專利名稱:一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)技術(shù),更確切地說(shuō)是涉及一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,在IP DSLAM(數(shù)字用戶線接入設(shè)備)中,根據(jù)ADSL(非對(duì)稱用戶線)用戶的物理(MAC)地址定位其所在的物理端口,以便網(wǎng)絡(luò)運(yùn)營(yíng)商能有效地控制網(wǎng)絡(luò)和保證網(wǎng)絡(luò)安全。
當(dāng)IP DSLAM(數(shù)字用戶線接入設(shè)備)下的ADSL(非對(duì)稱用戶線)黑客用戶對(duì)網(wǎng)絡(luò)設(shè)備或者其它用戶采取一些不利的動(dòng)作時(shí),網(wǎng)絡(luò)運(yùn)營(yíng)者需要及時(shí)定位該黑客用戶的物理端口,以便采取相應(yīng)的保護(hù)與制裁措施。
目前這方面的現(xiàn)狀是因?yàn)镮P DSLAM(數(shù)字用戶線接入設(shè)備)普遍不具備根據(jù)用戶的物理(MAC)地址反查其物理端口的能力,因而即使發(fā)現(xiàn)IP DSLAM(數(shù)字用戶線接入設(shè)備)下的ADSL(非對(duì)稱用戶線)用戶有黑客在作崇,但因其強(qiáng)大的流動(dòng)性及可更換性,還是不能及時(shí)得知其物理端口,也無(wú)法對(duì)其進(jìn)行隔離甚至追究其責(zé)任。
發(fā)明內(nèi)容
本發(fā)明的目的是設(shè)計(jì)一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,可以實(shí)現(xiàn)在IP DSLAM(數(shù)字用戶線接入設(shè)備)中,根據(jù)ADSL用戶的MAC地址定位其所在的物理端口,使網(wǎng)絡(luò)運(yùn)營(yíng)商能有效地控制網(wǎng)絡(luò)、保證網(wǎng)絡(luò)安全。
實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是這樣的一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于包括以下處理步驟A.得到黑客用戶的IP地址;B.利用該IP地址獲得與該IP地址對(duì)應(yīng)的源物理(MAC)地址;C.以該源物理(MAC)地址為索引,查找內(nèi)容可尋址存儲(chǔ)器(CAM),獲得與該源物理(MAC)地址對(duì)應(yīng)的內(nèi)部連接標(biāo)識(shí)(ICI);D.根據(jù)該內(nèi)部連接標(biāo)識(shí)(ICI)查找得到與該內(nèi)部連接標(biāo)識(shí)(ICI)對(duì)應(yīng)的非對(duì)稱用戶線(ADSL)端口號(hào)。
黑客用戶的IP地址可由受害用戶向網(wǎng)絡(luò)管理人員上報(bào)獲得。
可以從與數(shù)字用戶線接入設(shè)備(IP DSLAM)連接的路由器或?qū)拵Ы尤敕?wù)器(BAS)上查詢到與黑客用戶的IP地址對(duì)應(yīng)的源物理(MAC)地址。
根據(jù)源物理(MAC)地址查找內(nèi)部連接標(biāo)識(shí)(ICI),進(jìn)一步包括以下步驟C1.在數(shù)字用戶線接入設(shè)備(IP DSLAM)控制板(MMX)的控制下,將所述的源物理(MAC)地址傳送給局域網(wǎng)(LAN)板;C2.由局域網(wǎng)(LAN)板查找可尋址存儲(chǔ)器(CAM)中的按表項(xiàng)動(dòng)態(tài)記錄存儲(chǔ)的源物理(MAC)地址與內(nèi)部連接標(biāo)識(shí)(ICI)的關(guān)系表;C3.局域網(wǎng)(LAN)板將內(nèi)部連接標(biāo)識(shí)(ICI)傳回控制板(MMX)。
