摘要:通过TCP/IP协议的综合利用,结合客户端探测以及数据分析,可以形成基于用户终端的接入网络拓扑信息,以及生成接入终端的特征指纹信息,可将采集的数据用于用户上网行为分析。传统的用户上网行为安全审计设备存在实时性差、检测不准确等问题。本文基于对校园网的拓扑结构以及网络协议的特征分析,及针对非法改装无线路由器的原理分析,提出组合网络协议检测非法路由器的一种技术。通过实验验证,此技术能有效解决检测非法改装无线路由器的难题,可以应用于校园网用户上网行为分析领域。
关键词;实名制;网络拓扑;终端协同;大数据
一、引言
校园网络实名制上网安全是信息安全管理的重要内容,而校园内存在大量的非法改装无线路由器,一方面非法改装无线路由器不符合国家网络设备安全规定,另一方面检测发现非法改装无线路由器也存在技术困难,对用户上网身份无法有效溯源,存在信息安全隐患。本文基于对校园网的拓扑结构以及网络协议的特征分析,以及针对非法改装无线路由器的原理分析,提出组合网络协议检测非法路由器的一种技术,并通过实验验证。此技术可有效解决检测非法改装无线路由器的难题,可以应用于校园网用户上网行为分析领域。
通过强加密技术实现客户端软件,并通过客户端软件拨号后接入校园网络,可检测常规用户上网行为并保障实名制安全上网。非法改装无线路由器,通过路由器内篡改网络协议(如:IPID伪装、TTL伪装、路由跟踪伪装等)以及复制终端MAC地址、IP等方式来规避客户端软件的检测。客户端常规的单项检测技术无法有效检测出这种改装无线路由器,考虑通过网络拓扑发现异常行为。由于终端接入的时间具有随机性、终端连接网络设备发生变更,校园拓扑发生变化,需要综合多种网络协议,构建校园网络拓扑信息,并基于采集数据进行分析,发现非法串接改装无线路由器的行为。
本文主要包括客户端软件以及服务端软件,利用运行在拨号上网终端上的客户端软件,主动发现并采集网络设备信息,服务端通过汇总分析客户端采集到的数据,形成一份广泛、详细、动态的网络拓扑信息。服务端利用生成的网络拓扑信息,结合终端状态信息通过终端邻居设备及孤立结点分析等方法,发现并定位疑似非法改装无线路由器。
二、网络拓扑发现
终端客户端从横向(邻居发现)和纵向(路由发现)两个方向探测网络拓扑结构,网络探测通过负载均衡设置和终端协同,实现校园网内单台终端只需少量检测采集可汇聚形成大规模终端检测数据。终端将网络拓扑信息上报到分析服务器,分析服务器将相关数据存储到数据库。分析服务器定期从数据库获取终端采集到的原始数据,进行相应的分析并生成整体的网络拓扑。校园网拓扑模型如图1所示,主要由3部分组成:终端、分析服务器和数据库。其中终端中安装特定拨号客户端,内置网络探测功能,用户必须使用该客户端拨号才能接入互联网;改装无线路由器上联到接入交换机。
(一)邻居发现
客户端使用ARP协议探测与自身终端接入到同一子网内的邻居终端设备。进行邻居发现探测时排除网关地址,子网广播地址等特殊IP地址。终端发送ARP指令探测,发送指令前先检查本地ARP缓存,若已存在对应的缓存项则不发送对应ARP指令。对于移动终端,结合使用UDP随机发送数据包来刷新ARP缓存,从路由表中检测有效的网络邻居。
(二)路由发现
客户端使用TTL、IP Option、SNMP协议探测与自身终端公网出口路由设备信息。
客户端随机选择TTL、IP Option两种方法中的一种进行路由发现探测,探测之前应先进行终端协同,若已有其它终端使用该方法探测过则放弃本次探测。
TTL:Time to Live,生存時间,表示允许数据报保留在internet系统中的最长时间。TTL在通信系统中递减,当值为0时网络设备将对应数据包丢弃处理。
Options:可用于扩展定义安全扩展,实现特殊用途。选项字段长度可变,可能有零或多个选项。Options 已定义Record Route选项,可用于记录报文路由。
