面向网络的非法多拨行为检测与抑制技术的研究

面向网络的非法多拨行为检测与抑制技术的研究

李敬安1，李维贤2，洪满福3

【摘要】随着互联网技术的飞速发展,网络黑产活动层出不穷,其中不法分子通过"秒拨"网络设备从电信运营商获取大量动态IP资源,为境外不法分子提供动态IP代理服务从事黑产活动,这类行为给电信网络带来严重的安全隐患。本文在分析现有AAA系统认证和非法多拨原理的基础上,提出一种面向秒拨和防挂死多拨两种典型场景的认证检测和抑制机制,能够及时发现并阻止多拨非法行为，提高电信网络的安全性。

关键词: 网络安全、秒拨、非法多拨、认证

1.引言

随着互联网技术的快速发展,网络黑产活动层出不穷,其中涉及非法获取和利用电信运营商动态IP资源的行为日益猖獗,给电信网络带来严重安全隐患。不久前，某公安机关侦破一起利用"秒拨"网络设备从电信运营商获取大量动态IP资源,为境外不法分子提供动态IP代理服务从事黑产活动并非法牟利的案件,反映出当前抑制非法多拨行为的紧迫性和重要性。

所谓非法多拨,是指利用特殊的网络设备或手段,在极短时间内或在账号已在线的情况下重复发起多次拨号认证请求,从而获取多个公网IP和累计带宽资源用于非法活动的手段。常见的非法多拨行为主要有"秒拨"和"防挂死多拨"两种情况，"秒拨"是指通过特殊设备在极短时间内(如1秒内)对同一账号发起多次认证拨号请求,利用当前AAA认证系统在处理这些并发认证请求时的临时盲区,使得多个拨号均能通过认证并获取独立的会话和公网IP。"防挂死多拨"则是利用目前AAA系统"防挂死"功能的漏洞,在账号已经在线的情况下,使用特殊拨号设备发起多次认证请求,由于终端设备的网络参数相同,AAA系统误判为异常掉线而认证通过,从而多拨成功并获取多个会话和公网IP资源。

2. 背景技术

2.1 AAA认证原理

AAA认证时首先需要验证用户账号密码信息,还需要校验账号相关策略,如账号是否在有效期、是否欠费、在线用户数是否超限等。对于在线用户，AAA系统维护了一张在线信息表,记录着当前所有用户的在线状况，当用户通过了账号密码验证和其他策略检测后，系统会检查当前该用户的在线数是否小于配置的限制值,如果小于则允许认证通过,同时插入在线信息到在线信息表中,异常下线的用户会将其从在线信息表中删除。

2.2 防挂死功能

为防止用户异常掉线后，由于没能及时发送下线报文，导致用户在系统中的在线信息滞留,从而影响用户后续再次认证不成功,AAA认证系统增加了防挂死功能。该功能判断当前认证请求的终端设备(NAS IP和MAC标识)是否与在线信息表中已有的终端设备信息匹配,如果匹配则判断为挂死用户，重新认证时则跳过在线数稽核直接认证通过，这种设计的初衷是防止由于异常掉线导致用户无法重新认证接入网络。

2.3 秒拨原理

秒拨的原理是当AAA系统接收到大量并发认证请求时,会首先对这些认证请求进行预处理,包括账号密码校验等,通过预处理后AAA系统会为这些请求分配在线资源,即在在线信息表中插入多条在线记录，由于AAA系统对用户是否正常上线或者是否超过在线数限制稽核时间过长,在线记录表中的多个认证请求只能全部通过认证,造成同一账号获取多个独立的在线会话和公网IP资源。

为实现秒拨,攻击者一般会使用特殊的网络设备,在极短时间内(如1秒内)对同一账号重复发起多次认证,期望利用上述AAA系统处理并发认证请求时的临时盲区,使得同一账号在极短时间内获取多个通过认证的在线会话。

2.4 防挂死多拨原理

AAA防挂死功能的判断逻辑是如果当前认证请求的终端设备网络参数(如NAS IP、MAC地址等)与在线信息表中已有信息匹配,则不再检查在线数限制,直接认证通过，这项功能本意是为了避免异常掉线重连后用户无法认证上线,但也给一些不法分子可乘之机。

