WLAN認證平臺七步分析法總部網絡部監控處2013年6月WLAN用戶上線全景圖總部組織專家團隊建立認證平臺的日志關聯分析方法和模型，制定了WLAN日志分析7步法，按WLAN上線全流程的7個環節進行分析，最終認證成功僅占用戶Portal請求0.5%。4.3億1.75億0.4億349萬280萬251萬243萬231萬100%41%9%0.8%0.7%0.6%0.57%0.54%認證通過0.36億掃描攻擊，占比91%，是正常訪問量的10倍推送認證頁面用戶發起登錄用戶信息驗證平臺與AC建立認證通道AC發起鑒權1234567Radius鑒權排除掃號攻擊6環節1：認證頁面推送用戶Portal請求為降低系統負荷，一級認證平臺在Portal側采用了UA識別攔截技術，將非用戶瀏覽器發起的WEB請求全部攔截。攔截率60%。主要攔截的頁面請求來自于：PPStream、QQ音樂、暴風影音等流媒體軟件、QQ等即時通訊軟件、iTunes、安卓市場等市場類軟件、360安全衛士等殺毒軟件。用戶UA識別攔截Portal推送頁面4.34億次1.75億次每天Portal服務器會收到4.34億次請求，其中僅1.75億次為正常瀏覽器發送的請求，非用戶瀏覽器請求約占總請求數的60%。建議網絡部牽頭，同時將一級認證平臺的攔截UA列表進行匯總后發布給各省，要求在二級認證平臺使用該方法進行攔截，降低系統負荷。建議研究院牽頭，將認證平臺的無效UA攔截功能納入規范。7環節2：用戶發起登錄針對這些用戶，我們使用相同IP地址去重后發現每天有5.3萬用戶除了瀏覽登錄首頁外，還瀏覽過業務介紹和資費介紹頁面，是我們的潛在客戶。建議市場部門考慮如何引導更多用戶打開Portal后使用WLAN業務。Portal推送頁面1.75億次每天1.75億次Portal首頁瀏覽，其中只有0.39億次用戶會填寫用戶名和密碼進行登錄請求，占比僅為22%。用戶上線請求0.39億次8環節3：排除掃號攻擊攻擊者的來源IP自全國各地，屬于分布式攻擊，IDP防火墻等傳統方式難以有效攔截。

每天0.39億次WLAN用戶上線請求中，有0.36億次的申請為掃號軟件攻擊，占比達91%

，命中率極低，但給系統帶來極大的負荷。正常上線請求用戶上線請求掃號軟件攻擊0.39億次0.36億次349萬次超過90%的系統負荷被無效攻擊耗費，嚴重影響業務的穩定性，2012年以來由于該因素已經造成系統8次故障。強制使用圖形驗證碼是解決掃號攻擊的最有效方法。建議數據部門牽頭，再次評估是否可以對用戶登錄增加圖形驗證碼限制，徹底解決掃號軟件對平臺的影響。掃號攻擊對用戶帳號安全性的影響已經得到控制：由于已經加強了密碼長度和強度的要求，并開展了各省公司的弱密碼重置等工作，掃號軟件的命中率極低，采樣的日志分析顯示成功破解用戶帳號的比率為0%。9環節4：用戶信息驗證每天349萬次正常上線請求中，有20%無法通過用戶訂購關系和密碼的Portal側驗證。錯誤原因

