WLAN認(rèn)證平臺七步分析法

WLAN認(rèn)證平臺七步分析法總部網(wǎng)絡(luò)部監(jiān)控處2013年6月WLAN用戶上線全景圖總部組織專家團(tuán)隊建立認(rèn)證平臺的日志關(guān)聯(lián)分析方法和模型，制定了WLAN日志分析7步法，按WLAN上線全流程的7個環(huán)節(jié)進(jìn)行分析，最終認(rèn)證成功僅占用戶Portal請求0.5%。4.3億1.75億0.4億349萬280萬251萬243萬231萬100%41%9%0.8%0.7%0.6%0.57%0.54%認(rèn)證通過0.36億掃描攻擊，占比91%，是正常訪問量的10倍推送認(rèn)證頁面用戶發(fā)起登錄用戶信息驗證平臺與AC建立認(rèn)證通道AC發(fā)起鑒權(quán)1234567Radius鑒權(quán)排除掃號攻擊6環(huán)節(jié)1：認(rèn)證頁面推送用戶Portal請求為降低系統(tǒng)負(fù)荷，一級認(rèn)證平臺在Portal側(cè)采用了UA識別攔截技術(shù)，將非用戶瀏覽器發(fā)起的WEB請求全部攔截。攔截率60%。主要攔截的頁面請求來自于：PPStream、QQ音樂、暴風(fēng)影音等流媒體軟件、QQ等即時通訊軟件、iTunes、安卓市場等市場類軟件、360安全衛(wèi)士等殺毒軟件。用戶UA識別攔截Portal推送頁面4.34億次1.75億次每天Portal服務(wù)器會收到4.34億次請求，其中僅1.75億次為正常瀏覽器發(fā)送的請求，非用戶瀏覽器請求約占總請求數(shù)的60%。建議網(wǎng)絡(luò)部牽頭，同時將一級認(rèn)證平臺的攔截UA列表進(jìn)行匯總后發(fā)布給各省，要求在二級認(rèn)證平臺使用該方法進(jìn)行攔截，降低系統(tǒng)負(fù)荷。建議研究院牽頭，將認(rèn)證平臺的無效UA攔截功能納入規(guī)范。7環(huán)節(jié)2：用戶發(fā)起登錄針對這些用戶，我們使用相同IP地址去重后發(fā)現(xiàn)每天有5.3萬用戶除了瀏覽登錄首頁外，還瀏覽過業(yè)務(wù)介紹和資費(fèi)介紹頁面，是我們的潛在客戶。建議市場部門考慮如何引導(dǎo)更多用戶打開Portal后使用WLAN業(yè)務(wù)。Portal推送頁面1.75億次每天1.75億次Portal首頁瀏覽，其中只有0.39億次用戶會填寫用戶名和密碼進(jìn)行登錄請求，占比僅為22%。用戶上線請求0.39億次8環(huán)節(jié)3：排除掃號攻擊攻擊者的來源IP自全國各地，屬于分布式攻擊，IDP防火墻等傳統(tǒng)方式難以有效攔截。

每天0.39億次WLAN用戶上線請求中，有0.36億次的申請為掃號軟件攻擊，占比達(dá)91%

，命中率極低，但給系統(tǒng)帶來極大的負(fù)荷。正常上線請求用戶上線請求掃號軟件攻擊0.39億次0.36億次349萬次超過90%的系統(tǒng)負(fù)荷被無效攻擊耗費(fèi)，嚴(yán)重影響業(yè)務(wù)的穩(wěn)定性，2012年以來由于該因素已經(jīng)造成系統(tǒng)8次故障。強(qiáng)制使用圖形驗證碼是解決掃號攻擊的最有效方法。建議數(shù)據(jù)部門牽頭，再次評估是否可以對用戶登錄增加圖形驗證碼限制，徹底解決掃號軟件對平臺的影響。掃號攻擊對用戶帳號安全性的影響已經(jīng)得到控制：由于已經(jīng)加強(qiáng)了密碼長度和強(qiáng)度的要求，并開展了各省公司的弱密碼重置等工作，掃號軟件的命中率極低，采樣的日志分析顯示成功破解用戶帳號的比率為0%。9環(huán)節(jié)4：用戶信息驗證每天349萬次正常上線請求中，有20%無法通過用戶訂購關(guān)系和密碼的Portal側(cè)驗證。錯誤原因

