电信联通共享检测技术及防封杀
2017-07-04 21:51
260 查看
很多地区的电信联通光纤宽带用户会遇到这种情况:如果用户接路由多机共享超出一定数量,网页打不开、游戏掉线。只有当接入终端数符合约定数量后才能会恢复上网(几十分钟以内)。有些地区则没有任何提示,还会出现50m变成4m的现象。严重的,逐步限制连接数,甚至封掉ADSL账户。
新的侦查方法推陈出新
一、TTL检测
TTL 指生存时间,是指网络数据报文被路由器丢弃之前允许通过路由器的数量,转发IP数据报文时,要求每经过一个路由器则TTL减1,不同的操作系统TTL值不同,如果检测到数据报文含有多个不同的TTL值则可以断定有多台主机。
二、ID(identification)轨迹检测法:(参考论文《基于IPID的宽带级联检测算法实现》)
Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而连续增加,Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距,那么每一台主机就会生成一条轨迹,那么有多条轨迹就代表有多台主机。
有四段 identification在连续变化,则说明该“黑户”此时最少有四个用户在同时使用宽带。
三、时钟偏移检测
不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,可以发现不同的网络时钟偏移以此来确定不同的主机。
四、应用特征检测
某些应用协议报文具有可识别特征,并且经过NAT后仍然保留原始信息,那么当客户终端使用到这些协议时则会带有不同的原始信息,比如在HTTP报头中含有的User-Agent字段、cookie字段、不同操作系统、不同IE版本、不同补丁的User-Agent字段等,每一个用户都有可能产生不一样的包含结果。
通过以上几种检测技术的深入分析,不难发现规避这些检测手段还是有据可依、有章可循的,IP轨迹检测、TTL检测等检测技术都可以在网络终端进行协议字段更改进行干预,而时间漂移检测技术虽然不易破解,但是检测周期太长,无法做到及时有效性,几乎已废弃不用,所以目前唯一并且大量投入使用的有效检测技术便是“基于应用特征的行为检测”,所以只要规避这种类型的检测手段,就可以避免被检测到多用户共享网络行为的风险。
分头围歼,各个击破
由上分析,“防共享检测设备”虽然检测方式多、功能强大,但也具有有章可循的特点。
Panabit在规避此类问题的手段上主要解决了两个层面:一是网络层面上的协议修复工作,二是应用层面上的应用调度工作的巧妙应用。
1.IP轨迹的“合多为一”
由上文可知,共享检测的检测手段既有在网络层次上的特征检测,又有应用层次上的特征检测。对于网络层次上的IP轨迹我们多使用“合多为一”的方法。
如上图,Panabit在新建的每一条通信链路上可以设置是否“启用防封杀”的功能,通过启用该功能可以将多个不重合的IP轨迹合并成一个重合唯一的IP轨迹在运行,使运营商检测端设备认为是一个终端用户发起的互联网请求。
2.应用路由的“巧妙应用”
由上文可知目前检测共享最有效的检测方式是通过“应用特征”检测技术进行识别的,该检测方式主要是通过HTTP报头中User-Agent字段、cookie字段或不同操作系统User-Agent等字段的不同来判断,而这类检测所共用的是TCP协议,所以如果我们只要将该类所属应用的“TCP应用协议”分流至其它线路上,就能够逃避共享检测设备的检测。
如上图策略解读:Panabit智能应用网关应用路由将相关“能被检测到的应用”比如(WWW/HTTPS两类应用)路由到无使用限制条件的商用光纤上,而其它应用(不使用HTTP类型的网络电视、电话、P2P下载等UDP类数据)默认还是走向联通的链路,这样就规避了联通线路“防共享检测设备”的检测,使用户的带宽发挥到了最大的效能。
新的侦查方法推陈出新
一、TTL检测
TTL 指生存时间,是指网络数据报文被路由器丢弃之前允许通过路由器的数量,转发IP数据报文时,要求每经过一个路由器则TTL减1,不同的操作系统TTL值不同,如果检测到数据报文含有多个不同的TTL值则可以断定有多台主机。
