讓非法接入不再存在

2006/11/06

圖1：網(wǎng)絡(luò)拓?fù)鋱D

　　一、基于網(wǎng)絡(luò)層的解決方案：

　　作為網(wǎng)絡(luò)層的非法盜用，一般可以詳細(xì)區(qū)分為下面四類：1、針對IP地址盜用的解決方案；2、針對帳號盜用的解決方案；3、針對帳號分時復(fù)用的解決方案；4、針對HUB私接的解決方案。

　　這幾類的非法接入現(xiàn)狀從網(wǎng)絡(luò)層就可以著手解決，而基于現(xiàn)有設(shè)備，只要啟用其配置就可以實現(xiàn)。

　　針對IP地址盜用的解決方案：

　　表現(xiàn)情況： 非法用戶手工配置合法用戶的IP地址仿冒上網(wǎng)（靜態(tài)用戶或PPP撥號用戶）。

　　危害損失：合法用戶投訴，合法用戶不上網(wǎng)時網(wǎng)絡(luò)資源盜用。

　　解決方法：在BAS設(shè)備上進行MAC+IP+VLAN/PVC的綁定。

　　針對帳號盜用的解決方案：

　　表現(xiàn)情況：非法用戶竊取合法用戶的帳號后上網(wǎng)（經(jīng)過認(rèn)證的用戶：PPP撥號或WEB認(rèn)證）。

　　危害損失：合法用戶資費損失（計時），網(wǎng)絡(luò)資源損失（包月）。

　　解決方法：進行AAA認(rèn)證時由BAS設(shè)備向Radius Server上報“帳號”的同時上報用戶端信息（如VLAN/PVC位置信息或MAC地址信息），Radius Server再根據(jù)“帳號”和“VLAN/PVC或MAC”信息的對應(yīng)關(guān)系判斷是否為其認(rèn)證通過，授權(quán)上網(wǎng)。

　　針對帳號分時復(fù)用的解決方案：

　　表現(xiàn)情況：一人申請帳號，在ADSL modem下面自掛HUB進行多戶相連，多戶分時共用一個帳號進行撥號上網(wǎng)。

　　危害損失：運營商網(wǎng)絡(luò)潛在用戶損失。

　　解決方法：進行AAA認(rèn)證時由BAS設(shè)備向Radius Server上報“帳號”的同時上報用戶端信息（MAC地址信息），Radius Server再根據(jù)“帳號”和“MAC”信息的對應(yīng)關(guān)系判斷是否為其認(rèn)證通過，授權(quán)上網(wǎng)。

　　針對HUB私接的解決方案：

　　表現(xiàn)情況：一人申請開通一條ADSL鏈路，在ADSL modem下面自掛HUB進行多戶相連，多戶使用多帳號同時進行撥號上網(wǎng)。

　　危害損失：運營商網(wǎng)絡(luò)潛在用戶損失，個別地點網(wǎng)絡(luò)資源消耗。

　　解決方法：每個用戶一個VLAN或一條PVC，在BAS設(shè)備該VLAN/PVC下限制同時接入的用戶數(shù)為1，這樣多余的用戶不能同時接入。

　　二、基于應(yīng)用層控制解決方案：

　　針對全Proxy代理和“黑網(wǎng)吧”的解決方案：

　　表現(xiàn)情況：一人申請開通一條ADSL鏈路，在ADSL modem下面使用自己電腦雙網(wǎng)卡＋Proxy代理軟件代理多戶使用自己的機器進行上網(wǎng)，更進一步的是私設(shè)網(wǎng)吧進行贏利性行為

　　危害損失：運營商網(wǎng)絡(luò)潛在用戶損失，網(wǎng)絡(luò)資源（帶寬）消耗，正常網(wǎng)吧運營業(yè)務(wù)開展

　　基于現(xiàn)有設(shè)備配置解決方案：

　　這種情況相對比較復(fù)雜：（1）如果是“黑網(wǎng)吧”，它要代理多臺設(shè)備同時上網(wǎng)，其出口需要與外界同時建立的四層連接數(shù)必然很多（不然滿足不了網(wǎng)吧業(yè)務(wù)的需求），這時我們可以在BAS上限制其四層連接數(shù)來杜絕該問題；（2）如果是個別用戶采用這種方式僅僅代理一兩臺電腦同時上網(wǎng)（自己的鄰居）就不好通過這種方式控制了（連接數(shù)區(qū)別不明顯），但此時也有缺陷，就是做代理的機器必須一直開機否則其他機器無法上網(wǎng)。因此，用BAS配置控制用戶的連接數(shù)是不準(zhǔn)確，原因是此類非法接入特征IP識別超出了BAS本身設(shè)計功能的范圍，高層識別需要專業(yè)的非法接入監(jiān)控系統(tǒng)識別。

