讓非法接入不再存在

2006/11/06

圖1：網(wǎng)絡(luò )拓撲圖

　　一、基于網(wǎng)絡(luò )層的解決方案：

　　作為網(wǎng)絡(luò )層的非法盜用，一般可以詳細區分為下面四類(lèi)：1、針對IP地址盜用的解決方案；2、針對帳號盜用的解決方案；3、針對帳號分時(shí)復用的解決方案；4、針對HUB私接的解決方案。

　　這幾類(lèi)的非法接入現狀從網(wǎng)絡(luò )層就可以著(zhù)手解決，而基于現有設備，只要啟用其配置就可以實(shí)現。

　　針對IP地址盜用的解決方案：

　　表現情況： 非法用戶(hù)手工配置合法用戶(hù)的IP地址仿冒上網(wǎng)（靜態(tài)用戶(hù)或PPP撥號用戶(hù)）。

　　危害損失：合法用戶(hù)投訴，合法用戶(hù)不上網(wǎng)時(shí)網(wǎng)絡(luò )資源盜用。

　　解決方法：在BAS設備上進(jìn)行MAC+IP+VLAN/PVC的綁定。

　　針對帳號盜用的解決方案：

　　表現情況：非法用戶(hù)竊取合法用戶(hù)的帳號后上網(wǎng)（經(jīng)過(guò)認證的用戶(hù)：PPP撥號或WEB認證）。

　　危害損失：合法用戶(hù)資費損失（計時(shí)），網(wǎng)絡(luò )資源損失（包月）。

　　解決方法：進(jìn)行AAA認證時(shí)由BAS設備向Radius Server上報“帳號”的同時(shí)上報用戶(hù)端信息（如VLAN/PVC位置信息或MAC地址信息），Radius Server再根據“帳號”和“VLAN/PVC或MAC”信息的對應關(guān)系判斷是否為其認證通過(guò)，授權上網(wǎng)。

　　針對帳號分時(shí)復用的解決方案：

　　表現情況：一人申請帳號，在A(yíng)DSL modem下面自?huà)霩UB進(jìn)行多戶(hù)相連，多戶(hù)分時(shí)共用一個(gè)帳號進(jìn)行撥號上網(wǎng)。

　　危害損失：運營(yíng)商網(wǎng)絡(luò )潛在用戶(hù)損失。

　　解決方法：進(jìn)行AAA認證時(shí)由BAS設備向Radius Server上報“帳號”的同時(shí)上報用戶(hù)端信息（MAC地址信息），Radius Server再根據“帳號”和“MAC”信息的對應關(guān)系判斷是否為其認證通過(guò)，授權上網(wǎng)。

　　針對HUB私接的解決方案：

　　表現情況：一人申請開(kāi)通一條ADSL鏈路，在A(yíng)DSL modem下面自?huà)霩UB進(jìn)行多戶(hù)相連，多戶(hù)使用多帳號同時(shí)進(jìn)行撥號上網(wǎng)。

　　危害損失：運營(yíng)商網(wǎng)絡(luò )潛在用戶(hù)損失，個(gè)別地點(diǎn)網(wǎng)絡(luò )資源消耗。

　　解決方法：每個(gè)用戶(hù)一個(gè)VLAN或一條PVC，在BAS設備該VLAN/PVC下限制同時(shí)接入的用戶(hù)數為1，這樣多余的用戶(hù)不能同時(shí)接入。

　　二、基于應用層控制解決方案：

　　針對全Proxy代理和“黑網(wǎng)吧”的解決方案：

　　表現情況：一人申請開(kāi)通一條ADSL鏈路，在A(yíng)DSL modem下面使用自己電腦雙網(wǎng)卡＋Proxy代理軟件代理多戶(hù)使用自己的機器進(jìn)行上網(wǎng)，更進(jìn)一步的是私設網(wǎng)吧進(jìn)行贏(yíng)利性行為

　　危害損失：運營(yíng)商網(wǎng)絡(luò )潛在用戶(hù)損失，網(wǎng)絡(luò )資源（帶寬）消耗，正常網(wǎng)吧運營(yíng)業(yè)務(wù)開(kāi)展

　　基于現有設備配置解決方案：

　　這種情況相對比較復雜：（1）如果是“黑網(wǎng)吧”，它要代理多臺設備同時(shí)上網(wǎng)，其出口需要與外界同時(shí)建立的四層連接數必然很多（不然滿(mǎn)足不了網(wǎng)吧業(yè)務(wù)的需求），這時(shí)我們可以在BAS上限制其四層連接數來(lái)杜絕該問(wèn)題；（2）如果是個(gè)別用戶(hù)采用這種方式僅僅代理一兩臺電腦同時(shí)上網(wǎng)（自己的鄰居）就不好通過(guò)這種方式控制了（連接數區別不明顯），但此時(shí)也有缺陷，就是做代理的機器必須一直開(kāi)機否則其他機器無(wú)法上網(wǎng)。因此，用BAS配置控制用戶(hù)的連接數是不準確，原因是此類(lèi)非法接入特征IP識別超出了BAS本身設計功能的范圍，高層識別需要專(zhuān)業(yè)的非法接入監控系統識別。

