吳淼?龍茂華?李博

摘要：通過TCP/IP協(xié)議的綜合利用，結(jié)合客戶端探測以及數(shù)據(jù)分析，可以形成基于用戶終端的接入網(wǎng)絡(luò)拓撲信息，以及生成接入終端的特征指紋信息，可將采集的數(shù)據(jù)用于用戶上網(wǎng)行為分析。傳統(tǒng)的用戶上網(wǎng)行為安全審計設(shè)備存在實時性差、檢測不準確等問題。本文基于對校園網(wǎng)的拓撲結(jié)構(gòu)以及網(wǎng)絡(luò)協(xié)議的特征分析，及針對非法改裝無線路由器的原理分析，提出組合網(wǎng)絡(luò)協(xié)議檢測非法路由器的一種技術(shù)。通過實驗驗證，此技術(shù)能有效解決檢測非法改裝無線路由器的難題，可以應(yīng)用于校園網(wǎng)用戶上網(wǎng)行為分析領(lǐng)域。

關(guān)鍵詞；實名制；網(wǎng)絡(luò)拓撲；終端協(xié)同；大數(shù)據(jù)

一、引言

校園網(wǎng)絡(luò)實名制上網(wǎng)安全是信息安全管理的重要內(nèi)容，而校園內(nèi)存在大量的非法改裝無線路由器，一方面非法改裝無線路由器不符合國家網(wǎng)絡(luò)設(shè)備安全規(guī)定，另一方面檢測發(fā)現(xiàn)非法改裝無線路由器也存在技術(shù)困難，對用戶上網(wǎng)身份無法有效溯源，存在信息安全隱患。本文基于對校園網(wǎng)的拓撲結(jié)構(gòu)以及網(wǎng)絡(luò)協(xié)議的特征分析，以及針對非法改裝無線路由器的原理分析，提出組合網(wǎng)絡(luò)協(xié)議檢測非法路由器的一種技術(shù)，并通過實驗驗證。此技術(shù)可有效解決檢測非法改裝無線路由器的難題，可以應(yīng)用于校園網(wǎng)用戶上網(wǎng)行為分析領(lǐng)域。

通過強加密技術(shù)實現(xiàn)客戶端軟件，并通過客戶端軟件撥號后接入校園網(wǎng)絡(luò)，可檢測常規(guī)用戶上網(wǎng)行為并保障實名制安全上網(wǎng)。非法改裝無線路由器，通過路由器內(nèi)篡改網(wǎng)絡(luò)協(xié)議（如：IPID偽裝、TTL偽裝、路由跟蹤偽裝等）以及復(fù)制終端MAC地址、IP等方式來規(guī)避客戶端軟件的檢測?？蛻舳顺Ｒ?guī)的單項檢測技術(shù)無法有效檢測出這種改裝無線路由器，考慮通過網(wǎng)絡(luò)拓撲發(fā)現(xiàn)異常行為。由于終端接入的時間具有隨機性、終端連接網(wǎng)絡(luò)設(shè)備發(fā)生變更，校園拓撲發(fā)生變化，需要綜合多種網(wǎng)絡(luò)協(xié)議，構(gòu)建校園網(wǎng)絡(luò)拓撲信息，并基于采集數(shù)據(jù)進行分析，發(fā)現(xiàn)非法串接改裝無線路由器的行為。

本文主要包括客戶端軟件以及服務(wù)端軟件，利用運行在撥號上網(wǎng)終端上的客戶端軟件，主動發(fā)現(xiàn)并采集網(wǎng)絡(luò)設(shè)備信息，服務(wù)端通過匯總分析客戶端采集到的數(shù)據(jù)，形成一份廣泛、詳細、動態(tài)的網(wǎng)絡(luò)拓撲信息。服務(wù)端利用生成的網(wǎng)絡(luò)拓撲信息，結(jié)合終端狀態(tài)信息通過終端鄰居設(shè)備及孤立結(jié)點分析等方法，發(fā)現(xiàn)并定位疑似非法改裝無線路由器。

二、網(wǎng)絡(luò)拓撲發(fā)現(xiàn)