占本環節錯誤比例占全部正常上線請求的比例

用戶密碼錯誤42.46%8.27%用戶沒有訂購業務24.79%4.83%用戶狀態錯誤19.73%3.84%自動認證已過期(cookie)9.16%1.79%動態密碼有效期過期、用戶卡無效、用戶沒有可用時長、帳號不支持動態密碼2.16%0.42%Portal前后臺通訊異常,OBS訪問失敗1.68%0.33%用戶密碼錯誤：其中67%是用戶記錯密碼（一段時間內有密碼錯誤但最終成功）；33%是用戶完全忘記密碼（全部密碼錯誤）。建議數據部牽頭研究增加措施，對于可能忘記密碼的用戶，主動短信提示用戶重置密碼或者提醒用戶使用動態密碼來幫助用戶登錄。用戶沒有訂購業務錯誤按賬號類型區分：移動手機號碼占比69%、其他運營商手機號碼3%、其余28%屬于非有效的手機號碼。使用移動號碼嘗試登錄的用戶屬于潛在用戶，建議市場部考慮進行針對性營銷，對于非移動手機號碼的嘗試登錄用戶，可以在登錄頁面提示購買預付費卡來使用WLAN業務。10環節4：用戶信息驗證自動認證已過期錯誤，動態密碼有效期過期等錯誤：屬于用戶正常行為導致，主要為用戶修改密碼或者更換終端，動態密碼過期、使用無效卡登錄等問題導致。Portal前后臺通訊異常和OBS訪問失敗：屬于系統遭受突發業務量高峰的時候，系統內資源受限導致的處理失敗，可以通過降低掃號攻擊對系統的影響來避免。用戶狀態錯誤：其中有13.66%是由于省內boss與集團認證平臺用戶狀態不一致導致的失敗。建議計劃部盡快組織上線數據一致性對比接口，請各省公司利用該接口定期開展數據比對和修復。11環節5：平臺與AC建立認證通道

每天通過Portal驗證的280萬正常上線請求中，有10%無法正常建立認證通道。錯誤原因

統計數量（次/天）

占本環節錯誤的比例占正常上線請求的比例

請求Challenge此鏈接已建立13674946.46%3.91%請求Challenge被拒絕12575142.73%3.60%請求Challenge有一個用戶正在認證過程中185826.31%0.53%其他錯誤(portal根據Acname參數無法找到對應的ACIP)129324.39%0.37%請求Challenge，上線BAS錯誤1610.05%0.00%接收AC/BAS響應包超時560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復登錄390.01%0.00%請求Challenge鏈接已建立、請求Challenge被拒絕說明用戶的IP地址不合法，通過在AC側抓包共同分析，發現主要原因是用戶收藏登錄頁面或自行修改登錄頁面URL導致。建議計劃部牽頭在Portal上增加功能，提醒用戶不要收藏認證頁面。建議研究院牽頭研究優化認證流程，在IP地址已經在線時提示用戶已經認證通過，在IP地址非法時向用戶重新推送認證頁面。上線bas錯誤、響應包超時錯誤：該錯誤屬于系統或者網絡問題，可以通過降低AC負荷、優化AC性能來避免。網絡部一直在按月分AC分析該類型錯誤，并將該指標納入通報，督促各省解決。其他錯誤：其他用戶行為導致，一般不會影響用戶感知，詳細分析可見附錄。12每天成功建立Challenge過程的251萬正常上線請求中，有3%無法通過向AC發起的鑒權過程。請求AUTH鏈接已建立錯誤：用戶同時發起多次上線流程的時候部分AC的端口處理機制出現混亂，以最后一次收到Portal消息的端口回復Portal，此時用戶側顯示認證成功，但上不了網。建議網絡部牽頭對現網設備進行排查；建議研究院明確AC設備在處理同一用戶短時間內多次重復認證請求的要求，并納入設備規范。錯誤原因

統計數量（次/天）

占本環節錯誤的比例占正常上線請求的比例

請求AUTH此鏈接已建立6283473.91%1.80%請求AUTH有一個用戶正在認證過程中，請稍后再試2171025.54%0.62%請求AUTH，上線BAS錯誤4680.55%0.01%環節6：AC發起鑒權其他錯誤：對用戶感知影響不大，詳細分析可見附錄。13環節7：Radius鑒權每天通過AUTH鑒權的243萬正常上線請求中，有5%Radius認證失敗。唯3性限制拒絕：原因是用戶同時登錄的終端數量超過3個，屬于用戶原因。密碼錯：密碼校驗工作在Portal驗證環節已經做過，該環節不應該再出現該錯誤；經過聯合AC抓包分析，發現一級認證平臺存在一個軟件Bug，導致部分用戶密碼正確的時候也會被認證平臺誤判為密碼錯誤。建議計劃部組織制定解決方案，盡快修復該Bug。錯誤原因

