專利名稱:防止欺騙攻擊服務(wù)器的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域�,尤其涉及一種以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié) 議防止服務(wù)器#大騙攻擊的方法。
背景技術(shù):
以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)�����、"i義(PPPoE)是基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié) 議的����,PPPoE會(huì)話包含發(fā)現(xiàn)和點(diǎn)到點(diǎn)協(xié)i義(PPP )會(huì)話兩個(gè)階段����, 發(fā)現(xiàn)階段是無(wú)狀態(tài)的客戶端/服務(wù)器模式,目的是獲得PPPoE終結(jié) 端的以太網(wǎng)々某介4矣入控制(MAC)地址�����,并建立一個(gè)唯一的PPPoE 會(huì)i舌標(biāo)識(shí)。發(fā)現(xiàn)階_敬結(jié)束后����,就進(jìn)入PPP會(huì)話階^:。
目前大部分的寬帶4妄入方式是基于PPPoE協(xié)議的�����,PPPoE 4妄入 要求從用戶端至?xí)埸c(diǎn)為橋接環(huán)境�,會(huì)聚點(diǎn)通常為寬帶接入服務(wù)器 (BAS),這樣就使BAS與用戶處于同一個(gè)廣播域,PPPoE方式的 用戶流量全部經(jīng)過(guò)BAS���。通常PPPoE服務(wù)器欺騙攻擊的方法是攻 擊者首先將正常的BAS在一條鏈路上所能支持的PPPoE會(huì)話占 滿���,導(dǎo)致BAS不再響應(yīng)客戶端的PPPoE會(huì)話請(qǐng)求,然后冒充合法 的BAS�����。攻擊者利用冒充的BAS,為用戶分配一個(gè)經(jīng)過(guò)l奮改的域名 服務(wù)器(DNS),在用戶毫無(wú)察覺(jué)的情況下被引導(dǎo)到預(yù)先配置好的 �,支金融等網(wǎng)站,騙取用戶帳戶和密碼����,或者將流量重定向到意圖進(jìn) 行流量截取的惡意節(jié)點(diǎn)�。
雖然BAS與用戶之間有i人i正切���、i義進(jìn)4亍i人i正��,^f旦是一4殳是BAS 認(rèn)證用戶是否合法��,用戶不認(rèn)證BAS是否合法����,即使BAS支持用 戶iU正BAS的功能�,目前的PPPoE客戶端一般都不支持這個(gè)功能。 PPPoE客戶端還是不能防止上面的服務(wù)器欺騙攻擊發(fā)生�����。
發(fā)明內(nèi)容
為了在交才灸才幾上實(shí)玉見PPPoE 4貞口斤(PPPoE Snooping )功負(fù)fe ��,即�, 過(guò)濾掉非法PPPoE服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包��,使用戶能通過(guò)合 法的PPPoE服務(wù)器接入網(wǎng)絡(luò)�,徹底防范非法PPPoE服務(wù)器欺騙攻 擊,以提高PPPoE接入的安全性�。本發(fā)明提供了一種以太網(wǎng)上的點(diǎn) 到點(diǎn)協(xié)議防止力良務(wù)器#夂騙攻擊的方法�。
本發(fā)明提供了 一種用于防止欺騙攻擊服務(wù)器的方法�����,其包括以 下步驟步驟S202 ���,開啟交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議偵聽功能��; 步驟S204,配置交換機(jī)上的信任鏈路和不信任鏈路�����;步驟S206, 對(duì)發(fā)往力l務(wù)器的不信任鏈^各的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議才艮文進(jìn)行偵 聽��;以及步驟S208,丟掉來(lái)自不信任鏈路的非正常以太網(wǎng)上的點(diǎn)到 點(diǎn)協(xié)議報(bào)文���,信任鏈路轉(zhuǎn)發(fā)以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文到服務(wù)器
根據(jù)本發(fā)明,在缺省情況下���,交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議 偵聽功能為關(guān)閉狀態(tài)�����。交換機(jī)上的鏈路是端口或虛擬局域網(wǎng)��。信任 鏈路是連接以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器或其它交換機(jī)的鏈路�����。不 信任鏈路是連接用戶或網(wǎng)絡(luò)的鏈路����。在缺省情況下,交換機(jī)上的鏈 路均為不信任鏈路���。報(bào)文包括以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)提供 和以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)確^人�����。