終端客戶端從橫向（鄰居發(fā)現(xiàn)）和縱向（路由發(fā)現(xiàn)）兩個方向探測網(wǎng)絡(luò)拓撲結(jié)構(gòu)，網(wǎng)絡(luò)探測通過負載均衡設(shè)置和終端協(xié)同，實現(xiàn)校園網(wǎng)內(nèi)單臺終端只需少量檢測采集可匯聚形成大規(guī)模終端檢測數(shù)據(jù)。終端將網(wǎng)絡(luò)拓撲信息上報到分析服務(wù)器，分析服務(wù)器將相關(guān)數(shù)據(jù)存儲到數(shù)據(jù)庫。分析服務(wù)器定期從數(shù)據(jù)庫獲取終端采集到的原始數(shù)據(jù)，進行相應(yīng)的分析并生成整體的網(wǎng)絡(luò)拓撲。校園網(wǎng)拓撲模型如圖1所示，主要由3部分組成：終端、分析服務(wù)器和數(shù)據(jù)庫。其中終端中安裝特定撥號客戶端，內(nèi)置網(wǎng)絡(luò)探測功能，用戶必須使用該客戶端撥號才能接入互聯(lián)網(wǎng)；改裝無線路由器上聯(lián)到接入交換機。

（一）鄰居發(fā)現(xiàn)

客戶端使用ARP協(xié)議探測與自身終端接入到同一子網(wǎng)內(nèi)的鄰居終端設(shè)備。進行鄰居發(fā)現(xiàn)探測時排除網(wǎng)關(guān)地址，子網(wǎng)廣播地址等特殊IP地址。終端發(fā)送ARP指令探測，發(fā)送指令前先檢查本地ARP緩存，若已存在對應(yīng)的緩存項則不發(fā)送對應(yīng)ARP指令。對于移動終端，結(jié)合使用UDP隨機發(fā)送數(shù)據(jù)包來刷新ARP緩存，從路由表中檢測有效的網(wǎng)絡(luò)鄰居。

（二）路由發(fā)現(xiàn)

客戶端使用TTL、IP Option、SNMP協(xié)議探測與自身終端公網(wǎng)出口路由設(shè)備信息。

客戶端隨機選擇TTL、IP Option兩種方法中的一種進行路由發(fā)現(xiàn)探測，探測之前應(yīng)先進行終端協(xié)同，若已有其它終端使用該方法探測過則放棄本次探測。

TTL：Time to Live，生存時間，表示允許數(shù)據(jù)報保留在internet系統(tǒng)中的最長時間。TTL在通信系統(tǒng)中遞減，當(dāng)值為0時網(wǎng)絡(luò)設(shè)備將對應(yīng)數(shù)據(jù)包丟棄處理。

Options：可用于擴展定義安全擴展，實現(xiàn)特殊用途。選項字段長度可變，可能有零或多個選項。Options 已定義Record Route選項，可用于記錄報文路由。

通過遞增設(shè)置TTL的方法，逐層探測鏈路的路由器地址。通過在IP頭中增加Record route options字段內(nèi)容的方法，讓路由器回填自身地址以達到路由發(fā)現(xiàn)探測的目標?？蛻舳私馕龇祷氐臄?shù)據(jù)并形成路由鏈。使用SNMP協(xié)議獲取路由器的設(shè)備型號信息，僅需要讀取設(shè)備型號信息用于生成網(wǎng)絡(luò)拓撲信息。

（三）負載均衡

基于網(wǎng)關(guān)IP信息和內(nèi)網(wǎng)IP信息，對相同子網(wǎng)內(nèi)IP進行探測，通過地址分組實現(xiàn)探測負載均衡，可實現(xiàn)探測策略的統(tǒng)一調(diào)度控制。

對于C類子網(wǎng)，每8個或16個地址分為一組，每個終端每次隨機探測一組。探測之前應(yīng)先進行終端協(xié)同，若該組已有其它終端探測過則選擇另外一組。

（四）終端協(xié)同

同一子網(wǎng)內(nèi)的客戶端以協(xié)同、互補的方式進行網(wǎng)絡(luò)拓撲探測，避免在同一臺終端上消耗過多的計算能力。每臺終端每次僅探測小段網(wǎng)絡(luò)內(nèi)的設(shè)備信息，多臺終端共同組成完整的子網(wǎng)網(wǎng)絡(luò)拓撲信息?？蛻舳酥С忠訳DP多播的方式進行終端協(xié)同，減少數(shù)據(jù)包發(fā)送數(shù)量。

