引言：隨著移動(dòng)智能終端和WiFi個(gè)人AP的普及,網(wǎng)絡(luò)在給人們帶來方便的同時(shí)，也給網(wǎng)絡(luò)的管理帶來了問題，并且近年來隨著國(guó)家對(duì)信息安全問題的日益關(guān)注，防共享設(shè)備的需求日益突顯。

防共享檢測(cè)技術(shù)介紹

目前市面上有很多的防共享設(shè)備，其主要檢測(cè)原理大約如下：

1.Flash cookie技術(shù)原理

Flash Cookie是 由FlashPlayer控制的客戶端共享存儲(chǔ)技術(shù)，它具備以下特點(diǎn)：類 似 HTTPCookie，F(xiàn)lashCookie利 用SharedObject類實(shí)現(xiàn)本地存儲(chǔ)信息，SharedObject類用于在用戶計(jì)算機(jī)上讀取和存儲(chǔ)有限的數(shù)據(jù)量，共享對(duì)象提供永久貯存在用戶計(jì)算機(jī)上的對(duì)象之間的實(shí)時(shí)數(shù)據(jù)共享；本地共享對(duì)象是作為一些單獨(dú)的文件來存儲(chǔ)的，它們的文件擴(kuò)展名為.sol。默認(rèn)狀態(tài)下，它們的尺寸一般不超過100KB，并且不會(huì)過期，這一點(diǎn)與傳統(tǒng)的HTTP Cookie不同（4KB）； 本地共享對(duì)象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。這使得本地共享對(duì)象能夠長(zhǎng)時(shí)間的保留在本地系統(tǒng)上。

由 于FlashCookie具有可操作性、比普通HTTPCookies有著更大存儲(chǔ)空間、更好的隱蔽性等優(yōu)點(diǎn)。加上現(xiàn)在FlashPlayer已經(jīng)成為互聯(lián)網(wǎng)用戶標(biāo)配之一，不存在兼容性的問題，因此它非常適合用來保護(hù)客戶端數(shù)據(jù)、收集用戶行為等。當(dāng)用戶使用IE訪問某個(gè)flash，防共享設(shè)備會(huì)預(yù)先判斷瀏覽器是否存在flash cookie值，如果沒有將會(huì)種植 flash cookie 值為 a，如果存在flash cookie值則進(jìn)行記錄；用戶使用不同瀏覽器打開訪問網(wǎng)站時(shí)，flash cookie值都會(huì)進(jìn)行共享，因此不會(huì)引起誤判；當(dāng)緩沖區(qū)中發(fā)現(xiàn)存在兩個(gè)不同的flash cookie值時(shí)，則將被判斷為代理共享上網(wǎng)，從而對(duì)其進(jìn)行封堵并進(jìn)行定向頁面提醒。

2.多應(yīng)用特征檢測(cè)

設(shè)備中內(nèi)置防代理軟件規(guī)則庫，對(duì)最新的熱門軟件唯一特征庫進(jìn)行識(shí)別。

終端使用這些應(yīng)用后，在使用該軟件或者該軟件進(jìn)行升級(jí)更新時(shí)，設(shè)備在網(wǎng)絡(luò)出口處都能檢測(cè)到來自于該IP/用戶的應(yīng)用特征。若發(fā)現(xiàn)有同一個(gè)用戶賬號(hào)下有兩個(gè)或超過兩個(gè)的IP/用戶接入，則可判斷其為共享上網(wǎng)的行為，并自動(dòng)檢測(cè)到有兩個(gè)或超過兩個(gè)終端的接入數(shù)量。

3.時(shí)間戳算法檢測(cè)

對(duì)付病毒最好的辦法就是使用殺毒軟件，在Windows中可選擇的殺軟種類有很多，其中比較著名的殺毒軟件有卡巴斯基、F-SECURE、MACFEE、諾頓、趨勢(shì)科技、熊貓、NOD32、AVG以及F-PORT等等。安裝配置和使用都比較方便。

