电信联通共享检测技术及防封杀

很多地区的电信联通光纤宽带用户会遇到这种情况:如果用户接路由多机共享超出一定数量,网页打不开、游戏掉线。只有当接入终端数符合约定数量后才能会恢复上网(几十分钟以内)。有些地区则没有任何提示,还会出现50m变成4m的现象。严重的,逐步限制连接数,甚至封掉ADSL账户。

新的侦查方法推陈出新


一、TTL检测

TTL 指生存时间,是指网络数据报文被路由器丢弃之前允许通过路由器的数量,转发IP数据报文时,要求每经过一个路由器则TTL1,不同的操作系统TTL值不同,如果检测到数据报文含有多个不同的TTL值则可以断定有多台主机。

二、IDidentification)轨迹检测法:(参考论文《基于IPID的宽带级联检测算法实现》)

Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而连续增加,Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距,那么每一台主机就会生成一条轨迹,那么有多条轨迹就代表有多台主机。

  段 identification在连续变化,则说明该“黑户”此时最少有个用户在同时使用宽带。

三、时钟偏移检测

不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,可以发现不同的网络时钟偏移以此来确定不同的主机。

四、应用特征检测

某些应用协议报文具有可识别特征,并且经过NAT后仍然保留原始信息,那么当客户终端使用到这些协议时则会带有不同的原始信息,比如在HTTP报头中含有的User-Agent字段、cookie字段、不同操作系统、不同IE版本、不同补丁的User-Agent字段等,每一个用户都有可能产生不一样的包含结果。

通过以上几种检测技术的深入分析,不难发现规避这些检测手段还是有据可依有章可循的,IP轨迹检测、TTL检测等检测技术都可以在网络终端进行协议字段更改进行干预,而时间漂移检测技术虽然不易破解,但是检测周期太长,无法做到及时有效性,几乎已废弃不用,所以目前唯一并且大量投入使用的有效检测技术便是“基于应用特征的行为检测”,所以只要规避这种类型的检测手段,就可以避免被检测到多用户共享网络行为的风险。

分头围歼,各个击破

由上分析,“防共享检测设备”虽然检测方式多、功能强大,但也具有有章可循的特点。

Panabit在规避此类问题的手段上主要解决了两个层面:一是网络层面上的协议修复工作,二是应用层面上的应用调度工作的巧妙应用。

1.IP轨迹的“合多为一”

由上文可知,共享检测的检测手段既有在网络层次上的特征检测,又有应用层次上的特征检测。对于网络层次上的IP轨迹我们多使用“合多为一”的方法。

如上图,Panabit在新建的每一条通信链路上可以设置是否“启用防封杀”的功能,通过启用该功能可以将多个不重合的IP轨迹合并成一个重合唯一的IP轨迹在运行,使运营商检测端设备认为是一个终端用户发起的互联网请求。

2.应用路由的“巧妙应用”

由上文可知目前检测共享最有效的检测方式是通过“应用特征”检测技术进行识别的,该检测方式主要是通过HTTP报头中User-Agent字段、cookie字段或不同操作系统User-Agent等字段的不同来判断,而这类检测所共用的是TCP协议,所以如果我们只要将该类所属应用的“TCP应用协议”分流至其它线路上,就能够逃避共享检测设备的检测。

如上图策略解读:Panabit智能应用网关应用路由将相关“能被检测到的应用”比如(WWW/HTTPS两类应用)路由到无使用限制条件的商用光纤上,而其它应用(不使用HTTP类型的网络电视、电话、P2P下载等UDP类数据)默认还是走向联通的链路,这样就规避了联通线路“防共享检测设备”的检测,使用户的带宽发挥到了最大的效能。




你可能感兴趣的:(电信联通共享检测技术及防封杀)