电信运营商是如何发现我们进行ADSL共享的呢?据相关人士透露,此前电信经常使用的产品包括网络尖兵、星空极速和南京信风,特别是网络尖兵最为常用。
网络尖兵工作原理
NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器,并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。
网络尖兵原来采用的检测技术主要是:
1、检查从下级IP出来的IP包的IP-ID是否是连续的,如果不是连续的,则判定下级使用了nat。
2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值,如果不是,刚判定下级使用了nat。
3、检查从下级IP出来的http请求包中是否包含有proxy的字段,如果有,则下级用了http代理。
由于检测和防检查技术的对抗升级,现在可能增加了检测的内容:
一、通过行为统计:
1. 在三秒内同一IP对两个以上的网站进行Request,将此IP定位透过NAT进行传输。
2. 在两秒内,若同一IP对同一个网站,进行两次以上的Request,将此IP定位透过NAT进行传输。
二、深度检测数据包内容:
1.检测并发连接数量
2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享.
3.更多的检测方法
新出现的检测技术
随着市场发展,现在也有城市热点等公司提供了新的技术和方案,常用的技术有某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。
方法之一 ID(identification)轨迹检测法:
对来自某个源IP地址的TCP连接中,IP头中的16位标识(identification),对于某个windows用 户,其 identification随着用户发送的IP包的数量增加而逐步增加,如果在一段时间后,发现某个源IP地址,如图所示,有三段 identification在连续变化,则说明该“黑户”此时最少有三个用户在同时使用宽带。
方法之二时钟偏移检测法:
不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系;不同的主机发送报文的频率因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机。
方法之三应用特征检测法:
数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同。因此通过分析不同的 HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号,据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息,也可以据此计算主机数。
通过以上三种方法就能很准确地非法接入的宽带用户地主机数,无论其采用共用NAT、共用Proxy、或分时段共用帐号上网 (包括ADSL和LAN上网两种模式),该非法接入监控系统,都能得到IP地址与所携带用户数的准确对应关系,借助于Radius论证报文,再将它转换为 用户帐号与所携带用户数的对应关系。当然,由于本方案采用了多个指标来综合分析,为排除干扰提高准确性,并不实时提供这种对应关系,而是采用按天/周/月 提供统计报表的形式,将结果提交给运营商的相关部门。