　　基于應用監控系統解決方案：

　　某些公司采取的技術(shù)有軌跡檢測法、時(shí)鐘偏移檢測法和應用特征檢測法。下面就這些技術(shù)做詳細的介紹。

　　方法之一 ID（identification）軌跡檢測法：

　　對來(lái)自某個(gè)源IP地址的TCP連接中，IP頭中的16位標識（identification），對于某個(gè)windows用戶(hù)，其identification隨著(zhù)用戶(hù)發(fā)送的IP包的數量增加而逐步增加，如果在一段時(shí)間后，發(fā)現某個(gè)源IP地址，如圖所示，有三段identification在連續變化，則說(shuō)明該“黑戶(hù)”此時(shí)最少有三個(gè)用戶(hù)在同時(shí)使用寬帶。

　　方法之二時(shí)鐘偏移檢測法：

不同的主機物理時(shí)鐘偏移不同，網(wǎng)絡(luò )協(xié)議棧時(shí)鐘與物理時(shí)鐘存在對應關(guān)系；不同的主機發(fā)送報文的頻率因此與時(shí)鐘存在一定統計對應關(guān)系；通過(guò)特定的頻譜分析算法，發(fā)現不同的網(wǎng)絡(luò )時(shí)鐘偏移來(lái)確定不同的主機。

　　方法之三應用特征檢測法：

　　數據報文中的HTTP報頭中的User－agent字段因操作系統版本、IE版本和布丁的不同而不同，如圖。因此通過(guò)分析不同的HTTP報頭數而確定主機數。

　　另外對于一臺主機同一時(shí)間只能登錄一個(gè)MSN帳號，據此分析可判斷主機數。

　　Windows update 報文里也包含一些操作系統版本信息，也可以據此計算主機數。

　　通過(guò)以上三種方法就能很準確地非法接入的寬帶用戶(hù)地主機數，無(wú)論其采用共用NAT、共用Proxy、或分時(shí)段共用帳號上網(wǎng)（包括ADSL和LAN上網(wǎng)兩種模式），該非法接入監控系統，都能得到IP地址與所攜帶用戶(hù)數的準確對應關(guān)系，借助于Radius論證報文，再將它轉換為用戶(hù)帳號與所攜帶用戶(hù)數的對應關(guān)系。當然，由于本方案采用了多個(gè)指標來(lái)綜合分析，為排除干擾提高準確性，并不實(shí)時(shí)提供這種對應關(guān)系，而是采用按天/周/月提供統計報表的形式，將結果提交給運營(yíng)商的相關(guān)部門(mén)。

　　三、基于客戶(hù)端與接入服務(wù)器共同作用的防非法接入機制：

　　通過(guò)接入服務(wù)器和登錄客戶(hù)端的共同作用，來(lái)實(shí)現防非法接入的功能。可以實(shí)現以下功能：1、防止基于Proxy的代理服務(wù)器；2、防止基于Nat的代理服務(wù)器；3、防止通過(guò)修改IP和Mac地址非法接入。

　　而且能夠克服之前提到的防非法接入技術(shù)的不足：1、無(wú)需時(shí)間積累，設備安裝后即時(shí)生效；2、檢測與控制同時(shí)實(shí)現，檢測到非法接入用戶(hù)就馬上能夠屏蔽；3、能夠區分合法用戶(hù)和非法用戶(hù)，合法用戶(hù)使用正常，非法用戶(hù)不能使用；4、可以配置用戶(hù)策略，某些用戶(hù)允許代理，某些用戶(hù)不允許代理，可以做到先通知用戶(hù)，循序漸進(jìn)，做到分批割接，平穩過(guò)渡，減少投訴。

　　實(shí)現方法：

　　實(shí)現的原理類(lèi)似于VLAN技術(shù)，通過(guò)客戶(hù)端對合法用戶(hù)數據包動(dòng)態(tài)地增加一個(gè)識別標簽，再由網(wǎng)關(guān)對這些數據包標識去掉，轉發(fā)到上聯(lián)端口。而非法的用戶(hù)，由于數據包沒(méi)有合法的標簽，被網(wǎng)關(guān)過(guò)濾掉。不僅能夠對內網(wǎng)用戶(hù)進(jìn)行很好地防代理控制，又不影響局域網(wǎng)和城域網(wǎng)的內網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信。

城市熱點(diǎn)公司供稿　CTI論壇編輯