吳淼?龍茂華?李博

摘要：通過TCP/IP協(xié)議的綜合利用，結合客戶端探測以及數(shù)據(jù)分析，可以形成基于用戶終端的接入網絡拓撲信息，以及生成接入終端的特征指紋信息，可將采集的數(shù)據(jù)用于用戶上網行為分析。傳統(tǒng)的用戶上網行為安全審計設備存在實時性差、檢測不準確等問題。本文基于對校園網的拓撲結構以及網絡協(xié)議的特征分析，及針對非法改裝無線路由器的原理分析，提出組合網絡協(xié)議檢測非法路由器的一種技術。通過實驗驗證，此技術能有效解決檢測非法改裝無線路由器的難題，可以應用于校園網用戶上網行為分析領域。

關鍵詞；實名制；網絡拓撲；終端協(xié)同；大數(shù)據(jù)

一、引言

校園網絡實名制上網安全是信息安全管理的重要內容，而校園內存在大量的非法改裝無線路由器，一方面非法改裝無線路由器不符合國家網絡設備安全規(guī)定，另一方面檢測發(fā)現(xiàn)非法改裝無線路由器也存在技術困難，對用戶上網身份無法有效溯源，存在信息安全隱患。本文基于對校園網的拓撲結構以及網絡協(xié)議的特征分析，以及針對非法改裝無線路由器的原理分析，提出組合網絡協(xié)議檢測非法路由器的一種技術，并通過實驗驗證。此技術可有效解決檢測非法改裝無線路由器的難題，可以應用于校園網用戶上網行為分析領域。

通過強加密技術實現(xiàn)客戶端軟件，并通過客戶端軟件撥號后接入校園網絡，可檢測常規(guī)用戶上網行為并保障實名制安全上網。非法改裝無線路由器，通過路由器內篡改網絡協(xié)議（如：IPID偽裝、TTL偽裝、路由跟蹤偽裝等）以及復制終端MAC地址、IP等方式來規(guī)避客戶端軟件的檢測?？蛻舳顺Ｒ?guī)的單項檢測技術無法有效檢測出這種改裝無線路由器，考慮通過網絡拓撲發(fā)現(xiàn)異常行為。由于終端接入的時間具有隨機性、終端連接網絡設備發(fā)生變更，校園拓撲發(fā)生變化，需要綜合多種網絡協(xié)議，構建校園網絡拓撲信息，并基于采集數(shù)據(jù)進行分析，發(fā)現(xiàn)非法串接改裝無線路由器的行為。

本文主要包括客戶端軟件以及服務端軟件，利用運行在撥號上網終端上的客戶端軟件，主動發(fā)現(xiàn)并采集網絡設備信息，服務端通過匯總分析客戶端采集到的數(shù)據(jù)，形成一份廣泛、詳細、動態(tài)的網絡拓撲信息。服務端利用生成的網絡拓撲信息，結合終端狀態(tài)信息通過終端鄰居設備及孤立結點分析等方法，發(fā)現(xiàn)并定位疑似非法改裝無線路由器。

二、網絡拓撲發(fā)現(xiàn)

終端客戶端從橫向（鄰居發(fā)現(xiàn)）和縱向（路由發(fā)現(xiàn)）兩個方向探測網絡拓撲結構，網絡探測通過負載均衡設置和終端協(xié)同，實現(xiàn)校園網內單臺終端只需少量檢測采集可匯聚形成大規(guī)模終端檢測數(shù)據(jù)。終端將網絡拓撲信息上報到分析服務器，分析服務器將相關數(shù)據(jù)存儲到數(shù)據(jù)庫。分析服務器定期從數(shù)據(jù)庫獲取終端采集到的原始數(shù)據(jù)，進行相應的分析并生成整體的網絡拓撲。校園網拓撲模型如圖1所示，主要由3部分組成：終端、分析服務器和數(shù)據(jù)庫。其中終端中安裝特定撥號客戶端，內置網絡探測功能，用戶必須使用該客戶端撥號才能接入互聯(lián)網；改裝無線路由器上聯(lián)到接入交換機。

（一）鄰居發(fā)現(xiàn)

客戶端使用ARP協(xié)議探測與自身終端接入到同一子網內的鄰居終端設備。進行鄰居發(fā)現(xiàn)探測時排除網關地址，子網廣播地址等特殊IP地址。終端發(fā)送ARP指令探測，發(fā)送指令前先檢查本地ARP緩存，若已存在對應的緩存項則不發(fā)送對應ARP指令。對于移動終端，結合使用UDP隨機發(fā)送數(shù)據(jù)包來刷新ARP緩存，從路由表中檢測有效的網絡鄰居。

（二）路由發(fā)現(xiàn)

客戶端使用TTL、IP Option、SNMP協(xié)議探測與自身終端公網出口路由設備信息。

客戶端隨機選擇TTL、IP Option兩種方法中的一種進行路由發(fā)現(xiàn)探測，探測之前應先進行終端協(xié)同，若已有其它終端使用該方法探測過則放棄本次探測。

