電子發燒友App
二、非法VoIP檢測的實現
1.檢測及分析
我們主要采集H.323、MGCP、SIP三類協議的VoIP,分別在主叫、被叫兩個方向進行,同一時間段內將會有多條采集記錄。圖1是多個VoIP連接的簡略圖,忽略了IP電話網關和傳統程控交換網之間的連接。
Gateway1、Gateway2代表IP電話網關,它們位于不同的地點,一般是不同的城市甚至國家。我們假設Gateway1代表本地的媒體網關,也是我們需要采集數據的關注點,是需要檢測的網關。
假設user1用戶撥打VoIP進行呼叫userA,Gateway1會向Gateway2發起VoIP連接請求,我們會記錄下這條數據,這就是主叫方向的記錄。源IP就是Gateway1的IP,目的IP就是Gateway2的IP.而同一時間內可能user2也在呼叫userB,user3 也在呼叫userC,因此會有多條采集記錄,雖然他們的源IP和目的IP都相同。
假設userA從外地撥打VoIP呼叫user1,從Gateway2過來的連接請求,Gateway1需要應答,我們會記錄下這條應答,這就是被叫方向的記錄。源IP還是gateway1的IP,目的IP還是gateway2的IP.而同一時間內可能userB也在呼叫user2,userC 也在呼叫user3,因此會有多條采集記錄,雖然他們的源IP和目的IP都相同。
檢測是否有用戶在使用基于H.233、SIP、MGCP的VoIP或者提供基于H.323、MGCP、SIP的VoIP服務的檢測步驟如下:
(1)數據采集,通過某種方式將流經電信寬帶網上的源端口號和目的端口號分別為1718、1719、1720、5060、2427、2727的數據包采集下來, 即包括主叫、被叫兩個方向的記錄。采集的主要內容有源IP、目的IP、源端口、目的端口、用戶注冊名稱、會話標志、會話發生時間;
(2)數據上傳,將數據上傳到后臺分析系統;
(3)數據入庫,將數據文件存入到數據庫中;
(4)數據分析,對數據庫中的數據進行統計分析,結合事先設計好的一些設定,得到非法VoIP的可疑名單;
(5)統計分析,根據分析出的可疑名單,給出IP電話呼叫詳單以及其他相關的統計分析報表。
詳細的分析舉例如下:
(1)統計某一個源IP在某一時間段內作為被叫方的會話次數,假設值為A;
(2)統計某一個源IP在某一時間段內作為主叫方的會話次數,假設值為B;
(3)統計某一個目的IP在某一時間段內作為被叫方的會話次數,假設值為C;
(4)統計某一個目的IP在某一時間段內作為主叫方的會話次數,假設值為D;
(5)假設有三個預設的判斷閥值,分別為被叫次數閥值H1、主叫次數閥值H2、主被叫閥值H3.
則根據如上統計值,非法VoIP的可疑名單為:
● A或C值大于等于H1的所有用戶;
● B或D值大于等于H2的所有用戶;
● A+B或C+D值大于等于H3的所有用戶。
根據檢測結果,給出如下報表:
● 呼叫詳單,包括賬號、IP地址、通話時長;
● 主叫、被叫話務量最大的用戶;
● 呼入、呼出話務量最大的IP電話網關;
● IP電話網關所處位置(國內、香港還是加拿大等)。
2.非法VoIP封堵
檢測并分析到非法的VoIP電話網關后,對于本網用戶所架設的IP電話網關,我們可以與公安部門取得聯系,進行上門查封。但由于人力、物力有限,是否可采用其他方式呢?如直接對其進行網絡層次上的封堵,然后再執行相關行政手段呢?另外檢測到的大部分IP電話網關不屬于本網用戶,如其他運營商、其他國家,是否可以對其進行控制以及如何控制呢?
