摘要:通過TCP/IP協議的綜合利用,結合客戶端探測以及數據分析,可以形成基于用戶終端的接入網絡拓撲信息,以及生成接入終端的特征指紋信息,可將采集的數據用于用戶上網行為分析。傳統的用戶上網行為安全審計設備存在實時性差、檢測不準確等問題。本文基于對校園網的拓撲結構以及網絡協議的特征分析,及針對非法改裝無線路由器的原理分析,提出組合網絡協議檢測非法路由器的一種技術。通過實驗驗證,此技術能有效解決檢測非法改裝無線路由器的難題,可以應用于校園網用戶上網行為分析領域。
關鍵詞;實名制;網絡拓撲;終端協同;大數據
一、引言
校園網絡實名制上網安全是信息安全管理的重要內容,而校園內存在大量的非法改裝無線路由器,一方面非法改裝無線路由器不符合國家網絡設備安全規定,另一方面檢測發現非法改裝無線路由器也存在技術困難,對用戶上網身份無法有效溯源,存在信息安全隱患。本文基于對校園網的拓撲結構以及網絡協議的特征分析,以及針對非法改裝無線路由器的原理分析,提出組合網絡協議檢測非法路由器的一種技術,并通過實驗驗證。此技術可有效解決檢測非法改裝無線路由器的難題,可以應用于校園網用戶上網行為分析領域。
通過強加密技術實現客戶端軟件,并通過客戶端軟件撥號后接入校園網絡,可檢測常規用戶上網行為并保障實名制安全上網。非法改裝無線路由器,通過路由器內篡改網絡協議(如:IPID偽裝、TTL偽裝、路由跟蹤偽裝等)以及復制終端MAC地址、IP等方式來規避客戶端軟件的檢測。客戶端常規的單項檢測技術無法有效檢測出這種改裝無線路由器,考慮通過網絡拓撲發現異常行為。由于終端接入的時間具有隨機性、終端連接網絡設備發生變更,校園拓撲發生變化,需要綜合多種網絡協議,構建校園網絡拓撲信息,并基于采集數據進行分析,發現非法串接改裝無線路由器的行為。
本文主要包括客戶端軟件以及服務端軟件,利用運行在撥號上網終端上的客戶端軟件,主動發現并采集網絡設備信息,服務端通過匯總分析客戶端采集到的數據,形成一份廣泛、詳細、動態的網絡拓撲信息。服務端利用生成的網絡拓撲信息,結合終端狀態信息通過終端鄰居設備及孤立結點分析等方法,發現并定位疑似非法改裝無線路由器。
二、網絡拓撲發現
終端客戶端從橫向(鄰居發現)和縱向(路由發現)兩個方向探測網絡拓撲結構,網絡探測通過負載均衡設置和終端協同,實現校園網內單臺終端只需少量檢測采集可匯聚形成大規模終端檢測數據。終端將網絡拓撲信息上報到分析服務器,分析服務器將相關數據存儲到數據庫。分析服務器定期從數據庫獲取終端采集到的原始數據,進行相應的分析并生成整體的網絡拓撲。校園網拓撲模型如圖1所示,主要由3部分組成:終端、分析服務器和數據庫。其中終端中安裝特定撥號客戶端,內置網絡探測功能,用戶必須使用該客戶端撥號才能接入互聯網;改裝無線路由器上聯到接入交換機。
(一)鄰居發現
客戶端使用ARP協議探測與自身終端接入到同一子網內的鄰居終端設備。進行鄰居發現探測時排除網關地址,子網廣播地址等特殊IP地址。終端發送ARP指令探測,發送指令前先檢查本地ARP緩存,若已存在對應的緩存項則不發送對應ARP指令。對于移動終端,結合使用UDP隨機發送數據包來刷新ARP緩存,從路由表中檢測有效的網絡鄰居。
(二)路由發現
客戶端使用TTL、IP Option、SNMP協議探測與自身終端公網出口路由設備信息。
客戶端隨機選擇TTL、IP Option兩種方法中的一種進行路由發現探測,探測之前應先進行終端協同,若已有其它終端使用該方法探測過則放棄本次探測。
TTL:Time to Live,生存時間,表示允許數據報保留在internet系統中的最長時間。TTL在通信系統中遞減,當值為0時網絡設備將對應數據包丟棄處理。
Options:可用于擴展定義安全擴展,實現特殊用途。選項字段長度可變,可能有零或多個選項。Options 已定義Record Route選項,可用于記錄報文路由。
