技術領域

本發明涉及寬帶用戶檢測領域，具體涉及一種用于針對非法共享上網的寬帶私接檢測方法。

背景技術

目前寬帶接入業務基本都是基于包月或包年的形式開展的，因此往往存在著以個人的名義申請寬帶而讓黑網吧、企業使用，或者幾戶共用寬帶而分攤費用，給運營商造成了巨大的經濟損失，目前針對這種非法共享上網使用最多最有效的檢測方法有IP_ID檢測法和TCP指紋檢測法。

IP_ID檢測法的原理如下：同一Windows主機發出的IP報文中攜帶的ID字段是連續變化且呈遞增趨勢，其起始值因不同的Windows主機不同而不同，根據這一規律，如果在一段時間內檢測到某個源IP對應多個ID字段范圍，則說明該IP對應的用戶為共享接入用戶，根據ID字段區間個數能夠大致確定共享接入主機數目。但是，IP_ID檢測法存在一些不足之處：

1)報文亂序時可能導致誤判；

2)大多數的LINUX版本或UNIX系統，每個TCP中的IP_ID連續增加，但不同的TCP連接，IP_ID沒有任何關系；

3)對于Proxy方式、分時上網無效；

4)IP_ID檢測方法對于使用特殊的NAT軟件無濟于事，這些NAT軟件可以改變IP中的ID，在外面看上去就像是一臺主機發出的。

TCP指紋檢測法的原理如下：通過TCP序列號、確認號、滑動窗口這幾個字段作為TCP指紋來檢測，所以若一段時間后發現某個IP下有幾段序列號或確認號在連續變化，或者有好幾種窗口大小，則可認為該IP下有私接用戶。但該方法存在一些不足之處：

1)由于窗口大小是客戶服務器協商決定的，所以對于同一個沒有私接的IP地址，也可能同時存在好幾種窗口大小，這將導致誤判；

2)檢測速度慢，需要根據收集到許多連續的報文段樣本才有可能確定某個IP地址下是否存在幾段序列號、確認號、窗口大小；

3)TCP三次握手時的初始化序列號(ISN)隨時間而變化的，而且不同的操作系統也會有不同的實現方式，所以每個連接的初始序列號是不同的。這樣當某個私接的IP地址與外界進行非連續的通信時，之前記錄的序列號、確認號、窗口大小等指紋信息就要拋棄來重新進行記錄。

綜上所述，IP_ID檢測法和TCP指紋檢測法兩種方法在實現時除了各自存在的不足外，都存在檢測的準確性低、系統資源占用高、檢測過程繁瑣、適用范圍窄的問題。

發明內容

本發明要解決的技術問題是提供一種檢測準確性高、系統資源占用低、檢測過程簡便、適用范圍廣泛的基于OSI傳輸層時間戳的寬帶私接檢測方法。

為解決上述技術問題，本發明采用的技術方案為：一種基于OSI傳輸層時間戳的寬帶私接檢測方法，其實施步驟如下：

1)在客戶端向電信接入路由設備建立TCP連接時開啟客戶端TCP報文的時間戳選項；

2)設定用于判定客戶端是否存在寬帶私接的第一常量和第二常量；

3)標記每一個接收的TCP報文的系統時間，并獲取每一個接收的TCP報文的時間戳；

4)實時獲取同一IP地址客戶端發送的相鄰兩個TCP報文之間的系統時間差和時間戳差，并獲取系統時間差和時間戳差之間的差值，如果所述差值超過第一常量或者在預設時間內所述差值不為0的數量超過第二常量則判定該IP地址對應的客戶端存在寬帶私接現象。

作為上述技術方案的進一步改進：

所述步驟1)的詳細步驟為：電信接入路由設備實時捕獲服務器端發送給客戶端的TCP報文，如果TCP報文中SYN為1并且ACK為1，則將所述TCP報文的時間戳填充一串長度為32比特的數字后再發送給對應的客戶端。

所述步驟4)的詳細步驟為：

A)設置檢測時間為1.2秒，檢測周期為300ms，初始化計數器cnt、預設時間計數器N₀和N都為0；

B)獲取接收當前TCP報文的系統時間和接收上一個TCP報文的系統時間，將所述兩個系統時間求差得到系統時間差并以100ms為單位取整；

C)獲取當前TCP報文的時間戳和上一個TCP報文的時間戳，獲取時間戳差的絕對值；

D)獲取所述時間戳差的絕對值與所述系統時間差之間的差值，并將所述差值與第一常量進行比較，如果所述差值超過第一常量則判定該IP地址對應的客戶端存在寬帶私接現象，否則跳轉執行步驟E)；

E)分別獲取接收當前TCP報文的系統時間和第1次接收到的TCP報文的系統時間，將所述兩個系統時間求差得到系統時間差并以100ms為單位取整得到N；