防止欺騙攻擊伺服器的裝置的製作方法
2023-10-24 20:53:17
專利名稱:防止欺騙攻擊伺服器的裝置的製作方法
技術領域:
本發明涉及數據通信領域,尤其涉及一種乙太網上的點到點協 議防止伺服器欺騙攻擊的裝置。
背景技術:
乙太網上的點到點十辦i義(PPPoE)是基於乙太網的點到點協 i義的,PPPoE會話包含發現和點到點協i義(PPP)會話兩個階革殳, 發現階段是無狀態的客戶端/伺服器模式,目的是獲得PPPoE終結 端的乙太網々某介接入控制(MAC)地址,並建立一個唯一的PPPoE 會i舌標識。發i見階l殳結束後,就進入PPP會i舌階4爻。
目前大部分的寬帶接入方式是基於PPPoE協議的,PPPoE接入 要求從用戶端至會聚點為橋接環境,會聚點通常為寬帶接入伺服器 (BAS),這樣就使BAS與用戶處於同一個廣播域,PPPoE方式的 用戶流量全部經過BAS。通常PPPoE伺服器,夂騙攻擊的方法是攻 擊者首先將正常的BAS在一條鏈路上所能支持的PPPoE會話佔 滿,導致BAS不再響應客戶端的PPPoE會話請求,然後冒充合法 的BAS。攻擊者利用冒充的BAS,為用戶分配一個經過小務改的域名 伺服器(DNS),在用戶毫無察覺的情況下被引導到預先配置好的 假金融等網站,騙取用戶帳戶和密碼,或者將流量重定向到意圖進 行流量截取的惡意節點。雖然BAS與用戶之間有i人i正十辦i義進4亍iU正, <旦是一4殳是BAS 認證用戶是否合法,用戶不認證BAS是否合法,即使BAS支持用 戶"i人i正BAS的功能,目前的PPPoE客戶端一般都不支持這個功能。 PPPoE客戶端還是不能防止上面的伺服器欺騙攻擊發生。
發明內容
為了在交換機上實現PPPoE偵聽(PPPoE Snooping )功能,即, 過濾掉非法PPPoE伺服器向網絡上發送的數據包,使用戶能通過合 法的PPPoE伺服器接入網絡,徹底防範非法PPPoE伺服器欺騙攻 擊,以提高PPPoE接入的安全性。本發明提供了一種乙太網上的點 到點協議防止力良務器其夂騙攻擊的方法。
本發明的一個方面提供了一種用於防止欺騙攻擊伺服器的裝 置,包括開啟模塊,用於開啟交換機的乙太網上的點到點協議偵 聽功能;配置模塊,用於配置交換機上的信任鏈路和不信任鏈路; 偵聽模塊,用於對發往伺服器的不信任鏈路的乙太網上的點到點協 議報文進行偵聽;以及轉發模塊,用於丟掉來自不信任鏈路的非正 常乙太網上的點到點協議報文,並通過信任鏈路轉發乙太網上的點 到點協議報文到伺服器。
根據本發明,在預設情況下;交換機的乙太網上的點到點協議 偵聽功能為關閉狀態。交換機上的鏈路是埠或虛擬區域網。信任 鏈路是連接乙太網上的點到點協議伺服器或其它交換機的鏈路。不 信任鏈路是連接用戶或網絡的鏈路。在預設情況下,交換機上的鏈 路均為不信任鏈路。報文包括乙太網上的點到點協議主動發現提供 和乙太網上的點到點協議主動發現確認。
根據本發明的一個方面,偵聽模塊還包括回送模塊,當至少 一個乙太網上的點到點協議伺服器收到來自乙太網上的點到點協 議客戶端主動發送的乙太網上的點到點十辦i義主動發it見啟動才艮文之
後,用於回送乙太網上的點到點主動發現提供報文;發送模塊,當
乙太網上的點到點協i義客戶端在回送乙太網上的點到點協i義主動
發現提供報文的至少 一 個乙太網上的點到點協議伺服器中選擇一 個時,用於向其發送乙太網上的點到點協議主動發現請求報文告知
所選擇的乙太網上的點到點協議伺服器;分配模塊,當所選擇的以 太網上的點到點協議伺服器接收到乙太網上的點到點協議主動發 現i青求才艮文後,用於為客戶端分配一個唯一的會"i舌標識符,啟動以 太網上的協議狀態機準備開始乙太網上的協議會話,並發送乙太網 上的協議主動發現確iU艮文;以及進入會話才莫塊,當乙太網上的點 到點協議客戶端在接收到乙太網上的協議主動發現確認報文之後, 用於進入乙太網上的協議會話階l殳。
