讓非法接入不再存在

2006/11/06

  目前,大多數(shù)校園網(wǎng)都是基于包月的形式開展的,所以,部分用戶利用寬帶計(jì)費(fèi)技術(shù)的不足,往往以個(gè)人的名義申請(qǐng)寬帶而讓黑網(wǎng)吧、企業(yè)使用,或者幾戶共用寬帶而分?jǐn)傎M(fèi)用,給校園網(wǎng)造成了比較大的經(jīng)濟(jì)損失。非法接入的方法包括:1、基于Proxy的代理服務(wù)器;2、基于Nat的代理服務(wù)器;3、通過修改IP和Mac地址非法接入。而對(duì)應(yīng)的防非法接入技術(shù)也經(jīng)歷了從基于網(wǎng)絡(luò)層技術(shù),到基于應(yīng)用層的技術(shù),到基于客戶端與接入服務(wù)器共同作用的技術(shù)歷程。

圖1:網(wǎng)絡(luò)拓?fù)鋱D

  一、基于網(wǎng)絡(luò)層的解決方案:

  作為網(wǎng)絡(luò)層的非法盜用,一般可以詳細(xì)區(qū)分為下面四類:1、針對(duì)IP地址盜用的解決方案;2、針對(duì)帳號(hào)盜用的解決方案;3、針對(duì)帳號(hào)分時(shí)復(fù)用的解決方案;4、針對(duì)HUB私接的解決方案。

  這幾類的非法接入現(xiàn)狀從網(wǎng)絡(luò)層就可以著手解決,而基于現(xiàn)有設(shè)備,只要啟用其配置就可以實(shí)現(xiàn)。

  針對(duì)IP地址盜用的解決方案

  表現(xiàn)情況: 非法用戶手工配置合法用戶的IP地址仿冒上網(wǎng)(靜態(tài)用戶或PPP撥號(hào)用戶)。

  危害損失:合法用戶投訴,合法用戶不上網(wǎng)時(shí)網(wǎng)絡(luò)資源盜用。

  解決方法:在BAS設(shè)備上進(jìn)行MAC+IP+VLAN/PVC的綁定。

  針對(duì)帳號(hào)盜用的解決方案

  表現(xiàn)情況:非法用戶竊取合法用戶的帳號(hào)后上網(wǎng)(經(jīng)過認(rèn)證的用戶:PPP撥號(hào)或WEB認(rèn)證)。

  危害損失:合法用戶資費(fèi)損失(計(jì)時(shí)),網(wǎng)絡(luò)資源損失(包月)。

  解決方法:進(jìn)行AAA認(rèn)證時(shí)由BAS設(shè)備向Radius Server上報(bào)“帳號(hào)”的同時(shí)上報(bào)用戶端信息(如VLAN/PVC位置信息或MAC地址信息),Radius Server再根據(jù)“帳號(hào)”和“VLAN/PVC或MAC”信息的對(duì)應(yīng)關(guān)系判斷是否為其認(rèn)證通過,授權(quán)上網(wǎng)。

  針對(duì)帳號(hào)分時(shí)復(fù)用的解決方案

  表現(xiàn)情況:一人申請(qǐng)帳號(hào),在ADSL modem下面自掛HUB進(jìn)行多戶相連,多戶分時(shí)共用一個(gè)帳號(hào)進(jìn)行撥號(hào)上網(wǎng)。

  危害損失:運(yùn)營(yíng)商網(wǎng)絡(luò)潛在用戶損失。

  解決方法:進(jìn)行AAA認(rèn)證時(shí)由BAS設(shè)備向Radius Server上報(bào)“帳號(hào)”的同時(shí)上報(bào)用戶端信息(MAC地址信息),Radius Server再根據(jù)“帳號(hào)”和“MAC”信息的對(duì)應(yīng)關(guān)系判斷是否為其認(rèn)證通過,授權(quán)上網(wǎng)。

  針對(duì)HUB私接的解決方案

  表現(xiàn)情況:一人申請(qǐng)開通一條ADSL鏈路,在ADSL modem下面自掛HUB進(jìn)行多戶相連,多戶使用多帳號(hào)同時(shí)進(jìn)行撥號(hào)上網(wǎng)。

