防共享需求背景

• 共享上网即有多个终端共享源地址上网
• 需求背景
  • 私接WiFi容易暴露内网，避免共享接入的用户绕开企业上网权限控制和上网行为监控
  • 运营商承建高校的校园网，寝室内无线共享网络会影响运营商宽带开户率和收益
    

防共享识别和控制技术

• 共享上网情景
  • 通过路由器配置NAT代理，实现多台PC通过路由器共享上网
  • PC通过代理软件代理到其他PC进行共享上网
  • PC通过360WiFi等共享热点的软件共享上网
    

传统防共享技术

• ID轨迹检测
  • 只针对Windows主机，通过Windows网路协议栈实现时，ID字段的值会随着发送IP报文数的增加而增加
  • PC开机后，会随机产生一个ID值，之后PC会规律性增加这个ID值，一般不同的主机ID的初始值会不同
  • 通过监听ID字段的值，就可以发现是否存在共享上网
  • 优点
    • 能够准确的判断是否为共享上网用户
    • 可以判断出在线共享上的网络主机数
    • 完全是被动监听，不需要发送探测信息
  • 缺点
    • 需要一段时间的观察，一般两天以上。因为需要观察的时间长，而用户上网时间不会持续两天
    • 对于分时上网和Proxy的检测效果不明显。因为错开上网时间段，就无法检测出不同的ID值
    • DHCP情况下效果差。因为租约到期后，IP地址可能会发生改变
• 始终偏移检测
  • 不同的主机物理始终偏移不同，网络协议栈时钟与物理时钟存在对应关系
  • 不同主机发送报文频率与时钟存在统计对应关系
  • 可以通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机
  • 优点
    • 可以以准确的判断出是否为共享上网用户
    • 可以准确的判断出共享上网主机数
  • 缺点
    • 需要复杂的计算方法进行处理分析，消耗资源
    • 需要一段时间的观察，一般两天以上
    • DHCP情况下效果差
• 其他传统防共享技术

深信服DPI检测技术

PC与PC之间的检测技术

• QQ检测防共享技术
  • QQ在登陆时，发出的数据包中会包含自身的真实IP地址，经过网关设备进行NAT转换后，不会改变内层数据信息，AC在收到数据包后，进行检测，发现数据包中的源IP不同，则可以判定存在共享上网行为
• 深信服字体检测技术
  • 在共享的PC访问HTTP网站，播放视频时（需要安装Flash插件），AC请求篡改PC请求，使PC上报系统字体信息到AC，如果共享的PC使用不同的字体，则可以识别出共享上网行为
• 深信服辅助检测技术
  • URL检测
    • 通过分析常用应用软件的数据包，可以发现一些HTTP请求中，URL会有一些特征串，这些特征串会有一些信息是与PC强关联的。即同一台PC发出的特征信息串是相同的，不同的PC发出的是不同的。AC则可以根据不同的特征串数量得出共享上网的PC的数量
  • 微信特征ID 检测
    • 通过分析微信客户端在发送消息时，在数据包固定的偏移位置，同一个微信客户端的偏移位置是相同的，不同的客户端偏移位置不同。AC则可以根据提取偏移位置的数量，得到共享上网设备的数量
      

移动端与移动端之间的检测技术

• URL检测技术
  • 与PC间的URL检测技术相同
• 应用规则检测技术
  • 通过设备内置规则库，可以从应用中分析出不同的移动终端
• UA检测技术
  • User-Agent中包含有浏览器的标识信息（操作系统、加密等级、浏览器语言等信息），可以从这些信息中识别不同的终端
    

PC与移动端的检测技术

• URL检测技术
• 应用规则检测技术
  

移动终端管理需求背景

• 私接WiFi会给内网带来隐患
• 廉价的WiFi工具会降低私接WiFi难度和成本
• 蹭网卡的流行使得违规违纪行为难以被发现和溯源
  

移动终端识别和控制技术

• 排除信任IP和用户
  • 对于合法的AP接入，默认放行，而对于非法接入的AP或者用户，则需要进行管控
• 管理非法接入的移动终端
  • 对于非法接入的移动终端，可以配置拒绝此移动终端设备，禁止上网，并且经过该IP的所有访问都会被拒绝
• 识别移动终端
  • URL检测技术
  • 应用规则检测技术
  • UA检测技术

• 对于一下三种场景不支持识别
  • 手机通过USB数据线进行上网，共享PC的网络
  • PC中安装了虚拟机，AC会检测到不同的操作系统
  • 电脑上安装了移动终端模拟器，AC会检测到PC和移动终端的两种流量数据包

• 移动终端发现趋势
  • 针对最近7、30天，AC对每天发现的移动终端数量做趋势统计，方便管理员发现管理的有效性

【AC 终端识别和控制实验】

以上内容均属原创，如有不详或错误，敬请指出。