通過遞增設置TTL的方法,逐層探測鏈路的路由器地址。通過在IP頭中增加Record route options字段內容的方法,讓路由器回填自身地址以達到路由發現探測的目標。客戶端解析返回的數據并形成路由鏈。使用SNMP協議獲取路由器的設備型號信息,僅需要讀取設備型號信息用于生成網絡拓撲信息。
(三)負載均衡
基于網關IP信息和內網IP信息,對相同子網內IP進行探測,通過地址分組實現探測負載均衡,可實現探測策略的統一調度控制。
對于C類子網,每8個或16個地址分為一組,每個終端每次隨機探測一組。探測之前應先進行終端協同,若該組已有其它終端探測過則選擇另外一組。
(四)終端協同
同一子網內的客戶端以協同、互補的方式進行網絡拓撲探測,避免在同一臺終端上消耗過多的計算能力。每臺終端每次僅探測小段網絡內的設備信息,多臺終端共同組成完整的子網網絡拓撲信息。客戶端支持以UDP多播的方式進行終端協同,減少數據包發送數量。
鄰居發現協同報文定義:
tag:協議標識,固定取值為“NBR”(不包含雙引號,大寫字符,ASCII編碼),24bits。
ver:協議版本號,8bits無符號數,當前取值:0x01。
code:消息類型,8bits無符號數,指定當前報文的類型,0x01表示鄰居發現協同報文。
prop:IP協議類型,8bits無符號數,0x04表示IPv4協議;0x06表示IPv6協議。
mask:子網掩碼,8bits無符號數,以掩碼有效位長度的形式表示,例如:255.255.255.0表示為24(0x18)。
group:分組ID,8bits無符號數,表示當前分組的ID,0表示XXX.XXX.XXX.0~ XXX.XXX.XXX.7;1表示XXX.XXX.XXX.8~ XXX.XXX.XXX.15;依此類推。
gateway:網關IP地址,二進制形式表示,IPv4為32bits;IPv6為128bits,網絡字節順序。
target:探測目標地址,二進制形式表示,IPv4為32bits;IPv6為128bits,網絡字節順序。最后一個字節使用group字段的內容。
路由發現協同報文定義:
tag:協議標識,固定取值為“RTC”(不包含雙引號,大寫字符,ASCII編碼),24bits。
ver:協議版本號,8bits無符號數,當前取值:0x01。
code:消息類型,8bits無符號數,指定當前報文的類型,0x02表示路由發現協同報文。
prop:IP協議類型,8bits無符號數,0x04表示IPv4協議;0x06表示IPv6協議。
mask:子網掩碼,8bits無符號數,以掩碼有效位長度的形式表示,例如:255.255.255.0表示為24(0x18)。
method:探測方法,8bits無符號數,0x01表示TTL探測方法;0x02表示IP Option探測方法。
gateway:網關IP地址,二進制形式表示,IPv4為32bits;IPv6為128bits,網絡字節順序。
target:探測目標地址,二進制形式表示,IPv4為32bits;IPv6為128bits,網絡字節順序。最后一個字節使用group字段的內容。
三、網絡拓撲分析
客戶端根據內網IP以及公網IP信息確定所屬學校網,并且客戶端內置終端唯一ID生成和識別終端設備,基于設備身份和網絡身份ID,可以對網絡拓撲數據進行分類管理。基于客戶端探測到的網絡鄰居以及路由信息,進行分級編號,基于IP地址關聯分析,可以對采集的校園大規模終端拓撲檢測數據進行分析,形成初步的校園網拓撲關系。基于校園網拓撲數據,進一步分析網絡中的異常行為,識別出可疑的改裝路由器。
(一)網絡拓撲模型的建立