鄰居發(fā)現(xiàn)協(xié)同報文定義：

tag：協(xié)議標識，固定取值為“NBR”（不包含雙引號，大寫字符，ASCII編碼），24bits。

ver：協(xié)議版本號，8bits無符號數(shù)，當(dāng)前取值：0x01。

code：消息類型，8bits無符號數(shù)，指定當(dāng)前報文的類型，0x01表示鄰居發(fā)現(xiàn)協(xié)同報文。

prop：IP協(xié)議類型，8bits無符號數(shù)，0x04表示IPv4協(xié)議；0x06表示IPv6協(xié)議。

mask：子網(wǎng)掩碼，8bits無符號數(shù)，以掩碼有效位長度的形式表示，例如：255.255.255.0表示為24（0x18）。

group：分組ID，8bits無符號數(shù)，表示當(dāng)前分組的ID，0表示XXX.XXX.XXX.0～ XXX.XXX.XXX.7；1表示XXX.XXX.XXX.8～ XXX.XXX.XXX.15；依此類推。

gateway：網(wǎng)關(guān)IP地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網(wǎng)絡(luò)字節(jié)順序。

target：探測目標地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網(wǎng)絡(luò)字節(jié)順序。最后一個字節(jié)使用group字段的內(nèi)容。

路由發(fā)現(xiàn)協(xié)同報文定義：

tag：協(xié)議標識，固定取值為“RTC”（不包含雙引號，大寫字符，ASCII編碼），24bits。

ver：協(xié)議版本號，8bits無符號數(shù)，當(dāng)前取值：0x01。

code：消息類型，8bits無符號數(shù)，指定當(dāng)前報文的類型，0x02表示路由發(fā)現(xiàn)協(xié)同報文。

prop：IP協(xié)議類型，8bits無符號數(shù)，0x04表示IPv4協(xié)議；0x06表示IPv6協(xié)議。

mask：子網(wǎng)掩碼，8bits無符號數(shù)，以掩碼有效位長度的形式表示，例如：255.255.255.0表示為24（0x18）。

method：探測方法，8bits無符號數(shù)，0x01表示TTL探測方法；0x02表示IP Option探測方法。

gateway：網(wǎng)關(guān)IP地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網(wǎng)絡(luò)字節(jié)順序。

target：探測目標地址，二進制形式表示，IPv4為32bits；IPv6為128bits，網(wǎng)絡(luò)字節(jié)順序。最后一個字節(jié)使用group字段的內(nèi)容。

三、網(wǎng)絡(luò)拓撲分析

客戶端根據(jù)內(nèi)網(wǎng)IP以及公網(wǎng)IP信息確定所屬學(xué)校網(wǎng)，并且客戶端內(nèi)置終端唯一ID生成和識別終端設(shè)備，基于設(shè)備身份和網(wǎng)絡(luò)身份ID，可以對網(wǎng)絡(luò)拓撲數(shù)據(jù)進行分類管理?；诳蛻舳颂綔y到的網(wǎng)絡(luò)鄰居以及路由信息，進行分級編號，基于IP地址關(guān)聯(lián)分析，可以對采集的校園大規(guī)模終端拓撲檢測數(shù)據(jù)進行分析，形成初步的校園網(wǎng)拓撲關(guān)系?；谛@網(wǎng)拓撲數(shù)據(jù)，進一步分析網(wǎng)絡(luò)中的異常行為，識別出可疑的改裝路由器。

（一）網(wǎng)絡(luò)拓撲模型的建立

校園網(wǎng)網(wǎng)絡(luò)拓撲主要分為4層，如圖2、3所示，包括接入終端、交換機、網(wǎng)絡(luò)出口等，個別有5、6層。根據(jù)探測的路由鏈形成分級路由，根據(jù)分級進行編號。

分級記錄的數(shù)據(jù)包括：校園ID、層級ID、IP地址、設(shè)備類型、上層IP、下層IP、更新時間。根據(jù)數(shù)據(jù)分析，可形成網(wǎng)絡(luò)拓撲圖，如圖4所示。

（二）網(wǎng)絡(luò)拓撲動態(tài)分析

網(wǎng)絡(luò)拓撲數(shù)據(jù)根據(jù)接入終端的類型、時間、數(shù)量的變化而變化，而正常情況下拓撲的層級基本不變。網(wǎng)絡(luò)拓撲的分析基于終端的接入位置變化進行動態(tài)分析，包括接入網(wǎng)關(guān)的變化，接入層級的變化，以及網(wǎng)絡(luò)鄰居的變化，通過數(shù)據(jù)分析可以發(fā)現(xiàn)不同的用戶行為模式。

（三）孤立點分析

基于校園網(wǎng)使用非法改裝路由器的調(diào)查分析，可以確定改裝路由器基本上是接入到網(wǎng)絡(luò)拓撲的孤立點（參考上圖3、4），為了更全面發(fā)現(xiàn)異常行為，需要對網(wǎng)絡(luò)拓撲數(shù)據(jù)進行孤立點分析。傳統(tǒng)的孤立點挖掘算法主要包括四類算法基于統(tǒng)計的方法，基于距離的方法，基于密度的方法，基于偏離的方法和基于聚類的挖掘算法。根據(jù)校園網(wǎng)的特點，主要結(jié)合基于統(tǒng)計的方法和基于聚類的挖掘算法進行分析，發(fā)現(xiàn)孤立點。