在這里,我們提出了多層次封堵的思路。
(1)對于網內的IP電話網關來說,我們定位到該用戶,可對其實施警告,采用向其推送HTML警告頁面或在其進行一個VoIP呼叫過程中,將一段已經錄制好的示警語音信息播放給用戶。
(2)警告后,如果在下一個時間周期內,用戶仍繼續其非法行為,則降低對其的服務質量,實施干擾,即用戶的請求將被按比例丟棄,其VoIP的IP連接將得不到保障。
(3)干擾后,對頑固用戶最終實施封堵,其所有網絡請求都將被丟棄,無法成功連接。
(4)對位于其他運營商、其他城市、其他國家的IP電話網關,我們無法直接對其進行控制,但可考慮限制網內用戶對其發起的連接請求,間接的阻止其正常服務的提供。
3.非法VoIP檢測的意義所在
VoIP作為中國電信運營商未來的一項重要的基礎通信業務,其收入占電信運營商總體收入的重要性正在逐步提高。而非法VoIP的存在,給電信運營商造成了巨大的經濟損失。
根據某運營商的某個地市分公司在最近的一次檢測行動中得到的數據,在持續4天的檢測時間內,僅在該市的某網絡節點上所采集到的非法VoIP呼叫次數即接近30000個,話務量達到150000m.按此推測,該分公司全市一年所損失的VoIP收入可達2億人民幣。
從上面可看出,由非法VoIP給電信運營商所造成的損失是很大的。而且不僅僅是經濟方面,給社會也帶來了一定程度的安全危害,如境外反動組織通過VoIP方式撥打用戶電話,向用戶宣揚其反動宣言,造成了不好的影響。
三、需關注的其他問題
我們知道,目前存在的非法VoIP運營者可能會修改其正常的協議工作端口,如H.323原本應工作在1718、1719、1720端口,修改后可能變為2718、2719、2720,這樣我們就無法采集到這部分數據。這也就給我們提出了這樣一個問題:對于采用非標準端口進行VoIP業務的檢測如何實現?
我們認為,對于采用了非標準端口的VoIP系統,可以把其所有端口的數據都采集下來,然后再同已知的VoIP進行數據包比對,最后定然可分析出用戶的VoIP通話清單。但所有數據包的完全比對,是不現實的,最好建立1套智能協議分析系統,即分析比對需要具備一定的策略,以降低系統整體投入。
采用非標準端口的VoIP系統無非是加大了數據采集、分析的工作量以及額外的系統開發。而所有非法VoIP系統采用的基礎通信協議是不變的,正所謂“萬變不離其宗”!
綜合網管建設探討
一、網絡管理現狀
從管理功能角度劃分,網絡管理系統分為網元管理層、子網管理層和網絡管理層。網元管理層對單個網元、子網管理層對多個單個網元、網絡管理層對子網間的關聯系統分別實現配置管理、故障管理、性能管理、安全管理的功能。目前國內運營商的網絡管理系統大部分仍然處于網元級的管理和子網級管理。
現以傳送網為例,既可看出網絡管理的現狀。傳送網是由傳輸線路、傳輸設備和相關設備組成,是通信網的基礎網絡。根據服務的地域,傳送網可以分為長途傳送網和本地傳送網,長途傳送網又可分為省際骨干傳送網和省內骨干傳送網。
1.省際骨干傳送網
省際骨干傳送網負責為省會城市及匯接節點城市提供大容量省際傳輸電路和通道,通常采用密集波分系統DWDM和高速率的SDH設備構成環狀網,網管的設置有很多形式,主要是依據網絡結構和設備的所屬廠家,因目前各廠家的網管系統互不兼容,即某一廠家的網管系統還不能管理其他廠家的設備,所以每個運營商都有多套干線網管系統。
2.省內骨干傳送網
省內骨干傳送網負責為本省各城市之間提供傳輸電路以及通道,連接省內各本地傳送網道,通常采用密集波分系統DWDM和高速率的SDH設備構成環狀網或鏈狀網,同樣也是依據網絡結構和設備的所屬廠家設置網管系統,每個省一般都有多套省內干線網管系統。
3.本地傳送網
本地傳送網負責為本地區提供傳輸電路以及通道。通常采用高速率SDH設備構成環狀網或鏈狀網,同一城市內一般采用同一廠家設備只設置1套網管系統。
由此可見傳送網在全國就有數10套網管,分別負責省際骨干傳送網、省內骨干傳送網和本地傳送網的配置管理、故障管理、性能管理和安全管理。
二、綜合網管的建設
我國現階段網絡管理水平與世界先進國家相比有較大差距,如何發展、建設是各運營商面臨的很重要的問題。
因此綜合管理網的建設必須考慮現有網絡情況及今后的網絡運行與維護管理體制。為實現網絡集中管理、集中監控,綜合網管建設可分為三個階段:省級專業網管建設、全國專業網管建設和綜合網管建設,并根據每個階段的情況制定每個階段所要達到的目標。
1.省級各專業網絡級網管建設
