SIG業(yè)務(wù)監(jiān)控網(wǎng)關(guān)介紹2.ppt

Page1 VoIP檢測原理 以專利的媒體流檢測為基礎(chǔ) 結(jié)合信令流檢測為輔助 保證檢測高準(zhǔn)確率和高性能 避免單純信令流檢測而產(chǎn)生漏檢的情況 媒體流檢測原理 一個VoIP通話即生成一條語音媒體流 通過檢測承載在UDP之上的媒體流RTP連接數(shù)判斷是否為虛擬運營的VoIP網(wǎng)關(guān)正常用戶進(jìn)行流媒體通話或者視頻點播 不會占用過多的RTP接數(shù)虛擬VOIP運營的網(wǎng)關(guān)則同時存在少則幾十多則上百個媒體流連接數(shù) 信令流檢測原理 一個VoIP通話需要信令協(xié)議來支撐呼叫的建立和拆卸 通過檢測VOIP呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話 依托華為在NGN VOIP的積累 通過解析VOIP呼叫過程中使用的信令協(xié)議 H 323 SIP MGCP MEGACO 來獲取每次呼叫的詳細(xì)信息 包括 主叫號碼 被叫號碼 VOIP網(wǎng)關(guān) VOIP網(wǎng)守 Page2 電話網(wǎng)關(guān) 發(fā)送控制包 SPS L3或R 接入網(wǎng) 無源分光 鏡像 上行流量 SIG系統(tǒng) BAS 城域網(wǎng) 省干 PSTN Internet 分流平臺 SIG1000 控制 VoIP監(jiān)控工作流程 用戶發(fā)起VoIP語音電話請求SIG通過DPI 深度業(yè)務(wù)檢測 方式監(jiān)聽到VoIP通話SIG根據(jù)后臺業(yè)務(wù)分析服務(wù)器下的控制策略發(fā)數(shù)據(jù)包控制方式 噪音 回音 提示音 發(fā)送中止信令 強制拆卸呼叫 1 10級控制強度控制分時黑白名單用戶VoIP語音通話質(zhì)量降低 正常情況下的通話 加噪音控制的通話 Page3 檢測全面 信息豐富 在線VoIP網(wǎng)關(guān) 在線VoIP呼叫 網(wǎng)關(guān)話單匯總 每日匯總統(tǒng)計 Page4 SIG功能模塊 SIG VoIP監(jiān)控 P2P監(jiān)控 WEB推送 用戶行為分析 流量分析 共享接入監(jiān)控 Page5 功能描述監(jiān)控一個帳號下多個用戶利用NAT同時上網(wǎng)監(jiān)控一個帳號下多個用戶利用NAT分時上網(wǎng)監(jiān)控一個帳號下多個用戶利用Proxy同時上網(wǎng)監(jiān)控一個帳號下多個用戶利用Proxy分時上網(wǎng)黑白名單管理 共享接入監(jiān)控功能 Page6 非法共享接入的方式 Proxy共享 城域網(wǎng) ADSL終端 分時共享 帳號重?fù)?ADSL用戶 以太網(wǎng)用戶 城域網(wǎng) ADSL終端 ADSL用戶 以太網(wǎng)用戶 帳號盜用 MAC IP盜用 NAT共享 城域網(wǎng) ADSL用戶 以太網(wǎng)用戶 有NAT功能的ADSL終端 有NAT功能的路由設(shè)備 城域網(wǎng) ADSL用戶 以太網(wǎng)用戶 Proxy設(shè)備 Proxy設(shè)備 ADSL終端 Page7 非法共享接入檢測原理 針對地址盜用 帳號盜用 分時共用 私接用戶等非法接入采用在BAS設(shè)備上進(jìn)行 MAC IP VLAN PVC 帳號 的綁定Radius支持限制一個帳號同時上線1次針對采用NAT Proxy技術(shù)的非法接入 必須采用應(yīng)用層檢測技術(shù)時鐘漂移檢測 不需探測 