电信运营商是如何发现我们进行ADSL共享的呢?据相关人士透露,此前电信经常使用的产品包括网络尖兵、星空极速和南京信风,特别是网络尖兵最为常用。
网络尖兵工作原理
NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器,并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。
网络尖兵原来采用的检测技术主要是:
1、检查从下级IP出来的IP包的IP-ID是否是连续的,如果不是连续的,则判定下级使用了nat。
2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值,如果不是,刚判定下级使用了nat。
3、检查从下级IP出来的http请求包中是否包含有proxy的字段,如果有,则下级用了http代理。
由于检测和防检查技术的对抗升级,现在可能增加了检测的内容:
一、通过行为统计:
1. 在三秒内同一IP对两个以上的网站进行Request,将此IP定位透过NAT进行传输。
2. 在两秒内,若同一IP对同一个网站,进行两次以上的Request,将此IP定位透过NAT进行传输。
二、深度检测数据包内容:
1.检测并发连接数量
2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享.
3.更多的检测方法
新出现的检测技术
随着市场发展,现在也有城市热点等公司提供了新的技术和方案,常用的技术有某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。
方法之一 ID(identification)轨迹检测法:
方法之二时钟偏移检测法:
不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系;不同的主机发送报文的频率因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机。
方法之三应用特征检测法:
数据报文中的HTTP报头中的User-agent字段因操作系统版本、IE版本和布丁的不同而不同。因此通过分析不同的 HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号,据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息,也可以据此计算主机数。