专利名称:宽带接入网络中防止点到点协议认证攻击的实现方法
技术领域:
本发明涉及宽带接入网络技术领域,尤其涉及一种宽带接入网络中防止点到点协议认证攻击的实现方法。
背景技术:
目前的宽带接入网络是一个可运营、可管理的网络。宽带接入网的可运营可管理能力是建立在对用户的认证和授权技术之上的,而宽带接入网的认证和授权通常采用PPP(点到点协议)的认证机制。PPP协议建议用户上线需要经过三个阶段,即链路层协商阶段,认证阶段和网络层协商阶段。用户上线时,到达认证阶段,则用户和BRAS(宽带远程接入服务器)之间交互含有认证信息的报文,BRAS可以在本地完成用户的认证或者把认证信息通过Radius(远程验证用户拨入服务协议)发送到认证服务器对用户进行认证和授权。用户只有在通过认证后,才能在事先配置好的授权范围内访问外部网络资源。一般采用在认证服务器上完成认证和授权的组网模式。
如图1所示为宽带接入组网模式示意图,PPPoE(在以太网上传送PPP报文)和PPPoA(在AAL5即ATM适配层5上传送PPP报文)是目前宽带接入通常使用的PPP衍生技术。在以太网上运行PPP协议来进行用户认证接入的方式称为PPPoE,在ATM(异步传输模式)网络上运行PPP协议来管理用户认证的方式称为PPPoA。PPPoA与PPPoE的原理和作用相同,主要区别在于承载PPP协议报文的链路层不同。
在宽带网络运营过程中,常常出现部分PPPoE或PPPoA的接入用户非正常使用PPP认证报文攻击网络的情况,即用户使用错误的用户名和密码请求认证,这样的认证请求被拒绝后,用户仍然不停的请求认证。实际使用中有的用户达到每天100万次拨号尝试。
如果网络中有较多此类尝试拨号用户就会造成BRAS设备性能不稳定。如果认证在认证服务器上进行,则会消耗认证服务器的资源,造成正常用户无法上线,甚至会影响计费的准确性。
用户频繁向BRAS和认证服务器发送错误的PPP认证报文消耗网络资源的情况,称之为PPP认证攻击,这一类用户称之为认证攻击用户。引起PPP认证攻击的原因有多种,例如用户欠费,局方在认证服务器上配置禁止用户上线,但用户端设备仍然尝试上线;恶意用户故意发送认证报文攻击网络;恶意用户故意发送认证报文试图盗取正确的用户名和密码。
因为PPP认证攻击在宽带接入网中经常出现,在某些地区已经严重影响了宽带接入网络的正常运营,所以必须采取有效的手段抑制PPP认证攻击对网络的影响。目前只能够在认证服务器上对已知用户名的用户统计认证失败的次数,如果用户认证失败次数异常,则通知该用户把拨号设备(如调制解调器或PC)与网络的连接断开来防止认证攻击的发生。
现有技术的缺点在于1、局方无法主动防止认证攻击的发生。在找到非法攻击后,如果用户不主动断开与网络的连接,则攻击仍可以持续进行。
2、无法有效定位认证攻击用户。认证攻击发送时,认证报文中携带的用户标示信息(如用户名)可能是伪造的,而且可能频繁改变。因此在认证服务器上无法对认证失败次数进行有效的统计,从而也就无法定为攻击用户了。
3、需要人工干预。在定位了攻击的用户时,需要局方人员与用户沟通让其停止攻击,这需要耗费较大的人力。
发明内容
本发明所要解决的技术问题是克服现有技术没有有效手段抑制PPP认证攻击的不足,提供一种宽带接入网络中防止PPP认证攻击的实现方法,从而可以自动识别PPP认证攻击用户,并对攻击报文进行过滤,防止非法的上线过程使用认证报文对BRAS设备和认证服务器的攻击。
本发明为解决上述技术问题所采用的技术方案为这种宽带接入网络中防止点到点协议认证攻击的实现方法,包括以下步骤A、选取能唯一标识一个点到点协议用户的信息作为该用户的唯一标识信息;B、在宽带远程接入服务器上设置跟踪认证失败用户的时长,并设置一个阀值,如果在设定的跟踪时长内,用户认证失败的次数达到该阀值,则认为该唯一标识信息对应的用户是非法攻击用户;C、对非法攻击用户,打印告警信息通知管理员,或者对攻击用户报文进行过滤,抑制非法攻击。
所述步骤A中,对于以太网上传送点到点协议报文的拨号用户,可选取拨号设备发送给宽带远程接入服务器的以太网媒体访问控制地址作为该用户的唯一标识信息。对于异步传输模式第五适配层上传送点到点协议报文的用户,可选取拨号设备接入宽带远程接入服务器的永久虚通路连接信息作为该用户的唯一标识信息。