  危害損失:運(yùn)營(yíng)商網(wǎng)絡(luò)潛在用戶損失,個(gè)別地點(diǎn)網(wǎng)絡(luò)資源消耗。

  解決方法:每個(gè)用戶一個(gè)VLAN或一條PVC,在BAS設(shè)備該VLAN/PVC下限制同時(shí)接入的用戶數(shù)為1,這樣多余的用戶不能同時(shí)接入。

  二、基于應(yīng)用層控制解決方案

  針對(duì)全Proxy代理和“黑網(wǎng)吧”的解決方案

  表現(xiàn)情況:一人申請(qǐng)開通一條ADSL鏈路,在ADSL modem下面使用自己電腦雙網(wǎng)卡+Proxy代理軟件代理多戶使用自己的機(jī)器進(jìn)行上網(wǎng),更進(jìn)一步的是私設(shè)網(wǎng)吧進(jìn)行贏利性行為

  危害損失:運(yùn)營(yíng)商網(wǎng)絡(luò)潛在用戶損失,網(wǎng)絡(luò)資源(帶寬)消耗,正常網(wǎng)吧運(yùn)營(yíng)業(yè)務(wù)開展

  基于現(xiàn)有設(shè)備配置解決方案

  這種情況相對(duì)比較復(fù)雜:(1)如果是“黑網(wǎng)吧”,它要代理多臺(tái)設(shè)備同時(shí)上網(wǎng),其出口需要與外界同時(shí)建立的四層連接數(shù)必然很多(不然滿足不了網(wǎng)吧業(yè)務(wù)的需求),這時(shí)我們可以在BAS上限制其四層連接數(shù)來杜絕該問題;(2)如果是個(gè)別用戶采用這種方式僅僅代理一兩臺(tái)電腦同時(shí)上網(wǎng)(自己的鄰居)就不好通過這種方式控制了(連接數(shù)區(qū)別不明顯),但此時(shí)也有缺陷,就是做代理的機(jī)器必須一直開機(jī)否則其他機(jī)器無法上網(wǎng)。因此,用BAS配置控制用戶的連接數(shù)是不準(zhǔn)確,原因是此類非法接入特征IP識(shí)別超出了BAS本身設(shè)計(jì)功能的范圍,高層識(shí)別需要專業(yè)的非法接入監(jiān)控系統(tǒng)識(shí)別。

  基于應(yīng)用監(jiān)控系統(tǒng)解決方案

  某些公司采取的技術(shù)有軌跡檢測(cè)法、時(shí)鐘偏移檢測(cè)法和應(yīng)用特征檢測(cè)法。下面就這些技術(shù)做詳細(xì)的介紹。

  方法之一 ID(identification)軌跡檢測(cè)法:

  對(duì)來自某個(gè)源IP地址的TCP連接中,IP頭中的16位標(biāo)識(shí)(identification),對(duì)于某個(gè)windows用戶,其identification隨著用戶發(fā)送的IP包的數(shù)量增加而逐步增加,如果在一段時(shí)間后,發(fā)現(xiàn)某個(gè)源IP地址,如圖所示,有三段identification在連續(xù)變化,則說明該“黑戶”此時(shí)最少有三個(gè)用戶在同時(shí)使用寬帶。

  方法之二時(shí)鐘偏移檢測(cè)法:

不同的主機(jī)物理時(shí)鐘偏移不同,網(wǎng)絡(luò)協(xié)議棧時(shí)鐘與物理時(shí)鐘存在對(duì)應(yīng)關(guān)系;不同的主機(jī)發(fā)送報(bào)文的頻率因此與時(shí)鐘存在一定統(tǒng)計(jì)對(duì)應(yīng)關(guān)系;通過特定的頻譜分析算法,發(fā)現(xiàn)不同的網(wǎng)絡(luò)時(shí)鐘偏移來確定不同的主機(jī)。

  方法之三應(yīng)用特征檢測(cè)法:

  數(shù)據(jù)報(bào)文中的HTTP報(bào)頭中的User-agent字段因操作系統(tǒng)版本、IE版本和布丁的不同而不同,如圖。因此通過分析不同的HTTP報(bào)頭數(shù)而確定主機(jī)數(shù)。