目前,國內各運營商通信網絡的網管系統基本上是按照專業設置的,同一專業在省內既有本地網網管,又有區域網網管和省網網管,即處于網元級網管和子網級網管狀態。若開通1條省內出租電路業務,至少要分別登錄3套傳輸網管系統進行資源使用情況查詢及電路配置,即本地傳輸網網管系統-省傳輸網網管系統 -本地傳輸網網管系統。
電信管理網的目標之一是實現一站式服務,為實現這一最終目標首先應在各省建設各專業網絡級網管系統,在省一級達到各專業設備的集中監控、集中維護和集中管理。綜合專業網管如圖1所示。
2.全國網管中心各專業網管建設
目前,國內各運營商全國網管中心的網管系統也基本上是按照專業設置的,同一專業設有不同區域內的干線網管系統,同樣也處于網元級網管和子網級網管狀態。若開通1條省際出租電路業務,至少要登錄5套傳輸網管系統查詢資源使用情況及進行電路配置,即本地傳輸網網管系統-省傳輸網網管系統-省際傳輸網管系統-省傳輸網網管系統-本地傳輸網網管系統;若是在省級各專業網管已建成的情況下,也要至少要登錄3套傳輸網管系統查詢資源使用情況及進行電路配置,即省級傳輸專業網管系統-省際傳輸網管系統-省級傳輸專業網管系統。
在省級各專業網管系統已建成的基礎上,建設全國各專業網管系統,在全國范圍達到各專業設備及業務的集中監控、集中維護和集中管理。
3.綜合網管建設
經過省級各專業網管建設和全國網管中心各專業網管建設雖然實現了全國范圍內各專業網絡的集中監控、集中維護和集中管理,但各個專業網管系統之間信息無法互通,不利于故障的迅速定位、各專業資源的統一調配等,因而需要建設管理各專業網絡的綜合網管。
全國綜合網管是建在全國各專業網管基礎之上,因各專業網管基本上在同一樓內,所以通過局域網既可建設全國綜合網管。各級網管至少要有Q3、CORBA等標準接口。
Q3接口是網管互通的標準接口,它不僅包括OSI(Open Systems Interconnection)從第一層到第七層的通信協議,而且還包括在第七層中的管理信息和管理信息模型MIB(Management Information Base),通過標準Q3接口,提供信息上報、查詢和管理各種操作的功能。
CORBA接口,作為與高層網管的接口之一,是一種支持分布式網絡管理功能技術,CORBA也是支持服務管理環境的戰略性技術框架。
構建綜合網管的關鍵是實現不同專業、同一專業不同廠家網管的兼容、互操作性。
互操作就要實現統一的結構標準、標準的接口規定、一致的路由選擇方式、統一的編號規則和尋址原則、標準化的信息模型。就目前情況看,盡管標準化工作已經有了很重要的進展,但距真正性的互操作還有很大的距離,關鍵在于信息模型。
傳輸網SDH的運行、管理和維護(OAM)信息是靠其幀結構中的開銷字節來傳送的,圖2所示為STM-1段開銷(SOH)示意圖。
其中D1-D12為數據通信通路(DCC),D1-D3字節為再生段DCC,用于再生段之間的交流OAM信息,速率為 192kbit/s(3×64kbit/s),D4-D12字節為復用段DCC,用于復用段之間的交流OAM信息,速率為576kbit /s(9×64kbit/s)。這總共768kbit/s的數據通路為SDH網的網管和控制提供了強大的通信基礎結構。DCC是網管的物理通道,有自己的協議棧。
為了在SDH的DCC上傳送OAM信息,SDH網絡選擇了一套類似七層協議棧來滿足應用要求。它符合開放系統管理所采用的面向目標的方法,即應用層含公用管理信息服務單元(CMISE)、遠端操作服務單元(ROSE)和聯系服務控制單元(ACSE)。該協議棧是面向無連接方式的,同時其表示層、會晤層和傳送層提供了為支持ROSE和ACSE所需的面向連接的服務,數據鏈路層遵循Q.921所規定的D通道鏈路接入規程,物理層為SDH的DCC.
其中在第七層中設置的公用管理信息單元(CMISE)是面向目標的服務和協議的典范,它定義了面向目標的消息結構和操作目標,使不同網管系統和設備間互操作的實現比較容易。但不同的廠家對其設計與開發不盡相同,造成不能互操作。作為廠家他們為保障自己的市場與利益不太重視互操作性,而作為運營商為提高服務品質,必須注重提高網絡的管理功能,從這一角度來說,不同網管系統和設備間互操作的實現是要靠運營商的推動。
三、小 結
總之,綜合網管建設是一項長期、復雜的工作,按照專業及區域分階段進行建設,不但可滿足當前的一些業務需求,而且可降低軟件開發的難度(因不同專業的綜合網管軟件開發難于同一專業不同廠家設備網管的軟件開發),從而降低了投資風險。
工商網監
評論