另外,根據本發明的一個方面,用於防止欺騙攻擊伺服器的裝 置,還包括終止才莫塊,當乙太網上的點到點協議客戶端和乙太網 上的點到點協"i義月良務器中任 一 個發送乙太網上的協議主動發現終 止才艮文時,用於糹冬止會i舌。
根據本發明的乙太網上的點到點伺服器是寬帶接入伺服器或 者內置寬帶接入伺服器的數字用戶線接入復用器。
因此,本發明實現了以下4支術效果。用戶可以通過合法的 PPPoE伺服器接入網絡,來過濾非法PPPoE伺服器欺騙攻擊,從而 提高了 PPPoE接入的安全性。
本發明的其它特徵和優點將在隨後的i兌明書中闡述,並且,部 分地從說明書中變得顯而易見,或者通過實施本發明而了解。本發 明的目的和其他優點可通過在所寫的i^明書、權利要求書、以及附 圖中所特別指出的結構來實現和獲得。
附圖用來^是供對本發明的進一步理解,並且構成i兌明書的 一部 分,與本發明的實施例一起用於解釋本發明,並不構成對本發明的
限制。
在附圖中
圖1是才艮據本發明的實施例的網絡結構圖; 圖2是本發明用於防止欺騙攻擊伺服器的方法的流程圖; 圖3是乙太網上點到點協議發現階段的通信視圖;以及 圖4是本發明用於防止欺騙攻擊伺服器的裝置的結構圖。
具體實施例方式
以下結合附圖對本發明的優選實施例進行說明,應當理解,此 處所描述的優選實施例4又用於i兌明和解釋本發明,並不用於限定本 發明。
圖1是才艮據本發明的實施例的網絡結構圖。圖2是本發明用於 防止欺騙攻擊伺服器的方法的流程圖。圖3是乙太網上點到點協議 發現階段的通信視圖。
如圖1所示,該網絡由PPPoE客戶端102、非法PPPoE伺服器 104、交4灸才幾106、以及合法PPPoE伺服器108構成。其中,PPPoE 客戶端102通過交換機106連接到合法PPPoE伺服器108上。在本 實施例中,合法PPPoE伺服器108設備是指寬帶接入伺服器或者內 置寬帶伺服器的數字用戶線接入復用器(DSLAM)。
以下將結合圖1以及圖3詳細描述圖2的詳細過程,如圖2所 示,防止-大騙攻擊力良務器的方法包4舌以下步艱《
步驟S202 ,開啟交換:才幾的乙太網上的點到點妨、i義偵聽功能。但— 是,在預設狀態下,交換機的乙太網上的點到點協議偵聽功能可以 i殳置為關閉狀態。
步驟S204,配置交換機上的信任鏈路和不信任鏈路。其中,交
換機上的鏈路是埠或虛擬區域網。在本發明的實施例中,其具體 步驟如下所示
如圖2所示的乙太網上的點到點協議偵聽將交換機106的鏈路 設置為信任鏈路與不信任鏈路。信任鏈路是連接PPPoE伺服器或其 他交換機的鏈路,此處的鏈路是交換機106連接合法PPPoE伺服器 108的鏈路1;不信任鏈路是連接用戶或網絡的鏈路,此處的鏈路 是交換機106連接PPPoE客戶端102的鏈路2、以及連接非法PPPoE 伺服器104的鏈路3。在預設情況下,交換機的鏈路均為不信任鏈 路。
步驟S206,對發往伺服器的不信任鏈路的乙太網上的點到點協 議報文進行偵聽。其中,報文包括乙太網上的點到點協議主動發現 提供(PADO)和乙太網上的點到點協議主動發現確認(PADS), 這兩個報文是PPPoE伺服器響應PPPoE客戶端的報文。
以下將參照圖3詳細描述步驟S206的具體偵聽過程
首先,至少一個PPPoE伺服器304收到來自PPPoE客戶端302 主動發送的PPPoE主動發現啟動(PADI)才艮文之後,回送PPPoE 主動發J見提供(PADO )報文;
孑妄著,PPPoE客戶端302在回送PADO淨艮文的至少一個PPPoE 伺服器304中選擇一個,並向其發送PPPoE主動發現請求(PADR ) 報文告知所選擇的PPPoE伺服器304;
然後,所選才奪的PPPoE月l務器304 4婁收到PADR才艮文後,為客 戶端302分配一個唯一的會話標識符,啟動PPPoE狀態機準備開始 PPPoE會話,並發送PPPoE主動發現確^人(PADS )淨艮文;以及
最後,PPPoE客戶端302在4妄收到PADS才艮文之後,進入以太 網上的協議會話階段。
