引言：隨著移動智能終端和WiFi個人AP的普及,網絡在給人們帶來方便的同時，也給網絡的管理帶來了問題，并且近年來隨著國家對信息安全問題的日益關注，防共享設備的需求日益突顯。

防共享檢測技術介紹

目前市面上有很多的防共享設備，其主要檢測原理大約如下：

1.Flash cookie技術原理

Flash Cookie是 由FlashPlayer控制的客戶端共享存儲技術，它具備以下特點：類 似 HTTPCookie，F(xiàn)lashCookie利 用SharedObject類實現(xiàn)本地存儲信息，SharedObject類用于在用戶計算機上讀取和存儲有限的數據量，共享對象提供永久貯存在用戶計算機上的對象之間的實時數據共享；本地共享對象是作為一些單獨的文件來存儲的，它們的文件擴展名為.sol。默認狀態(tài)下，它們的尺寸一般不超過100KB，并且不會過期，這一點與傳統(tǒng)的HTTP Cookie不同（4KB）； 本地共享對象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。這使得本地共享對象能夠長時間的保留在本地系統(tǒng)上。

由 于FlashCookie具有可操作性、比普通HTTPCookies有著更大存儲空間、更好的隱蔽性等優(yōu)點。加上現(xiàn)在FlashPlayer已經成為互聯(lián)網用戶標配之一，不存在兼容性的問題，因此它非常適合用來保護客戶端數據、收集用戶行為等。當用戶使用IE訪問某個flash，防共享設備會預先判斷瀏覽器是否存在flash cookie值，如果沒有將會種植 flash cookie 值為 a，如果存在flash cookie值則進行記錄；用戶使用不同瀏覽器打開訪問網站時，flash cookie值都會進行共享，因此不會引起誤判；當緩沖區(qū)中發(fā)現(xiàn)存在兩個不同的flash cookie值時，則將被判斷為代理共享上網，從而對其進行封堵并進行定向頁面提醒。

2.多應用特征檢測

設備中內置防代理軟件規(guī)則庫，對最新的熱門軟件唯一特征庫進行識別。

終端使用這些應用后，在使用該軟件或者該軟件進行升級更新時，設備在網絡出口處都能檢測到來自于該IP/用戶的應用特征。若發(fā)現(xiàn)有同一個用戶賬號下有兩個或超過兩個的IP/用戶接入，則可判斷其為共享上網的行為，并自動檢測到有兩個或超過兩個終端的接入數量。

3.時間戳算法檢測

對付病毒最好的辦法就是使用殺毒軟件，在Windows中可選擇的殺軟種類有很多，其中比較著名的殺毒軟件有卡巴斯基、F-SECURE、MACFEE、諾頓、趨勢科技、熊貓、NOD32、AVG以及F-PORT等等。安裝配置和使用都比較方便。

根據RFC791-IP包格式規(guī)范，IP包擴展屬性中有2字節(jié)的 identification （簡稱 為 IP_ID），Windows用戶的IP_ID隨著用戶發(fā)送的IP包數量而線性增加（無論IP包發(fā)送到何處，包括發(fā)給 自 己）Windows 95/98，每發(fā)一個IP包，IP_ID增加256；Windows 2000/NT/Windows XP/Windows 7/Windows 8，每發(fā)一個IP包，IP_ID則增加1，如圖1所示。

根據以上特性，同一主機（使用 Windows操作系統(tǒng)）ID字段隨著用戶發(fā)送IP數據報文而線性增加（每包增加1或256），不同的主機的IP報文中的ID字段隨著用戶發(fā)送數據報文而形成各自的軌跡。共享接入用戶的上網請求時間以及對應主機的發(fā)包頻率是不可能完全一致的，所以可以利用該特性做共享接入行為的檢測以及同時在線主機數的精確判定。

