WLAN認(rèn)證平臺(tái)七步分析法_第1頁
WLAN認(rèn)證平臺(tái)七步分析法_第2頁
WLAN認(rèn)證平臺(tái)七步分析法_第3頁
WLAN認(rèn)證平臺(tái)七步分析法_第4頁
WLAN認(rèn)證平臺(tái)七步分析法_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

WLAN認(rèn)證平臺(tái)七步分析法總部網(wǎng)絡(luò)部監(jiān)控處2013年6月WLAN用戶上線全景圖總部組織專家團(tuán)隊(duì)建立認(rèn)證平臺(tái)的日志關(guān)聯(lián)分析方法和模型,制定了WLAN日志分析7步法,按WLAN上線全流程的7個(gè)環(huán)節(jié)進(jìn)行分析,最終認(rèn)證成功僅占用戶Portal請(qǐng)求0.5%。4.3億1.75億0.4億349萬280萬251萬243萬231萬100%41%9%0.8%0.7%0.6%0.57%0.54%認(rèn)證通過0.36億掃描攻擊,占比91%,是正常訪問量的10倍推送認(rèn)證頁面用戶發(fā)起登錄用戶信息驗(yàn)證平臺(tái)與AC建立認(rèn)證通道AC發(fā)起鑒權(quán)1234567Radius鑒權(quán)排除掃號(hào)攻擊6環(huán)節(jié)1:認(rèn)證頁面推送用戶Portal請(qǐng)求為降低系統(tǒng)負(fù)荷,一級(jí)認(rèn)證平臺(tái)在Portal側(cè)采用了UA識(shí)別攔截技術(shù),將非用戶瀏覽器發(fā)起的WEB請(qǐng)求全部攔截。攔截率60%。主要攔截的頁面請(qǐng)求來自于:PPStream、QQ音樂、暴風(fēng)影音等流媒體軟件、QQ等即時(shí)通訊軟件、iTunes、安卓市場等市場類軟件、360安全衛(wèi)士等殺毒軟件。用戶UA識(shí)別攔截Portal推送頁面4.34億次1.75億次每天Portal服務(wù)器會(huì)收到4.34億次請(qǐng)求,其中僅1.75億次為正常瀏覽器發(fā)送的請(qǐng)求,非用戶瀏覽器請(qǐng)求約占總請(qǐng)求數(shù)的60%。建議網(wǎng)絡(luò)部牽頭,同時(shí)將一級(jí)認(rèn)證平臺(tái)的攔截UA列表進(jìn)行匯總后發(fā)布給各省,要求在二級(jí)認(rèn)證平臺(tái)使用該方法進(jìn)行攔截,降低系統(tǒng)負(fù)荷。建議研究院牽頭,將認(rèn)證平臺(tái)的無效UA攔截功能納入規(guī)范。7環(huán)節(jié)2:用戶發(fā)起登錄針對(duì)這些用戶,我們使用相同IP地址去重后發(fā)現(xiàn)每天有5.3萬用戶除了瀏覽登錄首頁外,還瀏覽過業(yè)務(wù)介紹和資費(fèi)介紹頁面,是我們的潛在客戶。建議市場部門考慮如何引導(dǎo)更多用戶打開Portal后使用WLAN業(yè)務(wù)。Portal推送頁面1.75億次每天1.75億次Portal首頁瀏覽,其中只有0.39億次用戶會(huì)填寫用戶名和密碼進(jìn)行登錄請(qǐng)求,占比僅為22%。用戶上線請(qǐng)求0.39億次8環(huán)節(jié)3:排除掃號(hào)攻擊攻擊者的來源IP自全國各地,屬于分布式攻擊,IDP防火墻等傳統(tǒng)方式難以有效攔截。

每天0.39億次WLAN用戶上線請(qǐng)求中,有0.36億次的申請(qǐng)為掃號(hào)軟件攻擊,占比達(dá)91%

,命中率極低,但給系統(tǒng)帶來極大的負(fù)荷。正常上線請(qǐng)求用戶上線請(qǐng)求掃號(hào)軟件攻擊0.39億次0.36億次349萬次超過90%的系統(tǒng)負(fù)荷被無效攻擊耗費(fèi),嚴(yán)重影響業(yè)務(wù)的穩(wěn)定性,2012年以來由于該因素已經(jīng)造成系統(tǒng)8次故障。強(qiáng)制使用圖形驗(yàn)證碼是解決掃號(hào)攻擊的最有效方法。建議數(shù)據(jù)部門牽頭,再次評(píng)估是否可以對(duì)用戶登錄增加圖形驗(yàn)證碼限制,徹底解決掃號(hào)軟件對(duì)平臺(tái)的影響。掃號(hào)攻擊對(duì)用戶帳號(hào)安全性的影響已經(jīng)得到控制:由于已經(jīng)加強(qiáng)了密碼長度和強(qiáng)度的要求,并開展了各省公司的弱密碼重置等工作,掃號(hào)軟件的命中率極低,采樣的日志分析顯示成功破解用戶帳號(hào)的比率為0%。9環(huán)節(jié)4:用戶信息驗(yàn)證每天349萬次正常上線請(qǐng)求中,有20%無法通過用戶訂購關(guān)系和密碼的Portal側(cè)驗(yàn)證。錯(cuò)誤原因

