论文部分内容阅读
摘要:本文对目前用户ADSL宽带共享接入方法入手,研究各种接入方法和目前宽带共享检测控制技术,分析各种检测技术的特点,提出几种新的检测方法,通过分析用户数据包,判断用户宽带使用情况,通过该方法能够有效地掌握用户宽带使用情况,维护运营商的利益。
关键词:接入;检测;共享
1 概述
随着计算机技术的快速进步,网络日益成为人们日常生活的一部分。然而,在网络普及的过程中,出现了这样一个现象:一些用户为了节省宽带接入费用,利用TCP/IP的一些特性,在自己的电脑上安装代理服务器或者网络地址转换等软件,使得多个住户可以利用同一账号上网,甚至进行企业办公、私自架设网吧等,给运营商造成直接经济损失。这种现象在校园网中非常普遍,在部分小区中也开始出现并且迅速蔓延。通过调查分析,目前,用户利用一条宽带进行共享的方式有以下几种:
(1)通过接入专线进行“地下运营”,既申请一条宽带,在接入宽带的计算机上安装代理软件或路由器进行网络共享。
(2)利用开放的无线网络,目前,无线网络日益流行,但潜在的安全问题也日渐呈现,往往一些用户有意或无意开放无线网络,部分用户可以通过这种开放的无线网络进行接入。
(3)非法用户盗用合法用户的MAC地址上网。
(4)利用拨号网络介入一个合法网络端口串接非法计算机。
2 宽带共享检测技术研究
针对此现象,我们通常可以在接入设备口对用户数据包进行检查,并限制用户这种恶意偷逃上网费用的行为。目前已经有了一些解决办法,但这些方法都有各自的缺点。
(1)检查同一IP地址的数据包中是否有不同的MAC地址,如果是则判定用户共享上网缺点:用户如果接路由器拨号上网,接入设备接口检测到只有1个MAC地址(路由器WAN口MAC地址)上网,无法正确判断该用户是否合法上网。
(2)通过SNMP(简单网络管理协议)发现多机共享上网。有些路由器和ADSL猫内置SNMP服务,通过相应的工具可以查看用户有没有共享带宽。其缺点是当路由器禁止SNMP使用161端口或使用不带SNMP功能的路由器的情况下,运营商不能检测到用户的共享情况。
(3)检测并发的端口数,并发端口多于设定数判定为共享。其缺点是单用户正常上网也会受到影响。因为当用户在很短时间内刷新几次页面也可能导致误判,而且这种方式还对网络利用率有很大影响。
(4)通过一些软件从共享的计算机中探测到共享的信息来检测。其缺点是当用户的PC安装防火墙后,会阻止其他设备探测本机信息,所以这种方法也并非很有效。
(5)使用VLAN隔离。其缺点是把所有的简单交换机全部换成带TAG VLAN的交换机会使布线成本大幅度提高,而且配置起来也不是很方便,即使这样也不能根本杜绝宽带共享的现象。
3 新检测技术
目前,一般都是用TCP/IP协议构建的互联网。一共有4层结构,在设备的接入口能获取的只能是第2层至第4层,其中,第4层(应用层)有千差万别的各种应用,很难具体分析,最多只能分析一些特殊的应用。因此,本文主要分析IP(第2层)和TCP(第3层)的包头,提出3个新的方法:
(1)ID(idenrification)轨迹检测法
首先,看一下IP包头的具体内容。
版本:IP协议的版本,一般都是4。
首部长度:报头首部的长度,4Byte的整倍数。
服务类型(TOS):每个机器都一样,用于表示优先级。
总长度:整个报文首部和数据的长度。
标识:数据报的标识用来标识数据长度超过MTU分片时进行重新组装数据的位置。这部分可以用于分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移:长报文分片后在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议:携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4Byte源ip地址。
目的地址:4Byte目的地址。
从IP报头的组成来看,可能携带内网信息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号是没有变化的,而每台机器又是随机从一个数开始有规律地单调增加,所以根据这个ID的不连续来判断机器的数量。
(2)时钟偏移检测法
从TCP头里面抓包分析来看,可以发现Windows将每个TCP的包头中的可选扩展段用来标识每台机器的时间戳,因为每台机器的时间不会都调得如此精准,所以每个机器发出的时间戳的误差不会完全相同,利用这个时间戳也可以大致判断内网的机器数量。
(3)应用特征检测方法
一般数据报文中的HTTP报头中的User-agent字段会因操作系统版本、IE版本和补丁的不同而不同。因此,可以通过分析不同的HTTP报头数确定主机数,也可以根据用户同一时间内只会登陆一个MSN账号或者QQ号,大致判断所接的主机数,还可以根据Windows update报文中包含的一些操作系统版本信息进行检测。
通过以上3种方法能比较准确地判断非法接入的宽带用户数,无论用户采用公用NAT、公用Proxy或分时段公用账号上网(包括ADSL和固定IP上网2种模式)这些方式,运营商都能得到该线路下所携带的用户数。
4 结束语
通过以上的检测技术能对非法用户带宽共享的行为进行有效限制,这样可以保证运营商的合法收入,运营商对以后网络的运营也会有更大的投入,提高合法用户的正常网络使用环境,同时也能维护国内的网络的正常使用秩序。
參考文献
[1]满昌勇.计算机网络基础.清华大学出版社,2010,2.
[2]刘有信.宽带接入网络工程[M].中国广播电视出版社,2003,1.
[3]宋岩.ADSL宽带接入技术[J].西安文理学院学报,2006,1.