所述步骤B中,可在宽带远程接入服务器中设置认证失败跟踪数据库,用户认证失败后,宽带远程接入服务器将用户的唯一标识信息加入认证失败跟踪数据库中,如果数据库中没有该用户的信息,则新创建一个数据表项,并启动一个定时器对该用户进行跟踪,定时器的触发时间为所设置的跟踪时长;如果数据库中该用户信息已经存在,则增加该用户认证失败的累计次数;如果认证失败跟踪数据库中某个用户的定时器到时触发,则取出该用户累计的失败次数与设定的阀值比较,如果大于阀值则认为是攻击用户;如果小于阀值则把该用户信息从认证失败跟踪信息库中删除。
所述的步骤C中进行过滤时,对于以太网上传送点到点协议报文的拨号用户,在宽带远程接入服务器增加一媒体访问控制地址过滤表,将标识为认证攻击用户的拨号设备媒体访问控制地址添加到本表中,宽带远程接入服务器对于接收到的以太报文使用源媒体访问控制地址与过滤表中的地址进行比较,如果相同则丢弃报文。对于异步传输模式第五适配层上传送点到点协议报文的认证攻击用户,对用户接入宽带远程接入服务器的永久虚通路连接设置报文丢弃标志,宽带远程接入服务器从该永久虚通路连接收到的报文将全部丢弃。
在宽带远程接入服务器上设置禁用时长,当用户被标识为攻击用户时,启动一个触发时间是禁用时长的定时器,在禁用时长内,该用户发送的所有报文被宽带远程接入服务器丢弃,定时器触发时,则停止对用户报文的过滤,使用户可以再次进行拨号认证。
在宽带远程接入服务器上通过输入命令为认证攻击用户解禁,对于以太网上传送点到点协议报文的用户,从媒体访问控制地址过滤表删除该用户的媒体访问控制地址,或者,对异步传输模式第五适配层上传送点到点协议报文的用户,清除该用户对应的永久虚通路连接表项丢弃报文标志位,从而使该用户可以重新拨号。
所述的告警信息包括用户唯一标示信息以及用于定位用户局向的接入端口信息。
本发明的有益效果为本发明克服了现有技术无法主动防止认证攻击发生,无法有效定位认证攻击用户,需要人工干预等不足,提供了一种宽带接入网络中防止PPP认证攻击的实现方法,从而可以自动识别PPP认证攻击用户,可以采用打印告警信息通知管理员,或者对攻击用户报文进行过滤,抑制非法攻击,防止非法的上线过程使用认证报文对BRAS设备和认证服务器的攻击。
本发明可以根据配置准确地识别出认证攻击用户,对于PPPoE用户提供用户接入BRAS的接口信息以及攻击设备的MAC地址,对于PPPoA用户提供用户接入BRAS的ATM线路信息,有利于定位用户的具体方位。本发明通过设置认证失败跟踪时长和失败阀值来自动识别PPP认证攻击用户,并通过MAC地址过滤表和PVC丢弃报文标志位来过滤认证攻击报文。在BRAS接入侧丢弃攻击用户的报文,可以保护BRAS上其他接口下的用户报文转发不受影响,避免了非法认证报文发送到认证服务器而引起对认证服务器的攻击。
本发明还提供启用/禁止认证防攻击、自动识别攻击用户、打印告警、自动或手动解除对攻击用户的禁用等多种灵活的管理手段,使该方案能够适应多样的维护需求。
图1为宽带接入组网模式示意图;图2为本发明PPP认证防攻击系统结构图。
具体实施例方式
下面根据附图和实施例对本发明作进一步详细说明本发明提供了一种在BRAS(宽带远程接入服务器)设备上防止PPP认证攻击的方法,可以根据配置的判定条件自动识别PPP认证攻击用户,并对攻击报文进行过滤,从而防止非法的上线过程使用认证报文对BRAS设备和认证服务器的攻击。
本发明是一个软硬件结合的方案,整个方案全部在BRAS上实现。如图2所示为PPP认证防攻击系统结构图,在BRAS设备上增加认证防攻击软件模块、认证失败跟踪数据库和攻击禁用用户表,在接入侧的硬件部分增加MAC地址过滤表,并在PVC表增加一个属性位丢弃报文标志位,该标志位置1则按策略丢弃相应报文。本发明由PPP模块、PPPoA模块、PPPOE模块、AAA模块、硬件转发模块、告警模块以及认证防攻击模块相互配合来完成防止认证攻击的功能,其中AAA模块负责与认证服务器交互完成用户的认证和授权。
PPP模块负责PPP协议的处理。