占本環(huán)節(jié)錯誤比例占全部正常上線請求的比例

用戶密碼錯誤42.46%8.27%用戶沒有訂購業(yè)務(wù)24.79%4.83%用戶狀態(tài)錯誤19.73%3.84%自動認(rèn)證已過期(cookie)9.16%1.79%動態(tài)密碼有效期過期、用戶卡無效、用戶沒有可用時長、帳號不支持動態(tài)密碼2.16%0.42%Portal前后臺通訊異常,OBS訪問失敗1.68%0.33%用戶密碼錯誤：其中67%是用戶記錯密碼（一段時間內(nèi)有密碼錯誤但最終成功）；33%是用戶完全忘記密碼（全部密碼錯誤）。建議數(shù)據(jù)部牽頭研究增加措施，對于可能忘記密碼的用戶，主動短信提示用戶重置密碼或者提醒用戶使用動態(tài)密碼來幫助用戶登錄。用戶沒有訂購業(yè)務(wù)錯誤按賬號類型區(qū)分：移動手機(jī)號碼占比69%、其他運(yùn)營商手機(jī)號碼3%、其余28%屬于非有效的手機(jī)號碼。使用移動號碼嘗試登錄的用戶屬于潛在用戶，建議市場部考慮進(jìn)行針對性營銷，對于非移動手機(jī)號碼的嘗試登錄用戶，可以在登錄頁面提示購買預(yù)付費(fèi)卡來使用WLAN業(yè)務(wù)。10環(huán)節(jié)4：用戶信息驗證自動認(rèn)證已過期錯誤，動態(tài)密碼有效期過期等錯誤：屬于用戶正常行為導(dǎo)致，主要為用戶修改密碼或者更換終端，動態(tài)密碼過期、使用無效卡登錄等問題導(dǎo)致。Portal前后臺通訊異常和OBS訪問失?。簩儆谙到y(tǒng)遭受突發(fā)業(yè)務(wù)量高峰的時候，系統(tǒng)內(nèi)資源受限導(dǎo)致的處理失敗，可以通過降低掃號攻擊對系統(tǒng)的影響來避免。用戶狀態(tài)錯誤：其中有13.66%是由于省內(nèi)boss與集團(tuán)認(rèn)證平臺用戶狀態(tài)不一致導(dǎo)致的失敗。建議計劃部盡快組織上線數(shù)據(jù)一致性對比接口，請各省公司利用該接口定期開展數(shù)據(jù)比對和修復(fù)。11環(huán)節(jié)5：平臺與AC建立認(rèn)證通道

