目录 - cisco · charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only...

3
目录 简介 问题 故障排除 解决方案 配置示例 相关的思科支持社区讨论 简介 本文描述用户以安全套接字协议层(SSL)流使用自由速率应用程序例如Whatsapp, Snapchat等,当 阻塞其他用户数据流时的一个特定方案。此特定应用程序在Cisco运行聚集了5x00系列服务的路由 器(ASR)。SSL是管理服务器验证、客户端验证和加密的通信服务器和客户端之间的计算机网络协 议。 问题 要检测所有app,您需要分析的一些初始数据包。这两个矛盾的需求完成在可能最大的程度上。 a) 检测在第一数据包必须发生 b) 检测准确性必须是100% 如果尝试对fullfill需求(a) &标记在的所有apps不是实际上可能的)的第一数据包(在检测准确性的需求 (b)遭受。为了使检测准确性好,您需要更多数据包分析批次apps (有app在第一数据包)检测的apps &流。在同一个app的情况下,它能发生您能标记在第一数据包的一些流,当同一个app的其他流需 要分析的时更多数据包。 因此,如果其中任一个app是自由额定的,当阻塞其他流量,它能发生时app的初始数据包没获得检 测,因为不传播充足的信息。特别是根据SSL的盒apps流,协议被标记使用服务器NAME征兆字段 现在客户端Hello数据包或公用名称现在SSL证书。因为服务器名称是可选字段,总是不存在。 如此 镜像所显示,在一个Whatsapp SSL流,在三方握手(TWH)以后客户端Hello数据包由app发送。显示 服务器名征兆(SNI)字段的PCAP trace。并且被看到的客户端Hello数据包多重新传输最终被撤销。

Upload: others

Post on 22-Aug-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: 目录 - Cisco · charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef ... sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action

目录

简介问题故障排除解决方案配置示例相关的思科支持社区讨论

简介

本文描述用户以安全套接字协议层(SSL)流使用自由速率应用程序例如Whatsapp, Snapchat等,当阻塞其他用户数据流时的一个特定方案。此特定应用程序在Cisco运行聚集了5x00系列服务的路由器(ASR)。SSL是管理服务器验证、客户端验证和加密的通信服务器和客户端之间的计算机网络协议。

问题

要检测所有app,您需要分析的一些初始数据包。这两个矛盾的需求完成在可能最大的程度上。

a) 检测在第一数据包必须发生

b) 检测准确性必须是100%

如果尝试对fullfill需求(a) &标记在的所有apps不是实际上可能的)的第一数据包(在检测准确性的需求(b)遭受。为了使检测准确性好,您需要更多数据包分析批次apps (有app在第一数据包)检测的apps&流。在同一个app的情况下,它能发生您能标记在第一数据包的一些流,当同一个app的其他流需要分析的时更多数据包。

因此,如果其中任一个app是自由额定的,当阻塞其他流量,它能发生时app的初始数据包没获得检测,因为不传播充足的信息。特别是根据SSL的盒apps流,协议被标记使用服务器NAME征兆字段现在客户端Hello数据包或公用名称现在SSL证书。因为服务器名称是可选字段,总是不存在。 如此镜像所显示,在一个Whatsapp SSL流,在三方握手(TWH)以后客户端Hello数据包由app发送。显示服务器名征兆(SNI)字段的PCAP trace。并且被看到的客户端Hello数据包多重新传输最终被撤销。

Page 2: 目录 - Cisco · charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef ... sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action

 并且,如此镜像所显示,他们是SNI字段,使用标记Whatsapp,不是存在的客户端Hello数据包的HEX字节。因此,客户端Hello数据包不可能被标记作为Whatsapp并且去未被发现。当此数据包落入另外规定值组,被撤销并且客户端Hello数据包多重新传输被看到(请参阅帧没有5449, 5453,5469)。最后,连接终止。几个这样流在pcap被看到。这是原因有用的活动,例如Whatsapp的镜像加载,不可以完成。

