华为安全免疫网关(SIG)之共享接入监控解决方案2005年12月共享接入现状与危害共享接入监控技术分析华为SIG共享接入监控解决方案CONTENTS本材料为华为与××××机密3宽带共享接入的几种形式IP网络帐号盗用服务器群黑网吧NAT上网地址盗用①②③④⑤BASRADIUS分时使用私接用户本材料为华为与××××机密4某地市电信宽带非法接入现状26%的非法接入用户2590074%730021%18005%正常用户2个主机的共享用户3个以上主机的共享用户其中69个为黑网吧,1100个为私帐公用的企业用户本材料为华为与××××机密5宽带共享接入的危害•用户流失–大量非法接入现象导致合法用户权益受侵害,使合法用户不信赖运营商,销户停止业务–合法用户效仿非法接入者,拉取其他潜在用户来增加自己的利益•运营收入减少,ARPU值降低–运营商无法收取非法接入用户的网络使用费,整体收入减少•运营成本增加–无成本的非法接入用户,必然滥用网络,加大城域网负荷–运营商对前期对网络建设费用的投入无法得到及时回收,表现为高投入低产出路越修越宽收入却没按比例增加?本材料为华为与××××机密6保值收益分析•假设:一个5万宽带用户的城域网,其中15%,即7500个非法接入用户企业用户个人用户资费¥400/月¥50/月非法接入数1500个6000个保值收入¥60万/月¥30万/月每年的保值收入达¥1080万•非法接入监控系统,除了给电信运营商增加收益之外,同时还能阻止更多的人效仿非法接入,避免给电信运营商造成更大宽带收入流失共享接入现状与危害共享接入监控技术分析华为SIG共享接入监控解决方案CONTENTS本材料为华为与××××机密8应用级检测技术共享接入应用层检测技术主要ID轨迹时钟偏移……辅助(不探测)MSN/WindowsUpdate流量/连接数TTL检测……辅助2(需探测)SNMP扫描MAC地址……探测扫描型检测很容易被规避,而且对网络有影响综合模型才能准确检测接入共享行为本材料为华为与××××机密9检测技术举例1-ID轨迹检测•Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而增加•Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距010000200003000040000500006000070000本材料为华为与××××机密10检测技术举例1-ID轨迹检测•优点–较准确地判断出是否为共享上网用户–较准确的判断出在线共享上网主机数–完全被动监听,不发送探测信息•缺陷–需要一段时间的观察(一般两天以上)–对分时上网和PROXY的检测效果不明显本材料为华为与××××机密11检测技术举例2-时钟偏移检测•不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系•不同主机发送报文频率与时钟存在统计对应关系•通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机IP首部TCP首部TCP数据(含TimeStamp)IP首部TCP首部TCP数据(含TimeStamp)IP首部ICMP首部ICMP数据(含TimeStamp)IP首部ICMP首部ICMP数据(含TimeStamp)IP首部IP数据报文(含TimeStamp)IP首部IP数据报文(含TimeStamp)IP首部IP数据报文(含TimeStamp)t(接收到报文)Timestamp主机协议栈记录发包时间不同主机发包频率统计偏差不同本材料为华为与××××机密12检测技术举例2-时钟偏移检测•优点–非常准确地判断出是否为共享上网用户–能够较准确的判断出共享上网主机数•缺陷–需要复杂的计算方法进行处理分析–需要一段时间的观察(建议两天以上)本材料为华为与××××机密13检测技术举例3-应用特征检测•HTTP包头–HTTP报头中User-Agent字段–不同操作系统、不同IE版本、不同补丁的User-Agent字段不同•MSN–同一时间一般只能登录一个MSN帐号•WindowsUpdate信息–windows会不定时发送Update信息本材料为华为与××××机密14检测技术举例3-应用特征检测•优点–能够实时判断出是否为共享上网用户–完全被动监听,不发送探测信息–