根據(jù)RFC791-IP包格式規(guī)范，IP包擴(kuò)展屬性中有2字節(jié)的 identification （簡(jiǎn)稱 為 IP_ID），Windows用戶的IP_ID隨著用戶發(fā)送的IP包數(shù)量而線性增加（無論IP包發(fā)送到何處，包括發(fā)給 自 己）Windows 95/98，每發(fā)一個(gè)IP包，IP_ID增加256；Windows 2000/NT/Windows XP/Windows 7/Windows 8，每發(fā)一個(gè)IP包，IP_ID則增加1，如圖1所示。

根據(jù)以上特性，同一主機(jī)（使用 Windows操作系統(tǒng)）ID字段隨著用戶發(fā)送IP數(shù)據(jù)報(bào)文而線性增加（每包增加1或256），不同的主機(jī)的IP報(bào)文中的ID字段隨著用戶發(fā)送數(shù)據(jù)報(bào)文而形成各自的軌跡。共享接入用戶的上網(wǎng)請(qǐng)求時(shí)間以及對(duì)應(yīng)主機(jī)的發(fā)包頻率是不可能完全一致的，所以可以利用該特性做共享接入行為的檢測(cè)以及同時(shí)在線主機(jī)數(shù)的精確判定。

假設(shè)某時(shí)刻、來自某個(gè)源IP在一段時(shí)間內(nèi)數(shù)據(jù)報(bào)文中ID字段形成三條直線，可初步分析該IP下有三臺(tái)主機(jī)同時(shí)上網(wǎng)。

4.利用User Agent檢測(cè)

圖1 IP包格式

圖2 某大學(xué)組網(wǎng)圖

User-Agent是HTTP協(xié)議中的一部分，屬于頭域的組成部分，User Agent也簡(jiǎn)稱UA。較為普通的一點(diǎn)來說，是一種向訪問網(wǎng)站提供你所使用的瀏覽器類型、操作系統(tǒng)及版本、CPU類型、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等信息的標(biāo)識(shí)。UA字符串在每次瀏覽器 HTTP請(qǐng)求時(shí)發(fā)送到服務(wù)器。利用ser Agent可以用來識(shí)別瀏覽器名稱、版本、引擎以及操作系統(tǒng)等信息的內(nèi)容。

以上4種檢測(cè)方法是業(yè)界較為新的檢測(cè)模式，當(dāng)然好的防共享設(shè)備肯定是結(jié)合多項(xiàng)檢測(cè)技術(shù)如ID軌跡檢測(cè)、流量/連接數(shù)統(tǒng)計(jì)或MAC地址檢測(cè)等這些傳統(tǒng)的辦法一起使用，以防止誤判。

防共享設(shè)備的部署

以校園網(wǎng)建設(shè)為例，某學(xué)校目前總共1萬人左右，因?yàn)榇舜尾渴鸱拦蚕碇饕槍?duì)學(xué)生上網(wǎng)，所以教學(xué)樓、老師宿舍暫時(shí)不部署。學(xué)生宿舍樓每層都一個(gè)接入交換機(jī)，在通過綜合布線到學(xué)生宿舍，而在每棟1樓進(jìn)行二次匯聚后上聯(lián)到核心交換機(jī)，此次部署的防共享設(shè)備主要在核心匯聚交換機(jī)和BRAS之間，具體主網(wǎng)見圖2。