所述的內(nèi)部連接標(biāo)識(shí)(ICI)由數(shù)字用戶線接入設(shè)備(IP DSLAM)的系統(tǒng)邏輯為每個(gè)非對(duì)稱用戶線(ADSL)端口分配,系統(tǒng)內(nèi)部設(shè)置有非對(duì)稱用戶線(ADSL)端口號(hào)和內(nèi)部連接標(biāo)識(shí)(ICI)的對(duì)應(yīng)表。
利用內(nèi)部連接標(biāo)識(shí)(ICI)獲得非對(duì)稱用戶線(ADSL)端口號(hào),是由數(shù)字用戶線接入設(shè)備(IP DSLAM)中的控制板,利用保存在設(shè)備系統(tǒng)中的非對(duì)稱用戶線(ADSL)端口號(hào)與內(nèi)部連接標(biāo)識(shí)(ICI)的對(duì)應(yīng)關(guān)系反查得到非對(duì)稱用戶線(ADSL)端口號(hào)的。
本發(fā)明的追蹤數(shù)字用戶線接入設(shè)備黑客的方法,是一種根據(jù)ADSL黑客用戶的物理(MAC)地址反查其ADSL物理端口的方法,在得到ADSL黑客用戶所在的ADSL物理端口號(hào)后,網(wǎng)絡(luò)管理人員就可對(duì)該ADSL端口進(jìn)行停機(jī)關(guān)閉(shutdown)操作,切斷黑客用戶的物理通路,以阻止黑客進(jìn)一步的攻擊,保證網(wǎng)絡(luò)及其他用戶的安全。
參見(jiàn)
圖1,圖中示出IP DSLAM應(yīng)用的工作原理。圖中11為若干個(gè)ADSL用戶,12為在ATU-R(ITU-T標(biāo)準(zhǔn))上建立的RFC(請(qǐng)求評(píng)注)1483B橋接PVC(永久虛連接),13是IP DSLAM設(shè)備。在IP DSLAM設(shè)備13上,在控制板MMX 134的控制下,通過(guò)背板總線131的內(nèi)部交叉作用(如圖中虛線及其箭頭所示),建立ATM信元的ADSL物理端口133與以太網(wǎng)接口板(LAN板局域網(wǎng)板)132的VLAN(虛擬局域網(wǎng))之間的PVC(永久虛連接)連接。LAN板終結(jié)PVC和RFC1483B橋接協(xié)議,轉(zhuǎn)換為以太網(wǎng)幀上行,提供FE(以太網(wǎng)百兆接口標(biāo)準(zhǔn))接口上行時(shí),IP DSLAM實(shí)現(xiàn)二層功能,不涉及三層協(xié)議處理。ADSL用戶可以通過(guò)橋接專線或以太網(wǎng)承載的PPP(PPPOE)方式接入。
參見(jiàn)圖2,圖中示出ADSL用戶通過(guò)橋接專線或以太網(wǎng)承載的PPP方式接入組網(wǎng)結(jié)構(gòu)圖。圖中21為公共電話交換網(wǎng),22為路由器或?qū)拵Ы尤敕?wù)器(BAS),23為數(shù)字用戶線接入設(shè)備,包括ADSL接入板、MMX板、LAN板等,24(ATU-R)為建立的RFC1483B橋接PVC(功能相當(dāng)于調(diào)制解調(diào)器),25是上網(wǎng)用戶。
LAN板上通過(guò)可編程邏輯器件來(lái)實(shí)現(xiàn)PVC和RFC1483B橋接協(xié)議的終結(jié)功能,LAN板上連接有一片同步或異步CAM(一種用于快速查找的內(nèi)容可尋址存儲(chǔ)器)23,用于動(dòng)態(tài)地記錄ADSL側(cè)用戶的物理(MAC)地址和內(nèi)部連接標(biāo)識(shí)(ICI)間的對(duì)應(yīng)關(guān)系。該內(nèi)部連接標(biāo)識(shí)(ICI)是由設(shè)備的控制軟件為每個(gè)ADSL端口分配的,相當(dāng)于PVC的序列號(hào),在設(shè)備的系統(tǒng)內(nèi)部保存有ADSL端口號(hào)與ICI的對(duì)應(yīng)關(guān)系。