对分时上网的共享用户同样有效•缺陷–如果用户安装多操作系统,会产生误报–如果多台主机克隆安装,会产生漏报本材料为华为与××××机密15其他检测技术原理优点缺陷流量/连接数统计统计某个IP打开的端口数或流量,超过一定阈值则认为是共享上网用户具有一定的参考意义对BT、网络病毒会误报,对少量共享主机的情况会漏报MAC地址检测在接入层交换机下检测MAC地址,同一个账号有多个MAC地址,则认为共享上网用户能够实时判断出是否为共享上网用户完全被动监听,不发送探测信息对分时上网的共享用户同样有效需要大规模部署在接入层对NAT/Proxy用户无效对一台主机多个网卡的情况会产生误报SNMP扫描检测基本已被淘汰扫描主机或ADSLModem的SNMP信息,提取主机数在特定情况下检测比较准确,如用户侧启用SNMP服务极易通过修改Modem配置来躲避需要扫描用户主机,招致用户察觉和不满TTL检测经过一个NAT设备后,TTL会减一,如果某个用户TTL与正常的不一致,则认为是共享上网用户具有一定的参考意义需要大规模部署在接入层由于操作系统处理不同,即使TTL不一致,也未必是共享上网用户对Proxy无效本材料为华为与××××机密16运营级别的控制技术•技术要求–位置灵活,可以在城域网出口或汇聚层–部署规模小,投资少–误报/漏报率低•适用的检测技术–ID轨迹检测–时钟偏移分析–应用特征检测•控制技术–网页推送警告–干扰HTTP访问–干扰TCP连接共享接入现状与危害共享接入监控技术分析华为SIG共享接入监控解决方案CONTENTS本材料为华为与××××机密18检测技术模型华为非法接入监控系统检测技术时钟漂移:—准确地判断出是否为共享上网用户—较准确的判断出共享上网主机数IP的ID轨迹分析:—较准确地判断出是否为共享上网用户—较准确的判断出在线共享上网主机数—完全被动监听,不必发送探测信息HTTP报头分析:—实时判断出是否为共享上网用户并判断共享主机数—完全被动监听,不必发送探测信息—对分时上网的共享用户同样有效端口流量、连接数统计:—TCP连接数做为一种辅助统计手段容易获得MAC地址获取:—需要大规模部署在接入层—对NAT/Proxy用户无效—对一台主机多个网卡的情况会产生误报—基本已被淘汰其它常用非法接入检测技术缺陷SNMP扫描:—极易通过修改Modem配置来躲避—需要扫描用户主机,招致用户察觉和不满—基本已被淘汰TTL分析:—需要大规模部署在接入层—即使TTL不一致,也未必是共享上网用户—对Proxy无效—基本已被淘汰解决其它技术的缺陷本材料为华为与××××机密19控制技术非法接入用户网站TCPstartA监控系统TCPresetBTCPstopB非法接入用户网站HTTPA监控系统resetB告警页面RedirectCHTTPTCPRESETHTTPRedirect本材料为华为与××××机密20灵活的控制策略•多维的控制策略–干扰手段–推送web页警告–干扰HTTP–干扰TCP–干扰频度–全部–1天中的某个时间段–1周中的某几天–干扰强度–全部–部分–随机•多个干扰策略模板–逐用户可定义个性干扰策略–系统提供一套默认策略本材料为华为与××××机密21实时用户查询实时用户列表提供在线参考信息,由于接入共享特殊性,建议使用综合一段时间(两天以上)的分析结果本材料为华为与××××机密22黑白灰名单管理本材料为华为与××××机密23实时流量观测本材料为华为与××××机密24实时信息统计本材料为华为与××××机密25整点信息统计本材料为华为与××××机密26指定时间段统计本材料为华为与××××机密27月度报表本材料为华为与××××机密28系统组成管理控制台数据库服务器SPS本材料为华为与××××机密29网络部署省干/国干BASR/L3R/L3GSRBASBASGSRL2DSLAM分光或镜像DB接口适配器网络交换机SIG检测控制器2.5G/10GPOS/GE干扰控制控制台本材料为华为与××××机密30华为SIG优势•技术优势–高效算法保证监控有效性–提供过载保护,稳定性高–单台设备设计规模10万在线用户容量•产品优势–电信级硬件平台–实时的检测内容–详尽的统计信息–丰富的干扰控制措施•服务优势–持续跟踪新技术和新协议,提供升级解决方案–强大的研发能力,保证客户新需求短时间实现–良好的支持与服务能力服务创造价值Date:2005.12.23