在部署之前，該大學(xué)只有繳費(fèi)寬帶用戶數(shù)約為2000左右，占比不到20%，一拖N給校園網(wǎng)的運(yùn)行帶來了如下問題：用戶投訴增多，主要反映網(wǎng)速慢，原因?qū)W生共享上網(wǎng)、P2P等多線程下載造成，很多學(xué)生自己架設(shè)的無線網(wǎng)絡(luò)被蹭網(wǎng)都不知道；用戶流失嚴(yán)重，為了給學(xué)生提供好的良好的寬帶體驗(yàn)，每年學(xué)校在設(shè)備維護(hù)、更新?lián)Q代以及帶寬出口擴(kuò)容等方面需要投入大量的資金，而一拖N造成用戶流失嚴(yán)重，無法實(shí)現(xiàn)“以網(wǎng)養(yǎng)網(wǎng)“的目的；一些共享的網(wǎng)絡(luò)甚至?xí)槐I用進(jìn)行一些網(wǎng)上違法行為，從而造成寬帶報(bào)裝學(xué)生需要承擔(dān)相應(yīng)的法律責(zé)任，卻無法追溯到真正的違法者和保護(hù)合法的使用者的權(quán)益。另外學(xué)校也要承擔(dān)相應(yīng)的連帶法律責(zé)任。

部署之后，通過防共享設(shè)備后臺(tái)管理程序可以了解到：

1.經(jīng)過近兩周的采集，學(xué)校最高峰時(shí)有6523個(gè)用戶接入校園網(wǎng)，如圖3所示，可見在校園1拖N現(xiàn)象比較嚴(yán)重，造成大量學(xué)生未交費(fèi)使用校園網(wǎng)。

2.一周的上網(wǎng)應(yīng)用流量排行，通過應(yīng)用流量的排名分析，Web流媒體占比最高，達(dá)到26.85%，接下來為HTTP的網(wǎng)站訪問占比達(dá)到29.83%，P2P流量：16.22%，所以原先認(rèn)為學(xué)校流量占比最高為P2P下載的猜想是錯(cuò)的，為了分流Web流媒體，提高學(xué)生業(yè)余時(shí)間的在線視頻的觀看感知和節(jié)約出口帶寬，在校園網(wǎng)內(nèi)建設(shè)VOD視頻點(diǎn)播系統(tǒng)還是有必要的。具體流量排名見圖4所示。

圖3 捕獲終端數(shù)

圖4 一周用戶流量分布

圖5 上網(wǎng)行為日志

圖6 帶寬分配

圖7 防共享接入設(shè)置

3.根據(jù)國(guó)家對(duì)于互聯(lián)網(wǎng)信息安全要求的規(guī)定，防共享系統(tǒng)可以對(duì)學(xué)生上網(wǎng)訪問行為進(jìn)行記錄，供日后審計(jì)溯源用，如圖5所示。

4.帶寬智能管控：可以根據(jù)不同的業(yè)務(wù)應(yīng)用、路由出口、用戶名和時(shí)間段進(jìn)行出口帶寬的靈活設(shè)置，從而保證學(xué)校師生的互聯(lián)網(wǎng)使用達(dá)到可控可管的地步，如圖6所示。

5.防共享設(shè)備可以對(duì)共享接入的配置進(jìn)行靈活設(shè)置，如可以根據(jù)PC、移動(dòng)終端達(dá)到多少數(shù)量后進(jìn)行啟動(dòng)、凍結(jié)時(shí)長(zhǎng)多久等，如圖7所示。

總結(jié)

通過部署防共享設(shè)備，之前憂慮的問題得到一一解決，并且通過內(nèi)容、賬號(hào)、時(shí)段、日志和出口帶寬等多個(gè)方面來對(duì)網(wǎng)絡(luò)進(jìn)行控制，實(shí)現(xiàn)了校園網(wǎng)絡(luò)可控可管。并且通過防共享設(shè)備實(shí)現(xiàn)了禁止一拖N現(xiàn)象，讓真正的繳費(fèi)者享受高速的網(wǎng)絡(luò)，讓“以網(wǎng)養(yǎng)網(wǎng)”的目標(biāo)得以實(shí)現(xiàn)。希望本文中關(guān)于部署防共享設(shè)備的方法和想法對(duì)在建設(shè)和維護(hù)校園網(wǎng)時(shí)能起到一定作用。