讓非法接入不再存在

　　作為網絡層的非法盜用，一般可以詳細區(qū)分為下面四類：1、針對IP地址盜用的解決方案；2、針對帳號盜用的解決方案；3、針對帳號分時復用的解決方案；4、針對HUB私接的解決方案。

　　這幾類的非法接入現狀從網絡層就可以著手解決，而基于現有設備，只要啟用其配置就可以實現。

　　針對IP地址盜用的解決方案：

　　表現情況： 非法用戶手工配置合法用戶的IP地址仿冒上網（靜態(tài)用戶或PPP撥號用戶）。

　　危害損失：合法用戶投訴，合法用戶不上網時網絡資源盜用。

　　解決方法：在BAS設備上進行MAC+IP+VLAN/PVC的綁定。

　　針對帳號盜用的解決方案：

　　表現情況：非法用戶竊取合法用戶的帳號后上網（經過認證的用戶：PPP撥號或WEB認證）。

　　危害損失：合法用戶資費損失（計時），網絡資源損失（包月）。

　　解決方法：進行AAA認證時由BAS設備向Radius Server上報“帳號”的同時上報用戶端信息（如VLAN/PVC位置信息或MAC地址信息），Radius Server再根據“帳號”和“VLAN/PVC或MAC”信息的對應關系判斷是否為其認證通過，授權上網。

　　針對帳號分時復用的解決方案：

　　表現情況：一人申請帳號，在ADSL modem下面自掛HUB進行多戶相連，多戶分時共用一個帳號進行撥號上網。

　　危害損失：運營商網絡潛在用戶損失。

　　解決方法：進行AAA認證時由BAS設備向Radius Server上報“帳號”的同時上報用戶端信息（MAC地址信息），Radius Server再根據“帳號”和“MAC”信息的對應關系判斷是否為其認證通過，授權上網。

　　針對HUB私接的解決方案：

　　表現情況：一人申請開通一條ADSL鏈路，在ADSL modem下面自掛HUB進行多戶相連，多戶使用多帳號同時進行撥號上網。

　　危害損失：運營商網絡潛在用戶損失，個別地點網絡資源消耗。

　　解決方法：每個用戶一個VLAN或一條PVC，在BAS設備該VLAN/PVC下限制同時接入的用戶數為1，這樣多余的用戶不能同時接入。

　　二、基于應用層控制解決方案：

　　針對全Proxy代理和“黑網吧”的解決方案：

　　表現情況：一人申請開通一條ADSL鏈路，在ADSL modem下面使用自己電腦雙網卡＋Proxy代理軟件代理多戶使用自己的機器進行上網，更進一步的是私設網吧進行贏利性行為

　　危害損失：運營商網絡潛在用戶損失，網絡資源（帶寬）消耗，正常網吧運營業(yè)務開展

　　基于現有設備配置解決方案：

　　這種情況相對比較復雜：（1）如果是“黑網吧”，它要代理多臺設備同時上網，其出口需要與外界同時建立的四層連接數必然很多（不然滿足不了網吧業(yè)務的需求），這時我們可以在BAS上限制其四層連接數來杜絕該問題；（2）如果是個別用戶采用這種方式僅僅代理一兩臺電腦同時上網（自己的鄰居）就不好通過這種方式控制了（連接數區(qū)別不明顯），但此時也有缺陷，就是做代理的機器必須一直開機否則其他機器無法上網。因此，用BAS配置控制用戶的連接數是不準確，原因是此類非法接入特征IP識別超出了BAS本身設計功能的范圍，高層識別需要專業(yè)的非法接入監(jiān)控系統(tǒng)識別。

　　基于應用監(jiān)控系統(tǒng)解決方案：

　　某些公司采取的技術有軌跡檢測法、時鐘偏移檢測法和應用特征檢測法。下面就這些技術做詳細的介紹。

　　方法之一 ID（identification）軌跡檢測法：

　　對來自某個源IP地址的TCP連接中，IP頭中的16位標識（identification），對于某個windows用戶，其identification隨著用戶發(fā)送的IP包的數量增加而逐步增加，如果在一段時間后，發(fā)現某個源IP地址，如圖所示，有三段identification在連續(xù)變化，則說明該“黑戶”此時最少有三個用戶在同時使用寬帶。

　　方法之二時鐘偏移檢測法：

不同的主機物理時鐘偏移不同，網絡協議棧時鐘與物理時鐘存在對應關系；不同的主機發(fā)送報文的頻率因此與時鐘存在一定統(tǒng)計對應關系；通過特定的頻譜分析算法，發(fā)現不同的網絡時鐘偏移來確定不同的主機。

　　方法之三應用特征檢測法：

　　數據報文中的HTTP報頭中的User－agent字段因操作系統(tǒng)版本、IE版本和布丁的不同而不同，如圖。因此通過分析不同的HTTP報頭數而確定主機數。

　　另外對于一臺主機同一時間只能登錄一個MSN帳號，據此分析可判斷主機數。

　　Windows update 報文里也包含一些操作系統(tǒng)版本信息，也可以據此計算主機數。

　　通過以上三種方法就能很準確地非法接入的寬帶用戶地主機數，無論其采用共用NAT、共用Proxy、或分時段共用帳號上網（包括ADSL和LAN上網兩種模式），該非法接入監(jiān)控系統(tǒng)，都能得到IP地址與所攜帶用戶數的準確對應關系，借助于Radius論證報文，再將它轉換為用戶帳號與所攜帶用戶數的對應關系。當然，由于本方案采用了多個指標來綜合分析，為排除干擾提高準確性，并不實時提供這種對應關系，而是采用按天/周/月提供統(tǒng)計報表的形式，將結果提交給運營商的相關部門。

　　三、基于客戶端與接入服務器共同作用的防非法接入機制：

　　通過接入服務器和登錄客戶端的共同作用，來實現防非法接入的功能。可以實現以下功能：1、防止基于Proxy的代理服務器；2、防止基于Nat的代理服務器；3、防止通過修改IP和Mac地址非法接入。

　　而且能夠克服之前提到的防非法接入技術的不足：1、無需時間積累，設備安裝后即時生效；2、檢測與控制同時實現，檢測到非法接入用戶就馬上能夠屏蔽；3、能夠區(qū)分合法用戶和非法用戶，合法用戶使用正常，非法用戶不能使用；4、可以配置用戶策略，某些用戶允許代理，某些用戶不允許代理，可以做到先通知用戶，循序漸進，做到分批割接，平穩(wěn)過渡，減少投訴。

　　實現方法：

　　實現的原理類似于VLAN技術，通過客戶端對合法用戶數據包動態(tài)地增加一個識別標簽，再由網關對這些數據包標識去掉，轉發(fā)到上聯端口。而非法的用戶，由于數據包沒有合法的標簽，被網關過濾掉。不僅能夠對內網用戶進行很好地防代理控制，又不影響局域網和城域網的內網服務器和外部Internet服務器的正常通信。

城市熱點公司供稿　CTI論壇編輯