根據(jù)本發(fā)明���,步驟S206還包括以下步驟至少一個(gè)以太網(wǎng)上 的點(diǎn)到點(diǎn)協(xié)議服務(wù)器收到來(lái)自以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議客戶端主動(dòng) 發(fā)送的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)i義主動(dòng)發(fā)現(xiàn)啟動(dòng)凈艮文之后,回送以太網(wǎng)上的點(diǎn)到點(diǎn)主動(dòng)發(fā)現(xiàn)才是供才艮文�����;以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)i義客戶端在回
送以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)提供報(bào)文的至少 一 個(gè)以太網(wǎng)上 的點(diǎn)到點(diǎn)協(xié)議服務(wù)器中選擇一個(gè)�����,并向其發(fā)送以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)
議主動(dòng)發(fā)現(xiàn)請(qǐng)求報(bào)文告知所選擇的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器����;
所選擇的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器接收到以太網(wǎng)上的點(diǎn)到點(diǎn) 協(xié)議主動(dòng)發(fā)現(xiàn)請(qǐng)求報(bào)文后,為客戶端分配一個(gè)唯一的會(huì)話標(biāo)識(shí)符�, 啟動(dòng)以太網(wǎng)上的協(xié)議狀態(tài)機(jī)準(zhǔn)備開始以太網(wǎng)上的協(xié)議會(huì)話,并發(fā)送
以太網(wǎng)上的協(xié)議主動(dòng)發(fā)現(xiàn)確認(rèn)報(bào)文���;以及以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議客 戶端在4妄收到以太網(wǎng)上的十辦i義主動(dòng)發(fā)現(xiàn)確i人寺艮文之后�����,進(jìn)入以太網(wǎng) 上的協(xié)議會(huì)話階段���。
另外,才艮據(jù)本發(fā)明�,用于防止欺騙攻擊服務(wù)器的方法,還包括 以下步艱《以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)i義客戶端和以太網(wǎng)上的點(diǎn)到點(diǎn)妨���、i義 服務(wù)器中任一個(gè)發(fā)送以太網(wǎng)上的協(xié)議主動(dòng)發(fā)現(xiàn)終止4艮文時(shí)�����,會(huì)話終止�����。
根據(jù)本發(fā)明的以太網(wǎng)上的點(diǎn)到點(diǎn)服務(wù)器是寬帶接入服務(wù)器或 者內(nèi)置寬帶接入服務(wù)器的數(shù)字用戶線接入復(fù)用器�����。
因此����,本發(fā)明實(shí)現(xiàn)了以下才支術(shù)效果。用戶可以通過(guò)合法的 PPPoE服務(wù)器接入網(wǎng)絡(luò)�,來(lái)過(guò)濾非法PPPoE服務(wù)器欺騙攻擊,從而 提高了 PPPoE接入的安全性�。
附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,并且構(gòu)成i兌明書的一部 分���,與本發(fā)明的實(shí)施例一起用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的 限制����。在附圖中
圖1是根據(jù)本發(fā)明的實(shí)施例的網(wǎng)絡(luò)結(jié)構(gòu)圖2是本發(fā)明用于防止欺騙攻擊服務(wù)器的方法的流程圖�;以及
圖3是以太網(wǎng)上點(diǎn)到點(diǎn)協(xié)議發(fā)現(xiàn)階段的通信視圖����。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說(shuō)明���,應(yīng)當(dāng)理解�,此 處所描述的優(yōu)選實(shí)施例僅用于說(shuō)明和解釋本發(fā)明���,并不用于限定本 發(fā)明����。