为实现防挂死多拨，攻击者使用特殊拨号设备,在账号已经在线的情况下发起多次认证请求，由于发起多次认证的设备网络参数相同,因此AAA系统认为是异常掉线重连情况,从而跳过在线数检查全部放行认证,造成同一账号获得多个在线会话和公网IP。对于运营商来说,这无疑是难以接受的,会严重消耗网络资源,并带来安全隐患。

3 检测与抑制方案

3.1 秒拨检测与抑制

针对秒拨利用AAA系统在处理并发认证请求时临时认证盲区的特点,优化现有认证机制，通过引入集中认证时间记录,判断连续认证请求时间差是否过短,从而精确识别和阻止秒拨行为,防止窃取公网IP资源。

一是新建集中认证记录内存库,用于记录各用户账号的最新一次认证请求到达时间；

二是增加频繁拨号时间间隔配置，在系统配置表中添加"频繁拨号时间间隔"配置参数,用于设置判断是否构成秒拨行为的时间阈值，如设置为1秒,则时间间隔小于1秒的连续认证请求将被判定为秒拨；

三是优化认证机制，在处理每个用户认证请求时,先检查集中认证记录内存库,是否存在该账号的认证记录以及最新认证时间，计算当前认证请求的时间与内存库中最新认证时间的时间差,如果时间差小于频繁拨号配置的时间阈值,则判定为秒拨行为并阻止本次认证,并将认证失败原因记录为"拨号太频繁"，如果时间差大于阈值,则继续后续普通认证流程；

四是无论本次认证是否通过,均更新该账号在内存库中的认证时间记录为最新时间。

3.2防挂死多拨检测与抑制 

针对利用防挂死多拨行为,综合账号在线状态的历史信息来判断是否构成非法多拨，通过自动扫描用户在线情况和非法多拨黑名单机制，精确地识别出利用防挂死功能进行多拨的异常账号行为,并在认证时将其请求阻断,同时不影响正常用户。

一是新建在线超限记录表,用于记录每个账号超过在线上限的天数统计，字段可包括账号、插入日期、更新日期和超限天数等；

二是新建非法多拨黑名单表,用于存储被识别为从事非法多拨行为的账号，对于进入该黑名单的账号,将在认证时取消防挂死流程,只校验在线数限制；

三是创建在线扫描程序，每小时定时扫描当前在线记录表,统计每个账号的在线数,如果在线数超过了该账号的在线上限数,则在在线超限记录表中新增或累加该账号的超限天数记录,如果某账号在一周内有连续若干天(可配置)的超限天数超过设定阈值(如6天),则判定该账号存在非法多拨嫌疑,将其加入到非法多拨黑名单表中，同时清除该账号在在线超限记录表中的记录。

4.结束语

通过方案实施及应用,可精确计算同一账号连续认证请求的时间间隔,能够准确识别出秒拨行为并加以阻断,降低公网IP资源被滥用的风险。同时结合在线超限记录表和非法多拨黑名单表的设计,可持续监控并捕获利用防挂死功能进行多拨的异常行为,并将这些账号加入黑名单从而阻止其进一步的认证请求,遏制此类行为的蔓延。

另外方案在设计时充分考虑了正常用户的使用体验,如频繁拨号时间阈值、在线超限天数阈值等都经过合理设置,不会将正常用户的行为当做非法行为而阻断认证。

总的来说,该方案较为全面地解决了电信网络中秒拨和利用防挂死功能多拨两种非法行为,提高了网络安全性,具备可操作性和扩展性，对于运营商来说是一种有效的安全防护手段。

参考文献：

[1] 邓矜婷；"秒拨"动态IP切换技术的性质评析；中国检察官；2018年3期

[2] 万晓玥；电信网络诈骗治理视角下的“秒拨”IP技术研究；信息通信技术与政策；2023年2期

作者介绍：

李敬安：中国电信云南公司云网运营部总经理、工程师，通信运营管理

李维贤：中国电信云南公司高级经理、正工程师，互联网应用研究

洪满福：中国电信云南公司ICNOC、工程师，互联网安全研究

工作单位：中国电信云南分公司

Email:13378846614@189.cn

电话：13378846614