防共享需求背景
- 共享上网即有多个终端共享源地址上网
- 需求背景
- 私接WiFi容易暴露内网,避免共享接入的用户绕开企业上网权限控制和上网行为监控
- 运营商承建高校的校园网,寝室内无线共享网络会影响运营商宽带开户率和收益
防共享识别和控制技术
- 共享上网情景
- 通过路由器配置NAT代理,实现多台PC通过路由器共享上网
- PC通过代理软件代理到其他PC进行共享上网
- PC通过360WiFi等共享热点的软件共享上网
传统防共享技术
- ID轨迹检测
- 只针对Windows主机,通过Windows网路协议栈实现时,ID字段的值会随着发送IP报文数的增加而增加
- PC开机后,会随机产生一个ID值,之后PC会规律性增加这个ID值,一般不同的主机ID的初始值会不同
- 通过监听ID字段的值,就可以发现是否存在共享上网
- 优点
- 能够准确的判断是否为共享上网用户
- 可以判断出在线共享上的网络主机数
- 完全是被动监听,不需要发送探测信息
- 缺点
- 需要一段时间的观察,一般两天以上。因为需要观察的时间长,而用户上网时间不会持续两天
- 对于分时上网和Proxy的检测效果不明显。因为错开上网时间段,就无法检测出不同的ID值
- DHCP情况下效果差。因为租约到期后,IP地址可能会发生改变
- 始终偏移检测
- 不同的主机物理始终偏移不同,网络协议栈时钟与物理时钟存在对应关系
- 不同主机发送报文频率与时钟存在统计对应关系
- 可以通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机
- 优点
- 可以以准确的判断出是否为共享上网用户
- 可以准确的判断出共享上网主机数
- 缺点
- 需要复杂的计算方法进行处理分析,消耗资源
- 需要一段时间的观察,一般两天以上
- DHCP情况下效果差
- 其他传统防共享技术
深信服DPI检测技术
PC与PC之间的检测技术
- QQ检测防共享技术
- QQ在登陆时,发出的数据包中会包含自身的真实IP地址,经过网关设备进行NAT转换后,不会改变内层数据信息,AC在收到数据包后,进行检测,发现数据包中的源IP不同,则可以判定存在共享上网行为
- 深信服字体检测技术
- 在共享的PC访问HTTP网站,播放视频时(需要安装Flash插件),AC请求篡改PC请求,使PC上报系统字体信息到AC,如果共享的PC使用不同的字体,则可以识别出共享上网行为
- 深信服辅助检测技术
- URL检测
- 通过分析常用应用软件的数据包,可以发现一些HTTP请求中,URL会有一些特征串,这些特征串会有一些信息是与PC强关联的。即同一台PC发出的特征信息串是相同的,不同的PC发出的是不同的。AC则可以根据不同的特征串数量得出共享上网的PC的数量
- 微信特征ID 检测
- 通过分析微信客户端在发送消息时,在数据包固定的偏移位置,同一个微信客户端的偏移位置是相同的,不同的客户端偏移位置不同。AC则可以根据提取偏移位置的数量,得到共享上网设备的数量
移动端与移动端之间的检测技术
- URL检测技术
- 应用规则检测技术
- 通过设备内置规则库,可以从应用中分析出不同的移动终端
- UA检测技术
- User-Agent中包含有浏览器的标识信息(操作系统、加密等级、浏览器语言等信息),可以从这些信息中识别不同的终端
PC与移动端的检测技术
移动终端管理需求背景
- 私接WiFi会给内网带来隐患
- 廉价的WiFi工具会降低私接WiFi难度和成本
- 蹭网卡的流行使得违规违纪行为难以被发现和溯源
移动终端识别和控制技术
- 排除信任IP和用户
- 对于合法的AP接入,默认放行,而对于非法接入的AP或者用户,则需要进行管控
- 管理非法接入的移动终端
- 对于非法接入的移动终端,可以配置拒绝此移动终端设备,禁止上网,并且经过该IP的所有访问都会被拒绝
- 识别移动终端
- 对于一下三种场景不支持识别
- 手机通过USB数据线进行上网,共享PC的网络
- PC中安装了虚拟机,AC会检测到不同的操作系统
- 电脑上安装了移动终端模拟器,AC会检测到PC和移动终端的两种流量数据包
- 移动终端发现趋势
- 针对最近7、30天,AC对每天发现的移动终端数量做趋势统计,方便管理员发现管理的有效性
【AC 终端识别和控制实验】
以上内容均属原创,如有不详或错误,敬请指出。
本文链接: http://t.csdn.cn/qf7DG