至此,通信結束。但是,需要指出的是,當PPPoE客戶端302 和PPPoE月良務器304中4壬一個發送PPPoE主動發王見終止(PADT ) 報文時,會話就會終止。
步驟S208,丟掉來自不信任鏈路的非正常乙太網上的點到點妨、 議報文,信任鏈路將乙太網上的點到點協議報文轉發到伺服器。
居本發明的實施例,圖2中步驟S208中的來自不信任鏈路 的非正常PPPoE才艮文是指如圖3所示的PADO才艮文和PADS l艮文, 丟棄這些4艮文,欺騙PPPoE響應包被交換機阻斷,從而達到過濾非 法PPPoE伺服器的目的。這樣,信任鏈路就可以正常轉發PPPoE 報文,從而,保證用戶能通過合法的PPPoE伺服器接入網絡。
圖4是才艮據本發明用於防止其夂騙攻擊月良務器的裝置的結構圖。
如圖4所示,用於防止欺騙攻擊伺服器的裝置400包括開啟 才莫塊402,用於開啟交換4幾的乙太網上的點到點協議偵聽功能;配 置模塊404,用於配置交換機上的信任鏈路和不信任鏈路;偵聽模 塊406,用於對發往伺服器的不信任鏈路的乙太網上的點到點協議 報文進行偵聽;以及轉發才莫塊408,用於丟掉來自不信任鏈路的非 正常乙太網上的點到點協議報文,並通過信任鏈路轉發乙太網上的 點到點協議報文到伺服器。
才艮據本發明,在預設情況下,交換才幾的乙太網上的點到點協議 偵聽功能為關閉狀態。交換機上的鏈路是埠或虛擬區域網。信任 鏈路是連接乙太網上的點到點協議伺服器或其它交換機的鏈路。不 信任鏈路是連接用戶或網絡的鏈路。在預設情況下,交換機上的鏈 路均為不信任鏈路。報文包括乙太網上的點到點協議主動發現提供
和乙太網上的點到點協i義主動發現確i人。
其中,偵聽才莫塊406還包括回送才莫塊,當至少一個乙太網上
的點到點協議伺服器收到來自乙太網上的點到點協議客戶端主動
發送的乙太網上的點到點協議主動發現啟動才良文之後,用於回送以
太網上的點到點主動發現提供報文;發送模塊,當乙太網上的點到
點協議客戶端在回送乙太網上的點到點協議主動發現提供報文的 至少 一 個乙太網上的點到點協議月良務器中選^奪一 個時,用於向其發
送乙太網上的點到點十辦i義主動發現-清求衝艮文告知所選擇的乙太網 上的點到點協議伺服器;分配模塊,當所選擇的乙太網上的點到點 協議伺服器接收到乙太網上的點到點協議主動發現請求報文後,用 於為客戶端分配一個唯一的會話標識符,啟動乙太網上的協議狀態 機準備開始乙太網上的協議會話,並發送乙太網上的協議主動發現 確認報文;以及進入會話模塊,當乙太網上的點到點協議客戶端在 接收到乙太網上的協議主動發現確i人才艮文之後,用於進入乙太網上 的協議會話階段。
另夕卜,用於防止欺騙攻擊伺服器的裝置,還包括終止模塊, 當乙太網上的點到點協議客戶端和乙太網上的點到點協議伺服器 中任一個發送乙太網上的協議主動發現終止才艮文時,用於終止會 話。
如上所述,實現了乙太網上的點到點協議防止伺服器欺騙攻擊 的方法,從而,在交換機上實現PPPoE偵聽功能,過濾掉了非法 PPPoE伺服器向網絡上發送的數據包,使用戶可以通過合法的 PPPoE月l務器連4妾網絡,徹底i也防範非法PPPoE月良務器的-太騙攻擊 行為,進而提高了 PPPoE接入的安全性。
以上所述僅為本發明的優選實施例而已,並不用於限制本發 明,對於本領域的才支術人員來說,本發明可以有各種更改和變化。 凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進 等,均應包含在本發明的保護範圍之內。
權利要求
1.一種用於防止欺騙攻擊伺服器的裝置,其特徵在於,包括開啟模塊,用於開啟交換機的乙太網上的點到點協議偵聽功能;配置模塊,用於配置所述交換機上的信任鏈路和不信任鏈路;偵聽模塊,用於對發往所述伺服器的所述不信任鏈路的乙太網上的點到點協議報文進行偵聽;以及轉發模塊,用於丟掉來自所述不信任鏈路的非正常乙太網上的點到點協議報文,並通過所述信任鏈路轉發所述乙太網上的點到點協議報文到所述伺服器。
