SIG采用业界流行的ID轨迹算法、时钟偏移算法,结合多种应用层特征检测技术,可以准确定位通过NAT、PROXY技术实现共享接入的用户。通过干扰TCP和HTTP连接,使得私接用户不能进行正常的上网活动。并可在干扰的同时发送告警页面,避免用户投诉。
这是 SIG系统 功能中的一项。 以下内容转自 思科技术网 --------------------------------
由于检测和防检查技术的对抗升级,现在可能增加了检测的内容:
一、通过行为统计:
1. 在三秒内同一IP对两个以上的网站进行Request,将此IP定位透过NAT进行传输。
2. 在两秒内,若同一IP对同一个网站,进行两次以上的Request,将此IP定位透过NAT进行传输。
二、深度检测数据包内容:
1.检测并发连接数量
2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享.
3.更多的检测方法
新出现的检测技术
随着市场发展,现在也有城市热点等公司提供了新的技术和方案,常用的技术有某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。
方法之一 ID(identification)轨迹检测法:
对来自某个源IP地址的TCP连接中,IP头中的16位标识(identification),对于某个windows用户,其 identification随着用户发送的IP包的数量增加而逐步增加,如果在一段时间后,发现某个源IP地址,如图所示,有三段 identification在连续变化,则说明该“黑户”此时最少有三个用户在同时使用宽带。
方法之二时钟偏移检测法:
不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系;不同的主机发送报文的频率因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机。
方法之三应用特征检测法:
数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同。因此通过分析不同的HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号,据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息,也可以据此计算主机数。
通过以上三种方法就能很准确地非法接入的宽带用户地主机数,无论其采用共用NAT、共用Proxy、或分时段共用帐号上网(包括ADSL和LAN上网两种模式),该非法接入监控系统,都能得到IP地址与所携带用户数的准确对应关系,借助于Radius论证报文,再将它转换为用户帐号与所携带用户数的对应关系。当然,由于本方案采用了多个指标来综合分析,为排除干扰提高准确性,并不实时提供这种对应关系,而是采用按天/周/月提供统计报表的形式,将结果提交给运营商的相关部门。 我是湖南湘潭的,这个月也开始封了,只能QQ,不能网页
页:
1
[2]