共享检测防范技术及实现.doc

共享检测防范技术及实现摘要：随着互联网带宽的发展，运营商为了保护自己的利益而不让用户几家合用路由上网，于是普遍采用IPID、时间戳、User-Agent头等技术来检测技术来判定路由器后面有多少台计算机在共享上网。本文深入剖析这些技术的基础上，提出如何防范运营商的共享检测，着重分析了IPID解决方案 关键词：共享神盾 共享神矛 网络尖兵 IPID 一、 检测原理简析 现在电信运营商的带宽越来越大，Internet技术的发展和高昂的接入价格，使得越来越多的用户采取合租方式通过路由上网。但是有线宽带由于没有无线宽带那种SIM防复制，防止破解等技术，因此控制路由器上网一直是他们研究的重点 原来电信运营商常用SMTP检测技术来判定是否路由，但是随着时代的发展和设备的更新，现在运营商很难从设备层来控制用户，于是更新的检测技术，采用IPID判定法、TTL判定法、时间戳判定法、User-Agent判定法等方法来检测路由后面的用户数 （1） IPID判定法：根据Windows协议栈的特性，一台计算机IPID值是连续的。通过分析IPID值的跳跃我们可以得出计算机的台数。Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加，IPID的初始值是随机值，一般说来，不同主机的初始值有较大差距。由于Linux、Unix的IPID是随机值，故此判定方法对Linux、Unix无效 （2） TTL判定法：TTL指生存时间，指定数据报被路由器丢弃之前允许通过的网段数量。TTL 是由发送主机设置的，以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1。不同的操作系统其TTL不同：LINUX 为64，WIN2K/NT为 128，WINDOWS9X 系列 为32，UNIX 系列为255。如果检测到有多个TTL的值则可以断定有多台主机 （3） 时间戳判定法：由于不同主机的物理时钟一般存在偏移，且网络协议栈时钟与物理时钟存在对应关系，同时不同主机发送报文的频率与时钟存在统计关系，因此可以分析发现不同的网络时钟偏移数目来确定主机的台数 （4） User-Agent头判定法：HTTP头分为HTTP请求头和HTTP应答头。HTTP请求头为HTTP客户在浏览服务器上的主页时，向服务器发送请求的时候必须指明请求类型。请求类型是指HTTP-GET或HTTP-POST，每个HTTP-GET和HTTP-POST都由一系列HTTP请求头组成，这些请求头定义了客户端从服务器请求了什么，而响应则是由一系列HTTP应答头和应答数据组成，如果请求成功则返回应答。在HTTP头中有一个User－Agent头标明了浏览器类型。不同操作系统、不同IE版本、不同补丁的User-Agent字段不同。由此可以根据user-Agent头的不同来判定主机的数量 二、 分析WindowsTCPIP协议栈数据处理过程 在众多检测原理中，IPID判定法判定准确，用得较多，其他再作为辅助判定方法。下面我们主要分析一下WindowsTCPIP协议栈数据处理过程 图1数据包处理的 TCP/IP 体系结构 1.WinSock的数据包形成后，Tcpip.sys会将其传递给防火墙驱动程序 (Ipnat.sys) 进行处理。防火墙检查该数据包是否属于所要阻止的Internet控制消息协议 (ICMP) 消息类型。如果ICMP消息被阻止，防火墙就将丢弃该数据包 处理完后，防火墙会将该数据包传回给Tcpip.sys， 2.Tcpip.sys 将数据包传递给筛选器驱动程序 (Ipfltdrv.sys) 进行处理 Ipfltdrv.sys根据下一跃点接口，将该数据包与已配置的出站IP数据包筛选器格式进行对比 若出站数据包筛选器不允许该数据包通过，Ipfltdrv.sys就会直接下，丢弃该数据包。若出站数据包筛选器允许该数据包，Ipfltdrv.sys就会将该数据包传回给Tcpip.sys 3.Tcpip.sys 将该数据包传递给Ipsec.sys进行处理 Ipsec.sys根据IPsec筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给Tcpip.sys。若阻止的话，Ipsec.sys会直接丢弃该数据包。若要进行保护的话，Ipsec.sys会在将数据包传回给Tcpip.sys之前，对其添加适当的IPsec保护 Tcpip.sys随后会通过下一跃点接口，将该数据包发送到下一跃点IP地址。完成数据包的出站 三、 解决方案 （1）对于IPID检测的破解 因为各运营商破解时是采集其前置机上的数据包通过分析IPID