当前位置：首页 > news >正文

上网行为安全（2）

news 2025/9/24 9:24:19

3.4 终端识别和管理技术

3.4.1 防共享需求背景

需求背景

在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求，即防代理、防一拖N的需求。

目前运营商以及企业需要面对共享上网主要带来的2个问题：

1、在企业中，不少用户共享自己访问互联网的权限给其他用户，绕开了企业对用户设定的上网权限控制，使得原本没有上网权限的用户可以上网了，或者使得原本上网权限较低的用户拥有了较高的权限，给网络管理带来了诸多麻烦。

2、在运营商承建和运维的高校网络中，遇到很多学生使用路由器或者其他软件方式，共享互联网的访问给其他同学或朋友，直接造成运营商的收益收到影响。

需求背景：

（1）私接Wi-Fi容易暴露内网，因此需要禁止共享上网行为，避免共享接入的用户绕开企业的上网权限控制和上网行为监控。

（2）运营商承建高校的校园网，学生寝室内无线共享网络，影响运营商宽带开户率及收益

3.4.2 防共享识别和控制技术

终端共享和解决方案

NAT共享上网场景

终端共享场景（一）：

多台终端（两台或者两台以上，终端类型不限）通过同一个前端路由器NAT共享上网

CCPROXY共享上网场景

终端共享场景（二）：

一台终端安装代理工具，其他终端通过代理，来实现共享上网

360WIFI共享上网场景

终端共享场景（三）：

一台PC外接360wifi，其他终端通过共享上网

传统防共享技术—ID轨迹检测

• Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加

• Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距

优点：较准确地判断出是否为共享上网用户较准确的判断出在线共享上网主机数完全被动监听，不发送探测信息

缺点：需要一段时间的观察（一般两天以上）对分时上网和PROXY的检测效果不明显 DHCP情况下效果较差

传统防共享技术—时钟偏移检测

不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系

不同主机发送报文频率与时钟存在统计对应关系

通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机

优点：非常准确地判断出是否为共享上网用户能够较准确的判断出共享上网主机数

缺陷：需要复杂的计算方法进行处理分析需要一段时间的观察（建议两天以上） DHCP情况下效果较差

其他传统防共享技术

深信服DPI检测技术

技术原理：

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的TCP数据包中带有PC的IP信息， AC设备通过分析这些数据包可以提取出PC端的IP，根据不同的IP数量得出共享的PC数量,比如QQ登录时候的数据包中会携带电脑网卡的IP地址，适用于windows的电脑

QQ检测防共享过程

深信服字体检测技术

技术原理:

在共享的PC相继访问http网站，播放在线视频（浏览器需要安装flash）， AC篡改PC请求，令PC上报系统字体信息到AC，假设pc1 上报的字体为font1， PC2上报的为font2，那么要检测到PC1和PC2共享需要类似于这样的上报序列 font1，font2，font1交错上报，就可以识别出共享行为。

检测前提：

1. 相同flash插件制造商获取的系统字体列表相同

2. 不同PC间，相同flash插件制造商获取的系统字体列表不同

3. 这些特性与flash插件版本无关

4. 此方法只适用于windows的电脑

深信服辅助检测技术

URL检测

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和终端强关联的，即同一终端发送的特征串信息是相同的，不同终端间发送的是不同的， AC设备根据提取到的不同的特征串数量得出共享的终端数量。

微信特征ID 检测

通过分析微信客户端在发送消息时，在数据包固定的偏移位置，存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数，统计提取数量的个数得出共享移动终端数量

移动终端共享识别工作原理

应用规则检测

设备内置规则库，可以从这些应用中分析出不同的终端类型，其中包括IM社交、在线视频、生活、新闻资讯、地铁、下载客户端、移动浏览器、PC端手机助手等类型的应用，例如微信、移动 QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。

PC端的应用有如下，例如QQ音乐、百度网盘、爱奇艺软件、安全卫士、腾讯视频、有道、优酷、 windowsupdate、rar解压软件、PowerPoint、Word、flash、google、QQ宠物、QQ拼音、迅雷下载、微软、福昕pdf、Media-Player、向日葵远程、金山毒霸、赛门铁克、戴尔技术支持中心、 PC版本的网易邮箱、PC版本的QQ游戏等等

配置方案

【终端接入管理】-【共享接入管理】启用共享接入检测进行配置：

1、配置选项，可以配置统计所有终端（识别PC与PC，PC与移动端，移动终端与移动终端之间），或者仅统计电脑终端（可识别PC与PC之间的共享）。冻结选项可以选择多少台就识别成共享，共享后冻结多长时间等；

2、允许共享行为的用户，可以添加受信任列表，上网将不会受影响

注意事项

Android和IOS平台支持识别具体终端型号，IOS不区分具体的型号版本（例如，iphone6、iphone6plus 统一只识别iphone)

Android系统移动终端，只有在使用UC浏览器，登录微信看好友动态，登录QQ看好友动态才会带上终端手机型号类型，如酷派，联想，华为。如果共享行为没有识别到手机的具体型号可能是没触发这类应用。

同种手机型号的手机也可支持识别，但是由于型号一致可区分的特征不多。一般不建议用同种手机型号终端做测试。 Ø软件特征检测不支持webqq 等，只支持客户端；

QQ软件特征检测方式，程序默认排除了142.16.0.0/16网段的地址，如果电脑配置这个地址段，用QQ软件特征检测，防共享会不生效，其它方式检测不受影响。

不支持识别以下三种场景

1、手机插电脑上充电这种场景下，手机会自动通过电脑发数据包（手机一般都有默认选项，只要识别到连接电脑，自动通过电脑的网络发送流量）。从防共享检测的实现原理来讲，设备会检测到同一个IP的不同终端流量。在手机插入电脑后，去关闭这个选项，是无用的，因为此时流量已经发出。

手机接在电脑上传本地的图片文件等动作也会被识别为共享行为。

2、PC里装了虚拟机 AC会检测到不同操作系统

3、电脑上安装移动终端模拟器这种场景下，电脑上也会发出移动和PC两种流量的数据包。

测试方法推荐

3.4.3 移动终端管理需求背景

私接Wi-Fi给内网带来巨大隐患

部分办公人员为了一己之便，私接无线Wi-Fi共享设备，让自己的手机、平板电脑也能够访问互联网络。私接了无线 Wi-Fi共享设备，相当于将内部网络公开暴露在外，无线网络的开放性为不法分子利用黑客渗透技术入侵到内网中提供便利，一旦被不法分子入侵，后果不堪设想：破坏网络致使网络瘫痪、盗取或删除资料、种植木马长期隐藏等等。

新兴廉价Wi-Fi工具降低私接Wi-Fi难度和成本

市面上推出的360Wi-Fi、小米Wi-Fi和小度Wi-Fi等随身Wi-Fi工具，凭借其价格便宜而且方便使用的优势，迅速普及到用户手中，同时也催化了网络中私接无线Wi-Fi共享设备的安全隐患。

蹭网卡的流行使违规违纪行为难以发现和追溯

当前火爆的蹭网卡，通过软件破解技术直接破解其他合法设备的无线网卡密码，以其他人的身份接入网络，这种方式以其隐僻、难追溯等特点一度成为内网安全的巨大黑洞