用户需求
功能需求
1.在运营商目前已部署了宽带接入服务器和认证计费系统的@ 情况下,在不影响现有网络结构和配置,以及现有业务功能,实现对PPPoE认证用╱户进行代理私接监控;
2.防代理机制应具有实时控制功能,而非事后溯源,一旦检测有通过私接代理的用户,实时停止该用户的接入权限;
3.防代理机制需具备易升级、防』破解的功能,能在短时间内解决因代理软件更新导致的无法防止某些代理软件接入的问题;
4.防止代理私接的类型需包括软件代理、宽带路◢由器代理、互联网共享等;
5.能够灵活配置用户的防代理策略,即可以设置某些用户可以使用代理;
性能需求
接入设备需保◣证有足够的包转发能力和包处理能力,具备百兆全字节线性转发能力,千兆双向实际处理能力达到〇1.2G流量。
部署需求
由于运营商的宽带城域网接入服务器和认证服务器已经稳定运行,部署时应不影响整个城域网的结构,不需改动接入服务器和网络设备的网络配置。
Dr.COM 防代理私接技术
城市热点经过了多年的不断完善,另辟蹊径,通过接入服务器和登录客户端的共同作用,来实现防非法接入的功能。不仅能够对内网用户进〓行很好地防代理控制,又不影响局域网和城域网的内网服务器和外部∞Internet服务器的正常通信。在多个高校∏校园,园区网和电信运营商等成功使用取得了明显的实际效果,单台接入网关能够处理8000在线用户,实际录得的转发能卐力达到双向1.6G。
可以实现以下功能
1.防止基于Proxy的代『理服务器;
2.防止基于Nat的代理服务器;
3.防止通过修改IP和Mac地址非法↘接入;
Dr.COM 的防代理私◇接技术主要有以下几种:
客户端封装防代理
所谓封装,即用户使用↑客户端登陆成功后,发出的TCP数据包头都会加上16个字节的Dr.COM验证封装。加封装的△动作是由安装在用户电脑上的客户端执行,封装客户端在安装成功后,一旦身份认证通过后,即会接⌒管用户操作系统的TCP/IP链接库,但如果没有身份认证没有通过,封装客户端就不会接管TCP/IP链接库。
封装客户端须与支持封装内核的Dr.COM服务器配合使用,在网←内只有Dr.COM服务器才能识∩别Dr.COM封装,而其他内网服务器不能识别,所以用户与其他内网服务器的TCP应用连接将不会建∑ 立,这时在Dr.COM服务器可以设置网内哪↑些IP地址段不封装。如下图:
封装客户端根据Dr.COM服务器的封装列表设⊙置,在登录之后向相应的目标地址发送封装或不封装的包,注意,这里的目标地址是◥相对于客户端而言的内网地址,即Dr.COM接入服务器∞内网的IP地址,而非互联网上的地址(封装的包到达Dr.COM接入服务器后已经将封装拆解,传到外网的包已经是正常的包)。
共享合法用户的身份的NAT用户,由于他们的发出的数据包是没有经过封装的,虽然经过用户2的电脑♀实现了地址转换,但Dr.COM的防代理客户端不会对这些NAT用户◥的数据包进行封装,所以这些数据包就在网关被过滤掉,代理用户就不能正常上网。
采用封装技术,能够Ψ天然的使NAT、Proxy、windows互联网共享的私♀接代理方式失效,封装只在用户使用Dr.COM专用∴客户端和Dr.COM 802.1x客户端登录成功之后才会加上,使用web登录、PPPoE客户端、PPTP客户端、其他厂家802.1x客户⌒端则不会加上此封装。
客户端本地检测防代理
客户端本地检测是由客户端软件实时检测用户PC的上网行为特征,如果发现有符合代理私接特征的行为,则通知接入服务器停止该√用户的接入。
主要检测原理:
启动线程循环检测正在运行的进程,对比进程名称或加载的¤动态库;
线程循环检测所有窗口标题,对比标题;
线程循环检测系统启用的网卡,每块网卡抓包检测ip包是否NAT,http包是否代理;
检测系★统所有IP,与网关送回的认证使用的IP对比,认证IP不再本地IP列表即使用路由代理;
工作方式:
客户端使用从本地文件系统加载DLL动态库方式检测☆是否存在代理行为;
DLL动态库有更新时从Dr.COM 接入服ξ务器下载;
DLL文件▲使用了安全的压缩加密方法,保证传送〓过程安全;
PPPoE防ω代理插件
对于PPPoE认证方式,用户大多使用的是操作系统自带的PPPoE拨号软件,城市热点采用专用的PPPoE防代理插件,同样采用与接入服务器互相绑定的方法,实ζ 现强制用户安装Dr.COM PPPoE防代理插件,如果用户没有安装,即使PPPoE登录成功,Dr.COM宽带接入服务器也不会授权用户的接入。用户安装Dr.COM PPPoE防代理插件后,防代理插件将随操作系统自动启动,插件本身没有界面直接运行在后台,用户使用没有感觉。
对于PPPoE用户私接最普遍的方式:带PPPoE拨号功能宽带路由器,由于带PPPoE拨号的宽带路由器必须启◆用地址转换(NAT),也无法集成和运行Dr.COM PPPoE防代理插件,因此宽带路由器对于Dr.COM B-RAS而言只能是非法用户,Dr.COM B-RAS不会转发宽带路由器接收和发送的数据包,从而使私接用户无法通过PPPoE宽带路由器共享上网。
Dr.COM PPPoE防代理插件工作原】理图如下:
1.用户PPPoE拨号登录;
2.PPPoE接入服「务器响应并向Radius认证服务器转发认证请求;
3.侦听Radius服务器与PPPoE接入服务器之间的用户RADIUS包,记录用户账号和源IP信息,从而根据RADIUS服务器的鉴权信息同步PPPoE用户在Dr.COM B-RAS的在线和离线状态;
4.Dr.COM B-RAS 与用户端的防代理插件通讯,进行校验,如果校验发现防代理插件没有运行,则停止该用户的数据包转发。如果与防代理插件通讯正常,则继续转发用户接收和发出的数据包
5.如果用户上网过程中,Dr.COM 防代理插件发现用户有代理和私接的特征,则通知Dr.COM B-RAS停止该用户数据包的转发。
Dr.COM 防代理插件本地检测用户私接与ζ代理的工作原理,与4.2节客户端本地检测防代理的工作方式和原理相同,同样具备了加密通讯、自动升级与防破解的安全机制。
1.1.
