《华为SIG非法共享接入监控解决方案20051223》由会员分享,可在线阅读,更多相关《华为SIG非法共享接入监控解决方案20051223(31页珍藏版)》请在金锄头文库上搜索。
1、华为安全免疫网关(SIG)之共享接入监控解决方案 2005年12月1共享接入现状与危害共享接入现状与危害共享接入监控技术分析共享接入监控技术分析华为华为SIG SIG 共享接入监控解决方案共享接入监控解决方案CONTENTS2本材料为华为与机密 3宽带共享接入的几种形式IP网络帐号盗用服务器群黑网吧 NAT 上网地址盗用BASBASRADIUSRADIUS分时使用私接用户3本材料为华为与机密 4某地市电信宽带非法接入现状26的非法接入用户其中69个为黑网吧,1100个为私帐公用的企业用户4本材料为华为与机密 5宽带共享接入的危害用户流失 大量非法接入现象导致合法用户权益受侵害,使合法用户不信赖
2、 运营商,销户停止业务 合法用户效仿非法接入者, 拉取其他潜在用户来增加自己的利 益 运营收入减少,ARPU值降低 运营商无法收取非法接入用户的网络使用费,整体收入减少 运营成本增加 无成本的非法接入用户,必然滥用网络,加大城域网负荷 运营商对前期对网络建设费用的投入无法得到及时回收,表现为 高投入低产出路越修越宽 收入却没按 比例增加?5本材料为华为与机密 6保值收益分析假设:一个5万宽带用户的城域网,其中15%,即7500个非法接入用户企业用户个人用户资费¥400/月¥50/月非法接入数1500个6000个保值收入¥60万/月¥30万/月每年的保值收入达¥1080万非法接入监控系统,除了给
3、电信运营商增加收益之外,同时还 能阻止更多的人效仿非法接入,避免给电信运营商造成更大宽 带收入流失6共享接入现状与危害共享接入现状与危害共享接入监控技术分析共享接入监控技术分析华为华为SIG SIG 共享接入监控解决方案共享接入监控解决方案CONTENTS7本材料为华为与机密 8应用级检测技术共享接入应用层检测技术主要ID轨迹时钟偏移辅助(不探测) MSN/Windows Update流量/连接数 TTL检测 辅助2(需探测)SNMP扫描MAC地址探测扫描型检测很容易被规避,而且对网络有影响综合模型才能准确检测接入共享行为8本材料为华为与机密 9检测技术举例1ID轨迹检测Windows网络协议
4、栈实现时,I字段的值随着发送IP报文数的增加而 增加 Identification的初始值是随机值,一般说来,不同主机的初始值有 较大差距9本材料为华为与机密 10检测技术举例1ID轨迹检测优点 较准确地判断出是否为共享上网用户 较准确的判断出在线共享上网主机数 完全被动监听,不发送探测信息 缺陷 需要一段时间的观察(一般两天以上) 对分时上网和PROXY的检测效果不明显10本材料为华为与机密 11检测技术举例2时钟偏移检测不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系 不同主机发送报文频率与时钟存在统计对应关系 通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机11
5、本材料为华为与机密 12检测技术举例2时钟偏移检测优点 非常准确地判断出是否为共享上网用户 能够较准确的判断出共享上网主机数 缺陷 需要复杂的计算方法进行处理分析 需要一段时间的观察(建议两天以上)12本材料为华为与机密 13检测技术举例3应用特征检测 HTTP包头 HTTP报头中User-Agent字段 不同操作系统、不同IE版本、不同补丁的User- Agent字段不同MSN 同一时间一般只能登录一个MSN帐号Windows Update 信息 windows会不定时发送Update信息13本材料为华为与机密 14检测技术举例3应用特征检测优点 能够实时判断出是否为共享上网用户 完全被动监
6、听,不发送探测信息 对分时上网的共享用户同样有效 缺陷 如果用户安装多操作系统,会产生误报 如果多台主机克隆安装,会产生漏报14本材料为华为与机密 15其他检测技术原理优点缺陷流量/连接数统计统计 某个IP打开的端口 数或流量,超过一定阈 值则认为 是共享上网用 户具有一定的参考意义对BT、网络病毒会误报 ,对少量共享主机的情 况会漏报MAC地址检测在接入层交换机下检测 MAC地址,同一个账号有 多个MAC地址,则认为 共享上网用户 能够实时 判断出是 否为共享上网用户 完全被动监 听,不 发送探测信息 对分时上网的共享 用户同样有效 需要大规模部署在接入 层 对NAT/Proxy用户无效 对
7、一台主机多个网卡的 情况会产生误报SNMP扫描检测 基本已 被淘汰扫描主机或ADSL Modem 的SNMP信息,提取主机 数在特定情况下检测 比 较准确,如用户侧 启用SNMP服务 极易通过修改Modem配 置来躲避 需要扫描用户主机,招 致用户察觉和不满TTL检测经过 一个NAT设备 后, TTL会减一,如果某个用 户TTL与正常的不一致, 则认为 是共享上网用户具有一定的参考意义 需要大规模部署在接入 层 由于操作系统处 理不同 ,即使TTL不一致,也未 必是共享上网用户 对Proxy无效15本材料为华为与机密 16运营级别的控制技术 技术要求 位置灵活,可以在城域网出口或汇聚层 部署规
8、模小,投资少 误报/漏报率低 适用的检测技术 ID轨迹检测 时钟偏移分析 应用特征检测 控制技术 网页推送警告 干扰HTTP访问 干扰TCP连接16共享接入现状与危害共享接入现状与危害共享接入监控技术分析共享接入监控技术分析华为华为SIG SIG 共享接入监控解决方案共享接入监控解决方案CONTENTS17本材料为华为与机密 18检测技术模型18本材料为华为与机密 19控制技术TCP RESETHTTP Redirect19本材料为华为与机密 20灵活的控制策略多维的控制策略 干扰手段 推送web页 警告 干扰HTTP 干扰TCP 干扰频度 全部 1天中的某 个时间段 1周中的某 几天 干扰强
9、度 全部 部分 随机 多个干扰策略模板 逐用户可定义个性干扰策略 系统提供一套默认策略20本材料为华为与机密 21实时用户查询实时用户列表提供在线参考信息,由于接入共享特殊性,建议 使用综合一段时间(两天以上)的分析结果21本材料为华为与机密 22黑白灰名单管理22本材料为华为与机密 23实时流量观测23本材料为华为与机密 24实时信息统计24本材料为华为与机密 25整点信息统计25本材料为华为与机密 26指定时间段统计26本材料为华为与机密 27月度报表27本材料为华为与机密 28系统组成管理控制台数据库服务器SPS28本材料为华为与机密 29网络部署省干/国干BASR/L3R/L3GSRBASBASGSRL2DSLAM分光或镜像DB接 口 适 配 器网 络 交 换 机SIGSIG检测控制器检测控制器2.5G/10G POS/GE干扰控制控 制 台29本材料为华为与机密 30华为SIG优势技术优势 高效算法保证监控有效性 提供过载保护,稳定性高 单台设备设计规模10万在线用户容量产品优势 电信级硬件平台 实时的检测内容 详尽的统计信息 丰富的干扰控制措施 服务优势 持续跟踪新技术和新协议,提供升级解决方案 强大的研发能力,保证客户新需求短时间实现 良好的支持与服务能力30服 务 创 造 价 值Date:2005.12.2331
