WLAN认证平台七步分析法_第1页
WLAN认证平台七步分析法_第2页
WLAN认证平台七步分析法_第3页
WLAN认证平台七步分析法_第4页
WLAN认证平台七步分析法_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

WLAN认证平台七步分析法总部网络部监控处2013年6月WLAN用户上线全景图总部组织专家团队建立认证平台的日志关联分析方法和模型,制定了WLAN日志分析7步法,按WLAN上线全流程的7个环节进行分析,最终认证成功仅占用户Portal请求0.5%。4.3亿1.75亿0.4亿349万280万251万243万231万100%41%9%0.8%0.7%0.6%0.57%0.54%认证通过0.36亿扫描攻击,占比91%,是正常访问量的10倍推送认证页面用户发起登录用户信息验证平台与AC建立认证通道AC发起鉴权1234567Radius鉴权排除扫号攻击6环节1:认证页面推送用户Portal请求为降低系统负荷,一级认证平台在Portal侧采用了UA识别拦截技术,将非用户浏览器发起的WEB请求全部拦截。拦截率60%。主要拦截的页面请求来自于:PPStream、QQ音乐、暴风影音等流媒体软件、QQ等即时通讯软件、iTunes、安卓市场等市场类软件、360安全卫士等杀毒软件。用户UA识别拦截Portal推送页面4.34亿次1.75亿次每天Portal服务器会收到4.34亿次请求,其中仅1.75亿次为正常浏览器发送的请求,非用户浏览器请求约占总请求数的60%。建议网络部牵头,同时将一级认证平台的拦截UA列表进行汇总后发布给各省,要求在二级认证平台使用该方法进行拦截,降低系统负荷。建议研究院牵头,将认证平台的无效UA拦截功能纳入规范。7环节2:用户发起登录针对这些用户,我们使用相同IP地址去重后发现每天有5.3万用户除了浏览登录首页外,还浏览过业务介绍和资费介绍页面,是我们的潜在客户。建议市场部门考虑如何引导更多用户打开Portal后使用WLAN业务。Portal推送页面1.75亿次每天1.75亿次Portal首页浏览,其中只有0.39亿次用户会填写用户名和密码进行登录请求,占比仅为22%。用户上线请求0.39亿次8环节3:排除扫号攻击攻击者的来源IP自全国各地,属于分布式攻击,IDP防火墙等传统方式难以有效拦截。

每天0.39亿次WLAN用户上线请求中,有0.36亿次的申请为扫号软件攻击,占比达91%

,命中率极低,但给系统带来极大的负荷。正常上线请求用户上线请求扫号软件攻击0.39亿次0.36亿次349万次超过90%的系统负荷被无效攻击耗费,严重影响业务的稳定性,2012年以来由于该因素已经造成系统8次故障。强制使用图形验证码是解决扫号攻击的最有效方法。建议数据部门牵头,再次评估是否可以对用户登录增加图形验证码限制,彻底解决扫号软件对平台的影响。扫号攻击对用户帐号安全性的影响已经得到控制:由于已经加强了密码长度和强度的要求,并开展了各省公司的弱密码重置等工作,扫号软件的命中率极低,采样的日志分析显示成功破解用户帐号的比率为0%。9环节4:用户信息验证每天349万次正常上线请求中,有20%无法通过用户订购关系和密码的Portal侧验证。错误原因

占本环节错误比例占全部正常上线请求的比例

用户密码错误42.46%8.27%用户没有订购业务24.79%4.83%用户状态错误19.73%3.84%自动认证已过期(cookie)9.16%1.79%动态密码有效期过期、用户卡无效、用户没有可用时长、帐号不支持动态密码2.16%0.42%Portal前后台通讯异常,OBS访问失败1.68%0.33%用户密码错误:其中67%是用户记错密码(一段时间内有密码错误但最终成功);33%是用户完全忘记密码(全部密码错误)。建议数据部牵头研究增加措施,对于可能忘记密码的用户,主动短信提示用户重置密码或者提醒用户使用动态密码来帮助用户登录。用户没有订购业务错误按账号类型区分:移动手机号码占比69%、其他运营商手机号码3%、其余28%属于非有效的手机号码。使用移动号码尝试登录的用户属于潜在用户,建议市场部考虑进行针对性营销,对于非移动手机号码的尝试登录用户,可以在登录页面提示购买预付费卡来使用WLAN业务。10环节4:用户信息验证自动认证已过期错误,动态密码有效期过期等错误:属于用户正常行为导致,主要为用户修改密码或者更换终端,动态密码过期、使用无效卡登录等问题导致。Portal前后台通讯异常和OBS访问失败:属于系统遭受突发业务量高峰的时候,系统内资源受限导致的处理失败,可以通过降低扫号攻击对系统的影响来避免。用户状态错误:其中有13.66%是由于省内boss与集团认证平台用户状态不一致导致的失败。建议计划部尽快组织上线数据一致性对比接口,请各省公司利用该接口定期开展数据比对和修复。11环节5:平台与AC建立认证通道

每天通过Portal验证的280万正常上线请求中,有10%无法正常建立认证通道。错误原因

统计数量(次/天)