設(shè)備的系統(tǒng)邏輯將從ADSL側(cè)過(guò)來(lái)的ATM信元,重組恢復(fù)成以太網(wǎng)數(shù)據(jù),之后解析MAC幀,提取出源MAC地址,將其作為索引去查找CAM表,則可找到匹配MAC表項(xiàng)中的ICI,有了ICI就可得到ADSL端口號(hào);如果沒(méi)有查到MAC匹配項(xiàng),則將該提取出的源MAC地址加上ICI作為一個(gè)表項(xiàng)填入CAM中;如果查找到的MAC匹配項(xiàng)中的ICI與該提取出的源MAC地址對(duì)應(yīng)的ICI不相同(例如該MAC源地址對(duì)應(yīng)的設(shè)備改變了位置時(shí)),則先根據(jù)返回的記錄地址(地址表中的位置)刪除該原來(lái)的表項(xiàng),并將新的MAC地址(提取出的源MAC地址)加ICI作為一個(gè)表項(xiàng)填入該位置處的CAM表項(xiàng)中。
因?yàn)镃AM表能夠存儲(chǔ)的記錄數(shù)有限,所以必須及時(shí)刷新所有記錄項(xiàng),如果某些ADSL用戶在一段時(shí)間內(nèi)沒(méi)有使用連接(沒(méi)有數(shù)據(jù)流),則該用戶在CAM表中的連接記錄將被刪除。
設(shè)備的系統(tǒng)邏輯對(duì)于從LAN板網(wǎng)口收到的以太網(wǎng)幀,進(jìn)行RFC1483B橋接封裝,并提取出目的MAC地址,以此作為索引來(lái)查找CAM,若查到相應(yīng)的表項(xiàng),則可根據(jù)表項(xiàng)中的ICI對(duì)橋接協(xié)議幀進(jìn)行分段并添加信元頭,從背板發(fā)送至相應(yīng)的ADSL端口。
圖中虛線及其箭頭反映出上述兩種過(guò)程。
參見(jiàn)圖3,依賴上述的技術(shù),本發(fā)明黑客追蹤的實(shí)現(xiàn)過(guò)程是步驟31,如果有人發(fā)現(xiàn)IP DSLAM下有黑客用戶正在對(duì)他的設(shè)備進(jìn)行攻擊,由受害人向網(wǎng)絡(luò)管理人員提供黑客的IP地址;步驟32,由網(wǎng)絡(luò)管理人員從IP DSLAM上連接的路由器或?qū)拵Ы尤敕?wù)器(BAS)上查到與該IP地址對(duì)應(yīng)的物理MAC地址;步驟33,在IP DSLAM控制板(MMX)的控制下,將該MAC地址傳送給LAN板;步驟34,LAN板得到該MAC地址后,以該MAC地址為索引查找CAM表,可以得到與該MAC地址對(duì)應(yīng)的ICI;步驟35,LAN板再將該ICI傳回控制板(MMX),控制板根據(jù)設(shè)備系統(tǒng)中保存的ADSL端口號(hào)與ICI的對(duì)應(yīng)關(guān)系,反查即可得到該MAC地址所在的ADSL端口,即獲得黑客所在的ADSL端口號(hào)。
得到黑客所在的ADSL端口號(hào)后,網(wǎng)絡(luò)管理人員就可以對(duì)該ADSL端口進(jìn)行關(guān)閉停機(jī)操作,切斷黑客的物理通路,以阻止黑客的進(jìn)一步攻擊。
本發(fā)明的技術(shù)是一種IP DSLAM設(shè)備中根據(jù)MAC地址反查ADSL端口的技術(shù),應(yīng)用本發(fā)明的技術(shù)后,可以幫助網(wǎng)絡(luò)運(yùn)營(yíng)商更有效地控制網(wǎng)絡(luò),保證網(wǎng)絡(luò)運(yùn)營(yíng)安全。
本發(fā)明的技術(shù)經(jīng)在多業(yè)務(wù)接入設(shè)備上試應(yīng)用,證明能實(shí)現(xiàn)發(fā)明目的。
權(quán)利要求