每天通過Portal驗證的280萬正常上線請求中，有10%無法正常建立認(rèn)證通道。錯誤原因

統(tǒng)計數(shù)量（次/天）

占本環(huán)節(jié)錯誤的比例占正常上線請求的比例

請求Challenge此鏈接已建立13674946.46%3.91%請求Challenge被拒絕12575142.73%3.60%請求Challenge有一個用戶正在認(rèn)證過程中185826.31%0.53%其他錯誤(portal根據(jù)Acname參數(shù)無法找到對應(yīng)的ACIP)129324.39%0.37%請求Challenge，上線BAS錯誤1610.05%0.00%接收AC/BAS響應(yīng)包超時560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復(fù)登錄390.01%0.00%請求Challenge鏈接已建立、請求Challenge被拒絕說明用戶的IP地址不合法，通過在AC側(cè)抓包共同分析，發(fā)現(xiàn)主要原因是用戶收藏登錄頁面或自行修改登錄頁面URL導(dǎo)致。建議計劃部牽頭在Portal上增加功能，提醒用戶不要收藏認(rèn)證頁面。建議研究院牽頭研究優(yōu)化認(rèn)證流程，在IP地址已經(jīng)在線時提示用戶已經(jīng)認(rèn)證通過，在IP地址非法時向用戶重新推送認(rèn)證頁面。上線bas錯誤、響應(yīng)包超時錯誤：該錯誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題，可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該類型錯誤，并將該指標(biāo)納入通報，督促各省解決。其他錯誤：其他用戶行為導(dǎo)致，一般不會影響用戶感知，詳細(xì)分析可見附錄。12每天成功建立Challenge過程的251萬正常上線請求中，有3%無法通過向AC發(fā)起的鑒權(quán)過程。請求AUTH鏈接已建立錯誤：用戶同時發(fā)起多次上線流程的時候部分AC的端口處理機(jī)制出現(xiàn)混亂，以最后一次收到Portal消息的端口回復(fù)Portal，此時用戶側(cè)顯示認(rèn)證成功，但上不了網(wǎng)。建議網(wǎng)絡(luò)部牽頭對現(xiàn)網(wǎng)設(shè)備進(jìn)行排查；建議研究院明確AC設(shè)備在處理同一用戶短時間內(nèi)多次重復(fù)認(rèn)證請求的要求，并納入設(shè)備規(guī)范。錯誤原因

統(tǒng)計數(shù)量（次/天）

占本環(huán)節(jié)錯誤的比例占正常上線請求的比例

請求AUTH此鏈接已建立6283473.91%1.80%請求AUTH有一個用戶正在認(rèn)證過程中，請稍后再試2171025.54%0.62%請求AUTH，上線BAS錯誤4680.55%0.01%環(huán)節(jié)6：AC發(fā)起鑒權(quán)其他錯誤：對用戶感知影響不大，詳細(xì)分析可見附錄。13環(huán)節(jié)7：Radius鑒權(quán)每天通過AUTH鑒權(quán)的243萬正常上線請求中，有5%Radius認(rèn)證失敗。唯3性限制拒絕：原因是用戶同時登錄的終端數(shù)量超過3個，屬于用戶原因。密碼錯：密碼校驗工作在Portal驗證環(huán)節(jié)已經(jīng)做過，該環(huán)節(jié)不應(yīng)該再出現(xiàn)該錯誤；經(jīng)過聯(lián)合AC抓包分析，發(fā)現(xiàn)一級認(rèn)證平臺存在一個軟件Bug，導(dǎo)致部分用戶密碼正確的時候也會被認(rèn)證平臺誤判為密碼錯誤。建議計劃部組織制定解決方案，盡快修復(fù)該Bug。錯誤原因

