华为SIG非法共享接入监控解决方案20051223.pptVIP

宽带共享接入的几种形式 某地市电信宽带非法接入现状 26％的非法接入用户 宽带共享接入的危害 保值收益分析 应用级检测技术 检测技术举例1－ID轨迹检测 Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加 Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距 检测技术举例1－ID轨迹检测 优点 较准确地判断出是否为共享上网用户 较准确的判断出在线共享上网主机数 完全被动监听，不发送探测信息 缺陷 需要一段时间的观察（一般两天以上） 对分时上网和PROXY的检测效果不明显 检测技术举例2－时钟偏移检测 不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系 不同主机发送报文频率与时钟存在统计对应关系 通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机 检测技术举例2－时钟偏移检测 优点 非常准确地判断出是否为共享上网用户 能够较准确的判断出共享上网主机数 缺陷 需要复杂的计算方法进行处理分析 需要一段时间的观察（建议两天以上） 检测技术举例3－应用特征检测 HTTP包头 HTTP报头中User-Agent字段 不同操作系统、不同IE版本、不同补丁的User-Agent字段不同 检测技术举例3－应用特征检测 优点 能够实时判断出是否为共享上网用户 完全被动监听，不发送探测信息 对分时上网的共享用户同样有效 缺陷 如果用户安装多操作系统，会产生误报 如果多台主机克隆安装，会产生漏报 其他检测技术 运营级别的控制技术 检测技术模型 控制技术 灵活的控制策略 多维的控制策略 干扰手段 推送web页警告 干扰HTTP 干扰TCP 干扰频度 全部 1天中的某个时间段 1周中的某几天 干扰强度 全部 部分 随机 多个干扰策略模板 逐用户可定义个性干扰策略 系统提供一套默认策略 实时用户查询 黑白灰名单管理 实时流量观测 实时信息统计 整点信息统计 指定时间段统计 月度报表 系统组成 网络部署 华为SIG优势 技术优势 高效算法保证监控有效性 提供过载保护，稳定性高 单台设备设计规模10万在线用户容量 产品优势 电信级硬件平台 实时的检测内容 详尽的统计信息 丰富的干扰控制措施 服务优势 持续跟踪新技术和新协议，提供升级解决方案 强大的研发能力，保证客户新需求短时间实现 良好的支持与服务能力 华为安全免疫网关（SIG）之 共享接入监控解决方案 2005年12月 共享接入现状与危害 共享接入监控技术分析 华为SIG 共享接入监控解决方案 CONTENTS IP网络 帐号盗用 服务器群 黑网吧 NAT上网 地址盗用 ① ② ③ ④ ⑤ BAS RADIUS 分时使用 私接用户 其中69个为黑网吧，1100个为私帐公用的企业用户 用户流失 大量非法接入现象导致合法用户权益受侵害,使合法用户不信赖运营商，销户停止业务 合法用户效仿非法接入者, 拉取其他潜在用户来增加自己的利益 运营收入减少，ARPU值降低 运营商无法收取非法接入用户的网络使用费，整体收入减少 运营成本增加 无成本的非法接入用户，必然滥用网络，加大城域网负荷 运营商对前期对网络建设费用的投入无法得到及时回收,表现为高投入低产出 路越修越宽收入却没按比例增加？ 假设：一个5万宽带用户的城域网，其中15%，即7500个非法接入用户 每年的保值收入达￥1080万 ￥30万/月 ￥60万/月 保值收入 6000个 1500个 非法接入数 ￥50/月 ￥400/月 资费 个人用户 企业用户 非法接入监控系统，除了给电信运营商增加收益之外，同时还能阻止更多的人效仿非法接入，避免给电信运营商造成更大宽带收入流失 共享接入现状与危害 共享接入监控技术分析 华为SIG 共享接入监控解决方案 CONTENTS 共享接入应用层检测技术 主要 ID轨迹 时钟偏移 …… 辅助（不探测） MSN/Windows Update 流量/连接数 TTL检测 …… 辅助2（需探测） SNMP扫描 MAC地址 …… 探测扫描型检测很容易被规避，而且对网络有影响 综合模型才能准确检测接入共享行为 MSN 同一时间一般只能登录一个MSN帐号 Windows Update 信息 windows会不定时发送Update信息 需要大规模部署在接入层 由于操作系统处理不同，即使TTL不一致，也未必是共享上网用户 对Proxy无效 具有一定的参考意义 经过一个NAT设备后，TTL会减一，如果某个用户TTL与正常的不一致，则认为是共享上网用户 TTL检测 极易通过修改Modem配置来躲避 需要扫描用户主机，招致用户察觉和不满 在特定情况下检测比较准确，如用户侧启用SNMP服务 扫描主机或ADSL Modem的SNMP信息，提取主机数 SNMP扫描检测基本已被淘汰