（四）終端特征指紋

任何終端均有個性化的特征，本文主要是基于網(wǎng)絡(luò)協(xié)議請求響應(yīng)的TTL以及時延特征采集，形成終端指紋信息?？蛻舳藫芴柷耙约皳芴柡?，訪問網(wǎng)關(guān)的響應(yīng)性能有細微的差異，通過記錄該差異并分析，形成終端特征指紋，并將編碼信息上報到服務(wù)器。服務(wù)器可綜合分析，進一步提升檢測準確性。

四、結(jié)束語

本文提出的非法改裝無線路由器檢測技術(shù)，通過客戶端軟件與服務(wù)端配合，通過客戶端檢測、協(xié)同以及終端特征指紋采集，在服務(wù)端進行綜合分析，可將檢測非法改裝無線路由器檢測準確性提高到90%以上，結(jié)合其他手段可以進一步提高準確性。系統(tǒng)實現(xiàn)負載均衡以及終端協(xié)同，可有效實現(xiàn)單終端少量采集滿足大規(guī)模網(wǎng)絡(luò)拓撲探測的需求。系統(tǒng)已實現(xiàn)原型并在校園網(wǎng)環(huán)境測試，本文檢測技術(shù)成果自2020年9月1起在某省份校園網(wǎng)推廣，支撐220+所學(xué)校，進行115000+次后臺分析，發(fā)現(xiàn)非法改裝路由器8000+臺，通過平臺進行攔截封堵非實名制上網(wǎng)行為200萬+次，取得較佳效果，在保障實名制上網(wǎng)安全的同時，每年間接拉動業(yè)務(wù)收入超過2000萬元。本系統(tǒng)技術(shù)的原理實現(xiàn)（客戶端探測功能以及服務(wù)端分析功能）以及校園網(wǎng)測試結(jié)果證明了該檢測技術(shù)的可實施性，能夠滿足校園網(wǎng)絡(luò)的實名制管理和非法串接行為監(jiān)測。此外，本系統(tǒng)同樣適用于其他大型園區(qū)網(wǎng)絡(luò)的管理和監(jiān)控。

作者單位：吳淼 中國電信股份有限公司廣東分公司

龍茂華 中數(shù)通信息有限公司

李博 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心

參? 考? 文? 獻

[1]張勇，張德運，李鋼. 網(wǎng)絡(luò)拓撲發(fā)現(xiàn)的主動探測技術(shù)的研究和實現(xiàn)[J]. 小型微型計算機系統(tǒng)，2000，21（8）：792-794.

[2]趙玲. 網(wǎng)絡(luò)拓撲發(fā)現(xiàn)算法的研究[D].吉林大學(xué)，2011.

[3]季偉東.網(wǎng)絡(luò)管理系統(tǒng)中拓撲發(fā)現(xiàn)的研究[D].哈爾濱理工大學(xué)，2004.

[4]陳旭.基于園區(qū)網(wǎng)的網(wǎng)絡(luò)拓撲自動發(fā)現(xiàn)[D].太原理工大學(xué)，2003.

[5]劉荘.簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）在校園網(wǎng)管理中的研究與應(yīng)用[D].北京化工大學(xué)，2003.

[6]高長壽.IP網(wǎng)絡(luò)分布式拓撲自動發(fā)現(xiàn)技術(shù)研究[D].武漢理工大學(xué)，2005.

[7]劉杰.多級網(wǎng)絡(luò)拓撲發(fā)現(xiàn)技術(shù)研究[D].四川大學(xué)，2004.

[8]黃永平.孤立點分析方法在計算機審計中的應(yīng)用[J].審計研究，2006（S1）：86-89.

吳淼（1988.09.18-），女，漢族，山西大同，碩士，中級通信工程師，研究方向：中國電信股份有限公司廣東分公司固網(wǎng)、政企寬帶業(yè)務(wù)支撐；

龍茂華（1976.04.13-），男，漢族，廣東高州，學(xué)士，高級系統(tǒng)架構(gòu)設(shè)計師，研究方向：網(wǎng)絡(luò)安全技術(shù)、移動互聯(lián)網(wǎng)應(yīng)用技術(shù)；

李博（1988.10.20-），男，漢族，河北石家莊，碩士，工程師，研究方向：網(wǎng)絡(luò)信息安全工作。