故障排除

这些命令给应用程序的分析程序stats。

检查插件版本:

解决方案

为了避免,您需要保证在app前的数据包(whatsapp请说)获得明显,并且必须经历。 

请使用此ruledef :

不能丢弃任何数据包,匹配上述ruledef。此ruledef优先级必须上面匹配此数据包&造成它被撤销的默认ruledef (IP任何ruledef)。

通过使用此配置,匹配上述三条规则线路的仅数据包是自由额定的。这些在SSL流包括使用此ruledef,允许仅的最初的握手数据包(例如客户端Hello,服务器问候),而在SSL流的其他数据包不匹配此ruledef。因此,如果有属于您想要自由速率)的某个其他app的SSLflow (除whatsapp之外那里不可以在任何有用的处理,因为SSL流的只最初的两到三数据包允许使用此ruledef。

配置示例

建议的ruledef比all-ip_004_012_00016 ruledef (ip任何匹配=特鲁)需要有一高优先级和

Page 3: 目录 - Cisco · charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef ... sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action

允许流量类似于whatsapp与规定值组400和中的任一的ruledef.(sid_040_rg_400_rate_99999/sid_040_rg_400_rate_00032/ sid_040_rg_400_rate_00064速率)的充电的操作。

使用此设置,客户端Hello数据包押报价的ruledef和允许而不是重定向。这些是whatsapp规则被看到的两rulebases :

rulebase mbc-internet-rsaction priority 1087 dynamic-only ruledef WhatsApp_P2P_040_400_99999_All_internet charging-

action sid_040_rg_400_rate_99999action priority 1088 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_internet

charging-action sid_040_rg_400_rate_00064action priority 1089 dynamic-only ruledef

WhatsApp_P2P_040_400_00032_All_internet charging-action sid_040_rg_400_rate_00032action priority [1090-9909]

dynamic-only ruledef ssl_clienthello charging-action sid_040_rg_400_rate99999/00064/00032 -->

Higher priority than all-ip ruledef and charging action with rating group 400action priority

9910 dynamic-only ruledef all-ip_004_012_00016_MI_internet charging-action

sid_004_rg_012_rate_00016action priority 9920 dynamic-only ruledef all-

ip_004_012_00032_MI_internet charging-action sid_004_rg_012_rate_00032action priority 9930

dynamic-only ruledef all-ip_004_012_00064_MI_internet charging-action

sid_004_rg_012_rate_00064rulebase mbc-iphone-rsaction priority 1206 dynamic-only ruledef

WhatsApp_P2P_040_400_99999_All_iphone charging-action sid_040_rg_400_rate_99999action priority

1207 dynamic-only ruledef WhatsApp_P2P_040_400_00064_All_iphone charging-action

sid_040_rg_400_rate_00064action priority 1208 dynamic-only ruledef

WhatsApp_P2P_040_400_00032_All_iphone charging-action sid_040_rg_400_rate_00032action priority

[1209-8999] dynamic-only ruledef ssl_clienthello charging-action

sid_040_rg_400_rate99999/00064/00032 --> Higher priority than all-ip ruledef and charging action

with rating group 400action priority 9000 dynamic-only ruledef all-ip_015_150_00016_ALL_iphone

charging-action sid_015_rg_150_rate_00016action priority 9010 dynamic-only ruledef all-

ip_015_150_00032_ALL_iphone charging-action sid_015_rg_150_rate_00032action priority 9020

dynamic-only ruledef all-ip_015_150_00064_ALL_iphone charging-action

sid_015_rg_150_rate_00064action priority 9030 dynamic-only ruledef all-

ip_015_150_99999_ALL_iphone charging-action sid_015_rg_150_rate_99999charging-action

sid_040_rg_400_rate_99999content-id 400service-identifier 40billing-action egcdrcca charging

creditexitruledef ssl_clienthellotcp either-port = 443tcp payload-length >= 44tcp payload

starts-with hex-signature 16-03exit