圖1是沖艮據(jù)本發(fā)明的實(shí)施例的網(wǎng)絡(luò)結(jié)構(gòu)圖���。
圖2是本發(fā)明用于 防止欺騙攻擊服務(wù)器的方法的流程圖����。
圖3是以太網(wǎng)上點(diǎn)到點(diǎn)協(xié)議 發(fā)現(xiàn)階段的通信^L圖�。
如圖1所示,該網(wǎng)絡(luò)由PPPoE客戶端102��、非法PPPoE月良務(wù)器 104��、交換才幾106、以及合法PPPoE月艮務(wù)器108構(gòu)成�����。其中��,PPPoE 客戶端102通過(guò)交換才幾106連4妄到合法PPPoE月良務(wù)器108上�。在本 實(shí)施例中,合法PPPoE服務(wù)器108設(shè)備是指寬帶接入服務(wù)器或者內(nèi) 置寬帶服務(wù)器的數(shù)字用戶線接入復(fù)用器(DSLAM)����。
以下將結(jié)合圖1以及圖3詳細(xì)描述圖2的詳細(xì)過(guò)程,如圖2所 示�����,防止#太騙攻擊力良務(wù)器的方法包纟舌以下步艱《
步驟S202���,開啟交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議偵聽功能��。但 是��,在缺省狀態(tài)下�����,交換才幾的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)i義偵聽功能可以 設(shè)置為關(guān)閉狀態(tài)����。
步驟S204,配置交換機(jī)上的信任鏈路和不信任鏈路。其中���,交 換機(jī)上的鏈路是端口或虛擬局域網(wǎng)。在本發(fā)明的實(shí)施例中��,其具體 步駛《如下所示
如圖2所示的以太網(wǎng)上的點(diǎn)到點(diǎn)1"辦i義偵聽一,交換:才凡106的鏈^各
設(shè)置為信任鏈路與不信任鏈路�����。信任鏈路是連接PPPoE服務(wù)器或其 他交換機(jī)的鏈路���,此處的鏈路是交換機(jī)106連接合法PPPoE服務(wù)器 108的鏈路1;不信任鏈路是連接用戶或網(wǎng)絡(luò)的鏈路�����,此處的鏈路 是交換才幾106連4妾PPPoE客戶端102的鏈3各2��、以及連接非法PPPoE 服務(wù)器104的鏈路3�。在缺省情況下�����,交換機(jī)的鏈路均為不信任鏈 路。
步驟S206,對(duì)發(fā)往服務(wù)器的不信任鏈路的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié) 議才艮文進(jìn)行偵聽����。其中,才艮文包括以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn) 才是供(PADO)和以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)i義主動(dòng)發(fā)現(xiàn)確認(rèn)(PADS), 這兩個(gè)凈艮文是PPPoE月良務(wù)器響應(yīng)PPPoE客戶端的才艮文���。
以下將參照?qǐng)D3詳細(xì)描述步驟S206的具體偵聽過(guò)程
首先�,至少一個(gè)PPPoE服務(wù)器304收到來(lái)自PPPoE客戶端302 主動(dòng)發(fā)送的PPPoE主動(dòng)發(fā)現(xiàn)啟動(dòng)(PADI)才艮文之后�����,回送PPPoE 主動(dòng)發(fā)現(xiàn)提供(PADO )報(bào)文��;
接著�,PPPoE客戶端302在回送PADO報(bào)文的至少一個(gè)PPPoE 月良務(wù)器304中選沖奪一個(gè),并向其發(fā)送PPPoE主動(dòng)發(fā)現(xiàn)"i青求(PADR ) 才艮文告知所選擇的PPPoE月良務(wù)器304;
然后����,所選擇的PPPoE服務(wù)器304接收到PADR報(bào)文后,為客 戶端302分配一個(gè)唯一的會(huì)i舌標(biāo)識(shí)符��,啟動(dòng)PPPoE 4夫態(tài)才幾準(zhǔn)備開始 PPPoE會(huì)話,并發(fā)送PPPoE主動(dòng)發(fā)現(xiàn)確i^ ( PADS )凈艮文�;以及
最后,PPPoE客戶端302在接收到PADS l艮文之后���,進(jìn)入以太 網(wǎng)上的協(xié)議會(huì)話階H
至此�,通信結(jié)束����。但是,需要指出的是�,當(dāng)PPPoE客戶端302 和PPPoE月l務(wù)器304中4壬一個(gè)發(fā)送PPPoE主動(dòng)發(fā)現(xiàn)終止(PADT ) 冷艮文時(shí)�����,會(huì)話就會(huì)終止��。
步驟S208,丟掉來(lái)自不信任鏈路的非正常以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié) 議報(bào)文����,信任鏈路將以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文轉(zhuǎn)發(fā)到服務(wù)器。
