解决方案

挖矿的概念和危害

虚拟货币挖矿就是，将一段时间内虚拟货币系统中易进行确认，并记录在区块链上，形成新的区块，“挖矿”的人叫做矿工。“挖矿”其实质就相当于虚拟货币系统每10分钟出了一道数学题，谁最先计算出正确答案，谁就能获得对应的虚拟货币奖励。这个过程需要计算机不断进行计算，计算机计算速度越快，消耗的电量就越大。专业矿机如下图所示：

虚拟货币“挖矿”所带来的危害：

（一）“挖矿”会消耗大量计算资源，使系统服务运行缓慢，甚至可能使系统崩溃，造成数据丢失；

（二）虚拟货币“挖矿”会造成大量的能源消耗和碳排放，不利于国家碳达峰、碳中和目标的实现；

（三）个人电脑或服务器被“挖矿”程序控制，造成数据泄露或感染病毒，容易引发网络安全问题；

（四）虚拟货币使用匿名交易，扰乱金融秩序，成为洗钱、非法转移资产等违法犯罪活动的工具。

关于整治虚拟货币“挖矿”活动的通知

2021年11月，国家发改委明确，虚拟货币相关业务活动属于非法金融活动，虚拟货币“挖矿”行为存在极其严重的危害。发改委将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。

如果用户拥有众多的高性能服务器，同时用户个人网络安全防护意识相对比较薄弱，存在大量可被利用的算力等资源，因此往往成为黑客入侵、病毒传播进行“挖矿”活动的重要目标。

虚拟货币“挖矿”会大量耗费电力能源，同时参与“挖矿”设备的性能和使用寿命也会受到严重影响，各行业亟需一套针对“挖矿”活动的治理方案。

高校针对挖矿病毒的应急响应

某高校接到上级单位通报存在挖矿病毒，通报中存在多个危险矿池域名，通报的地址是出口路由器的IP地址。挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请，然后根据DNS返回的IP，发起到矿池的登录和交互。

针对挖矿病毒的应急响应措施：

（一）通过防挖矿DNS系统对危险矿池域名进行封堵，对上级单位的通报进行及时响应处理；

（二）通过防挖矿DNS系统锁定发起危险矿池请求的客户端IP地址，溯源到挖矿主机的IP地址；

（三）通过实名IP系统溯源分配定位到IP地址的物理位置（连接交换机的实际端口信息）；

（四）通过实名IP系统联动计费系统定位到挖矿主机的使用人，进行病毒查杀工作；

高校防挖矿“拦截+溯源”解决方案

通过深入洞察高校校园网络场景，如何不让校园变“矿场”，保护校园网络的安全，提出了“拦截+溯源”的解决方案，整体方案将由以下系统组成：基于威胁情报的防挖矿DNS系统、基于DHCP实名认证的挖矿主机溯源系统。

DNS在整个互联网体系中处于入口的重要位置，近年来利用或针对DNS的网络攻击呈愈演愈烈之势。近91.3%的已知恶意软件被发现使用DNS作为通讯手段，但68%的企业却忽略了这个问题。

防挖矿DNS系统的核心技术是采用了DNS RPZ防火墙技术，它可以防止网络用户和系统链接到已知的恶意网络位置，可以有效的预防威胁发生， 阻止访问受感染的站点，进而防止进一步的威胁。能够主动检测到已被感染的系统，并通过安全报告的形式将此类威胁通知用户。还能够保护用户的网络环境，提高网络安全性。

DNS RPZ中的记录由Owner name，Type和Rdata组成。RPZ区域只在用户发起的请求时会匹配RPZ定义的规则。RPZ规则中Owner name用于定义触发器，Rdata用于定义动作，即满足触发器的请求会按照策略执行相应的动作。

DNS RPZ规则中常用的Owner name触发器分别是：

• Client IP Address，Owner name为：以.rpz-client-ip结尾。用于匹配发起请求的客户端的IP地址，双栈均可支持。

• QDNAME，Owner name 为：正常域名，可带通配符。用于匹配发起请求包或应答包中请求域名字段的域名。

• Response IP Address，Owner name为：以.rpz-ip结尾。用于匹配应答记录中的的IP地址，双栈均可支持。IP地址段的编写格式与Client IP Address中描述的一致。

• NSDNAME，Owner name 为：以.rpz-nsdname结尾。用于匹配应答记录中NS的名字，可以在回答部分，授权部分。

DNS RPZ规则中常见的执行动作分别是：

• Rdata为：. 。动作为回复NXDOMAIN类型的应答。

• Rdata为：*. 。动作为回复NODATA类型（rcode为noerror但是answer个数为0）的应答。

• Rdata为：rpz-passthru. 。动作为透传，即RPZ白名单，不走RPZ策略规则。

• Radata为：rpz-drop. 。动作为丢弃，即不做应答。

• Rdata为：rpz-tcp-only. 。动作为将应答中的TC标志置1，强制用户发起TCP的DNS请求，用于攻击防护。

使用DNS RPZ防火墙技术，防挖矿DNS系统可以实现：

（一）预防威胁发生：阻止访问受感染的站点，进而防止进一步的威胁；

（二）检测威胁并通知用户：主动检测到已被感染的系统，并通过安全报告的形式将威胁通知用户；

（三）保护用户的网络环境，提高网络安全性：当用户访问恶意域名时，防火墙可以将用户定向到安全的登录页面，从而提高网络安全性，并且使用户更多地了解潜伏在互联网中的危害。

防挖矿DNS系统在将挖矿木马的DNS请求拦截后，需要对其进行治理，被通报的则要举证完整的证据链。迪讯信息双栈DHCP实名认证系统支持联动传统认证计费系统，实时关联学生/老师的账号、IP、MAC、上线时间、连接的交换机端口等审计信息，第一时间溯源和处理挖矿主机，显著提升了运维效率。

DHCP实名认证解决方案定位的不是IP地址而是用户认证账号，运维人员可以直接通过账号联系到需要进行杀毒操作的责任人，规避了DHCP环境下无法精准定位人员的问题。

基于DHCP实名认证的挖矿主机溯源系统的主要功能包括支持通过计费认证推送API接口实现IP地址池绑定，精准定位到责任人；具备IP地址自动调和功能，实时扫描交换机，精准定位到交换机连接端口；支持首次DHCP分配时自动进行IP和MAC绑定，实现自动化实名IP绑定；支持DHCPv4和DHCPv6双栈实名地址分配，满足IPv6网络升级改造的需求。

实施效果分析

通过深入洞察校园网络应用与监管场景，针对高校的防挖矿场景，以校园网整体架构出发，通过DNS域名拦截封堵，实名IP实名溯源等多重手段，实现挖矿病毒的快速发现和准确定位、避免进一步的传播，为安全的校园网络环境保驾护航。

挖矿行为发现治理,高校防挖矿“拦截+溯源,详细解决方案请联系@火钜科技