PPPoE模块负责PPPoE协议的处理。在本发明中,PPPoE模块还负责把用户上线的接口信息和以太网MAC地址上报给PPP模块。
PPPoA模块负责PPPoA协议的处理。在本发明中,PPPoA模块还负责把用户上线的PVC(永久虚通路连接)信息上报给PPP模块。
告警模块负责输出告警信息以及写告警日志。
认证防攻击模块负责识别认证攻击用户,并通过设置硬件表项,从而达到对认证攻击用户的报文进行过滤的功能。
硬件转发模块负责对BRAS接收的报文进行转发。
针对PPP认证的攻击,需要解决两个主要问题1、如何识别出非法认证攻击的用户;2、如果识别出认证攻击的用户,需要提供有效的手段来抑制非法攻击。
下面分别具体进行说明一、如何识别出非法认证攻击的用户本发明在BRAS上提供一种自动识别非法认证攻击的方法。
1、如何唯一标识一个PPP用户识别一个认证攻击用户,首先要有一定的信息来唯一标识一个用户。目前对于拨号用户一般使用用户名来标识,但是认证攻击时,非法用户可能不断变换用户名进行尝试性的攻击。为了标识出攻击的物理设备,需要选取一种用户难以通过配置修改的信息。
目前BRAS上PPP接入用户的方式主要是PPPoE和PPPoA用户。对于PPPoE拨号用户,可以选取拨号设备发送给BRAS的以太MAC地址标识用户;对于PPPoA用户,可以选取拨号设备接入BRAS的PVC信息标识用户。
2、如何识别一个PPP用户是认证攻击用户界定一个PPP用户是非法的认证攻击用户基于以下两个特征1)用户在一段时间内频繁地发送认证报文;2)认证报文中所含有的认证信息是无法通过认证的。
针对以上特征并且考虑到BRAS上内存、处理能力等因素的限制,采用一种跟踪统计阀值触发的机制来识别攻击用户。
首先根据各地认证攻击的具体情况并考虑正常用户误操作的情况,在BRAS上设置跟踪认证失败用户的时长interval;同时设置一个阀值value,如果在设定的跟踪时长内,用户认证失败的次数达到阀值,则认为该PPP用户是非法攻击用户。具体过程如下1)AAA模块通知PPP模块用户认证失败,则PPP模块把用户的唯一标识信息(PPPoEMAC地址,PPPoAPVC信息)交给认证防攻击模块,认证防攻击模块把这些信息加入认证失败跟踪数据库中。如果数据库没有该用户的信息,则说明该用户是首次认证失败,则新创建一个数据表项,并启动一个定时器对该用户进行跟踪,定时器的触发时间就是设置的跟踪时长。如果数据库该用户信息已经存在,就增加该用户失败的累计次数。
2)如果认证失败跟踪数据库中某个用户的跟踪定时器到时触发,认证防攻击模块取出该用户累计的失败次数与设定的阀值比较,如果大于阀值则认为是攻击用户,认证防攻击模块把该用户信息加入攻击禁用信息表,并把用户信息传递给告警模块打印告警,然后从认证失败跟踪数据库中删除;之后对于PPPoE用户,用户MAC地址加入MAC地址过滤表,对于PPPoA用户,设置该用户对应的PVC表项丢弃报文标志位。如果小于阀值则把该用户信息从认证失败跟踪信息库中删除。之所以对于小于阀值的用户不再继续跟踪,有几个考虑首先用户可能忘了密码,他发现密码错误后在跟踪时长内主动断开连接;其次,BRAS是一个转发设备,资源有限,不可能对所有失败用户进行长期跟踪。
例如,设置跟踪时长interval=30s,阀值value=90次。那么如果该PPP用户如果在30s的时间内,失败95次,则判定该用户是认证攻击用户。
二、抑制非法攻击的方法如果识别出了认证攻击用户,本发明提供两种措施来抑制攻击1、打印告警信息通知管理员介入。
当认证防攻击模块识别到一个认证攻击用户,则会把用户信息通知告警模块,告警模块负责在控制台打印告警并书写告警日志。管理员可以根据告警信息判断用户接入的具体位置。告警信息包括用户标示信息以及用于定位用户局向的接入端口信息。对于PPPoE用户,告警信息包括拨号设备的以太MAC地址、用户接入BRAS的接口名称(如fast-ethernet10/0/0)、VLAN ID(PPPoEoVLAN用户)。对于PPPoA用户,告警信息包括拨号设备接入BRAS的接口名称(如atm12/0/0)、VPI、VCI,这些信息有利于定位攻击用户的具体位置。告警信息会写入日志,可以长期维护。
2、在接入侧的转发硬件中进行攻击用户报文过滤。