  另外對(duì)于一臺(tái)主機(jī)同一時(shí)間只能登錄一個(gè)MSN帳號(hào),據(jù)此分析可判斷主機(jī)數(shù)。

  Windows update 報(bào)文里也包含一些操作系統(tǒng)版本信息,也可以據(jù)此計(jì)算主機(jī)數(shù)。

  通過以上三種方法就能很準(zhǔn)確地非法接入的寬帶用戶地主機(jī)數(shù),無論其采用共用NAT、共用Proxy、或分時(shí)段共用帳號(hào)上網(wǎng)(包括ADSL和LAN上網(wǎng)兩種模式),該非法接入監(jiān)控系統(tǒng),都能得到IP地址與所攜帶用戶數(shù)的準(zhǔn)確對(duì)應(yīng)關(guān)系,借助于Radius論證報(bào)文,再將它轉(zhuǎn)換為用戶帳號(hào)與所攜帶用戶數(shù)的對(duì)應(yīng)關(guān)系。當(dāng)然,由于本方案采用了多個(gè)指標(biāo)來綜合分析,為排除干擾提高準(zhǔn)確性,并不實(shí)時(shí)提供這種對(duì)應(yīng)關(guān)系,而是采用按天/周/月提供統(tǒng)計(jì)報(bào)表的形式,將結(jié)果提交給運(yùn)營(yíng)商的相關(guān)部門。

  三、基于客戶端與接入服務(wù)器共同作用的防非法接入機(jī)制

  通過接入服務(wù)器和登錄客戶端的共同作用,來實(shí)現(xiàn)防非法接入的功能。可以實(shí)現(xiàn)以下功能:1、防止基于Proxy的代理服務(wù)器;2、防止基于Nat的代理服務(wù)器;3、防止通過修改IP和Mac地址非法接入。

  而且能夠克服之前提到的防非法接入技術(shù)的不足:1、無需時(shí)間積累,設(shè)備安裝后即時(shí)生效;2、檢測(cè)與控制同時(shí)實(shí)現(xiàn),檢測(cè)到非法接入用戶就馬上能夠屏蔽;3、能夠區(qū)分合法用戶和非法用戶,合法用戶使用正常,非法用戶不能使用;4、可以配置用戶策略,某些用戶允許代理,某些用戶不允許代理,可以做到先通知用戶,循序漸進(jìn),做到分批割接,平穩(wěn)過渡,減少投訴。

  實(shí)現(xiàn)方法

  實(shí)現(xiàn)的原理類似于VLAN技術(shù),通過客戶端對(duì)合法用戶數(shù)據(jù)包動(dòng)態(tài)地增加一個(gè)識(shí)別標(biāo)簽,再由網(wǎng)關(guān)對(duì)這些數(shù)據(jù)包標(biāo)識(shí)去掉,轉(zhuǎn)發(fā)到上聯(lián)端口。而非法的用戶,由于數(shù)據(jù)包沒有合法的標(biāo)簽,被網(wǎng)關(guān)過濾掉。不僅能夠?qū)?nèi)網(wǎng)用戶進(jìn)行很好地防代理控制,又不影響局域網(wǎng)和城域網(wǎng)的內(nèi)網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信。

城市熱點(diǎn)公司供稿 CTI論壇編輯



相關(guān)鏈接:
城市熱點(diǎn)計(jì)費(fèi)系統(tǒng)進(jìn)入俄羅斯電信運(yùn)營(yíng)商市場(chǎng) 2009-09-10
城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)應(yīng)用大港油田寬帶網(wǎng) 2009-09-03
城市熱點(diǎn)助赤峰移動(dòng)寬帶網(wǎng)計(jì)費(fèi)改造 2009-08-14
Dr.COM酒店計(jì)費(fèi)管理系統(tǒng)入駐濟(jì)南喜來登酒店 2009-08-05
北京吉利大學(xué)啟用城市熱點(diǎn)校園網(wǎng)計(jì)費(fèi)系統(tǒng) 2009-07-06

分類信息:  寬帶_與_計(jì)費(fèi)技術(shù)     行業(yè)_寬帶_新聞   技術(shù)_計(jì)費(fèi)_文摘