TTL：Time to Live，生存時間，表示允許數(shù)據(jù)報保留在internet系統(tǒng)中的最長時間。TTL在通信系統(tǒng)中遞減，當值為0時網絡設備將對應數(shù)據(jù)包丟棄處理。

Options：可用于擴展定義安全擴展，實現(xiàn)特殊用途。選項字段長度可變，可能有零或多個選項。Options 已定義Record Route選項，可用于記錄報文路由。

通過遞增設置TTL的方法，逐層探測鏈路的路由器地址。通過在IP頭中增加Record route options字段內容的方法，讓路由器回填自身地址以達到路由發(fā)現(xiàn)探測的目標。客戶端解析返回的數(shù)據(jù)并形成路由鏈。使用SNMP協(xié)議獲取路由器的設備型號信息，僅需要讀取設備型號信息用于生成網絡拓撲信息。

（三）負載均衡

基于網關IP信息和內網IP信息，對相同子網內IP進行探測，通過地址分組實現(xiàn)探測負載均衡，可實現(xiàn)探測策略的統(tǒng)一調度控制。

對于C類子網，每8個或16個地址分為一組，每個終端每次隨機探測一組。探測之前應先進行終端協(xié)同，若該組已有其它終端探測過則選擇另外一組。

（四）終端協(xié)同

同一子網內的客戶端以協(xié)同、互補的方式進行網絡拓撲探測，避免在同一臺終端上消耗過多的計算能力。每臺終端每次僅探測小段網絡內的設備信息，多臺終端共同組成完整的子網網絡拓撲信息。客戶端支持以UDP多播的方式進行終端協(xié)同，減少數(shù)據(jù)包發(fā)送數(shù)量。

鄰居發(fā)現(xiàn)協(xié)同報文定義：

tag：協(xié)議標識，固定取值為“NBR”（不包含雙引號，大寫字符，ASCII編碼），24bits。

ver：協(xié)議版本號，8bits無符號數(shù)，當前取值：0x01。

code：消息類型，8bits無符號數(shù)，指定當前報文的類型，0x01表示鄰居發(fā)現(xiàn)協(xié)同報文。

prop：IP協(xié)議類型，8bits無符號數(shù)，0x04表示IPv4協(xié)議；0x06表示IPv6協(xié)議。

mask：子網掩碼，8bits無符號數(shù)，以掩碼有效位長度的形式表示，例如：255.255.255.0表示為24（0x18）。

group：分組ID，8bits無符號數(shù)，表示當前分組的ID，0表示XXX.XXX.XXX.0～ XXX.XXX.XXX.7；1表示XXX.XXX.XXX.8～ XXX.XXX.XXX.15；依此類推。

gateway：網關IP地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網絡字節(jié)順序。

target：探測目標地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網絡字節(jié)順序。最后一個字節(jié)使用group字段的內容。

路由發(fā)現(xiàn)協(xié)同報文定義：

tag：協(xié)議標識，固定取值為“RTC”（不包含雙引號，大寫字符，ASCII編碼），24bits。

ver：協(xié)議版本號，8bits無符號數(shù)，當前取值：0x01。

code：消息類型，8bits無符號數(shù)，指定當前報文的類型，0x02表示路由發(fā)現(xiàn)協(xié)同報文。

prop：IP協(xié)議類型，8bits無符號數(shù)，0x04表示IPv4協(xié)議；0x06表示IPv6協(xié)議。

mask：子網掩碼，8bits無符號數(shù)，以掩碼有效位長度的形式表示，例如：255.255.255.0表示為24（0x18）。

method：探測方法，8bits無符號數(shù)，0x01表示TTL探測方法；0x02表示IP Option探測方法。

gateway：網關IP地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網絡字節(jié)順序。

target：探測目標地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網絡字節(jié)順序。最后一個字節(jié)使用group字段的內容。

三、網絡拓撲分析

客戶端根據(jù)內網IP以及公網IP信息確定所屬學校網，并且客戶端內置終端唯一ID生成和識別終端設備，基于設備身份和網絡身份ID，可以對網絡拓撲數(shù)據(jù)進行分類管理?；诳蛻舳颂綔y到的網絡鄰居以及路由信息，進行分級編號，基于IP地址關聯(lián)分析，可以對采集的校園大規(guī)模終端拓撲檢測數(shù)據(jù)進行分析，形成初步的校園網拓撲關系。基于校園網拓撲數(shù)據(jù)，進一步分析網絡中的異常行為，識別出可疑的改裝路由器。

（一）網絡拓撲模型的建立

校園網網絡拓撲主要分為4層，如圖2、3所示，包括接入終端、交換機、網絡出口等，個別有5、6層。根據(jù)探測的路由鏈形成分級路由，根據(jù)分級進行編號。

分級記錄的數(shù)據(jù)包括：校園ID、層級ID、IP地址、設備類型、上層IP、下層IP、更新時間。根據(jù)數(shù)據(jù)分析，可形成網絡拓撲圖，如圖4所示。

