[发明专利]基于OSI传输层时间戳的宽带私接检测方法

说明书

技术领域

本发明涉及宽带用户检测领域，具体涉及一种用于针对非法共享上网的宽带私接检测方法。

背景技术

目前宽带接入业务基本都是基于包月或包年的形式开展的，因此往往存在着以个人的名义申请宽带而让黑网吧、企业使用，或者几户共用宽带而分摊费用，给运营商造成了巨大的经济损失，目前针对这种非法共享上网使用最多最有效的检测方法有IP_ID检测法和TCP指纹检测法。

IP_ID检测法的原理如下：同一Windows主机发出的IP报文中携带的ID字段是连续变化且呈递增趋势，其起始值因不同的Windows主机不同而不同，根据这一规律，如果在一段时间内检测到某个源IP对应多个ID字段范围，则说明该IP对应的用户为共享接入用户，根据ID字段区间个数能够大致确定共享接入主机数目。但是，IP_ID检测法存在一些不足之处：

1)报文乱序时可能导致误判；

2)大多数的LINUX版本或UNIX系统，每个TCP中的IP_ID连续增加，但不同的TCP连接，IP_ID没有任何关系；

3)对于Proxy方式、分时上网无效；

4)IP_ID检测方法对于使用特殊的NAT软件无济于事，这些NAT软件可以改变IP中的ID，在外面看上去就像是一台主机发出的。

TCP指纹检测法的原理如下：通过TCP序列号、确认号、滑动窗口这几个字段作为TCP指纹来检测，所以若一段时间后发现某个IP下有几段序列号或确认号在连续变化，或者有好几种窗口大小，则可认为该IP下有私接用户。但该方法存在一些不足之处：

1)由于窗口大小是客户服务器协商决定的，所以对于同一个没有私接的IP地址，也可能同时存在好几种窗口大小，这将导致误判；

2)检测速度慢，需要根据收集到许多连续的报文段样本才有可能确定某个IP地址下是否存在几段序列号、确认号、窗口大小；

3)TCP三次握手时的初始化序列号(ISN)随时间而变化的，而且不同的操作系统也会有不同的实现方式，所以每个连接的初始序列号是不同的。这样当某个私接的IP地址与外界进行非连续的通信时，之前记录的序列号、确认号、窗口大小等指纹信息就要抛弃来重新进行记录。

综上所述，IP_ID检测法和TCP指纹检测法两种方法在实现时除了各自存在的不足外，都存在检测的准确性低、系统资源占用高、检测过程繁琐、适用范围窄的问题。

发明内容

本发明要解决的技术问题是提供一种检测准确性高、系统资源占用低、检测过程简便、适用范围广泛的基于OSI传输层时间戳的宽带私接检测方法。

为解决上述技术问题，本发明采用的技术方案为：一种基于OSI传输层时间戳的宽带私接检测方法，其实施步骤如下：

1)在客户端向电信接入路由设备建立TCP连接时开启客户端TCP报文的时间戳选项；

2)设定用于判定客户端是否存在宽带私接的第一常量和第二常量；

3)标记每一个接收的TCP报文的系统时间，并获取每一个接收的TCP报文的时间戳；

4)实时获取同一IP地址客户端发送的相邻两个TCP报文之间的系统时间差和时间戳差，并获取系统时间差和时间戳差之间的差值，如果所述差值超过第一常量或者在预设时间内所述差值不为0的数量超过第二常量则判定该IP地址对应的客户端存在宽带私接现象。

作为上述技术方案的进一步改进：

所述步骤1)的详细步骤为：电信接入路由设备实时捕获服务器端发送给客户端的TCP报文，如果TCP报文中SYN为1并且ACK为1，则将所述TCP报文的时间戳填充一串长度为32比特的数字后再发送给对应的客户端。

所述步骤4)的详细步骤为：

A)设置检测时间为1.2秒，检测周期为300ms，初始化计数器cnt、预设时间计数器N₀和N都为0；

B)获取接收当前TCP报文的系统时间和接收上一个TCP报文的系统时间，将所述两个系统时间求差得到系统时间差并以100ms为单位取整；

C)获取当前TCP报文的时间戳和上一个TCP报文的时间戳，获取时间戳差的绝对值；

D)获取所述时间戳差的绝对值与所述系统时间差之间的差值，并将所述差值与第一常量进行比较，如果所述差值超过第一常量则判定该IP地址对应的客户端存在宽带私接现象，否则跳转执行步骤E)；

E)分别获取接收当前TCP报文的系统时间和第1次接收到的TCP报文的系统时间，将所述两个系统时间求差得到系统时间差并以100ms为单位取整得到N；