Page1 VoIP檢測原理 以專利的媒體流檢測為基礎 結合信令流檢測為輔助 保證檢測高準確率和高性能 避免單純信令流檢測而產生漏檢的情況 媒體流檢測原理 一個VoIP通話即生成一條語音媒體流 通過檢測承載在UDP之上的媒體流RTP連接數判斷是否為虛擬運營的VoIP網關正常用戶進行流媒體通話或者視頻點播 不會占用過多的RTP接數虛擬VOIP運營的網關則同時存在少則幾十多則上百個媒體流連接數 信令流檢測原理 一個VoIP通話需要信令協議來支撐呼叫的建立和拆卸 通過檢測VOIP呼叫建立和拆卸所使用的信令協議能判斷出是否有非法的VoIP通話 依托華為在NGN VOIP的積累 通過解析VOIP呼叫過程中使用的信令協議 H 323 SIP MGCP MEGACO 來獲取每次呼叫的詳細信息 包括 主叫號碼 被叫號碼 VOIP網關 VOIP網守 Page2 電話網關 發送控制包 SPS L3或R 接入網 無源分光 鏡像 上行流量 SIG系統 BAS 城域網 省干 PSTN Internet 分流平臺 SIG1000 控制 VoIP監控工作流程 用戶發起VoIP語音電話請求SIG通過DPI 深度業務檢測 方式監聽到VoIP通話SIG根據后臺業務分析服務器下的控制策略發數據包控制方式 噪音 回音 提示音 發送中止信令 強制拆卸呼叫 1 10級控制強度控制分時黑白名單用戶VoIP語音通話質量降低 正常情況下的通話 加噪音控制的通話 Page3 檢測全面 信息豐富 在線VoIP網關 在線VoIP呼叫 網關話單匯總 每日匯總統計 Page4 SIG功能模塊 SIG VoIP監控 P2P監控 WEB推送 用戶行為分析 流量分析 共享接入監控 Page5 功能描述監控一個帳號下多個用戶利用NAT同時上網監控一個帳號下多個用戶利用NAT分時上網監控一個帳號下多個用戶利用Proxy同時上網監控一個帳號下多個用戶利用Proxy分時上網黑白名單管理 共享接入監控功能 Page6 非法共享接入的方式 Proxy共享 城域網 ADSL終端 分時共享 帳號重撥 ADSL用戶 以太網用戶 城域網 ADSL終端 ADSL用戶 以太網用戶 帳號盜用 MAC IP盜用 NAT共享 城域網 ADSL用戶 以太網用戶 有NAT功能的ADSL終端 有NAT功能的路由設備 城域網 ADSL用戶 以太網用戶 Proxy設備 Proxy設備 ADSL終端 Page7 非法共享接入檢測原理 針對地址盜用 帳號盜用 分時共用 私接用戶等非法接入采用在BAS設備上進行 MAC IP VLAN PVC 帳號 的綁定Radius支持限制一個帳號同時上線1次針對采用NAT Proxy技術的非法接入 必須采用應用層檢測技術時鐘漂移檢測 不需探測 IP包頭Identification軌跡檢測 不需探測 主機應用特征檢測 不需探測 流量 連接數統計 不需探測 TTL檢測 不需探測 MAC地址檢測 需探測 SNMP掃描 需探測 探測掃描型檢測很容易被規避 而且對網絡有影響 Page8 檢測技術之一 ID軌跡檢測 Windows網絡協議棧實現時 I 字段的值隨著發送IP報文數的增加而增加Identification的初始值是隨機值 一般說來 不同主機的初始值有較大差距 優點 1 較準確地判斷出是否為共享上網用戶2 較準確的判斷出在線共享上網主機數3 完全被動監聽 不發送探測信息 缺點 1 需要一定時間的觀察 建議兩天以上 2 對分時上網 Proxy檢測不準確 Page9 檢測技術之二 時鐘偏移檢測 不同主機物理時鐘偏移不同 網絡協議棧時鐘與物理時鐘存在對應關系不同主機發送報文頻率與時鐘存在統計對應關系通過特定的頻譜分析算法 發現不同的網絡時鐘偏移來確定不同主機 優點 1 非常準確地判斷出是否為共享上網用戶2 能夠較準確的判斷出共享上網主機數 缺點 1 需要復雜的計算方法進行處理分析2 需要一段時間的觀察 建議兩天以上 Page10 檢測技術之三 應用特征檢測 HTTP包頭HTTP報頭中User Agent字段 