在接入侧对攻击用户发送来的报文进行丢弃,可以有效地保护BRAS的转发资源和RADIUS服务器的资源。
对于PPPoE用户,在接入侧的硬件中增加一MAC地址过滤表,标识为认证攻击用户的拨号设备MAC地址会添加到本表中。硬件转发模块对于接收到的以太报文都会使用源MAC地址与MAC地址过滤表中的地址进行比较,如果相同则丢弃报文。
对于PPPoA用户,在硬件层面对认证攻击用户接入BRAS的PVC设置报文丢弃标志。硬件转发模块从该PVC收到的报文将全部丢弃,即攻击用户发送到BRAS的所有报文都会被丢弃掉。
除以上主要功能之外,为了便于使用,本发明还提供以下功能1、启用和关闭认证防攻击功能。
启用PPP认证防攻击功能,对于PPPoE接入的情况,在接入侧所有进入BRAS的报文都要与MAC地址过滤表中的地址进行比对,这样会降低一些转发性能。因此,对于PPP认证攻击出现很少或对于转发效率要求较高的局点,可以关闭PPP认证防攻击功能,从而避免MAC地址的比对过程。
2、设置认证攻击用户报文过滤的时长。
如果用户一旦被标识为攻击用户,就需要人工解除禁用状态,则对于攻击用户较多的局点,而攻击是由于用户欠费引起,则管理员的工作量会很大。针对类似情况,从保护BRAS和RADIUS服务器的角度出发,可以在BRAS上设置禁用时长,当用户被标识为攻击用户时,启动一个触发时间是禁用时长的定时器。在禁用时长内,该用户发送的所有报文被BRAS丢弃。定时器触发,则从攻击禁用用户表中删除该用户信息,同时对于PPPoE用户,从MAC地址过滤表删除用户MAC地址;对于PPPoA用户,清除该用户对应的PVC表项丢弃报文标志位,这样一来该用户就可以再次进行拨号认证了。
3、手动为被标识为认证攻击的用户解禁。
在特殊情况下,在禁用定时器触发前,管理员需要为用户解除禁用。本发明在BRAS上提供了命令,管理员可以输入命令从攻击禁用用户表中删除指定的用户信息,同时对于PPPoE用户,从MAC地址过滤表删除用户MAC地址,对于PPPoA用户,清除该用户对应的PVC表项丢弃报文标志位,从而使该用户可以重新拨号。指定的用户信息为PPPoE用户接入的单板槽号、子槽号、MAC地址。
PPPoA用户接入的接口名称、VPI、VCI。
本发明克服了现有技术无法主动防止认证攻击发生,无法有效定位认证攻击用户,需要人工干预等不足,提供了一种宽带接入网络中防止PPP认证攻击的实现方法,从而可以自动识别PPP认证攻击用户,并对攻击报文进行过滤,防止非法的上线过程使用认证报文对BRAS设备和认证服务器的攻击。
本发明可以根据配置准确地识别出认证攻击用户,对于PPPoE用户提供用户接入BRAS的接口信息以及攻击设备的MAC地址,对于PPPoA用户提供用户接入BRAS的ATM线路信息,有利于定位用户的具体方位。本发明通过设置认证失败跟踪时长和失败阀值来自动识别PPP认证攻击用户,并通过MAC地址过滤表和PVC丢弃报文标志位来过滤认证攻击报文。在BRAS接入侧丢弃攻击用户的报文,可以保护BRAS上其他接口下的用户报文转发不受影响,避免了非法认证报文发送到认证服务器而引起对认证服务器的攻击。
本发明还提供启用/禁止认证防攻击、自动识别攻击用户、打印告警、自动或手动解除对攻击用户的禁用等多种灵活的管理手段,使该方案能够适应多样的维护需求。
本领域技术人员不脱离本发明的实质和精神,可以有多种变形方案实现本发明,以上所述仅为本发明较佳可行的实施例而已,并非因此局限本发明的权利范围,凡运用本发明说明书及附图内容所作的等效结构变化,均包含于本发明的权利范围之内。
权利要求
1.一种宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于,包括以下步骤A、选取能唯一标识一个点到点协议用户的信息作为该用户的唯一标识信息;B、在宽带远程接入服务器上设置跟踪认证失败用户的时长,并设置一个阀值,如果在设定的跟踪时长内,用户认证失败的次数达到该阀值,则认为该唯一标识信息对应的用户是非法攻击用户;C、对非法攻击用户,打印告警信息通知管理员,或者对攻击用户报文进行过滤,抑制非法攻击。
