华为：防私接原理描述

私接HUB检测

私接用户通过HUB方式扩展端口，使得单端口接入多个用户，给网络带来不安全因素。如图 私接HUB检测所示。

图5-2 私接HUB检测

针对私接HUB场景，可以通过单端口下是否存在多个IP和MAC来判定。由于正常的用户端口下只会存在一个IP和MAC地址，在一段时间中交叉检测到某个端口下存在多个IP和MAC，则可判定为私接HUB。

私接路由器检测

用户通过私接路由器，接入多个终端，用以规避计费，同时给网络带来不安全因素。如图 私接路由检测所示。

图5-3 私接路由器检测

针对私接路由器场景，可以使用TCP/IP、HTTP以及DNS等协议的特征综合判定。通过获取同IP流序列的TCP SYN、HTTP以及DNS等报文，解析出IP TTL、UA以及域名等特征信息。下面为不同特征的检测说明：

• TTL：不同的操作系统TTL值固定，初始值为128、64、255、32等，经过路由NAT后值会减1。当设备检测到上送的终端报文的TTL值为非法值（非上述初始值）或者IP的报文序列存在多个TTL值时，可以判断其存在私接行为。
• UA：HTTP头部中的User-Agent字段，该字段包含厂商、终端类型、操作系统、浏览器等信息。可解析提取出UA字段中的操作系统特征，根据这些特征来判断是否存在私接行为。
• DNS：操作系统在连接到网络时会执行连接测试、检查更新等操作，这些操作的DNS报文中包含特殊的域名（含有操作系统的信息），我们可以以此生成操作系统特征。判断私接行为会用到的公网地址：防私接公开URL列表.xlsx。

最终，通过这些融合特征检测出接入网络的操作系统类型在一定时间内是否持续跳变来判断用户是否存在私接行为。

私接WIFI检测

私接用户通过合法用户提供的共享WIFI方式接入网络，用于规避计费，给网络带来不安全因素。如图 私接WIFI检测所示。

图5-4 私接WIFI检测

开启共享热点/代理的场景下，所用技术与私接路由器中类似，均为IP TTL、UA以及域名等特征。区别为：共享热点叠加代理的场景下，非法终端的TCP/IP协议栈特征被屏蔽，基于TTL检测会失效。