統(tǒng)計數(shù)量（次/天）

占本環(huán)節(jié)錯誤的比例占正常上線請求的比例

認(rèn)證請求被拒絕（唯3性限制）10744488.93%3.07%Radius認(rèn)證密碼錯99468.23%0.28%認(rèn)證域名錯誤21221.76%0.06%認(rèn)證端口錯誤13021.08%0.04%14環(huán)節(jié)7：Radius鑒權(quán)認(rèn)證域名錯誤：說明AC送給Radius認(rèn)證的用戶名的后綴不正確，主要原因為AC設(shè)備問題或者AC設(shè)備配置問題。請各省公司整治AC認(rèn)證域名錯誤的問題。正確的后綴：@web.pc;@web.mobile;錯誤的后綴：@wlantest認(rèn)證請求應(yīng)該發(fā)送至端口1645但被發(fā)送至2645端口認(rèn)證端口錯誤：說明AC將認(rèn)證請求的發(fā)送至錯誤的目的端口，導(dǎo)致認(rèn)證不能正確處理，主要原因為AC設(shè)備問題或AC設(shè)備配置問題。請各省公司整治AC認(rèn)證端口錯誤的問題。15附錄1：環(huán)節(jié)5的其他錯誤分析請求Challenge有一個用戶正在認(rèn)證過程中錯誤：占本環(huán)節(jié)錯誤比例6.31%，占全部比例0.53%該錯誤說明該用戶認(rèn)證之前有一個認(rèn)證還在處理過程中。通過在AC側(cè)抓包共同分析，發(fā)現(xiàn)主要原因是用戶配置了Cookie認(rèn)證導(dǎo)致，在用戶配置了Cookie登錄后，如果同時打開多個瀏覽頁面，就會同時發(fā)起多個認(rèn)證登錄請求，其中第一個認(rèn)證請求可以正常處理，后續(xù)的認(rèn)證請求就會出現(xiàn)該錯誤。該錯誤不會影響用戶感知，但會對系統(tǒng)造成額外負(fù)荷，建議研究院研究是否可以通過流程優(yōu)化等方式解決。上線bas錯誤和響應(yīng)包超時錯誤：占本環(huán)節(jié)錯誤比例0.07%，占全部比例0.01%該錯誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題，可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該錯誤，并將該指標(biāo)納入通報，督促各省解決。其他錯誤：用戶自行填寫的錯誤ACname，導(dǎo)致portal根據(jù)ACname參數(shù)無法找到對應(yīng)的ACIP，用戶上線且使用同一用戶名和IP重復(fù)登錄，這些錯誤一般都是用戶操作不當(dāng)導(dǎo)致。錯誤原因

統(tǒng)計數(shù)量（次/天）

占本環(huán)節(jié)錯誤的比例占正常上線請求的比例

請求Challenge此鏈接已建立13674946.46%3.91%請求Challenge被拒絕12575142.73%3.60%請求Challenge有一個用戶正在認(rèn)證過程中185826.31%0.53%其他錯誤(portal根據(jù)Acname參數(shù)無法找到對應(yīng)的ACIP)129324.39%0.37%請求Challenge，上線BAS錯誤1610.05%0.00%接收AC/BAS響應(yīng)包超時560.02%0.00%AC名稱不匹配420.01%0.00%用戶上線且使用同一用戶名和IP重復(fù)登錄390.01%0.00%23附錄2：環(huán)節(jié)6的其他錯誤分析請求AUTH有一個用戶正在認(rèn)證過程中錯誤：占本環(huán)節(jié)錯誤比例25.54%，占全部比例0.62%該錯誤說明用戶短時間內(nèi)發(fā)起多次重復(fù)認(rèn)證，且上一次Auth認(rèn)證環(huán)節(jié)還未結(jié)束。通過在AC側(cè)抓包共同分析，發(fā)現(xiàn)主要原因是：用戶配置了Cookie認(rèn)證，在打開多標(biāo)簽瀏覽器時會同時發(fā)起多個認(rèn)證登錄請求，多次認(rèn)證同時發(fā)起就可能會引發(fā)該錯誤。該錯誤不會影響用戶感知，但會對系統(tǒng)造成額外負(fù)荷，建議研究院研究是否具備可行的解決方案。上線bas錯誤：占本環(huán)節(jié)錯誤比例0.55%，占全部比例0.01%該錯誤屬于系統(tǒng)或者網(wǎng)絡(luò)問題，可以通過降低AC負(fù)荷、優(yōu)化AC性能來避免。網(wǎng)絡(luò)部一直在按月分AC分析該錯誤，并將該指標(biāo)納入通報，督促各省解決。錯誤原因

統(tǒng)計數(shù)量（次/天）

占本環(huán)節(jié)錯誤的比例占正常上線請求的比例

請求AUTH此鏈接已建立6283473.91%1.80%請求AU