才艮據(jù)本發(fā)明的實(shí)施例�,圖2中步驟S208中的來(lái)自不信任鏈路 的非正常PPPoE報(bào)文是指如圖3所示的PADO報(bào)文和PADS報(bào)文, 丟棄這些報(bào)文��,欺騙PPPoE響應(yīng)包被交換機(jī)阻斷�����,從而達(dá)到過(guò)濾非 法PPPoE服務(wù)器的目的。這樣�����,信任鏈路就可以正常轉(zhuǎn)發(fā)PPPoE 報(bào)文�����,從而�����,保證用戶能通過(guò)合法的PPPoE服務(wù)器接入網(wǎng)絡(luò)�����。
如上所述�,實(shí)現(xiàn)了以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議防止服務(wù)器欺騙攻擊 的方法,從而�,在交換才幾上實(shí)現(xiàn)PPPoE偵聽功能,過(guò)濾掉了非法 PPPoE服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包����,使用戶可以通過(guò)合法的 PPPoE服務(wù)器連接網(wǎng)絡(luò)�,徹底地防范非法PPPoE服務(wù)器的欺騙攻擊 行為���,進(jìn)而提高了 PPPoE接入的安全性��。
以上所述4又為本發(fā)明的伊G選實(shí)施例而已�����,并不用于限制本發(fā) 明����,對(duì)于本領(lǐng)域的才支術(shù)人員來(lái)i兌�����,本發(fā)明可以有各種更改和變化���。 凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進(jìn) 等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種用于防止欺騙攻擊服務(wù)器的方法��,其特征在于�,包括以下步驟步驟S202,開啟交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議偵聽功能�;步驟S204,配置所述交換機(jī)上的信任鏈路和不信任鏈路����;步驟S206,對(duì)發(fā)往所述服務(wù)器的所述不信任鏈路的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文進(jìn)行偵聽�;以及步驟S208,丟掉來(lái)自所述不信任鏈路的非正常以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文����,所述信任鏈路轉(zhuǎn)發(fā)所述以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文到所述服務(wù)器。
2. 根據(jù)權(quán)利要求1所述的用于防止欺騙攻擊服務(wù)器的方法��,其特 征在于����,在缺省情況下,所述交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議 偵聽功能為關(guān)閉狀態(tài)���。
3. 根據(jù)權(quán)利要求1所述的用于防止欺騙攻擊服務(wù)器的方法�,其特 征在于,所述交換機(jī)上的鏈路是端口或虛擬局域網(wǎng)�����。
4. 根據(jù)權(quán)利要求1所述的用于防止欺騙攻擊服務(wù)器的方法��,其特 征在于�,所述信任鏈路是連接以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器或 其它交換機(jī)的鏈路。
5. 根據(jù)權(quán)利要求1所述的用于防止欺騙攻擊服務(wù)器的方法��,其特 征在于���,所述不信任鏈路是連接用戶或網(wǎng)絡(luò)的鏈路�����。
6. 4艮據(jù)4又利要求1所述的用于防止其大騙攻擊月良務(wù)器的方法����,其特 征在于�����,在缺省情況下�,所述交換機(jī)上的鏈路均為不信任鏈路。
7. 根據(jù)權(quán)利要求1所迷的用于防止欺騙攻擊服務(wù)器的方法���,其特征在于��,所述才艮文包括以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)提供和以太網(wǎng)上的點(diǎn)到點(diǎn)妨��、i義主動(dòng)發(fā)J見確i人��。