2. 才艮據^l利要求1所述的用於防止^:騙攻擊月良務器的裝置,其特 徵在於,在所述開啟才莫塊中,在預設情況下,所述交換機的以 太網上的點到點協議偵聽功能為關閉狀態。
3. 根據權利要求1所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,在所述配置模塊中的所述交換機上的鏈路是埠或虛 擬局i或網。
4. 根據權利要求1所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,在所述偵聽模塊中的所述信任鏈路是連接乙太網上的 點到點協議伺服器或其它交換機的鏈路。
5. 根據權利要求1所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,在所述偵聽模塊中的所述不信任鏈路是連接用戶或網 絡的鏈路。
6. 才艮據4又利要求1所述的用於防止#太騙攻擊月良務器的裝置,其特 徵在於,在所述配置模塊中,在預設情況下,所述交換機上的 鏈路均為不信任鏈路。
7. 根據權利要求1所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,在所述轉發模塊中,所述報文包括乙太網上的點到點 十辦i義主動發5!W是供和乙太網上的點到點協i義主動發現確i人。
8. 4艮據^k利要求1所述的用於防止^L騙攻擊月l務器的裝置,其特 徵在於,所述偵聽模塊還包括回送才莫塊,用於當至少 一個乙太網上的點到點協議服務 器收到來自乙太網上的點到點協議客戶端主動發送的乙太網 上的點到點協議主動發現啟動才艮文之後,回送乙太網上的點到 點主動發現提供報文;發送才莫塊,用於當所述乙太網上的點到點協議客戶端在 回送所述乙太網上的點到點協議主動發現提供報文的所述至 少 一個乙太網上的點到點協議伺服器中選擇一個時,發送以太 網上的點到點協議主動發現請求報文告知所選擇的乙太網上 的點到點協議伺服器;分配才莫塊,用於當所述所選擇的乙太網上的點到點協議 伺服器接收到所述乙太網上的點到點協議主動發現請求報文 後,為所述客戶端分配一個唯一的會話標識符,啟動乙太網上 的協議狀態機準備開始乙太網上的協議會話,並發送乙太網上 的協議主動發現確認報文;以及進入會話模塊,用於當所述乙太網上的點到點協議客戶 端在接收到所述乙太網上的協議主動發現確認才艮文之後,進入 乙太網上的協議會話階段。
9. 根據權利要求8所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,還包括終止模塊,用於當所述乙太網上的點到點協議客戶端和 所述乙太網上的點到點協議伺服器中任一個發送乙太網上的 協議主動發現終止糹艮文時,終止所述會話。
10. 根據權利要求1所述的用於防止欺騙攻擊伺服器的裝置,其特 徵在於,在所述轉發模塊中的所述乙太網上的點到點伺服器是 寬帶接入伺服器或者內置寬帶接入伺服器的數字用戶線接入 復用器。
全文摘要
本發明提供了一種用於防止欺騙攻擊伺服器的裝置,包括開啟模塊,用於開啟交換機的乙太網上的點到點協議偵聽功能;配置模塊,用於配置交換機上的信任鏈路和不信任鏈路;偵聽模塊,用於對發往伺服器的不信任鏈路的乙太網上的點到點協議報文進行偵聽;以及轉發模塊,用於丟掉來自不信任鏈路的非正常乙太網上的點到點協議報文,並通過信任鏈路轉發乙太網上的點到點協議報文到伺服器。因而,通過本發明,能夠過濾掉非法PPPoE伺服器向網絡上發送的數據包,使用戶能通過合法的PPPoE伺服器接入網絡,徹底防範非法PPPoE伺服器欺騙攻擊,從而提高了PPPoE接入的安全性。
文檔編號H04L29/06GK101197813SQ20061016069
公開日2008年6月11日 申請日期2006年12月6日 優先權日2006年12月6日
發明者曹文利 申請人:中興通訊股份有限公司