占本環(huán)節(jié)錯(cuò)誤比例占全部正常上線請(qǐng)求的比例

用戶密碼錯(cuò)誤42.46%8.27%用戶沒有訂購業(yè)務(wù)24.79%4.83%用戶狀態(tài)錯(cuò)誤19.73%3.84%自動(dòng)認(rèn)證已過期(cookie)9.16%1.79%動(dòng)態(tài)密碼有效期過期、用戶卡無效、用戶沒有可用時(shí)長、帳號(hào)不支持動(dòng)態(tài)密碼2.16%0.42%Portal前后臺(tái)通訊異常,OBS訪問失敗1.68%0.33%用戶密碼錯(cuò)誤:其中67%是用戶記錯(cuò)密碼(一段時(shí)間內(nèi)有密碼錯(cuò)誤但最終成功);33%是用戶完全忘記密碼(全部密碼錯(cuò)誤)。建議數(shù)據(jù)部牽頭研究增加措施,對(duì)于可能忘記密碼的用戶,主動(dòng)短信提示用戶重置密碼或者提醒用戶使用動(dòng)態(tài)密碼來幫助用戶登錄。用戶沒有訂購業(yè)務(wù)錯(cuò)誤按賬號(hào)類型區(qū)分:移動(dòng)手機(jī)號(hào)碼占比69%、其他運(yùn)營商手機(jī)號(hào)碼3%、其余28%屬于非有效的手機(jī)號(hào)碼。使用移動(dòng)號(hào)碼嘗試登錄的用戶屬于潛在用戶,建議市場部考慮進(jìn)行針對(duì)性營銷,對(duì)于非移動(dòng)手機(jī)號(hào)碼的嘗試登錄用戶,可以在登錄頁面提示購買預(yù)付費(fèi)卡來使用WLAN業(yè)務(wù)。10環(huán)節(jié)4:用戶信息驗(yàn)證自動(dòng)認(rèn)證已過期錯(cuò)誤,動(dòng)態(tài)密碼有效期過期等錯(cuò)誤:屬于用戶正常行為導(dǎo)致,主要為用戶修改密碼或者更換終端,動(dòng)態(tài)密碼過期、使用無效卡登錄等問題導(dǎo)致。Portal前后臺(tái)通訊異常和OBS訪問失?。簩儆谙到y(tǒng)遭受突發(fā)業(yè)務(wù)量高峰的時(shí)候,系統(tǒng)內(nèi)資源受限導(dǎo)致的處理失敗,可以通過降低掃號(hào)攻擊對(duì)系統(tǒng)的影響來避免。用戶狀態(tài)錯(cuò)誤:其中有13.66%是由于省內(nèi)boss與集團(tuán)認(rèn)證平臺(tái)用戶狀態(tài)不一致導(dǎo)致的失敗。建議計(jì)劃部盡快組織上線數(shù)據(jù)一致性對(duì)比接口,請(qǐng)各省公司利用該接口定期開展數(shù)據(jù)比對(duì)和修復(fù)。11環(huán)節(jié)5:平臺(tái)與AC建立認(rèn)證通道

每天通過Portal驗(yàn)證的280萬正常上線請(qǐng)求中,有10%無法正常建立認(rèn)證通道。錯(cuò)誤原因

統(tǒng)計(jì)數(shù)量(次/天)

