让非法接入不再存在

　　目前，大部分校园网都是基于包月的形式开展的，所以，部分用户利用宽带计费技术的不足，往往以个人的名义申请宽带而让黑网吧、企业使用，或者几户共用宽带而分摊费用，给校园网造成了比较大的经济损失。

　　非法接入的方法包括：
　　1、 基于Proxy的代理服务器；
　　2、 基于Nat的代理服务器；
　　3、 通过修改IP和Mac地址非法接入。

　　而对应的防非法接入技术也经历了从基于网络层技术，到基于应用层的技术，到基于客户端与接入服务器共同作用的技术历程。

一、基于网络层的解决方案：

　　作为网络层的非法盗用，一般可以详细区分为下面四类：
　　1、针对IP地址盗用的解决方案；
　　2、针对帐号盗用的解决方案；
　　3、针对帐号分时复用的解决方案；
　　4、针对HUB私接的解决方案。
　　这几类的非法接入现状从网络层就可以着手解决，而基于现有设备，只要启用其配置就可以实现。

　　针对IP地址盗用的解决方案：
　　【表现情况】： 非法用户手工配置合法用户的IP地址仿冒上网（静态用户或PPP拨号用户）。
　　【危害损失】：合法用户投诉，合法用户不上网时网络资源盗用。
　　【解决方法】：在BAS设备上进行MAC+IP+VLAN/PVC的绑定。

　　针对帐号盗用的解决方案：
　　【表现情况】：非法用户窃取合法用户的帐号后上网（经过认证的用户：PPP拨号或WEB认证）。
　　【危害损失】：合法用户资费损失（计时），网络资源损失（包月）。
　　【解决方法】：进行AAA认证时由BAS设备向Radius Server上报“帐号”的同时上报用户端信息（如VLAN/PVC位置信息或MAC地址信息），Radius Server再根据“帐号”和“VLAN/PVC或MAC”信息的对应关系判断是否为其认证通过，授权上网。

　　针对帐号分时复用的解决方案：
　　【表现情况】：一人申请帐号，在ADSL modem下面自挂HUB进行多户相连，多户分时共用一个帐号进行拨号上网。
　　【危害损失】：运营商网络潜在用户损失。
　　【解决方法】：进行AAA认证时由BAS设备向Radius Server上报“帐号”的同时上报用户端信息（MAC地址信息），Radius Server再根据“帐号”和“MAC”信息的对应关系判断是否为其认证通过，授权上网。

　　针对HUB私接的解决方案：
　　【表现情况】：一人申请开通一条ADSL链路，在ADSL modem下面自挂HUB进行多户相连，多户使用多帐号同时进行拨号上网。
　　【危害损失】：运营商网络潜在用户损失，个别地点网络资源消耗。
　　【解决方法】：每个用户一个VLAN或一条PVC，在BAS设备该VLAN/PVC下限制同时接入的用户数为1，这样多余的用户不能同时接入。

二、基于应用层控制解决方案：

　　针对全Proxy代理和“黑网吧”的解决方案：
　　【表现情况】：一人申请开通一条ADSL链路，在ADSL modem下面使用自己电脑双网卡＋Proxy代理软件代理多户使用自己的机器进行上网，更进一步的是私设网吧进行赢利性行为
　　【危害损失】：运营商网络潜在用户损失，网络资源（带宽）消耗，正常网吧运营业务开展

　　基于现有设备配置解决方案：
　　这种情况相对比较复杂：
　　（1）如果是“黑网吧”，它要代理多台设备同时上网，其出口需要与外界同时建立的四层连接数必然很多（不然满足不了网吧业务的需求），这时我们可以在BAS上限制其四层连接数来杜绝该问题；
　　（2）如果是个别用户采用这种方式仅仅代理一两台电脑同时上网（自己的邻居）就不好通过这种方式控制了（连接数区别不明显），但此时也有缺陷，就是做代理的机器必须一直开机否则其他机器无法上网。
　　因此，用BAS配置控制用户的连接数是不准确，原因是此类非法接入特征IP识别超出了BAS本身设计功能的范围，高层识别需要专业的非法接入监控系统识别。

　　基于应用监控系统解决方案：
　　某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。下面就这些技术做详细的介绍。

　　方法之一 ID（identification）轨迹检测法：
　　对来自某个源IP地址的TCP连接中，IP头中的16位标识（identification），对于某个windows用户，其identification随着用户发送的IP包的数量增加而逐步增加，如果在一段时间后，发现某个源IP地址，如图所示，有三段identification在连续变化，则说明该“黑户”此时最少有三个用户在同时使用宽带。

　　方法之二时钟偏移检测法：
　　不同的主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系；不同的主机发送报文的频率因此与时钟存在一定统计对应关系；通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同的主机。

　　方法之三应用特征检测法：
　　数据报文中的HTTP报头中的User－agent字段因操作系统版本、IE版本和布丁的不同而不同，如图。因此通过分析不同的HTTP报头数而确定主机数。
　　另外对于一台主机同一时间只能登录一个MSN帐号，据此分析可判断主机数。
　　Windows update 报文里也包含一些操作系统版本信息，也可以据此计算主机数。

　　通过以上三种方法就能很准确地非法接入的宽带用户地主机数，无论其采用共用NAT、共用Proxy、或分时段共用帐号上网（包括ADSL和LAN上网两种模式），该非法接入监控系统，都能得到IP地址与所携带用户数的准确对应关系，借助于Radius论证报文，再将它转换为用户帐号与所携带用户数的对应关系。当然，由于本方案采用了多个指标来综合分析，为排除干扰提高准确性，并不实时提供这种对应关系，而是采用按天/周/月提供统计报表的形式，将结果提交给运营商的相关部门。

三、基于客户端与接入服务器共同作用的防非法接入机制：

　　通过接入服务器和登录客户端的共同作用，来实现防非法接入的功能。可以实现以下功能：
　　1、防止基于Proxy的代理服务器；
　　2、防止基于Nat的代理服务器；
　　3、防止通过修改IP和Mac地址非法接入。

　　而且能够克服之前提到的防非法接入技术的不足：
　　1、无需时间积累，设备安装后即时生效；
　　2、检测与控制同时实现，检测到非法接入用户就马上能够屏蔽；
　　3、能够区分合法用户和非法用户，合法用户使用正常，非法用户不能使用；
　　4、可以配置用户策略，某些用户允许代理，某些用户不允许代理，可以做到先通知用户，循序渐进，做到分批割接，平稳过渡，减少投诉。

　　实现的原理类似于VLAN技术，通过客户端对合法用户数据包动态地增加一个识别标签，再由网关对这些数据包标识去掉，转发到上联端口。而非法的用户，由于数据包没有合法的标签，被网关过滤掉。不仅能够对内网用户进行很好地防代理控制，又不影响局域网和城域网的内网服务器和外部Internet服务器的正常通信。