國同光

校園網用戶數量大、接入端口多，具有一定的隱藏便利性，極易成為挖礦木馬攻擊的對象，許多高校深受其害。與此同時，網信辦等多部門在2021年9月聯(lián)合發(fā)布《關于整治虛擬貨幣“挖礦”的通知》，對虛擬貨幣“挖礦”活動監(jiān)管升級。如何不讓校園變“礦場”，保護校園網絡的安全，銳捷給出了“網絡+安全”的解決方案。

挖礦木馬會給校園帶來什么危害

通過大量計算機的運算獲取虛擬貨幣被稱為“挖礦”，而在受害者不知情的情況下，在其電腦中非法植入的挖礦程序稱為挖礦木馬。挖礦木馬會嚴重占據主機算力資源，干擾正常業(yè)務運行。同時消耗大量電力，與當前的能源戰(zhàn)略、碳中和戰(zhàn)略背道而馳。甚至有高校招生網站被挖礦木馬入侵，嚴重影響正常工作，已經有多家高校因對校園挖礦監(jiān)管不到位而被通報批評。

其實在挖礦木馬爆發(fā)趨勢顯現(xiàn)之初，許多高校就開始了對其防范的探索，但當下仍然遇到了一些難題。

第一，已經建有防火墻卻形同虛設。一方面，一些防火墻開啟防病毒后性能大幅下降，無法滿足防護要求；另一方面，一些防火墻防護手段不完善，依然踩了通報“高壓線”。

第二，IP告警溯源困難。校園網多為DHCP環(huán)境，目前防火墻多基于IP告警，需要運維老師查詢多個日志才能進行溯源。高校學生數量眾多，運維老師往往只有幾人，面對大量告警的實時處理難免力有不逮。

第三，無法抑制病毒橫向擴散。挖礦木馬的防治和疫情的防控是相似的：除了避免外來的傳染源，內部有了傳播苗頭也要及時切斷，才能將危害降到最低。只通過出口攔截的方式無法徹底治理病毒。

那么，高校如何全面排查整治虛擬貨幣“挖礦”活動，營造安全有序的校園網絡環(huán)境？銳捷結合高教場景特點，給出了自己的解法：發(fā)掘網絡設備安全能力，聯(lián)動安全設備從整體架構解決挖礦難題。

無憂防通報，不踩“高壓線”

銳捷防挖礦木馬方案部署銳捷防火墻，同時核心交換機旁掛流量探針，聯(lián)動騰訊云安全平臺，采用流量檢測技術精準識別挖礦木馬。

挖礦木馬入侵的常規(guī)步驟是先發(fā)起挖礦相關的DNS域名申請，然后根據DNS返回的IP，發(fā)起到礦池的登錄和交互。傳統(tǒng)的方案需要首先檢測域名，然后針對后續(xù)的IP通信進行阻斷。雖然也起到阻隔挖礦的效果，但是由于放行DNS解析過程，容易被監(jiān)管部門監(jiān)測系統(tǒng)識別、通報。

銳捷與騰訊云安全聯(lián)動，將挖礦DNS域名一網打盡，主機一旦發(fā)起對挖礦域名的申請，態(tài)勢感知與防火墻立刻就能將其隔斷，直接阻止其解析過程，避免被通告。同時流量探針對流量進行深度識別，哪怕挖礦木馬更隱蔽，直接在主機中寫IP也不用擔心，流量探針的識別庫可根據錢包字段、秘鑰交互等挖礦的特征行為將其精準識別，全面封堵挖礦病毒。

精準定位學號，解放運維老師

在將挖礦木馬的DNS攔截后，需要對其進行治理，被通報的則要舉證完整的證據鏈。銳捷采用防火墻與態(tài)勢感知（BDS）和身份認證（SAM）聯(lián)動的架構，將SAM中學生/老師的賬號、IP、時間信息與防火墻等安全設備中的告警、IP、時間信息在BDS中進行匹配，可以輕松得出包括學號、時間和具體告警信息的完整溯源。

這樣可以統(tǒng)一時間集中溯源和處理挖礦主機，顯著提升了運維效率。解決方案定位的不是IP地址而是學號，運維老師可以直接通過學號聯(lián)系到需要進行殺毒操作的老師和同學，規(guī)避了DHCP環(huán)境下無法精準定位人員的問題。

阻斷橫向擴散，遏制內部傳播

對于挖礦木馬的整治，防通報只是一方面，形成有效的治理體系才是關鍵。目前業(yè)界大部分方案都是在網絡邊界部署安全設備，這樣無法阻止病毒在內部傳播。部分挖礦木馬還具備蠕蟲化的特點，可以滲透內網，嚴重威脅服務器安全。

銳捷態(tài)勢感知實現(xiàn)與交換機聯(lián)動，通過收集交換機Sflow采樣，實現(xiàn)全校東西向挖礦流量的識別阻斷。在態(tài)勢感知平臺識別感染主機后，同時下發(fā)策略給交換機，在端口將中毒主機下線，阻斷挖礦木馬內部的橫向病毒復制，挖礦整治更加徹底。

銳捷深耕教育行業(yè)，深入洞察校園網絡應用與監(jiān)管場景。針對高校的防挖礦場景，以校園網整體架構出發(fā)，充分發(fā)掘現(xiàn)有網絡設備安全能力，通過出口封堵、實名溯源、內部阻斷等三重手段，實現(xiàn)挖礦病毒的快速發(fā)現(xiàn)和阻斷、準確定位、避免傳播，為清朗安全的校園網絡環(huán)境保駕護航。