通过递增设置TTL的方法,逐层探测链路的路由器地址。通过在IP头中增加Record route options字段内容的方法,让路由器回填自身地址以达到路由发现探测的目标。客户端解析返回的数据并形成路由链。使用SNMP协议获取路由器的设备型号信息,仅需要读取设备型号信息用于生成网络拓扑信息。
(三)负载均衡
基于网关IP信息和内网IP信息,对相同子网内IP进行探测,通过地址分组实现探测负载均衡,可实现探测策略的统一调度控制。
对于C类子网,每8个或16个地址分为一组,每个终端每次随机探测一组。探测之前应先进行终端协同,若该组已有其它终端探测过则选择另外一组。
(四)终端协同
同一子网内的客户端以协同、互补的方式进行网络拓扑探测,避免在同一台终端上消耗过多的计算能力。每台终端每次仅探测小段网络内的设备信息,多台终端共同组成完整的子网网络拓扑信息。客户端支持以UDP多播的方式进行终端协同,减少数据包发送数量。
邻居发现协同报文定义:
tag:协议标识,固定取值为“NBR”(不包含双引号,大写字符,ASCII编码),24bits。
ver:协议版本号,8bits无符号数,当前取值:0x01。
code:消息类型,8bits无符号数,指定当前报文的类型,0x01表示邻居发现协同报文。
prop:IP协议类型,8bits无符号数,0x04表示IPv4协议;0x06表示IPv6协议。
mask:子网掩码,8bits无符号数,以掩码有效位长度的形式表示,例如:255.255.255.0表示为24(0x18)。
group:分组ID,8bits无符号数,表示当前分组的ID,0表示XXX.XXX.XXX.0~ XXX.XXX.XXX.7;1表示XXX.XXX.XXX.8~ XXX.XXX.XXX.15;依此类推。
gateway:网关IP地址,二进制形式表示,IPv4为32bits;IPv6为128bits,网络字节顺序。
target:探测目标地址,二进制形式表示,IPv4为32bits;IPv6为128bits,网络字节顺序。最后一个字节使用group字段的内容。
路由发现协同报文定义:
tag:协议标识,固定取值为“RTC”(不包含双引号,大写字符,ASCII编码),24bits。
ver:协议版本号,8bits无符号数,当前取值:0x01。
code:消息类型,8bits无符号数,指定当前报文的类型,0x02表示路由发现协同报文。
prop:IP协议类型,8bits无符号数,0x04表示IPv4协议;0x06表示IPv6协议。
mask:子网掩码,8bits无符号数,以掩码有效位长度的形式表示,例如:255.255.255.0表示为24(0x18)。
method:探测方法,8bits无符号数,0x01表示TTL探测方法;0x02表示IP Option探测方法。
gateway:网关IP地址,二进制形式表示,IPv4为32bits;IPv6为128bits,网络字节顺序。
target:探测目标地址,二进制形式表示,IPv4为32bits;IPv6为128bits,网络字节顺序。最后一个字节使用group字段的内容。
三、网络拓扑分析
客户端根据内网IP以及公网IP信息确定所属学校网,并且客户端内置终端唯一ID生成和识别终端设备,基于设备身份和网络身份ID,可以对网络拓扑数据进行分类管理。基于客户端探测到的网络邻居以及路由信息,进行分级编号,基于IP地址关联分析,可以对采集的校园大规模终端拓扑检测数据进行分析,形成初步的校园网拓扑关系。基于校园网拓扑数据,进一步分析网络中的异常行为,识别出可疑的改装路由器。
(一)网络拓扑模型的建立
