防范帶寬透傳交流

1、防范帶寬透傳經(jīng)驗交流2012年11月透傳的背景材料透傳案例分享防范透傳的思路防范帶寬透傳經(jīng)驗交流透傳的背景知識互聯(lián)網(wǎng)的蓬勃發(fā)展，移動互聯(lián)網(wǎng)的迅速壯大，網(wǎng)民數(shù)量的飛速增長傳統(tǒng)固網(wǎng)運營商，在互聯(lián)網(wǎng)業(yè)務的發(fā)展中始終占據(jù)了主導地位IDC作為一個戰(zhàn)略型業(yè)務，被各省在大力的發(fā)展，前期對于網(wǎng)吧寬帶的拉動效應已經(jīng)有目共睹，對于家庭寬帶接入業(yè)務的拉動促進業(yè)務收入和用戶規(guī)模的不斷增長運營商之間的通過工信部規(guī)定的互聯(lián)點進行互訪，因為用戶群龐大、網(wǎng)上內(nèi)容海量，互聯(lián)點帶寬成為網(wǎng)間互通的瓶頸，也成為我們保持競爭優(yōu)勢的利器網(wǎng)間結(jié)算對于互聯(lián)網(wǎng)小運營商來說是高昂的成本，1G每月在100萬的級別，流進流出都需要結(jié)算誰？電信網(wǎng)絡小

2、ISP網(wǎng)絡電信IDC互聯(lián)網(wǎng)服務電信運營商的帶寬資源長期存在被小運營商或競爭對手通過 VPN+NAT 方式非法盜用的問題，這種行為被稱為“透傳 ”。這種帶寬透傳行為對電信運營商的收入造成了損失，因此電信運營商急需解決方案來對其進行發(fā)現(xiàn)與控制。VPNNAT透傳訪問透傳的背景知識為什么會有透傳？全業(yè)務競爭對于消除短板的需要資金充足，用利益驅(qū)動，用錢砸難以承受網(wǎng)間結(jié)算的高額資費，走下水道互聯(lián)網(wǎng)公司ISP都不是很賺錢，開辟了一個發(fā)財?shù)耐ǖ?，透傳采購價遠高于IDC帶寬價格中國電信各省聯(lián)動性較弱，有空子可鉆防范透傳的技術手段跟不上透傳技術的發(fā)展，道高一尺魔高一丈最大透傳帶寬采購商透傳的背景知識 早期透傳模式

3、：早期透傳模式相對簡單，不具備隱蔽性，一般采用IDC機房雙線服務器代理訪問或采用公司的高帶寬雙線服務器代理訪問，其代理原理一致。電信 骨干節(jié)點互聯(lián)點雙線代理服務器其它運營商 客戶data其它運營商數(shù)據(jù)進入代理服務器data通過代理服務器直接訪問電信提供的網(wǎng)絡服務有外拉光纖的IDC透傳的背景知識 隱蔽性透傳模式：其它運營商客戶通過某節(jié)點VPN加密隧道訪問電信IDC機房服務器，通過該服務器代理訪問電信提供的網(wǎng)絡服務。其它運營商 客戶電信 骨干節(jié)點VPN加密隧道dataXXX數(shù)據(jù)加密隧道跳轉(zhuǎn)電信IDC內(nèi)服務器互聯(lián)點雙線代理服務器dataA省B省中國電信ChinaNet透傳的背景知識新透傳的幾個基本要

4、素互聯(lián)點：物理雙線路（adsl、專線、IDC外拉光纖、無線匯接點）加密隧道VPN出網(wǎng)點：帶寬低價、穩(wěn)定、不易被查演變的趨勢：單點大帶寬向多個小帶寬匯聚發(fā)展，集中分散公開協(xié)議向私有協(xié)議發(fā)展，普遍特殊所有應用向特殊應用發(fā)展，粗放細分采購者從乙方向甲方發(fā)展，稀缺泛濫道高一尺、魔高一丈！透傳的背景材料透傳案例分享防范透傳的思路防范帶寬透傳經(jīng)驗交流透傳案例分析訪問地址回顯網(wǎng)站，取證，移動用戶根據(jù)地址發(fā)現(xiàn)IDC內(nèi)的服務器封存設備，并進入查看配置獲取對端的地址信息以及透傳的方式將客戶列入黑名單，并聯(lián)系外省配合清查出網(wǎng)點服務器配置分析透傳案例分析通過現(xiàn)場查看，該地址接入為單線接入，操作系統(tǒng)為LINUX系統(tǒng)，破