IP包頭Identification軌跡檢測 不需探測 主機(jī)應(yīng)用特征檢測 不需探測 流量 連接數(shù)統(tǒng)計 不需探測 TTL檢測 不需探測 MAC地址檢測 需探測 SNMP掃描 需探測 探測掃描型檢測很容易被規(guī)避 而且對網(wǎng)絡(luò)有影響 Page8 檢測技術(shù)之一 ID軌跡檢測 Windows網(wǎng)絡(luò)協(xié)議棧實現(xiàn)時 I 字段的值隨著發(fā)送IP報文數(shù)的增加而增加Identification的初始值是隨機(jī)值 一般說來 不同主機(jī)的初始值有較大差距 優(yōu)點 1 較準(zhǔn)確地判斷出是否為共享上網(wǎng)用戶2 較準(zhǔn)確的判斷出在線共享上網(wǎng)主機(jī)數(shù)3 完全被動監(jiān)聽 不發(fā)送探測信息 缺點 1 需要一定時間的觀察 建議兩天以上 2 對分時上網(wǎng) Proxy檢測不準(zhǔn)確 Page9 檢測技術(shù)之二 時鐘偏移檢測 不同主機(jī)物理時鐘偏移不同 網(wǎng)絡(luò)協(xié)議棧時鐘與物理時鐘存在對應(yīng)關(guān)系不同主機(jī)發(fā)送報文頻率與時鐘存在統(tǒng)計對應(yīng)關(guān)系通過特定的頻譜分析算法 發(fā)現(xiàn)不同的網(wǎng)絡(luò)時鐘偏移來確定不同主機(jī) 優(yōu)點 1 非常準(zhǔn)確地判斷出是否為共享上網(wǎng)用戶2 能夠較準(zhǔn)確的判斷出共享上網(wǎng)主機(jī)數(shù) 缺點 1 需要復(fù)雜的計算方法進(jìn)行處理分析2 需要一段時間的觀察 建議兩天以上 Page10 檢測技術(shù)之三 應(yīng)用特征檢測 HTTP包頭HTTP報頭中User Agent字段 cookie字段不同操作系統(tǒng) 不同IE版本 不同補丁的User Agent字段不同 MSN同一時間一般只能登錄一個MSN帳號 WindowsUpdate信息windows會不定時發(fā)送Update信息 優(yōu)點 1 能夠?qū)崟r判斷出是否為共享上網(wǎng)用戶2 完全被動監(jiān)聽 不發(fā)送探測信息3 對分時上網(wǎng)的共享用戶同樣有效 缺點 1 如果用戶安裝多操作系統(tǒng) 會產(chǎn)生誤報2 如果多臺主機(jī)克隆安裝 會產(chǎn)生漏報 Page11 其他檢測技術(shù) Page12 寬帶接入網(wǎng) 無源分光 鏡像 上行流量 BAS 城域網(wǎng) 省干 Internet 控制 用戶通過帳號發(fā)起上網(wǎng)請求SIG使用綜合特征檢測模型 采用ID軌跡檢測 時鐘偏移分析 應(yīng)用特征檢測等 從網(wǎng)絡(luò)3層至7層進(jìn)行綜合分析 不依賴于任何操作系統(tǒng) 主機(jī)類型 瀏覽器準(zhǔn)確識別共享用戶數(shù)目向共享接入用戶發(fā)送警告頁面或控制其網(wǎng)頁瀏覽 FTP及網(wǎng)絡(luò)游戲可按某個時間段或某幾天實施控制控制頻度持續(xù)間歇隨機(jī) 網(wǎng)站 http請求 http重定向發(fā)送告警頁面 ResetHttp請求 共享接入監(jiān)控工作流程 業(yè)務(wù)監(jiān)控系統(tǒng) 分流平臺 SIG1000 WEB服務(wù)器 Page13 詳盡的數(shù)據(jù)分析 共享主機(jī)分布 Page14 SIG功能模塊 SIG VoIP監(jiān)控 P2P監(jiān)控 WEB推送 用戶行為分析 流量分析 共享接入監(jiān)控 Page15 