　　基于應(yīng)用監(jiān)控系統(tǒng)解決方案：

　　某些公司采取的技術(shù)有軌跡檢測法、時鐘偏移檢測法和應(yīng)用特征檢測法。下面就這些技術(shù)做詳細(xì)的介紹。

　　方法之一 ID（identification）軌跡檢測法：

　　對來自某個源IP地址的TCP連接中，IP頭中的16位標(biāo)識（identification），對于某個windows用戶，其identification隨著用戶發(fā)送的IP包的數(shù)量增加而逐步增加，如果在一段時間后，發(fā)現(xiàn)某個源IP地址，如圖所示，有三段identification在連續(xù)變化，則說明該“黑戶”此時最少有三個用戶在同時使用寬帶。

　　方法之二時鐘偏移檢測法：

不同的主機物理時鐘偏移不同，網(wǎng)絡(luò)協(xié)議棧時鐘與物理時鐘存在對應(yīng)關(guān)系；不同的主機發(fā)送報文的頻率因此與時鐘存在一定統(tǒng)計對應(yīng)關(guān)系；通過特定的頻譜分析算法，發(fā)現(xiàn)不同的網(wǎng)絡(luò)時鐘偏移來確定不同的主機。

　　方法之三應(yīng)用特征檢測法：

　　數(shù)據(jù)報文中的HTTP報頭中的User－agent字段因操作系統(tǒng)版本、IE版本和布丁的不同而不同，如圖。因此通過分析不同的HTTP報頭數(shù)而確定主機數(shù)。

　　另外對于一臺主機同一時間只能登錄一個MSN帳號，據(jù)此分析可判斷主機數(shù)。

　　Windows update 報文里也包含一些操作系統(tǒng)版本信息，也可以據(jù)此計算主機數(shù)。

　　通過以上三種方法就能很準(zhǔn)確地非法接入的寬帶用戶地主機數(shù)，無論其采用共用NAT、共用Proxy、或分時段共用帳號上網(wǎng)（包括ADSL和LAN上網(wǎng)兩種模式），該非法接入監(jiān)控系統(tǒng)，都能得到IP地址與所攜帶用戶數(shù)的準(zhǔn)確對應(yīng)關(guān)系，借助于Radius論證報文，再將它轉(zhuǎn)換為用戶帳號與所攜帶用戶數(shù)的對應(yīng)關(guān)系。當(dāng)然，由于本方案采用了多個指標(biāo)來綜合分析，為排除干擾提高準(zhǔn)確性，并不實時提供這種對應(yīng)關(guān)系，而是采用按天/周/月提供統(tǒng)計報表的形式，將結(jié)果提交給運營商的相關(guān)部門。

　　三、基于客戶端與接入服務(wù)器共同作用的防非法接入機制：

　　通過接入服務(wù)器和登錄客戶端的共同作用，來實現(xiàn)防非法接入的功能�？梢詫崿F(xiàn)以下功能：1、防止基于Proxy的代理服務(wù)器；2、防止基于Nat的代理服務(wù)器；3、防止通過修改IP和Mac地址非法接入。

　　而且能夠克服之前提到的防非法接入技術(shù)的不足：1、無需時間積累，設(shè)備安裝后即時生效；2、檢測與控制同時實現(xiàn)，檢測到非法接入用戶就馬上能夠屏蔽；3、能夠區(qū)分合法用戶和非法用戶，合法用戶使用正常，非法用戶不能使用；4、可以配置用戶策略，某些用戶允許代理，某些用戶不允許代理，可以做到先通知用戶，循序漸進，做到分批割接，平穩(wěn)過渡，減少投訴。

　　實現(xiàn)方法：

　　實現(xiàn)的原理類似于VLAN技術(shù)，通過客戶端對合法用戶數(shù)據(jù)包動態(tài)地增加一個識別標(biāo)簽，再由網(wǎng)關(guān)對這些數(shù)據(jù)包標(biāo)識去掉，轉(zhuǎn)發(fā)到上聯(lián)端口。而非法的用戶，由于數(shù)據(jù)包沒有合法的標(biāo)簽，被網(wǎng)關(guān)過濾掉。不僅能夠?qū)?nèi)網(wǎng)用戶進行很好地防代理控制，又不影響局域網(wǎng)和城域網(wǎng)的內(nèi)網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信。

城市熱點公司供稿　CTI論壇編輯