5、解登錄口令后發(fā)現(xiàn)該服務器配置了一個IP地址：48，無其他運營商地址！也沒有配置VPN！但是該終端發(fā)現(xiàn)了一個異?，F(xiàn)象，配置了一個IPIP1協(xié)議，在該協(xié)議上配置了一個內(nèi)網(wǎng)地址/30.然后進行了抓包分析，發(fā)現(xiàn)跟該終端互聯(lián)的只有一個地址：20（浙江省臺州市 電信），跟該終端收發(fā)的數(shù)據(jù)包IP頭后還包含一個IP頭，里面的IP地址均為移動地址，見下圖：透傳案例分析通過以上分析，初步定位浙江移動違規(guī)透傳互聯(lián)點在浙江臺州電信，再通過浙江臺州電信與揚州高郵IDC服務器48間的隧道透傳流量。 違規(guī)透傳流量示意圖如下：透傳案例分析透傳的背景材料透傳案例分享防范透傳的思路防范帶寬透傳經(jīng)驗交流防范透傳的思路VPN隧道成為

6、透傳的主流手段互聯(lián)點和出網(wǎng)點不在一個省的典型特征J省打透傳，但是卻幫助了A省寬帶市場的競爭發(fā)展?；ヂ?lián)點是源頭，出網(wǎng)點只是下水道?；ヂ?lián)點終結(jié)點出網(wǎng)點防范透傳的思路IDC流量正常情況應該是出流量（如帶有HTTP返回信息）入流量（帶有HTTP請求信息）。如果IDC內(nèi)部存在透傳現(xiàn)象，透傳部分會導致IDC入流量會帶有大量HTTP返回信息，出流量會存在大量HTTP請求信息，同時會使IDC出現(xiàn)VPN流量。HTTP請求信息從理論上不能作為判斷是否存在透傳的唯一標準，據(jù)和CDN公司交流，CDN的技術會使IDC出現(xiàn)類似于透傳的特征。從技術上分析，如果IDC出流量出現(xiàn)大量HTTP請求信息，那么就具備了成為透傳出網(wǎng)節(jié)

7、點的嫌疑。防范透傳的思路透傳小公司往往會采用混雜的方式，即部分正常服務混入部分透傳的流量，VPN采用軟件的方式來實現(xiàn)。但從技術上，單個IP地址即出現(xiàn)正常流量又出現(xiàn)透傳流量的概率會比較小。在監(jiān)控手段上，應該先通過HTTP請求信息來發(fā)現(xiàn)異常的IP地址，然后針對個別IP地址進行監(jiān)控和取證。防范透傳的思路透傳的流量模型多個互聯(lián)點：一個終結(jié)點：一個出網(wǎng)點（出網(wǎng)點和終結(jié)點共用同一個設備或IP）；流量模型=終結(jié)點和出網(wǎng)點出入流量相等多個互聯(lián)點：一個終結(jié)點：一個出網(wǎng)點（不共用設備或IP）；流量模型=終結(jié)點和出網(wǎng)點出入流量交叉對稱多個互聯(lián)點：多個終結(jié)點：多個出網(wǎng)點（終結(jié)點出入流量=出網(wǎng)點出入流量）防范透傳的思路

8、關鍵在于發(fā)現(xiàn)IDC內(nèi)部的異常用戶行為設備（服務器表現(xiàn)為一般用戶行為）分析流量流向比例（不符合進小出大的行為）分析VPN流量的特征（PPTP、IPIP、L2TP，OPENVPN非標準協(xié)議）分析端口的訪問情況（TCP80、BT UDP 6881-6889、QQ TCP/UDP 4000、8000）分析網(wǎng)絡游戲的協(xié)議（IDC服務器訪問游戲服務的用戶行為）分析P2P+視頻協(xié)議（IDC服務器訪問視頻網(wǎng)站和P2P的行為）分析HTTP協(xié)議（服務器訪問web服務器的行為）建立流量模型、網(wǎng)絡游戲協(xié)議、P2P+視頻協(xié)議綜合分析分析CDN模式進行透傳的可能性（區(qū)分CDN流入流出特點，找出游戲用戶、視頻用戶的行為）防

9、范透傳的思路 X市IDC核心IDC匯聚中心南京江東路IDC匯接GSR12816南京鼓樓IDC匯接NE5000E無錫國脈IDC匯接GSR12816GenieATM6300GenieATM-URL 采集器光選路器光選路器 IDC流量流向分析系統(tǒng)10GPOS分光流量xflow數(shù)據(jù)包GenieATM-URL 采集器針對所有IDC進行分光、流量流向分析，針對1拖N，服務器表現(xiàn)為用戶行為進行分析。防范透傳的思路在關鍵字比對的時候，增加一個模糊識別的功能，針對在論壇網(wǎng)頁中出現(xiàn)類似 xxx.xxx.xxx.*地址信息的，又是別人發(fā)帖的，比對一下地址是否落在江蘇，如果落在江蘇，是落在哪個IDC客戶上的，并形成報