2.根据权利要求1所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述步骤A中,对于以太网上传送点到点协议报文的拨号用户,选取拨号设备发送给宽带远程接入服务器的以太网媒体访问控制地址作为该用户的唯一标识信息。
3.根据权利要求1所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述步骤A中,对于异步传输模式第五适配层上传送点到点协议报文的用户,选取拨号设备接入宽带远程接入服务器的永久虚通路连接信息作为该用户的唯一标识信息。
4.根据权利要求1、2或3所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述步骤B中,在宽带远程接入服务器中设置认证失败跟踪数据库,用户认证失败后,宽带远程接入服务器将用户的唯一标识信息加入认证失败跟踪数据库中,如果数据库中没有该用户的信息,则新创建一个数据表项,并启动一个定时器对该用户进行跟踪,定时器的触发时间为所设置的跟踪时长;如果数据库中该用户信息已经存在,则增加该用户认证失败的累计次数;如果认证失败跟踪数据库中某个用户的定时器到时触发,则取出该用户累计的失败次数与设定的阀值比较,如果大于阀值则认为是攻击用户;如果小于阀值则把该用户信息从认证失败跟踪信息库中删除。
5.根据权利要求4所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述的步骤C中进行过滤时,对于以太网上传送点到点协议报文的拨号用户,在宽带远程接入服务器增加一媒体访问控制地址过滤表,将标识为认证攻击用户的拨号设备媒体访问控制地址添加到本表中,宽带远程接入服务器对于接收到的以太报文使用源媒体访问控制地址与过滤表中的地址进行比较,如果相同则丢弃报文。
6.根据权利要求4所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述的步骤C中进行过滤时,对于异步传输模式第五适配层上传送点到点协议报文的认证攻击用户,对用户接入宽带远程接入服务器的永久虚通路连接设置报文丢弃标志,宽带远程接入服务器从该永久虚通路连接收到的报文将全部丢弃。
7.根据权利要求4所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于在宽带远程接入服务器上设置禁用时长,当用户被标识为攻击用户时,启动一个触发时间是禁用时长的定时器,在禁用时长内,该用户发送的所有报文被宽带远程接入服务器丢弃,定时器触发时,则停止对用户报文的过滤,使用户可以再次进行拨号认证。
8.根据权利要求4所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于在宽带远程接入服务器上通过输入命令为认证攻击用户解禁,对于以太网上传送点到点协议报文的用户,从媒体访问控制地址过滤表删除该用户的媒体访问控制地址,或者,对异步传输模式第五适配层上传送点到点协议报文的用户,清除该用户对应的永久虚通路连接表项丢弃报文标志位,从而使该用户可以重新拨号。
9.根据权利要求4所述的宽带接入网络中防止点到点协议认证攻击的实现方法,其特征在于所述的告警信息包括用户唯一标示信息以及用于定位用户局向的接入端口信息。
全文摘要
一种宽带接入网络中防止点到点协议认证攻击的实现方法,选取能唯一标识一个点到点协议用户的信息作为该用户的唯一标识信息;在宽带远程接入服务器上设置跟踪认证失败用户的时长,并设置一个阀值,如果在设定的跟踪时长内,用户认证失败的次数达到该阀值,则认为该唯一标识信息对应的用户是非法攻击用户;对非法攻击用户,打印告警信息通知管理员,或者对攻击用户报文进行过滤,抑制非法攻击。本发有克服了现有技术没有有效手段抑制PPP认证攻击的不足,可以自动识别PPP认证攻击用户,并对攻击报文进行过滤,防止非法的上线过程使用认证报文对BRAS设备和认证服务器的攻击。
文档编号H04L9/32GK1812340SQ20051003303
公开日2006年8月2日 申请日期2005年1月26日 优先权日2005年1月26日
发明者熊宇, 怀南 申请人:华为技术有限公司