占本環(huán)節(jié)錯(cuò)誤的比例占正常上線請(qǐng)求的比例

請(qǐng)求Challenge此鏈接已建立13674946.46%3.91%請(qǐng)求Challenge被拒絕12575142.73%3.60%請(qǐng)求Challenge有一個(gè)用戶正在認(rèn)證過程中185826.31%0.53%其他錯(cuò)誤(portal根據(jù)Acname參數(shù)無法找到對(duì)應(yīng)的ACIP)129324.39%0.37%請(qǐng)求Challenge,上線BAS錯(cuò)誤1610.05%0.00%接收AC/BAS響應(yīng)包超時(shí)560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復(fù)登錄390.01%0.00%請(qǐng)求Challenge鏈接已建立、請(qǐng)求Challenge被拒絕說明用戶的IP地址不合法,通過在AC側(cè)抓包共同分析,發(fā)現(xiàn)主要原因是用戶收藏登錄頁面或自行修改登錄頁面URL導(dǎo)致。建議計(jì)劃部牽頭在Portal上增加功能,提醒用戶不要收藏認(rèn)證頁面。建議研究院牽頭研究優(yōu)化認(rèn)證流程,在IP地址已經(jīng)在線時(shí)提示用戶已經(jīng)認(rèn)證通過,在IP地址非法時(shí)向用戶重新推送認(rèn)證頁面。上線bas錯(cuò)誤、響應(yīng)包超時(shí)錯(cuò)誤:該錯(cuò)誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題,可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該類型錯(cuò)誤,并將該指標(biāo)納入通報(bào),督促各省解決。其他錯(cuò)誤:其他用戶行為導(dǎo)致,一般不會(huì)影響用戶感知,詳細(xì)分析可見附錄。12每天成功建立Challenge過程的251萬正常上線請(qǐng)求中,有3%無法通過向AC發(fā)起的鑒權(quán)過程。請(qǐng)求AUTH鏈接已建立錯(cuò)誤:用戶同時(shí)發(fā)起多次上線流程的時(shí)候部分AC的端口處理機(jī)制出現(xiàn)混亂,以最后一次收到Portal消息的端口回復(fù)Portal,此時(shí)用戶側(cè)顯示認(rèn)證成功,但上不了網(wǎng)。建議網(wǎng)絡(luò)部牽頭對(duì)現(xiàn)網(wǎng)設(shè)備進(jìn)行排查;建議研究院明確AC設(shè)備在處理同一用戶短時(shí)間內(nèi)多次重復(fù)認(rèn)證請(qǐng)求的要求,并納入設(shè)備規(guī)范。錯(cuò)誤原因

統(tǒng)計(jì)數(shù)量(次/天)

占本環(huán)節(jié)錯(cuò)誤的比例占正常上線請(qǐng)求的比例

請(qǐng)求AUTH此鏈接已建立6283473.91%1.80%請(qǐng)求AUTH有一個(gè)用戶正在認(rèn)證過程中,請(qǐng)稍后再試2171025.54%0.62%請(qǐng)求AUTH,上線BAS錯(cuò)誤4680.55%0.01%環(huán)節(jié)6:AC發(fā)起鑒權(quán)其他錯(cuò)誤:對(duì)用戶感知影響不大,詳細(xì)分析可見附錄。13環(huán)節(jié)7:Radius鑒權(quán)每天通過AUTH鑒權(quán)的243萬正常上線請(qǐng)求中,有5%Radius認(rèn)證失敗。唯3性限制拒絕:原因是用戶同時(shí)登錄的終端數(shù)量超過3個(gè),屬于用戶原因。密碼錯(cuò):密碼校驗(yàn)工作在Portal驗(yàn)證環(huán)節(jié)已經(jīng)做過,該環(huán)節(jié)不應(yīng)該再出現(xiàn)該錯(cuò)誤;經(jīng)過聯(lián)合AC抓包分析,發(fā)現(xiàn)一級(jí)認(rèn)證平臺(tái)存在一個(gè)軟件Bug,導(dǎo)致部分用戶密碼正確的時(shí)候也會(huì)被認(rèn)證平臺(tái)誤判為密碼錯(cuò)誤。建議計(jì)劃部組織制定解決方案,盡快修復(fù)該Bug。錯(cuò)誤原因

統(tǒng)計(jì)數(shù)量(次/天)