統計數量（次/天）

占本環節錯誤的比例占正常上線請求的比例

認證請求被拒絕（唯3性限制）10744488.93%3.07%Radius認證密碼錯99468.23%0.28%認證域名錯誤21221.76%0.06%認證端口錯誤13021.08%0.04%14環節7：Radius鑒權認證域名錯誤：說明AC送給Radius認證的用戶名的后綴不正確，主要原因為AC設備問題或者AC設備配置問題。請各省公司整治AC認證域名錯誤的問題。正確的后綴：@web.pc;@web.mobile;錯誤的后綴：@wlantest認證請求應該發送至端口1645但被發送至2645端口認證端口錯誤：說明AC將認證請求的發送至錯誤的目的端口，導致認證不能正確處理，主要原因為AC設備問題或AC設備配置問題。請各省公司整治AC認證端口錯誤的問題。15附錄1：環節5的其他錯誤分析請求Challenge有一個用戶正在認證過程中錯誤：占本環節錯誤比例6.31%，占全部比例0.53%該錯誤說明該用戶認證之前有一個認證還在處理過程中。通過在AC側抓包共同分析，發現主要原因是用戶配置了Cookie認證導致，在用戶配置了Cookie登錄后，如果同時打開多個瀏覽頁面，就會同時發起多個認證登錄請求，其中第一個認證請求可以正常處理，后續的認證請求就會出現該錯誤。該錯誤不會影響用戶感知，但會對系統造成額外負荷，建議研究院研究是否可以通過流程優化等方式解決。上線bas錯誤和響應包超時錯誤：占本環節錯誤比例0.07%，占全部比例0.01%該錯誤屬于系統或者網絡問題，可以通過降低AC負荷、優化AC性能來避免。網絡部一直在按月分AC分析該錯誤，并將該指標納入通報，督促各省解決。其他錯誤：用戶自行填寫的錯誤ACname，導致portal根據ACname參數無法找到對應的ACIP，用戶上線且使用同一用戶名和IP重復登錄，這些錯誤一般都是用戶操作不當導致。錯誤原因

統計數量（次/天）

占本環節錯誤的比例占正常上線請求的比例

請求Challenge此鏈接已建立13674946.46%3.91%請求Challenge被拒絕12575142.73%3.60%請求Challenge有一個用戶正在認證過程中185826.31%0.53%其他錯誤(portal根據Acname參數無法找到對應的ACIP)129324.39%0.37%請求Challenge，上線BAS錯誤1610.05%0.00%接收AC/BAS響應包超時560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復登錄390.01%0.00%23附錄2：環節6的其他錯誤分析請求AUTH有一個用戶正在認證過程中錯誤：占本環節錯誤比例25.54%，占全部比例0.62%該錯誤說明用戶短時間內發起多次重復認證，且上一次Auth認證環節還未結束。通過在AC側抓包共同分析，發現主要原因是：用戶配置了Cookie認證，在打開多標簽瀏覽器時會同時發起多個認證登錄請求，多次認證同時發起就可能會引發該錯誤。該錯誤不會影響用戶感知，但會對系統造成額外負荷，建議研究院研究是否具備可行的解決方案。上線bas錯誤：占本環節錯誤比例0.55%，占全部比例0.01%該錯誤屬于系統或者網絡問題，可以通過降低AC負荷、優化AC性能來避免。網絡部一直在按月分AC分析該錯誤，并將該指標納入通報，督促各省解決。錯誤原因

統計數量（次/天）

占本環節錯誤的比例占正常上線請求的比例

請求AUTH此鏈接已建立6283473.91%1.80%請求AU