cookie字段不同操作系統 不同IE版本 不同補丁的User Agent字段不同 MSN同一時間一般只能登錄一個MSN帳號 WindowsUpdate信息windows會不定時發送Update信息 優點 1 能夠實時判斷出是否為共享上網用戶2 完全被動監聽 不發送探測信息3 對分時上網的共享用戶同樣有效 缺點 1 如果用戶安裝多操作系統 會產生誤報2 如果多臺主機克隆安裝 會產生漏報 Page11 其他檢測技術 Page12 寬帶接入網 無源分光 鏡像 上行流量 BAS 城域網 省干 Internet 控制 用戶通過帳號發起上網請求SIG使用綜合特征檢測模型 采用ID軌跡檢測 時鐘偏移分析 應用特征檢測等 從網絡3層至7層進行綜合分析 不依賴于任何操作系統 主機類型 瀏覽器準確識別共享用戶數目向共享接入用戶發送警告頁面或控制其網頁瀏覽 FTP及網絡游戲可按某個時間段或某幾天實施控制控制頻度持續間歇隨機 網站 http請求 http重定向發送告警頁面 ResetHttp請求 共享接入監控工作流程 業務監控系統 分流平臺 SIG1000 WEB服務器 Page13 詳盡的數據分析 共享主機分布 Page14 SIG功能模塊 SIG VoIP監控 P2P監控 WEB推送 用戶行為分析 流量分析 共享接入監控 Page15 P2P監控功能支持特征字檢測 應用行為特征檢測 端口檢測等多種檢測方式 可以進行深度數據包的內容探測可以同時提供基于總量 分協議總量和逐個用戶的P2P流量管理 并提供分時段管理 可檢測主流應用軟件文件下載BT 迅雷 Emule Edonkey GNUTella Kazaa irectConnect Kugoo網絡電視PPLive QQLive CCIPTV PPStream CoolStreaming沸點網絡電視語音通訊Skype P2P業務監控功能 Page16 BT工作原理分析 安裝BitTorrent下載軟件 通過WEB等形式下載 torrent文件 運行BitTorrent下載軟件 連接Tracker服務器 注冊并獲得下載用戶列表 連接其他的下載用戶 開始數據交互過程 client client client Web服務器 Tracker服務器 1 下載種子文件 torrent 2 請求peer list 返回Peer list 3 請求文件 上傳 下載文件 4 請求文件 上傳 下載文件 Page17 P2P應用工作原理分析 SKYPE SKYPE在其網絡環境中存在3類實體 普通節點 與超級節點連接 并向注冊服務器注冊的機器超級節點 任何具有公網IP地址 足夠的CPU 內存和帶寬的機器均可能成為超級節點 動態服務器 注冊服務器 保存所有SKYPE用戶的用戶名稱和密碼 用戶驗證邏輯由注冊服務器完成 登錄過程 登錄流程可以選擇多種通道 隱蔽性極強 1 驗證用戶名和密碼 2 尋找可通訊的超級節點 3 判斷所處的網絡位置中是否存在NAT 4 向其他節點和好友通知它的presence狀態 Inernet 家庭NAT設備 家庭網絡 ISP網絡 ISPNAT設備 家庭NAT設備 家庭NAT設備 家庭網絡 家庭網絡 普通節點 超級節點 注冊服務器 普通節點 普通節點 超級節點 超級節點 Page18 P2P檢測和控制原理 檢測原理 數據包特征檢測為主端口檢測 通過端口確定數據流的應用類型 Edonkey4661 4662BT6881 6890特征檢測 根據數據報文的應用層內容特征進行檢測啟發式行為分析為輔行為檢測 根據P2P應用協議的交互過程行為特征進行檢測 控制原理 限流 限連接數傳輸層控制 限流 減小TCP發送窗口值 控制流速限連接數 發送TCPRST報文進行連接拆除應用層控制 限流 如BT協議的CHOCK消息限連接數 如BT協議的Cancel消息 Page19 用戶發起P2P業務數據傳輸SIG應用DPI檢測技術 分別對上下行流量進行檢測采用數據包偽裝技術 將偽裝的控制數據包發到正在通信的TCP UDP連接中 達到降