校园网网络拓扑主要分为4层,如图2、3所示,包括接入终端、交换机、网络出口等,个别有5、6层。根据探测的路由链形成分级路由,根据分级进行编号。
分级记录的数据包括:校园ID、层级ID、IP地址、设备类型、上层IP、下层IP、更新时间。根据数据分析,可形成网络拓扑图,如图4所示。
(二)网络拓扑动态分析
网络拓扑数据根据接入终端的类型、时间、数量的变化而变化,而正常情况下拓扑的层级基本不变。网络拓扑的分析基于终端的接入位置变化进行动态分析,包括接入网关的变化,接入层级的变化,以及网络邻居的变化,通过数据分析可以发现不同的用户行为模式。
(三)孤立点分析
基于校园网使用非法改装路由器的调查分析,可以确定改装路由器基本上是接入到网络拓扑的孤立点(参考上图3、4),为了更全面发现异常行为,需要对网络拓扑数据进行孤立点分析。传统的孤立点挖掘算法主要包括四类算法基于统计的方法,基于距离的方法,基于密度的方法,基于偏离的方法和基于聚类的挖掘算法。根据校园网的特点,主要结合基于统计的方法和基于聚类的挖掘算法进行分析,发现孤立点。
(四)终端特征指纹
任何终端均有个性化的特征,本文主要是基于网络协议请求响应的TTL以及时延特征采集,形成终端指纹信息。客户端拨号前以及拨号后,访问网关的响应性能有细微的差异,通过记录该差异并分析,形成终端特征指纹,并将编码信息上报到服务器。服务器可综合分析,进一步提升检测准确性。
四、结束语
本文提出的非法改装无线路由器检测技术,通过客户端软件与服务端配合,通过客户端检测、协同以及终端特征指纹采集,在服务端进行综合分析,可将检测非法改装无线路由器检测准确性提高到90%以上,結合其他手段可以进一步提高准确性。系统实现负载均衡以及终端协同,可有效实现单终端少量采集满足大规模网络拓扑探测的需求。系统已实现原型并在校园网环境测试,本文检测技术成果自2020年9月1起在某省份校园网推广,支撑220+所学校,进行115000+次后台分析,发现非法改装路由器8000+台,通过平台进行拦截封堵非实名制上网行为200万+次,取得较佳效果,在保障实名制上网安全的同时,每年间接拉动业务收入超过2000万元。本系统技术的原理实现(客户端探测功能以及服务端分析功能)以及校园网测试结果证明了该检测技术的可实施性,能够满足校园网络的实名制管理和非法串接行为监测。此外,本系统同样适用于其他大型园区网络的管理和监控。
作者单位:吴淼 中国电信股份有限公司广东分公司
龙茂华 中数通信息有限公司
李博 国家计算机网络应急技术处理协调中心广东分中心
参 考 文 献
[1]张勇,张德运,李钢. 网络拓扑发现的主动探测技术的研究和实现[J]. 小型微型计算机系统,2000,21(8):792-794.
[2]赵玲. 网络拓扑发现算法的研究[D].吉林大学,2011.
[3]季伟东.网络管理系统中拓扑发现的研究[D].哈尔滨理工大学,2004.
[4]陈旭.基于园区网的网络拓扑自动发现[D].太原理工大学,2003.
[5]刘荘.简单网络管理协议(SNMP)在校园网管理中的研究与应用[D].北京化工大学,2003.
[6]高长寿.IP网络分布式拓扑自动发现技术研究[D].武汉理工大学,2005.
[7]刘杰.多级网络拓扑发现技术研究[D].四川大学,2004.
[8]黄永平.孤立点分析方法在计算机审计中的应用[J].审计研究,2006(S1):86-89.
吴淼(1988.09.18-),女,汉族,山西大同,硕士,中级通信工程师,研究方向:中国电信股份有限公司广东分公司固网、政企宽带业务支撑;
龙茂华(1976.04.13-),男,汉族,广东高州,学士,高级系统架构设计师,研究方向:网络安全技术、移动互联网应用技术;
李博(1988.10.20-),男,汉族,河北石家庄,硕士,工程师,研究方向:网络信息安全工作。
