remote-as64512neighbor41ebgp-multihop255noauto-summaryiproute55Null0iproute755next_hopiproute4155next_hop注：64600是自治域號，隨便使用一個號就可以7是路由服務(wù)器IP2024/8/2069Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用測試情況2008年7月開始在中國科大校園網(wǎng)使用這樣方式來管理黑名單，2008年8月底，東北大學(xué)加入測試，2008年9月底，安徽兩所大學(xué)加入測試，2008年10月，蘭州大學(xué)、電子科大加入測試目前封鎖了近500個IPhttp:///校內(nèi)ARP攻擊數(shù)量的變化情況，以中國科大為例之前每天都有，多的時候一天有10起以上現(xiàn)在很少，一周可能有1起，且大部分是外面帶來的機(jī)器引起至今運(yùn)行穩(wěn)定節(jié)省了各個學(xué)校自己維護(hù)IP黑名單的精力2024/8/2070Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用Web界面（還在開發(fā)中）2024/8/2071Linux系統(tǒng)在科大校園網(wǎng)管理中的應(yīng)用進(jìn)一步發(fā)展擴(kuò)大IP黑名單測試范圍，讓更多的學(xué)校參與測試盡快開發(fā)Web界面，讓更多的人來管理黑名單，經(jīng)過審核后生效，加快黑名單的更新過程，實(shí)現(xiàn)完備的黑名單管理開發(fā)一個蜜罐系統(tǒng)來處理用戶對黑名單IP的訪問，而不是目前簡單丟棄的方式。通過該系統(tǒng)，可以告訴用戶對黑名單IP的訪問是有危害的，并且可以統(tǒng)計對不同黑名單IP的訪問2024/8/2072