第六章 防范带宽透传交流.pptx

防范带宽透传经验交流 2012年11月 透传的背景材料 透传案例分享 防范透传的思路 防范带宽透传经验交流 透传的背景知识 互联网的蓬勃发展，移动互联网的迅速壮大，网民数量的飞速增长 传统固网运营商，在互联网业务的发展中始终占据了主导地位 IDC作为一个战略型业务，被各省在大力的发展，前期对于网吧宽带的拉动效应已经有目共睹，对于家庭宽带接入业务的拉动促进业务收入和用户规模的不断增长 运营商之间的通过工信部规定的互联点进行互访，因为用户群庞大、网上内容海量，互联点带宽成为网间互通的瓶颈，也成为我们保持竞争优势的利器 网间结算对于互联网小运营商来说是高昂的成本，1G每月在100万的级别，流进流出都需要结算 电信网络 小ISP网络 电信IDC 互联网服务 电信运营商的带宽资源长期存在被小运营商或竞争对手通过 VPN+NAT 方式非法盗用的问题，这种行为被称为“透传 ”。 这种带宽透传行为对电信运营商的收入造成了损失，因此电信运营商急需解决方案来对其进行发现与控制。 VPN NAT 透传访问 透传的背景知识 为什么会有透传？ 全业务竞争对于消除短板的需要 资金充足，用利益驱动，用钱砸 难以承受网间结算的高额资费，走下水道 互联网公司ISP都不是很赚钱，开辟了一个发财的通道，透传采购价远高于IDC带宽价格 中国电信各省联动性较弱，有空子可钻 防范透传的技术手段跟不上透传技术的发展，道高一尺魔高一丈 最大透传带宽采购商 透传的背景知识 早期透传模式：早期透传模式相对简单，不具备隐蔽性，一般采用IDC机房双线服务器代理访问或采用公司的高带宽双线服务器代理访问，其代理原理一致。 电信 骨干节点 互联点双线代理服务器 其它运营商 客户 data 其它运营商数据进入代理服务器 data 通过代理服务器直接访问电信提供的网络服务 有外拉光纤的IDC 透传的背景知识 隐蔽性透传模式：其它运营商客户通过某节点VPN加密隧道访问电信IDC机房服务器，通过该服务器代理访问电信提供的网络服务。 其它运营商 客户 电信 骨干节点 VPN加密隧道 data XXX 数据加密 隧道跳转 电信IDC内服务器 互联点双线代理服务器 data A省 B省 中国电信ChinaNet 透传的背景知识 新透传的几个基本要素 互联点：物理双线路（adsl、专线、IDC外拉光纤、无线汇接点） 加密隧道VPN 出网点：带宽低价、稳定、不易被查 演变的趋势： 单点大带宽向多个小带宽汇聚发展， 集中→分散 公开协议向私有协议发展， 普遍→特殊 所有应用向特殊应用发展， 粗放→细分 采购者从乙方向甲方发展， 稀缺→泛滥 道高一尺、魔高一丈！ 透传的背景材料 透传案例分享 防范透传的思路 防范带宽透传经验交流 透传案例分析 ①访问地址回显网站，取证，移动用户 根据地址发现IDC内的服务器 封存设备，并进入查看配置 获取对端的地址信息以及透传的方式 将客户列入黑名单，并联系外省配合清查 ☆出网点服务器配置分析 透传案例分析 通过现场查看，该地址接入为单线接入，操作系统为LINUX系统，破解登录口令后发现该服务器配置了一个IP地址：48，无其他运营商地址！也没有配置VPN！ 但是该终端发现了一个异常现象，配置了一个IPIP1协议，在该协议上配置了一个内网地址/30. 然后进行了抓包分析，发现跟该终端互联的只有一个地址：20（浙江省台州市 电信），跟该终端收发的数据包IP头后还包含一个IP头，里面的IP地址均为移动地址，见下图： 透传案例分析 通过以上分析，初步定位浙江移动违规透传互联点在浙江台州电信，再通过浙江台州电信与扬州高邮IDC服务器48间的隧道透传流量。 违规透传流量示意图如下： 透传案例分析 透传的背景材料 透传案例分享 防范透传的思路 防范带宽透传经验交流 防范透传的思路 VPN隧道成为透传的主流手段 互联点和出网点不在一个省的典型特征 J省打透传，但是却帮助了A省宽带市场的竞争发展。互联点是源头，出网点只是下水道。 互联点 终结点 出网点 防范透传的思路 IDC流量正常情况应该是出流量（如带有HTTP返回信息）入流量（带有HTTP请求信息）。如果IDC内部存在透传现象，透传部分会导致IDC入流量会带有大量HTTP返回信息，出流量会存在大量HTTP请求信息，同时会使IDC出现VPN流量。 HTTP请求信息从理论上不能作为判断是否存在透传的唯一标准，据和CDN公司交流，CDN的技术会使IDC出现类似于透传的特征。从技术上分析，如果IDC出流量出现大量HTTP请求信息，那么就具备了成为透传出网节点的嫌疑。 防范透传的思路 透传小公司往往会采用混杂的方式，即部分正常服务混入部分透传的流量，VPN采用软件的方式来实现。 但从技术上，单个