占本环节错误的比例占正常上线请求的比例

请求Challenge此链接已建立13674946.46%3.91%请求Challenge被拒绝12575142.73%3.60%请求Challenge有一个用户正在认证过程中185826.31%0.53%其他错误(portal根据Acname参数无法找到对应的ACIP)129324.39%0.37%请求Challenge,上线BAS错误1610.05%0.00%接收AC/BAS响应包超时560.02%0.00%AC名称不匹配420.01%0.00%用户上线且使用同一用户名和IP重复登录390.01%0.00%请求Challenge链接已建立、请求Challenge被拒绝说明用户的IP地址不合法,通过在AC侧抓包共同分析,发现主要原因是用户收藏登录页面或自行修改登录页面URL导致。建议计划部牵头在Portal上增加功能,提醒用户不要收藏认证页面。建议研究院牵头研究优化认证流程,在IP地址已经在线时提示用户已经认证通过,在IP地址非法时向用户重新推送认证页面。上线bas错误、响应包超时错误:该错误属于系统或者网络问题,可以通过降低AC负荷、优化AC性能来避免。网络部一直在按月分AC分析该类型错误,并将该指标纳入通报,督促各省解决。其他错误:其他用户行为导致,一般不会影响用户感知,详细分析可见附录。12每天成功建立Challenge过程的251万正常上线请求中,有3%无法通过向AC发起的鉴权过程。请求AUTH链接已建立错误:用户同时发起多次上线流程的时候部分AC的端口处理机制出现混乱,以最后一次收到Portal消息的端口回复Portal,此时用户侧显示认证成功,但上不了网。建议网络部牵头对现网设备进行排查;建议研究院明确AC设备在处理同一用户短时间内多次重复认证请求的要求,并纳入设备规范。错误原因

统计数量(次/天)

占本环节错误的比例占正常上线请求的比例

请求AUTH此链接已建立6283473.91%1.80%请求AUTH有一个用户正在认证过程中,请稍后再试2171025.54%0.62%请求AUTH,上线BAS错误4680.55%0.01%环节6:AC发起鉴权其他错误:对用户感知影响不大,详细分析可见附录。13环节7:Radius鉴权每天通过AUTH鉴权的243万正常上线请求中,有5%Radius认证失败。唯3性限制拒绝:原因是用户同时登录的终端数量超过3个,属于用户原因。密码错:密码校验工作在Portal验证环节已经做过,该环节不应该再出现该错误;经过联合AC抓包分析,发现一级认证平台存在一个软件Bug,导致部分用户密码正确的时候也会被认证平台误判为密码错误。建议计划部组织制定解决方案,尽快修复该Bug。错误原因

统计数量(次/天)

占本环节错误的比例占正常上线请求的比例

认证请求被拒绝(唯3性限制)10744488.93%3.07%Radius认证密码错99468.23%0.28%认证域名错误21221.76%0.06%认证端口错误13021.08%0.04%14环节7:Radius鉴权认证域名错误:说明AC送给Radius认证的用户名的后缀不正确,主要原因为AC设备问题或者AC设备配置问题。请各省公司整治AC认证域名错误的问题。正确的后缀:@web.pc;@web.mobile;错误的后缀:@wlantest认证请求应该发送至端口1645但被发送至2645端口认证端口错误:说明AC将认证请求的发送至错误的目的端口,导致认证不能正确处理,主要原因为AC设备问题或AC设备配置问题。请各省公司整治AC认证端口错误的问题。15附录1:环节5的其他错误分析请求Challenge有一个用户正在认证过程中错误:占本环节错误比例6.31%,占全部比例0.53%该错误说明该用户认证之前有一个认证还在处理过程中。通过在AC侧抓包共同分析,发现主要原因是用户配置了Cookie认证导致,在用户配置了Cookie登录后,如果同时打开多个浏览页面,就会同时发起多个认证登录请求,其中第一个认证请求可以正常处理,后续的认证请求就会出现该错误。该错误不会影响用户感知,但会对系统造成额外负荷,建议研究院研究是否可以通过流程优化等方式解决。上线bas错误和响应包超时错误:占本环节错误比例0.07%,占全部比例0.01%该错误属于系统或者网络问题,可以通过降低AC负荷、优化AC性能来避免。网络部一直在按月分AC分析该错误,并将该指标纳入通报,督促各省解决。其他错误:用户自行填写的错误ACname,导致portal根据ACname参数无法找到对应的ACIP,用户上线且使用同一用户名和IP重复登录,这些错误一般都是用户操作不当导致。错误原因

统计数量(次/天)

占本环节错误的比例占正常上线请求的比例

请求Challenge此链接已建立13674946.46%3.91%请求Challenge被拒绝12575142.73%3.60%请求Challenge有一个用户正在认证过程中185826.31%0.53%其他错误(portal根据Acname参数无法找到对应的ACIP)129324.39%0.37%请求Challenge,上线BAS错误1610.05%0.00%接收AC/BAS响应包超时560.02%0.00%AC名称不匹配420.01%0.00%用户上线且使用同一用户名和IP重复登录390.01%0.00%23附录2:环节6的其他错误分析请求AUTH有一个用户正在认证过程中错误:占本环节错误比例25.54%,占全部比例0.62%该错误说明用户短时间内发起多次重复认证,且上一次Auth认证环节还未结束。通过在AC侧抓包共同分析,发现主要原因是:用户配置了Cookie认证,在打开多标签浏览器时会同时发起多个认证登录请求,多次认证同时发起就可能会引发该错误。该错误不会影响用户感知,但会对系统造成额外负荷,建议研究院研究是否具备可行的解决方案。上线bas错误:占本环节错误比例0.55%,占全部比例0.01%该错误属于系统或者网络问题,可以通过降低AC负荷、优化AC性能来避免。网络部一直在按月分AC分析该错误,并将该指标纳入通报,督促各省解决。错误原因

统计数量(次/天)

占本环节错误的比例占正常上线请求的比例

请求AUTH此链接已建立6283473.91%1.80%请求AU

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论