占本環(huán)節(jié)錯(cuò)誤的比例占正常上線請(qǐng)求的比例

認(rèn)證請(qǐng)求被拒絕(唯3性限制)10744488.93%3.07%Radius認(rèn)證密碼錯(cuò)99468.23%0.28%認(rèn)證域名錯(cuò)誤21221.76%0.06%認(rèn)證端口錯(cuò)誤13021.08%0.04%14環(huán)節(jié)7:Radius鑒權(quán)認(rèn)證域名錯(cuò)誤:說明AC送給Radius認(rèn)證的用戶名的后綴不正確,主要原因?yàn)锳C設(shè)備問題或者AC設(shè)備配置問題。請(qǐng)各省公司整治AC認(rèn)證域名錯(cuò)誤的問題。正確的后綴:@web.pc;@web.mobile;錯(cuò)誤的后綴:@wlantest認(rèn)證請(qǐng)求應(yīng)該發(fā)送至端口1645但被發(fā)送至2645端口認(rèn)證端口錯(cuò)誤:說明AC將認(rèn)證請(qǐng)求的發(fā)送至錯(cuò)誤的目的端口,導(dǎo)致認(rèn)證不能正確處理,主要原因?yàn)锳C設(shè)備問題或AC設(shè)備配置問題。請(qǐng)各省公司整治AC認(rèn)證端口錯(cuò)誤的問題。15附錄1:環(huán)節(jié)5的其他錯(cuò)誤分析請(qǐng)求Challenge有一個(gè)用戶正在認(rèn)證過程中錯(cuò)誤:占本環(huán)節(jié)錯(cuò)誤比例6.31%,占全部比例0.53%該錯(cuò)誤說明該用戶認(rèn)證之前有一個(gè)認(rèn)證還在處理過程中。通過在AC側(cè)抓包共同分析,發(fā)現(xiàn)主要原因是用戶配置了Cookie認(rèn)證導(dǎo)致,在用戶配置了Cookie登錄后,如果同時(shí)打開多個(gè)瀏覽頁面,就會(huì)同時(shí)發(fā)起多個(gè)認(rèn)證登錄請(qǐng)求,其中第一個(gè)認(rèn)證請(qǐng)求可以正常處理,后續(xù)的認(rèn)證請(qǐng)求就會(huì)出現(xiàn)該錯(cuò)誤。該錯(cuò)誤不會(huì)影響用戶感知,但會(huì)對(duì)系統(tǒng)造成額外負(fù)荷,建議研究院研究是否可以通過流程優(yōu)化等方式解決。上線bas錯(cuò)誤和響應(yīng)包超時(shí)錯(cuò)誤:占本環(huán)節(jié)錯(cuò)誤比例0.07%,占全部比例0.01%該錯(cuò)誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題,可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該錯(cuò)誤,并將該指標(biāo)納入通報(bào),督促各省解決。其他錯(cuò)誤:用戶自行填寫的錯(cuò)誤ACname,導(dǎo)致portal根據(jù)ACname參數(shù)無法找到對(duì)應(yīng)的ACIP,用戶上線且使用同一用戶名和IP重復(fù)登錄,這些錯(cuò)誤一般都是用戶操作不當(dāng)導(dǎo)致。錯(cuò)誤原因

統(tǒng)計(jì)數(shù)量(次/天)

占本環(huán)節(jié)錯(cuò)誤的比例占正常上線請(qǐng)求的比例

請(qǐng)求Challenge此鏈接已建立13674946.46%3.91%請(qǐng)求Challenge被拒絕12575142.73%3.60%請(qǐng)求Challenge有一個(gè)用戶正在認(rèn)證過程中185826.31%0.53%其他錯(cuò)誤(portal根據(jù)Acname參數(shù)無法找到對(duì)應(yīng)的ACIP)129324.39%0.37%請(qǐng)求Challenge,上線BAS錯(cuò)誤1610.05%0.00%接收AC/BAS響應(yīng)包超時(shí)560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復(fù)登錄390.01%0.00%23附錄2:環(huán)節(jié)6的其他錯(cuò)誤分析請(qǐng)求AUTH有一個(gè)用戶正在認(rèn)證過程中錯(cuò)誤:占本環(huán)節(jié)錯(cuò)誤比例25.54%,占全部比例0.62%該錯(cuò)誤說明用戶短時(shí)間內(nèi)發(fā)起多次重復(fù)認(rèn)證,且上一次Auth認(rèn)證環(huán)節(jié)還未結(jié)束。通過在AC側(cè)抓包共同分析,發(fā)現(xiàn)主要原因是:用戶配置了Cookie認(rèn)證,在打開多標(biāo)簽瀏覽器時(shí)會(huì)同時(shí)發(fā)起多個(gè)認(rèn)證登錄請(qǐng)求,多次認(rèn)證同時(shí)發(fā)起就可能會(huì)引發(fā)該錯(cuò)誤。該錯(cuò)誤不會(huì)影響用戶感知,但會(huì)對(duì)系統(tǒng)造成額外負(fù)荷,建議研究院研究是否具備可行的解決方案。上線bas錯(cuò)誤:占本環(huán)節(jié)錯(cuò)誤比例0.55%,占全部比例0.01%該錯(cuò)誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題,可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該錯(cuò)誤,并將該指標(biāo)納入通報(bào),督促各省解決。錯(cuò)誤原因

統(tǒng)計(jì)數(shù)量(次/天)

占本環(huán)節(jié)錯(cuò)誤的比例占正常上線請(qǐng)求的比例

請(qǐng)求AUTH此鏈接已建立6283473.91%1.80%請(qǐng)求AU

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論