P2P監(jiān)控功能支持特征字檢測 應(yīng)用行為特征檢測 端口檢測等多種檢測方式 可以進(jìn)行深度數(shù)據(jù)包的內(nèi)容探測可以同時提供基于總量 分協(xié)議總量和逐個用戶的P2P流量管理 并提供分時段管理 可檢測主流應(yīng)用軟件文件下載BT 迅雷 Emule Edonkey GNUTella Kazaa irectConnect Kugoo網(wǎng)絡(luò)電視PPLive QQLive CCIPTV PPStream CoolStreaming沸點網(wǎng)絡(luò)電視語音通訊Skype P2P業(yè)務(wù)監(jiān)控功能 Page16 BT工作原理分析 安裝BitTorrent下載軟件 通過WEB等形式下載 torrent文件 運行BitTorrent下載軟件 連接Tracker服務(wù)器 注冊并獲得下載用戶列表 連接其他的下載用戶 開始數(shù)據(jù)交互過程 client client client Web服務(wù)器 Tracker服務(wù)器 1 下載種子文件 torrent 2 請求peer list 返回Peer list 3 請求文件 上傳 下載文件 4 請求文件 上傳 下載文件 Page17 P2P應(yīng)用工作原理分析 SKYPE SKYPE在其網(wǎng)絡(luò)環(huán)境中存在3類實體 普通節(jié)點 與超級節(jié)點連接 并向注冊服務(wù)器注冊的機(jī)器超級節(jié)點 任何具有公網(wǎng)IP地址 足夠的CPU 內(nèi)存和帶寬的機(jī)器均可能成為超級節(jié)點 動態(tài)服務(wù)器 注冊服務(wù)器 保存所有SKYPE用戶的用戶名稱和密碼 用戶驗證邏輯由注冊服務(wù)器完成 登錄過程 登錄流程可以選擇多種通道 隱蔽性極強 1 驗證用戶名和密碼 2 尋找可通訊的超級節(jié)點 3 判斷所處的網(wǎng)絡(luò)位置中是否存在NAT 4 向其他節(jié)點和好友通知它的presence狀態(tài) Inernet 家庭NAT設(shè)備 家庭網(wǎng)絡(luò) ISP網(wǎng)絡(luò) ISPNAT設(shè)備 家庭NAT設(shè)備 家庭NAT設(shè)備 家庭網(wǎng)絡(luò) 家庭網(wǎng)絡(luò) 普通節(jié)點 超級節(jié)點 注冊服務(wù)器 普通節(jié)點 普通節(jié)點 超級節(jié)點 超級節(jié)點 Page18 P2P檢測和控制原理 檢測原理 數(shù)據(jù)包特征檢測為主端口檢測 通過端口確定數(shù)據(jù)流的應(yīng)用類型 Edonkey4661 4662BT6881 6890特征檢測 根據(jù)數(shù)據(jù)報文的應(yīng)用層內(nèi)容特征進(jìn)行檢測啟發(fā)式行為分析為輔行為檢測 根據(jù)P2P應(yīng)用協(xié)議的交互過程行為特征進(jìn)行檢測 控制原理 限流 限連接數(shù)傳輸層控制 限流 減小TCP發(fā)送窗口值 控制流速限連接數(shù) 發(fā)送TCPRST報文進(jìn)行連接拆除應(yīng)用層控制 限流 如BT協(xié)議的CHOCK消息限連接數(shù) 如BT協(xié)議的Cancel消息 Page19 用戶發(fā)起P2P業(yè)務(wù)數(shù)據(jù)傳輸SIG應(yīng)用DPI檢測技術(shù) 分別對上下行流量進(jìn)行檢測采用數(shù)據(jù)包偽裝技術(shù) 將偽裝的控制數(shù)據(jù)包發(fā)到正在通信的TCP UDP連接中 達(dá)到降