假設某時刻、來自某個源IP在一段時間內數據報文中ID字段形成三條直線，可初步分析該IP下有三臺主機同時上網。

4.利用User Agent檢測

圖1 IP包格式

圖2 某大學組網圖

User-Agent是HTTP協(xié)議中的一部分，屬于頭域的組成部分，User Agent也簡稱UA。較為普通的一點來說，是一種向訪問網站提供你所使用的瀏覽器類型、操作系統(tǒng)及版本、CPU類型、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等信息的標識。UA字符串在每次瀏覽器 HTTP請求時發(fā)送到服務器。利用ser Agent可以用來識別瀏覽器名稱、版本、引擎以及操作系統(tǒng)等信息的內容。

以上4種檢測方法是業(yè)界較為新的檢測模式，當然好的防共享設備肯定是結合多項檢測技術如ID軌跡檢測、流量/連接數統(tǒng)計或MAC地址檢測等這些傳統(tǒng)的辦法一起使用，以防止誤判。

防共享設備的部署

以校園網建設為例，某學校目前總共1萬人左右，因為此次部署防共享主要針對學生上網，所以教學樓、老師宿舍暫時不部署。學生宿舍樓每層都一個接入交換機，在通過綜合布線到學生宿舍，而在每棟1樓進行二次匯聚后上聯(lián)到核心交換機，此次部署的防共享設備主要在核心匯聚交換機和BRAS之間，具體主網見圖2。

在部署之前，該大學只有繳費寬帶用戶數約為2000左右，占比不到20%，一拖N給校園網的運行帶來了如下問題：用戶投訴增多，主要反映網速慢，原因學生共享上網、P2P等多線程下載造成，很多學生自己架設的無線網絡被蹭網都不知道；用戶流失嚴重，為了給學生提供好的良好的寬帶體驗，每年學校在設備維護、更新?lián)Q代以及帶寬出口擴容等方面需要投入大量的資金，而一拖N造成用戶流失嚴重，無法實現(xiàn)“以網養(yǎng)網“的目的；一些共享的網絡甚至會被盜用進行一些網上違法行為，從而造成寬帶報裝學生需要承擔相應的法律責任，卻無法追溯到真正的違法者和保護合法的使用者的權益。另外學校也要承擔相應的連帶法律責任。

部署之后，通過防共享設備后臺管理程序可以了解到：

1.經過近兩周的采集，學校最高峰時有6523個用戶接入校園網，如圖3所示，可見在校園1拖N現(xiàn)象比較嚴重，造成大量學生未交費使用校園網。

2.一周的上網應用流量排行，通過應用流量的排名分析，Web流媒體占比最高，達到26.85%，接下來為HTTP的網站訪問占比達到29.83%，P2P流量：16.22%，所以原先認為學校流量占比最高為P2P下載的猜想是錯的，為了分流Web流媒體，提高學生業(yè)余時間的在線視頻的觀看感知和節(jié)約出口帶寬，在校園網內建設VOD視頻點播系統(tǒng)還是有必要的。具體流量排名見圖4所示。

圖3 捕獲終端數

圖4 一周用戶流量分布

圖5 上網行為日志

圖6 帶寬分配

圖7 防共享接入設置

3.根據國家對于互聯(lián)網信息安全要求的規(guī)定，防共享系統(tǒng)可以對學生上網訪問行為進行記錄，供日后審計溯源用，如圖5所示。

4.帶寬智能管控：可以根據不同的業(yè)務應用、路由出口、用戶名和時間段進行出口帶寬的靈活設置，從而保證學校師生的互聯(lián)網使用達到可控可管的地步，如圖6所示。

5.防共享設備可以對共享接入的配置進行靈活設置，如可以根據PC、移動終端達到多少數量后進行啟動、凍結時長多久等，如圖7所示。

總結

通過部署防共享設備，之前憂慮的問題得到一一解決，并且通過內容、賬號、時段、日志和出口帶寬等多個方面來對網絡進行控制，實現(xiàn)了校園網絡可控可管。并且通過防共享設備實現(xiàn)了禁止一拖N現(xiàn)象，讓真正的繳費者享受高速的網絡，讓“以網養(yǎng)網”的目標得以實現(xiàn)。希望本文中關于部署防共享設備的方法和想法對在建設和維護校園網時能起到一定作用。