校園網網絡拓撲主要分為4層,如圖2、3所示,包括接入終端、交換機、網絡出口等,個別有5、6層。根據探測的路由鏈形成分級路由,根據分級進行編號。
分級記錄的數據包括:校園ID、層級ID、IP地址、設備類型、上層IP、下層IP、更新時間。根據數據分析,可形成網絡拓撲圖,如圖4所示。
(二)網絡拓撲動態分析
網絡拓撲數據根據接入終端的類型、時間、數量的變化而變化,而正常情況下拓撲的層級基本不變。網絡拓撲的分析基于終端的接入位置變化進行動態分析,包括接入網關的變化,接入層級的變化,以及網絡鄰居的變化,通過數據分析可以發現不同的用戶行為模式。
(三)孤立點分析
基于校園網使用非法改裝路由器的調查分析,可以確定改裝路由器基本上是接入到網絡拓撲的孤立點(參考上圖3、4),為了更全面發現異常行為,需要對網絡拓撲數據進行孤立點分析。傳統的孤立點挖掘算法主要包括四類算法基于統計的方法,基于距離的方法,基于密度的方法,基于偏離的方法和基于聚類的挖掘算法。根據校園網的特點,主要結合基于統計的方法和基于聚類的挖掘算法進行分析,發現孤立點。
(四)終端特征指紋
任何終端均有個性化的特征,本文主要是基于網絡協議請求響應的TTL以及時延特征采集,形成終端指紋信息。客戶端撥號前以及撥號后,訪問網關的響應性能有細微的差異,通過記錄該差異并分析,形成終端特征指紋,并將編碼信息上報到服務器。服務器可綜合分析,進一步提升檢測準確性。
四、結束語
本文提出的非法改裝無線路由器檢測技術,通過客戶端軟件與服務端配合,通過客戶端檢測、協同以及終端特征指紋采集,在服務端進行綜合分析,可將檢測非法改裝無線路由器檢測準確性提高到90%以上,結合其他手段可以進一步提高準確性。系統實現負載均衡以及終端協同,可有效實現單終端少量采集滿足大規模網絡拓撲探測的需求。系統已實現原型并在校園網環境測試,本文檢測技術成果自2020年9月1起在某省份校園網推廣,支撐220+所學校,進行115000+次后臺分析,發現非法改裝路由器8000+臺,通過平臺進行攔截封堵非實名制上網行為200萬+次,取得較佳效果,在保障實名制上網安全的同時,每年間接拉動業務收入超過2000萬元。本系統技術的原理實現(客戶端探測功能以及服務端分析功能)以及校園網測試結果證明了該檢測技術的可實施性,能夠滿足校園網絡的實名制管理和非法串接行為監測。此外,本系統同樣適用于其他大型園區網絡的管理和監控。
作者單位:吳淼 中國電信股份有限公司廣東分公司
龍茂華 中數通信息有限公司
李博 國家計算機網絡應急技術處理協調中心廣東分中心
參 考 文 獻
[1]張勇,張德運,李鋼. 網絡拓撲發現的主動探測技術的研究和實現[J]. 小型微型計算機系統,2000,21(8):792-794.
[2]趙玲. 網絡拓撲發現算法的研究[D].吉林大學,2011.
[3]季偉東.網絡管理系統中拓撲發現的研究[D].哈爾濱理工大學,2004.
[4]陳旭.基于園區網的網絡拓撲自動發現[D].太原理工大學,2003.
[5]劉荘.簡單網絡管理協議(SNMP)在校園網管理中的研究與應用[D].北京化工大學,2003.
[6]高長壽.IP網絡分布式拓撲自動發現技術研究[D].武漢理工大學,2005.
[7]劉杰.多級網絡拓撲發現技術研究[D].四川大學,2004.
[8]黃永平.孤立點分析方法在計算機審計中的應用[J].審計研究,2006(S1):86-89.
吳淼(1988.09.18-),女,漢族,山西大同,碩士,中級通信工程師,研究方向:中國電信股份有限公司廣東分公司固網、政企寬帶業務支撐;
龍茂華(1976.04.13-),男,漢族,廣東高州,學士,高級系統架構設計師,研究方向:網絡安全技術、移動互聯網應用技術;
李博(1988.10.20-),男,漢族,河北石家莊,碩士,工程師,研究方向:網絡信息安全工作。
