中国教育与科研计算机网CERNET


CERNET[2002]15号

关于避免及处理异常国际流量的通知

各地区网络中心、各省主节点、各用户会员单位:

    中国教育和科研计算机网长期以来实行按国际流量实际使用收费的费用分担政策,此政策有其合理性及必要性。随着通往各地的网络宽带的扩展,国际流量也也随之增长。去年7月份以来,由于按计量收费的国际流量的价格下降了一半,国际流量的增长更为显著。但是,最近以来,一些用户会员出现了超出预期的国际流量,因而对计费产生了怀疑与争议。为了不使用户会员增加不必要的支出,减轻用户会员的负担,国家网络中心觉得有必要重申与明确避免出现有争议的国际流量的措施及出现后的处理办法。

    据分析,最近出现的一些异常流量的原因主要有:

  1. 由于国内免费地址列表的变动,一些用户会员单位没有及时更新自己的访问控制;
  2. 一些用户会员单位安装了代理服务器,但是没有控制使用,被教育网内外黑客通过扫描后发现并盗用,因而产生大量国际流量;
  3. 一些用户会员单位安装了文件FTP服务,但对使用没有限制,被境外黑客、敌对势力发现,上传大量非法宣传品;
  4. 黑客利用操作系统的安全漏洞,非法安装Proxy或者FTP服务,然后盗用,造成国际流量;
  5. 境外黑客通过病毒及合法访问发起的其他攻击。

    针对上述问题,国家网络中心决定采取以下措施力图减少异常流量发生的机会并缩短发生的持续时间:

  1. 国家中心将强化对异常流量的预警,将编制自动的程序,对出现异常流量的IP地址,通知其所属单位、所属单位的上级地区及省中心、赛尔公司主营业务部,督促采取紧急措施,阻断异常流量的发生。如果由国家网络中心紧急响应组确认为异常流量并影响网络整体运行的,运行部门将有权采取紧急措施,停止问题IP的使用。本措施从即日起试行,并于9月1日正式实行;
  2. 国家中心将加强对用户会员单位的技术支持,对技术力量淡薄的单位加强帮助及提供相应的技术培训,培训将在网上对用户开放。第一期培训已由赛尔华北地区分公司主办、国家网络中心紧急响应配合于8月份在北京举行。

    在国家中心采取以上措施的同时,我们希望各用户单位积极配合,加强对本单位网络的管理及安全防护:

  1. 请各用户会员单位及时修补操作系统的安全漏洞,避免恶意攻击(详见CCERT网页http://www.ccert.edu.cn);
  2. 请各用户会员单位及时跟踪由CERNET信息中心发布的国内地址访问列表,更新自己的访问控制(详见CERNIC网页http://www.nic.edu.cn/RS/ipstat/internalip/);
  3. 请各用户会员单位每日通过赛尔公司的用户自服务系统,监视上一日所属各IP地址的国际流量,发现异常及时处理(详见:http://www.cernet.com/);
  4. 请各用户会员单位严格管理及控制Proxy和FTP等服务,避免被人盗用。

    对已经发生的非正式流量,我们的方针是:搞清发生原因,采取防护措施,酌情予以减免。在每月发放帐单之后,如果用户认为有异常流量发生,应于一个月内通过各地区中心向CERNET用户服务部申报申请减免。申报的内容应包括:异常流量发生时间,涉及的IP,协议类型,持续时间,该IP的正常流量,发生原因,已采取的防范措施。如原因不明而且仍在发生的,应在搞清原因并采取措施后再行申报。各地区接到报告后,由负责人签署意见后转给CERNET用户服务部。CERNET用户服务部在接到报告后,30天内经国家中心负责计费工作的副主任同意,回复处理意见,并通知地区、省中心及赛尔公司主营业务部。

 

中国教育和科研计算机网络中心
2001年8月6日        

中国北京清华大学中央主楼224室 邮编:100084 电话:86-10-62785931 传真:86-10-62785933