8. 根據(jù)權(quán)利要求1所述的用于防止欺騙攻擊服務(wù)器的方法����,其特 4正在于���,步駛《S206還包^舌以下步艱《至少 一個(gè)以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器收到來(lái)自以太網(wǎng) 上的點(diǎn)到點(diǎn)+辦i義客戶端主動(dòng)發(fā)送的以太網(wǎng)上的點(diǎn)到點(diǎn)切����、i義主 動(dòng)發(fā)現(xiàn)啟動(dòng)才艮文之后�����,回送以太網(wǎng)上的點(diǎn)到點(diǎn)主動(dòng)發(fā)現(xiàn)提供報(bào)文�����;所述以太網(wǎng)上的點(diǎn)到點(diǎn)切、i義客戶端在回送所述以太網(wǎng)上 的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)提供報(bào)文的所述至少 一個(gè)以太網(wǎng)上的 點(diǎn)到點(diǎn)協(xié)議服務(wù)器中選擇一個(gè)��,并向其發(fā)送以太網(wǎng)上的點(diǎn)到點(diǎn) 協(xié)議主動(dòng)發(fā)現(xiàn)請(qǐng)求才艮文告知所選擇的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議 服務(wù)器��;所述所選擇的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議服務(wù)器接收到所述 以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議主動(dòng)發(fā)現(xiàn)請(qǐng)求報(bào)文后�����,為所述客戶端分 配一個(gè)唯一的會(huì)話標(biāo)識(shí)符���,啟動(dòng)以太網(wǎng)上的協(xié)議狀態(tài)機(jī)準(zhǔn)備開 始以太網(wǎng)上的協(xié)議會(huì)話��,并發(fā)送以太網(wǎng)上的協(xié)議主動(dòng)發(fā)現(xiàn)確認(rèn) 凈艮文�;以及所述以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議客戶端在接收到所述以太網(wǎng) 上的協(xié)議主動(dòng)發(fā)現(xiàn)確認(rèn)報(bào)文之后��,進(jìn)入以太網(wǎng)上的協(xié)議會(huì)話階 段��。
9. 根據(jù)權(quán)利要求8所述的用于防止欺騙攻擊服務(wù)器的方法��,其特 征在于�,還包括以下步驟所述以太網(wǎng)上的點(diǎn)到點(diǎn)十辦i義客戶端和所述以太網(wǎng)上的點(diǎn) 到點(diǎn)協(xié)議服務(wù)器中任一個(gè)發(fā)送以太網(wǎng)上的協(xié)議主動(dòng)發(fā)現(xiàn)終止 報(bào)文時(shí),所述會(huì)話終止���。
10.才艮據(jù)權(quán)利要求1所述的用于防止-大騙攻擊服務(wù)器的方法�,其特征在于�,所述以太網(wǎng)上的點(diǎn)到點(diǎn)服務(wù)器是寬帶接入服務(wù)器或者 內(nèi)置寬帶接入服務(wù)器的數(shù)字用戶線接入復(fù)用器。
全文摘要
本發(fā)明提供了一種用于防止欺騙攻擊服務(wù)器的方法����,其包括以下步驟步驟S202,開啟交換機(jī)的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議偵聽功能��;步驟S204����,配置交換機(jī)上的信任鏈路和不信任鏈路;步驟S206���,對(duì)發(fā)往服務(wù)器的不信任鏈路的以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文進(jìn)行偵聽����;以及步驟S208��,丟掉來(lái)自不信任鏈路的非正常以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文�,信任鏈路轉(zhuǎn)發(fā)以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議報(bào)文到服務(wù)器。因此���,過(guò)濾掉非法以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包���,使用戶能通過(guò)合法的以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器接入網(wǎng)絡(luò)��,防范了非法以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器欺騙攻擊����,從而����,提高了以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器接入的安全性。
文檔編號(hào)H04L12/56GK101197757SQ20061016069
公開日2008年6月11日 申請(qǐng)日期2006年12月6日 優(yōu)先權(quán)日2006年12月6日
發(fā)明者曹文利 申請(qǐng)人:中興通訊股份有限公司