欢迎来到天天文库
浏览记录
ID:40216718
大小:1.09 MB
页数:31页
时间:2019-07-26
《华为sig非法共享接入监控解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、华为安全免疫网关(SIG)之共享接入监控解决方案2005年12月共享接入现状与危害共享接入监控技术分析华为SIG共享接入监控解决方案CONTENTS2宽带共享接入的几种形式IP网络帐号盗用服务器群黑网吧NAT上网地址盗用①②③④⑤BASRADIUS分时使用私接用户3某地市电信宽带非法接入现状26%的非法接入用户其中69个为黑网吧,1100个为私帐公用的企业用户4宽带共享接入的危害用户流失大量非法接入现象导致合法用户权益受侵害,使合法用户不信赖运营商,销户停止业务合法用户效仿非法接入者,拉取其他潜在用户来增加自己的利益运营收入减少
2、,ARPU值降低运营商无法收取非法接入用户的网络使用费,整体收入减少运营成本增加无成本的非法接入用户,必然滥用网络,加大城域网负荷运营商对前期对网络建设费用的投入无法得到及时回收,表现为高投入低产出路越修越宽收入却没按比例增加?5保值收益分析假设:一个5万宽带用户的城域网,其中15%,即7500个非法接入用户企业用户个人用户资费¥400/月¥50/月非法接入数1500个6000个保值收入¥60万/月¥30万/月每年的保值收入达¥1080万非法接入监控系统,除了给电信运营商增加收益之外,同时还能阻止更多的人效仿非法接入,避免给电信
3、运营商造成更大宽带收入流失6共享接入现状与危害共享接入监控技术分析华为SIG共享接入监控解决方案CONTENTS7应用级检测技术共享接入应用层检测技术主要ID轨迹时钟偏移……辅助(不探测)MSN/WindowsUpdate流量/连接数TTL检测……辅助2(需探测)SNMP扫描MAC地址……探测扫描型检测很容易被规避,而且对网络有影响综合模型才能准确检测接入共享行为8检测技术举例1-ID轨迹检测Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而增加Identification的初始值是随机值,一般说来,不同主机
4、的初始值有较大差距9检测技术举例1-ID轨迹检测优点较准确地判断出是否为共享上网用户较准确的判断出在线共享上网主机数完全被动监听,不发送探测信息缺陷需要一段时间的观察(一般两天以上)对分时上网和PROXY的检测效果不明显10检测技术举例2-时钟偏移检测不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系不同主机发送报文频率与时钟存在统计对应关系通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机11检测技术举例2-时钟偏移检测优点非常准确地判断出是否为共享上网用户能够较准确的判断出共享上网主机数缺陷需要复杂的计
5、算方法进行处理分析需要一段时间的观察(建议两天以上)12检测技术举例3-应用特征检测HTTP包头HTTP报头中User-Agent字段不同操作系统、不同IE版本、不同补丁的User-Agent字段不同MSN同一时间一般只能登录一个MSN帐号WindowsUpdate信息windows会不定时发送Update信息13检测技术举例3-应用特征检测优点能够实时判断出是否为共享上网用户完全被动监听,不发送探测信息对分时上网的共享用户同样有效缺陷如果用户安装多操作系统,会产生误报如果多台主机克隆安装,会产生漏报14其他检测技术原理优点缺陷
6、流量/连接数统计统计某个IP打开的端口数或流量,超过一定阈值则认为是共享上网用户具有一定的参考意义对BT、网络病毒会误报,对少量共享主机的情况会漏报MAC地址检测在接入层交换机下检测MAC地址,同一个账号有多个MAC地址,则认为共享上网用户能够实时判断出是否为共享上网用户完全被动监听,不发送探测信息对分时上网的共享用户同样有效需要大规模部署在接入层对NAT/Proxy用户无效对一台主机多个网卡的情况会产生误报SNMP扫描检测基本已被淘汰扫描主机或ADSLModem的SNMP信息,提取主机数在特定情况下检测比较准确,如用户侧启用S
7、NMP服务极易通过修改Modem配置来躲避需要扫描用户主机,招致用户察觉和不满TTL检测经过一个NAT设备后,TTL会减一,如果某个用户TTL与正常的不一致,则认为是共享上网用户具有一定的参考意义需要大规模部署在接入层由于操作系统处理不同,即使TTL不一致,也未必是共享上网用户对Proxy无效15运营级别的控制技术技术要求位置灵活,可以在城域网出口或汇聚层部署规模小,投资少误报/漏报率低适用的检测技术ID轨迹检测时钟偏移分析应用特征检测控制技术网页推送警告干扰HTTP访问干扰TCP连接16共享接入现状与危害共享接入监控技术分析华
8、为SIG共享接入监控解决方案CONTENTS17检测技术模型18控制技术TCPRESETHTTPRedirect19灵活的控制策略多维的控制策略干扰手段推送web页警告干扰HTTP干扰TCP干扰频度全部1天中的某个时间段1周中的某几天干扰强度全部部分随机多个干扰
此文档下载收益归作者所有