关键词:接入;检测;共享
1 概述
随着计算机技术的快速进步,网络日益成为人们日常生活的一部分。然而,在网络普及的过程中,出现了这样一个现象:一些用户为了节省宽带接入费用,利用TCP/IP的一些特性,在自己的电脑上安装代理服务器或者网络地址转换等软件,使得多个住户可以利用同一账号上网,甚至进行企业办公、私自架设网吧等,给运营商造成直接经济损失。这种现象在校园网中非常普遍,在部分小区中也开始出现并且迅速蔓延。通过调查分析,目前,用户利用一条宽带进行共享的方式有以下几种:
(1)通过接入专线进行“地下运营”,既申请一条宽带,在接入宽带的计算机上安装代理软件或路由器进行网络共享。
(2)利用开放的无线网络,目前,无线网络日益流行,但潜在的安全问题也日渐呈现,往往一些用户有意或无意开放无线网络,部分用户可以通过这种开放的无线网络进行接入。
(3)非法用户盗用合法用户的MAC地址上网。
(4)利用拨号网络介入一个合法网络端口串接非法计算机。
2 宽带共享检测技术研究
针对此现象,我们通常可以在接入设备口对用户数据包进行检查,并限制用户这种恶意偷逃上网费用的行为。目前已经有了一些解决办法,但这些方法都有各自的缺点。
(1)检查同一IP地址的数据包中是否有不同的MAC地址,如果是则判定用户共享上网缺点:用户如果接路由器拨号上网,接入设备接口检测到只有1个MAC地址(路由器WAN口MAC地址)上网,无法正确判断该用户是否合法上网。
(2)通过SNMP(简单网络管理协议)发现多机共享上网。有些路由器和ADSL猫内置SNMP服务,通过相应的工具可以查看用户有没有共享带宽。其缺点是当路由器禁止SNMP使用161端口或使用不带SNMP功能的路由器的情况下,运营商不能检测到用户的共享情况。
(3)检测并发的端口数,并发端口多于设定数判定为共享。其缺点是单用户正常上网也会受到影响。因为当用户在很短时间内刷新几次页面也可能导致误判,而且这种方式还对网络利用率有很大影响。
(4)通过一些软件从共享的计算机中探测到共享的信息来检测。其缺点是当用户的PC安装防火墙后,会阻止其他设备探测本机信息,所以这种方法也并非很有效。
(5)使用VLAN隔离。其缺点是把所有的简单交换机全部换成带TAG VLAN的交换机会使布线成本大幅度提高,而且配置起来也不是很方便,即使这样也不能根本杜绝宽带共享的现象。
3 新检测技术
目前,一般都是用TCP/IP协议构建的互联网。一共有4层结构,在设备的接入口能获取的只能是第2层至第4层,其中,第4层(应用层)有千差万别的各种应用,很难具体分析,最多只能分析一些特殊的应用。因此,本文主要分析IP(第2层)和TCP(第3层)的包头,提出3个新的方法:
(1)ID(idenrification)轨迹检测法
首先,看一下IP包头的具体内容。
版本:IP协议的版本,一般都是4。
首部长度:报头首部的长度,4Byte的整倍数。
服务类型(TOS):每个机器都一样,用于表示优先级。
总长度:整个报文首部和数据的长度。
标识:数据报的标识用来标识数据长度超过MTU分片时进行重新组装数据的位置。这部分可以用于分析共享上网的特征。
标志:有MF和DF分别标志分片结束和不能分片。
片偏移:长报文分片后在原报文中的位置。
生存时间(TTL):数据报在网络中的寿命。
协议:携带数据使用的协议。
首部校验和:报文首部的校验信息。
源地址:4Byte源ip地址。
目的地址:4Byte目的地址。
从IP报头的组成来看,可能携带内网信息的就是“标识(IPID)”,在每一台内网机器作地址转换时,IPID的序号是没有变化的,而每台机器又是随机从一个数开始有规律地单调增加,所以根据这个ID的不连续来判断机器的数量。
(2)时钟偏移检测法
从TCP头里面抓包分析来看,可以发现Windows将每个TCP的包头中的可选扩展段用来标识每台机器的时间戳,因为每台机器的时间不会都调得如此精准,所以每个机器发出的时间戳的误差不会完全相同,利用这个时间戳也可以大致判断内网的机器数量。
(3)应用特征检测方法
一般数据报文中的HTTP报头中的User-agent字段会因操作系统版本、IE版本和补丁的不同而不同。因此,可以通过分析不同的HTTP报头数确定主机数,也可以根据用户同一时间内只会登陆一个MSN账号或者QQ号,大致判断所接的主机数,还可以根据Windows update报文中包含的一些操作系统版本信息进行检测。
通过以上3种方法能比较准确地判断非法接入的宽带用户数,无论用户采用公用NAT、公用Proxy或分时段公用账号上网(包括ADSL和固定IP上网2种模式)这些方式,运营商都能得到该线路下所携带的用户数。
4 结束语
通过以上的检测技术能对非法用户带宽共享的行为进行有效限制,这样可以保证运营商的合法收入,运营商对以后网络的运营也会有更大的投入,提高合法用户的正常网络使用环境,同时也能维护国内的网络的正常使用秩序。
參考文献
[1]满昌勇.计算机网络基础.清华大学出版社,2010,2.
[2]刘有信.宽带接入网络工程[M].中国广播电视出版社,2003,1.
[3]宋岩.ADSL宽带接入技术[J].西安文理学院学报,2006,1.