二、ID(identification)轨迹检测法:(参考论文《基于IPID的宽带级联检测算法实现》)
Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而连续增加,Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距,那么每一台主机就会生成一条轨迹,那么有多条轨迹就代表有多台主机。
有四段 identification在连续变化,则说明该“黑户”此时最少有四个用户在同时使用宽带。
三、时钟偏移检测
不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,可以发现不同的网络时钟偏移以此来确定不同的主机。
四、应用特征检测
某些应用协议报文具有可识别特征,并且经过NAT后仍然保留原始信息,那么当客户终端使用到这些协议时则会带有不同的原始信息,比如在HTTP报头中含有的User-Agent字段、cookie字段、不同操作系统、不同IE版本、不同补丁的User-Agent字段等,每一个用户都有可能产生不一样的包含结果。
通过以上几种检测技术的深入分析,不难发现规避这些检测手段还是有据可依、有章可循的,IP轨迹检测、TTL检测等检测技术都可以在网络终端进行协议字段更改进行干预,而时间漂移检测技术虽然不易破解,但是检测周期太长,无法做到及时有效性,几乎已废弃不用,所以目前唯一并且大量投入使用的有效检测技术便是“基于应用特征的行为检测”,所以只要规避这种类型的检测手段,就可以避免被检测到多用户共享网络行为的风险。
分头围歼,各个击破
由上分析,“防共享检测设备”虽然检测方式多、功能强大,但也具有有章可循的特点。
Panabit在规避此类问题的手段上主要解决了两个层面:一是网络层面上的协议修复工作,二是应用层面上的应用调度工作的巧妙应用。
1.IP轨迹的“合多为一”
由上文可知,共享检测的检测手段既有在网络层次上的特征检测,又有应用层次上的特征检测。对于网络层次上的IP轨迹我们多使用“合多为一”的方法。
如上图,Panabit在新建的每一条通信链路上可以设置是否“启用防封杀”的功能,通过启用该功能可以将多个不重合的IP轨迹合并成一个重合唯一的IP轨迹在运行,使运营商检测端设备认为是一个终端用户发起的互联网请求。
2.应用路由的“巧妙应用”
由上文可知目前检测共享最有效的检测方式是通过“应用特征”检测技术进行识别的,该检测方式主要是通过HTTP报头中User-Agent字段、cookie字段或不同操作系统User-Agent等字段的不同来判断,而这类检测所共用的是TCP协议,所以如果我们只要将该类所属应用的“TCP应用协议”分流至其它线路上,就能够逃避共享检测设备的检测。
如上图策略解读:Panabit智能应用网关应用路由将相关“能被检测到的应用”比如(WWW/HTTPS两类应用)路由到无使用限制条件的商用光纤上,而其它应用(不使用HTTP类型的网络电视、电话、P2P下载等UDP类数据)默认还是走向联通的链路,这样就规避了联通线路“防共享检测设备”的检测,使用户的带宽发挥到了最大的效能。
相关文章推荐
- 关于电信、网通检测ADSL共享上网的技术手段
- 电信联通ADSL共享上网检测的原理与实现
- 浅谈当前电信检测宽带共享的机制
- 移动联通电信2G3G4G网络速度——无线蜂窝技术:CDMA2000、1x/EVDo、GSM、EDGE、TD-SCDMA、HSPA、WCDMA、HSPA、TD-LTE 速度
- 破解电信检测,突破多用户共享上网补丁包下载
- 【技术共享】怎么把人脸检测的速度做到极致
- 技术共享之常见的6中种方法检测手机是否是虚拟机
- 技术共享之常见的6中种方法检测手机是否是虚拟机
- 网络中检测共享(NAT)技术分析
- 移动,联通,电信三家4G手机技术上有什么区别,TD-LTE和FDD-LTE的区别
- SQL注入技术和跨站脚本攻击的检测
- 四项下一代入侵检测关键技术分析
- 封杀VoIP就是阻碍技术进步[转载]
- 数据库的复制技术在企业数据共享的深层应用
- Win 2003共享“还原”技术
- 五板斧封杀Windows默认共享
- 异常流量监测技术的电信IP网应用
- 动态函数监控技术在缓冲区溢出检测中的应用