电信联通共享检测技术及防封杀

很多地区的电信联通光纤宽带用户会遇到这种情况：如果用户接路由多机共享超出一定数量，网页打不开、游戏掉线。只有当接入终端数符合约定数量后才能会恢复上网（几十分钟以内）。有些地区则没有任何提示，还会出现50m变成4m的现象。严重的，逐步限制连接数，甚至封掉ADSL账户。

新的侦查方法推陈出新

一、TTL检测

TTL 指生存时间，是指网络数据报文被路由器丢弃之前允许通过路由器的数量，转发IP数据报文时，要求每经过一个路由器则TTL减1，不同的操作系统TTL值不同，如果检测到数据报文含有多个不同的TTL值则可以断定有多台主机。

二、ID（identification）轨迹检测法：（参考论文《基于IPID的宽带级联检测算法实现》）

Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而连续增加，Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距，那么每一台主机就会生成一条轨迹，那么有多条轨迹就代表有多台主机。

　　有四段 identification在连续变化，则说明该“黑户”此时最少有四个用户在同时使用宽带。

三、时钟偏移检测

不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系，不同主机发送报文频率与时钟存在统计对应关系，通过特定的频谱分析算法，可以发现不同的网络时钟偏移以此来确定不同的主机。

四、应用特征检测

某些应用协议报文具有可识别特征，并且经过NAT后仍然保留原始信息，那么当客户终端使用到这些协议时则会带有不同的原始信息，比如在HTTP报头中含有的User-Agent字段、cookie字段、不同操作系统、不同IE版本、不同补丁的User-Agent字段等，每一个用户都有可能产生不一样的包含结果。

通过以上几种检测技术的深入分析，不难发现规避这些检测手段还是有据可依、有章可循的，IP轨迹检测、TTL检测等检测技术都可以在网络终端进行协议字段更改进行干预，而时间漂移检测技术虽然不易破解，但是检测周期太长，无法做到及时有效性，几乎已废弃不用，所以目前唯一并且大量投入使用的有效检测技术便是“基于应用特征的行为检测”，所以只要规避这种类型的检测手段，就可以避免被检测到多用户共享网络行为的风险。

分头围歼，各个击破

由上分析，“防共享检测设备”虽然检测方式多、功能强大，但也具有有章可循的特点。

Panabit在规避此类问题的手段上主要解决了两个层面：一是网络层面上的协议修复工作，二是应用层面上的应用调度工作的巧妙应用。

1.IP轨迹的“合多为一”

由上文可知，共享检测的检测手段既有在网络层次上的特征检测，又有应用层次上的特征检测。对于网络层次上的IP轨迹我们多使用“合多为一”的方法。

如上图，Panabit在新建的每一条通信链路上可以设置是否“启用防封杀”的功能，通过启用该功能可以将多个不重合的IP轨迹合并成一个重合唯一的IP轨迹在运行，使运营商检测端设备认为是一个终端用户发起的互联网请求。

2.应用路由的“巧妙应用”

由上文可知目前检测共享最有效的检测方式是通过“应用特征”检测技术进行识别的，该检测方式主要是通过HTTP报头中User-Agent字段、cookie字段或不同操作系统User-Agent等字段的不同来判断，而这类检测所共用的是TCP协议，所以如果我们只要将该类所属应用的“TCP应用协议”分流至其它线路上，就能够逃避共享检测设备的检测。

如上图策略解读：Panabit智能应用网关应用路由将相关“能被检测到的应用”比如（WWW/HTTPS两类应用）路由到无使用限制条件的商用光纤上，而其它应用（不使用HTTP类型的网络电视、电话、P2P下载等UDP类数据）默认还是走向联通的链路，这样就规避了联通线路“防共享检测设备”的检测，使用户的带宽发挥到了最大的效能。