目前,大部分校园网都是基于包月的形式开展的,所以,部分用户利用宽带计费技术的不足,往往以个人的名义申请宽带而让黑网吧、企业使用,或者几户共用宽带而分摊费用,给校园网造成了比较大的经济损失。
非法接入的方法包括:
1、 基于Proxy的代理服务器;
2、 基于Nat的代理服务器;
3、 通过修改IP和Mac地址非法接入。
而对应的防非法接入技术也经历了从基于网络层技术,到基于应用层的技术,到基于客户端与接入服务器共同作用的技术历程。
图1:网络拓扑图
一、基于网络层的解决方案:
作为网络层的非法盗用,一般可以详细区分为下面四类:
1、针对IP地址盗用的解决方案;
2、针对帐号盗用的解决方案;
3、针对帐号分时复用的解决方案;
4、针对HUB私接的解决方案。
这几类的非法接入现状从网络层就可以着手解决,而基于现有设备,只要启用其配置就可以实现。
针对IP地址盗用的解决方案: 【表现情况】: 非法用户手工配置合法用户的IP地址仿冒上网(静态用户或PPP拨号用户)。
【危害损失】:合法用户投诉,合法用户不上网时网络资源盗用。
【解决方法】:在BAS设备上进行MAC+IP+VLAN/PVC的绑定。
针对帐号盗用的解决方案: 【表现情况】:非法用户窃取合法用户的帐号后上网(经过认证的用户:PPP拨号或WEB认证)。
【危害损失】:合法用户资费损失(计时),网络资源损失(包月)。
【解决方法】:进行AAA认证时由BAS设备向Radius Server上报“帐号”的同时上报用户端信息(如VLAN/PVC位置信息或MAC地址信息),Radius Server再根据“帐号”和“VLAN/PVC或MAC”信息的对应关系判断是否为其认证通过,授权上网。
针对帐号分时复用的解决方案: 【表现情况】:一人申请帐号,在ADSL modem下面自挂HUB进行多户相连,多户分时共用一个帐号进行拨号上网。
【危害损失】:运营商网络潜在用户损失。
【解决方法】:进行AAA认证时由BAS设备向Radius Server上报“帐号”的同时上报用户端信息(MAC地址信息),Radius Server再根据“帐号”和“MAC”信息的对应关系判断是否为其认证通过,授权上网。
针对HUB私接的解决方案: 【表现情况】:一人申请开通一条ADSL链路,在ADSL modem下面自挂HUB进行多户相连,多户使用多帐号同时进行拨号上网。
【危害损失】:运营商网络潜在用户损失,个别地点网络资源消耗。
【解决方法】:每个用户一个VLAN或一条PVC,在BAS设备该VLAN/PVC下限制同时接入的用户数为1,这样多余的用户不能同时接入。
二、基于应用层控制解决方案:
针对全Proxy代理和“黑网吧”的解决方案: 【表现情况】:一人申请开通一条ADSL链路,在ADSL modem下面使用自己电脑双网卡+Proxy代理软件代理多户使用自己的机器进行上网,更进一步的是私设网吧进行赢利性行为
【危害损失】:运营商网络潜在用户损失,网络资源(带宽)消耗,正常网吧运营业务开展
基于现有设备配置解决方案: 这种情况相对比较复杂:
(1)如果是“黑网吧”,它要代理多台设备同时上网,其出口需要与外界同时建立的四层连接数必然很多(不然满足不了网吧业务的需求),这时我们可以在BAS上限制其四层连接数来杜绝该问题;
(2)如果是个别用户采用这种方式仅仅代理一两台电脑同时上网(自己的邻居)就不好通过这种方式控制了(连接数区别不明显),但此时也有缺陷,就是做代理的机器必须一直开机否则其他机器无法上网。
因此,用BAS配置控制用户的连接数是不准确,原因是此类非法接入特征IP识别超出了BAS本身设计功能的范围,高层识别需要专业的非法接入监控系统识别。
基于应用监控系统解决方案: 某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。下面就这些技术做详细的介绍。
方法之一 ID(identification)轨迹检测法:
对来自某个源IP地址的TCP连接中,IP头中的16位标识(identification),对于某个windows用户,其identification随着用户发送的IP包的数量增加而逐步增加,如果在一段时间后,发现某个源IP地址,如图所示,有三段identification在连续变化,则说明该“黑户”此时最少有三个用户在同时使用宽带。
方法之二时钟偏移检测法:
不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系;不同的主机发送报文的频率因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机。
方法之三应用特征检测法:
数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同,如图。因此通过分析不同的HTTP报头数而确定主机数。
另外对于一台主机同一时间只能登录一个MSN帐号,据此分析可判断主机数。
Windows update 报文里也包含一些操作系统版本信息,也可以据此计算主机数。
通过以上三种方法就能很准确地非法接入的宽带用户地主机数,无论其采用共用NAT、共用Proxy、或分时段共用帐号上网(包括ADSL和LAN上网两种模式),该非法接入监控系统,都能得到IP地址与所携带用户数的准确对应关系,借助于Radius论证报文,再将它转换为用户帐号与所携带用户数的对应关系。当然,由于本方案采用了多个指标来综合分析,为排除干扰提高准确性,并不实时提供这种对应关系,而是采用按天/周/月提供统计报表的形式,将结果提交给运营商的相关部门。
三、基于客户端与接入服务器共同作用的防非法接入机制:
通过接入服务器和登录客户端的共同作用,来实现防非法接入的功能。可以实现以下功能:
1、防止基于Proxy的代理服务器;
2、防止基于Nat的代理服务器;
3、防止通过修改IP和Mac地址非法接入。
而且能够克服之前提到的防非法接入技术的不足:
1、无需时间积累,设备安装后即时生效;
2、检测与控制同时实现,检测到非法接入用户就马上能够屏蔽;
3、能够区分合法用户和非法用户,合法用户使用正常,非法用户不能使用;
4、可以配置用户策略,某些用户允许代理,某些用户不允许代理,可以做到先通知用户,循序渐进,做到分批割接,平稳过渡,减少投诉。
实现的原理类似于VLAN技术,通过客户端对合法用户数据包动态地增加一个识别标签,再由网关对这些数据包标识去掉,转发到上联端口。而非法的用户,由于数据包没有合法的标签,被网关过滤掉。不仅能够对内网用户进行很好地防代理控制,又不影响局域网和城域网的内网服务器和外部Internet服务器的正常通信。