博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2786|回复: 0

自动检测出网络中私自架设的代理服务器系统或非法路由器,

[复制链接]
发表于 2018-2-1 19:18:13 | 显示全部楼层 |阅读模式
 据相关人士透露,此前电信经常使用的产品包括网络尖兵、星空极速和南京信风,特别是网络尖兵最为常用。NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器,并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。
原先采用的检测技术主要是:
1、检查从下级IP出来的IP包的IP-ID是否是连续的,如果不是连续的,则判定用户使用了nat。
2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值,如果不是,刚判定用户使用了nat。
3、检查从下级IP出来的http请求包中是否包含有proxy的字段,如果有,则判定用户使用了http代理。
      运营商限制了路由器共享上网,这就直接把TP-LINK、D-LINK这些生产家用SOHO级网络产品的厂商往绝路上推。于是网络路由器厂商也不断升级路由器的软件来对抗ISP的检测,所以后来运营商的侦查内容也在不断升级--侦查与反侦查,这都可以拍一部007碟战大片了!
一、通过行为统计:
1. 在三秒内同一IP对两个以上的网站进行Request,将此IP定位透过NAT进行传输。
2. 在两秒内,若同一IP对同一个网站,进行两次以上的Request,将此IP定位透过NAT进行传输。
二、深度检测数据包内容:
1.检测并发连接数量。
2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享。
三、ID(identification)轨迹检测法:
  对来自某个源IP地址的TCP连接中,IP头中的16位标识(identification),对于某个windows用户,其 identification随着用户发送的IP包的数量增加而逐步增加,如果在一段时间后,发现某个源IP地址,如图所示,有三段 identification在连续变化,则说明该“黑户”此时最少有三个用户在同时使用宽带。
四:时钟偏移检测法:
  不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系;不同的主机发送报文的频率因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机。
五、应用特征检测法:
  数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同。因此通过分析不同的HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号,据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息,也可以据此计算主机数。
  结合上面三种方法就能很准确地检查出用户非法接入了多少台终端,无论其采用共用NAT、共用Proxy、或分时段共用帐号上网(包括ADSL和LAN上网两种模式),运行商都能得到IP地址与所携带用户数的准确对应关系。当然,运营商用复杂的侦查方法来对下面用户进行扫描时,肯定会影响用户的网速,所以这种侦查也不是随时全网进行的,它一般都是分时间和分区块来做,如是您不幸被发现,只能说您点背,赶快升级路由器的软件吧。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 10:43 , Processed in 0.088862 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表