网关防代理
网关防代理,是指网关,也就是防代理接入服务器,直接实时监控用户的应用层数据,来检测发现用户的私接代理过程,从而根据防代理私接策略,对用户进行接入控制。
主要检测原理:
目前互联网最主流的应用应是P2P(Peer-to-Peer,端到端对等网络)应用,P2P技术迅猛发展,以P2P技术为核心的软件产品,雨后春笋般的进入了个人用户主流互联网应用。如基于P2P协议的文件下载共享软件,典型的应用软件有BitTorrent、eDonkey、PP点点通、Gnutella、FastTrack、酷狗(Kugoo)、迅雷、DirectConnect、AppleJuice、百宝、百度下吧、百兆等。基于P2P的其他应用有:即时信息类,如腾迅QQ、微软MSN、YahooMessger等,网络电话类,如Skype等,网络电视类,如PPStream、PPLive、沸点、Recool、QQLive等,透过私接¤代理接入互联网的用户,对运营商侵害最大的就是这些P2P应用
基于Peer-to-Peer应用的基本工作机制,当用户经过代理或NAT接入互联网,相对于没有经过代理的合法用户,其P2P应用的√报文就会有明显特征,Dr.COM 2166 B-RAS利用其强大的包处理能力,在基于会话和特征识别的基础上,采用主动探测技术和智能技术,识别特征模糊和被加密的P2P应用中的数据报文,根据经过代理和NAT所产生的变化,实时有效的识别出私接代理的用户,并实时将其断开互联网◥接入,从而实现防止私接代理。
对于用户上网只是使用浏览器浏览网页,而没有打开QQ、MSN、迅雷等P2P应用,检测防代理的网关就无法发现ㄨ用户的私接代理,所以如果需要更严格的代理控制,建议要求用户安装防代理客户端,这样就可以连HTTP访问的代理私接也进行监控和控制。
技术优点:
可以不依赖于客户端软件实现防代理,在部署上更▆具灵活性,特别是适用于使用WEB登录等不能安装客户端的用户环境,减去分发㊣客户端,以及客户端软件安装使用过程中所带来的维护客服工作量。另外,也避免了客户端软件可能被破解的风险。
1.2.
升级与防破解
由于互联网上代理软件不断更新,防代理插件也需要同步更新以便防止用户使用新的代理软件,同时对于目前比较普遍的软件破解情况,防代理插件也必须具备防破解的机制。
Dr.COM 防代理插件和防代理客户端软件均采用服务器端升级方式,只需在Dr.COM 2 B-RAS端导入升级文件即可,服务器端升级可以使运营商快速全面升级,对于⊙终端用户而言升级过程是透明的,用户登陆成功后防代理插件即可自动更新特征库,无需终端用户人工参与。
防代理客户端软件和Dr.COM 2166 B-RAS通讯采用带校验码的加密传输,如发现有破解版插〗件出现,可以在Dr.COM 2166 B-RAS端导入升级文件,更新校验码,则破解版的软件则由于校验码错误而失效,从而实现防止破解的情况出现,保证运营◤商的利益。
Dr.COM B-RAS与 Dr.COM PPPoE防代理插件的部署方式有以下两种:
1.对于用户网络环境中如没有PPPoE接入服务器,可由Dr.COM B-RAS作为PPPoE接入服务器,既负⊙责转发Radius认证记账包,又负责与Dr.COM PPPoE防代理插件配ㄨ合实现对用户的防私接代理。
2.对于用户网◣络环境中已经有PPPoE接入服务器,则有Dr.COM B-RAS桥接在PPPoE接入服务器的出口链路上,专门负责与Dr.COM PPPoE防代理插件配合实现对用户的防私接代理。
