行业新闻
南京电信宽带对非法报文和恶意报文发送的处理
发布时间 2018-03-27 04:47:37 信息来源:南京电信宽带网浏览量
南京电信宽带对非法报文和恶意报文发送的处理
对于非法报文,一般的技术是使用过滤器来过滤丟弃。过滤器的基本原理是,根据用户定义的被过滤数据报文的特征匹配数据报文, 如果符合预定义的特征,那么过滤掉该报文。当前的交换芯片大都具备报文特征提取和匹配功能,可以完成数据链路层、网络层甚至更高层数据报文特征信息的提取和匹配。
处理过量协议、广播和组播报文的技术又称为报文抑制。解决过量源MAC地址问题比较简单:可设定用户侧端口 MAC地址个数的上限。这样,一旦端口达到预定义的MAC地址个数,后续带有新 MAC地址的报文将一律被丟弃。通过媒体访问控制MAC/IP地址欺骗,如冒用MAC地址或者IP地 址,偷取他人的业务服务或者造成DOS攻击。
非法业务,如开展非法的IP语音(VoIP )业务、私拉乱接用户等。
所谓的非法业务是从运营商的角度来判定的一些目前网络上存在的部分数据服务。非法业务具有非常复杂的业务特征,通过简单的特征提取方法不可能判定某数据报文是否属于非法业务。对于某条数据流是否非法业务,需要对数据流进行深度智能分析,依据预定义的特征信息库对数据流匹配才能判定。
用户私拉乱接现象一般发生在用户使用具有网络地址转换 (NAT )功能的设备和接入节点对接的情况下,上行数据报文从表面看起来好像从一个用户发出的一样。解决这个问题需要收集各种"蛛丝马迹〃,分析传输控制协议(TCP )连接数量、网络流量、源TCP 端口范围,这些信息都有一定的参考价值;分析MSN、Endows Update能携带的一些用户特定信息;收集用户上行数据流中,如OS 版本、IE版本、用户的行为习惯等有用的用户信息。然后往往需要结合部分或者全部特征作出综合判断,以减少误判和漏判。