（二）網絡拓撲動態(tài)分析

網絡拓撲數(shù)據(jù)根據(jù)接入終端的類型、時間、數(shù)量的變化而變化，而正常情況下拓撲的層級基本不變。網絡拓撲的分析基于終端的接入位置變化進行動態(tài)分析，包括接入網關的變化，接入層級的變化，以及網絡鄰居的變化，通過數(shù)據(jù)分析可以發(fā)現(xiàn)不同的用戶行為模式。

（三）孤立點分析

基于校園網使用非法改裝路由器的調查分析，可以確定改裝路由器基本上是接入到網絡拓撲的孤立點（參考上圖3、4），為了更全面發(fā)現(xiàn)異常行為，需要對網絡拓撲數(shù)據(jù)進行孤立點分析。傳統(tǒng)的孤立點挖掘算法主要包括四類算法基于統(tǒng)計的方法，基于距離的方法，基于密度的方法，基于偏離的方法和基于聚類的挖掘算法。根據(jù)校園網的特點，主要結合基于統(tǒng)計的方法和基于聚類的挖掘算法進行分析，發(fā)現(xiàn)孤立點。

（四）終端特征指紋

任何終端均有個性化的特征，本文主要是基于網絡協(xié)議請求響應的TTL以及時延特征采集，形成終端指紋信息?？蛻舳藫芴柷耙约皳芴柡?，訪問網關的響應性能有細微的差異，通過記錄該差異并分析，形成終端特征指紋，并將編碼信息上報到服務器。服務器可綜合分析，進一步提升檢測準確性。

四、結束語

本文提出的非法改裝無線路由器檢測技術，通過客戶端軟件與服務端配合，通過客戶端檢測、協(xié)同以及終端特征指紋采集，在服務端進行綜合分析，可將檢測非法改裝無線路由器檢測準確性提高到90%以上，結合其他手段可以進一步提高準確性。系統(tǒng)實現(xiàn)負載均衡以及終端協(xié)同，可有效實現(xiàn)單終端少量采集滿足大規(guī)模網絡拓撲探測的需求。系統(tǒng)已實現(xiàn)原型并在校園網環(huán)境測試，本文檢測技術成果自2020年9月1起在某省份校園網推廣，支撐220+所學校，進行115000+次后臺分析，發(fā)現(xiàn)非法改裝路由器8000+臺，通過平臺進行攔截封堵非實名制上網行為200萬+次，取得較佳效果，在保障實名制上網安全的同時，每年間接拉動業(yè)務收入超過2000萬元。本系統(tǒng)技術的原理實現(xiàn)（客戶端探測功能以及服務端分析功能）以及校園網測試結果證明了該檢測技術的可實施性，能夠滿足校園網絡的實名制管理和非法串接行為監(jiān)測。此外，本系統(tǒng)同樣適用于其他大型園區(qū)網絡的管理和監(jiān)控。

作者單位：吳淼 中國電信股份有限公司廣東分公司

龍茂華 中數(shù)通信息有限公司

李博 國家計算機網絡應急技術處理協(xié)調中心廣東分中心

參? 考? 文? 獻

[1]張勇，張德運，李鋼. 網絡拓撲發(fā)現(xiàn)的主動探測技術的研究和實現(xiàn)[J]. 小型微型計算機系統(tǒng)，2000，21（8）：792-794.

[2]趙玲. 網絡拓撲發(fā)現(xiàn)算法的研究[D].吉林大學，2011.

[3]季偉東.網絡管理系統(tǒng)中拓撲發(fā)現(xiàn)的研究[D].哈爾濱理工大學，2004.

[4]陳旭.基于園區(qū)網的網絡拓撲自動發(fā)現(xiàn)[D].太原理工大學，2003.

[5]劉荘.簡單網絡管理協(xié)議（SNMP）在校園網管理中的研究與應用[D].北京化工大學，2003.

[6]高長壽.IP網絡分布式拓撲自動發(fā)現(xiàn)技術研究[D].武漢理工大學，2005.

[7]劉杰.多級網絡拓撲發(fā)現(xiàn)技術研究[D].四川大學，2004.

[8]黃永平.孤立點分析方法在計算機審計中的應用[J].審計研究，2006（S1）：86-89.

吳淼（1988.09.18-），女，漢族，山西大同，碩士，中級通信工程師，研究方向：中國電信股份有限公司廣東分公司固網、政企寬帶業(yè)務支撐；

龍茂華（1976.04.13-），男，漢族，廣東高州，學士，高級系統(tǒng)架構設計師，研究方向：網絡安全技術、移動互聯(lián)網應用技術；

李博（1988.10.20-），男，漢族，河北石家莊，碩士，工程師，研究方向：網絡信息安全工作。