資源描述:
《華為SIG業(yè)務監(jiān)控網(wǎng)關介紹1》由會員上傳分享����,免費在線閱讀,更多相關內容在教育資源-天天文庫�����。
1�����、VoIP檢測原理以專利的媒體流檢測為基礎�����,結合信令流檢測為輔助����。保證檢測高準確率和高性能,避免單純信令流檢測而產(chǎn)生漏檢的情況媒體流檢測原理:一個VoIP通話即生成一條語音媒體流���,通過檢測承載在UDP之上的媒體流RTP連接數(shù)判斷是否為虛擬運營的VoIP網(wǎng)關正常用戶進行流媒體通話或者視頻點播��,不會占用過多的RTP接數(shù)虛擬VOIP運營的網(wǎng)關則同時存在少則幾十多則上百個媒體流連接數(shù)信令流檢測原理:一個VoIP通話需要信令協(xié)議來支撐呼叫的建立和拆卸�,通過檢測VOIP呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話。依托華為在NGN/VOIP
2����、的積累,通過解析VOIP呼叫過程中使用的信令協(xié)議(H.323�、SIP、MGCP�����、MEGACO)來獲取每次呼叫的詳細信息���,包括:主叫號碼、被叫號碼���、VOIP網(wǎng)關����、VOIP網(wǎng)守Page電話網(wǎng)關發(fā)送控制包SPSL3或R接入網(wǎng)無源分光/鏡像上行流量SIG系統(tǒng)BAS城域網(wǎng)省干PSTNInternet分流平臺SIG1000控制VoIP監(jiān)控工作流程用戶發(fā)起VoIP語音電話請求SIG通過DPI(深度業(yè)務檢測)方式監(jiān)聽到VoIP通話SIG根據(jù)后臺業(yè)務分析服務器下的控制策略發(fā)數(shù)據(jù)包控制方式(噪音���、回音�、提示音���、發(fā)送中止信令����,強制拆卸呼叫)1-10級控制強度控制分時
3、黑白名單用戶VoIP語音通話質量降低正常情況下的通話加噪音控制的通話Page檢測全面��,信息豐富在線VoIP網(wǎng)關在線VoIP呼叫網(wǎng)關話單匯總每日匯總統(tǒng)計PageSIG功能模塊SIGVoIP監(jiān)控P2P監(jiān)控WEB推送用戶行為分析流量分析共享接入監(jiān)控Page功能描述監(jiān)控一個帳號下多個用戶利用NAT同時上網(wǎng)監(jiān)控一個帳號下多個用戶利用NAT分時上網(wǎng)監(jiān)控一個帳號下多個用戶利用Proxy同時上網(wǎng)監(jiān)控一個帳號下多個用戶利用Proxy分時上網(wǎng)黑白名單管理……共享接入監(jiān)控功能Page非法共享接入的方式Proxy共享城域網(wǎng)ADSL終端分時共享�����、帳號重撥ADSL用戶以太
4�����、網(wǎng)用戶城域網(wǎng)ADSL終端ADSL用戶以太網(wǎng)用戶帳號盜用��、MAC�、IP盜用NAT共享城域網(wǎng)ADSL用戶以太網(wǎng)用戶有NAT功能的ADSL終端有NAT功能的路由設備城域網(wǎng)ADSL用戶以太網(wǎng)用戶Proxy設備Proxy設備ADSL終端Page非法共享接入檢測原理針對地址盜用、帳號盜用��、分時共用��、私接用戶等非法接入采用在BAS設備上進行“MAC+IP+VLAN/PVC+帳號”的綁定Radius支持限制一個帳號同時上線1次針對采用NAT�、Proxy技術的非法接入,必須采用應用層檢測技術時鐘漂移檢測(不需探測)IP包頭Identification軌跡檢測(不
5����、需探測)主機應用特征檢測(不需探測)流量/連接數(shù)統(tǒng)計(不需探測)TTL檢測(不需探測)MAC地址檢測(需探測)SNMP掃描(需探測)探測掃描型檢測很容易被規(guī)避��,而且對網(wǎng)絡有影響Page檢測技術之一:ID軌跡檢測Windows網(wǎng)絡協(xié)議棧實現(xiàn)時��,ID字段的值隨著發(fā)送IP報文數(shù)的增加而增加Identification的初始值是隨機值�,一般說來����,不同主機的初始值有較大差距優(yōu)點:1)較準確地判斷出是否為共享上網(wǎng)用戶2)較準確的判斷出在線共享上網(wǎng)主機數(shù)3)完全被動監(jiān)聽,不發(fā)送探測信息缺點:1)需要一定時間的觀察(建議兩天以上)2)對分時上網(wǎng)����,Proxy檢測
6���、不準確Page檢測技術之二:時鐘偏移檢測不同主機物理時鐘偏移不同���,網(wǎng)絡協(xié)議棧時鐘與物理時鐘存在對應關系不同主機發(fā)送報文頻率與時鐘存在統(tǒng)計對應關系通過特定的頻譜分析算法,發(fā)現(xiàn)不同的網(wǎng)絡時鐘偏移來確定不同主機優(yōu)點:1)非常準確地判斷出是否為共享上網(wǎng)用戶2)能夠較準確的判斷出共享上網(wǎng)主機數(shù)缺點:1)需要復雜的計算方法進行處理分析2)需要一段時間的觀察(建議兩天以上)Page檢測技術之三:應用特征檢測HTTP包頭HTTP報頭中User-Agent字段��、cookie字段不同操作系統(tǒng)����、不同IE版本、不同補丁的User-Agent字段不同MSN同一時間一般只
7、能登錄一個MSN帳號WindowsUpdate信息windows會不定時發(fā)送Update信息優(yōu)點:1)能夠實時判斷出是否為共享上網(wǎng)用戶2)完全被動監(jiān)聽��,不發(fā)送探測信息3)對分時上網(wǎng)的共享用戶同樣有效缺點:1)如果用戶安裝多操作系統(tǒng)���,會產(chǎn)生誤報2)如果多臺主機克隆安裝��,會產(chǎn)生漏報Page其他檢測技術檢測技術原理優(yōu)點缺陷流量/連接數(shù)統(tǒng)計統(tǒng)計某個IP打開的端口數(shù)或流量���,超過一定閾值則認為是共享上網(wǎng)用戶具有一定的參考意義對BT、網(wǎng)絡病毒會誤報�,對少量共享主機的情況會漏報MAC地址檢測在接入層交換機下檢測MAC地址,同一個賬號有多個MAC地址�,則認為共享
8��、上網(wǎng)用戶能夠實時判斷出是否為共享上網(wǎng)用戶完全被動監(jiān)聽�����,不發(fā)送探測信息對分時上網(wǎng)的共享用戶同樣有效需要大規(guī)模部署在接入層對NAT/Proxy用戶無效對一