1.一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于包括以下處理步驟A.得到黑客用戶的IP地址;B.利用該IP地址獲得與該IP地址對(duì)應(yīng)的源物理(MAC)地址;C.以該源物理(MAC)地址為索引,查找內(nèi)容可尋址存儲(chǔ)器(CAM),獲得與該源物理(MAC)地址對(duì)應(yīng)的內(nèi)部連接標(biāo)識(shí)(ICI);D.根據(jù)該內(nèi)部連接標(biāo)識(shí)(ICI)查找得到與該內(nèi)部連接標(biāo)識(shí)(ICI)對(duì)應(yīng)的非對(duì)稱用戶線(ADSL)端口號(hào)。
2.根據(jù)權(quán)利要求1所述的一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于所述的步驟B,是從與數(shù)字用戶線接入設(shè)備(IP DSLAM)連接的路由器或?qū)拵Ы尤敕?wù)器(BAS)上,查到與黑客用戶的IP地址對(duì)應(yīng)的源物理(MAC)地址的。
3.根據(jù)權(quán)利要求1所述的一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于所述的步驟C進(jìn)一步包括C1.在數(shù)字用戶線接入設(shè)備(IP DSLAM)控制板(MMX)的控制下,將所述的源物理(MAC)地址傳送給局域網(wǎng)(LAN)板;C2.由局域網(wǎng)(LAN)板查找可尋址存儲(chǔ)器(CAM)中的按表項(xiàng)動(dòng)態(tài)記錄存儲(chǔ)的源物理(MAC)地址與內(nèi)部連接標(biāo)識(shí)(ICI)的關(guān)系表;C3.局域網(wǎng)(LAN)板將內(nèi)部連接標(biāo)識(shí)(ICI)傳回控制板(MMX)。
4.根據(jù)權(quán)利要求3所述的一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于所述的步驟C進(jìn)一步包括所述的內(nèi)部連接標(biāo)識(shí)(ICI)是由數(shù)字用戶線接入設(shè)備(IP DSLAM)的系統(tǒng)邏輯按每個(gè)非對(duì)稱用戶線(ADSL)端口分配的。
5.根據(jù)權(quán)利要求1所述的一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,其特征在于所述的步驟D是由數(shù)字用戶線接入設(shè)備(IP DSLAM)中的控制板利用保存在設(shè)備系統(tǒng)中的非對(duì)稱用戶線(ADSL)端口號(hào)與內(nèi)部連接標(biāo)識(shí)(ICI)的對(duì)應(yīng)關(guān)系反查得到非對(duì)稱用戶線(ADSL)端口號(hào)的。
全文摘要
本發(fā)明涉及一種追蹤數(shù)字用戶線接入設(shè)備黑客的方法,包括得到黑客用戶的IP地址;利用該IP地址獲得與該IP地址對(duì)應(yīng)的源物理(MAC)地址;以該源物理(MAC)地址為索引,查找內(nèi)容可尋址存儲(chǔ)器(CAM),獲得與該源物理(MAC)地址對(duì)應(yīng)的內(nèi)部連接標(biāo)識(shí)(ICI);根據(jù)該內(nèi)部連接標(biāo)識(shí)(ICI)查找得到與該內(nèi)部連接標(biāo)識(shí)(ICI)對(duì)應(yīng)的非對(duì)稱用戶線(ADSL)端口號(hào)。本發(fā)明的追蹤數(shù)字用戶線接入設(shè)備黑客的方法,是一種根據(jù)ADSL黑客用戶的MAC地址反查其ADSL物理端口的方法,在得到ADSL黑客用戶所在的ADSL物理端口號(hào)后,網(wǎng)絡(luò)管理人員就可對(duì)該ADSL端口進(jìn)行停機(jī)關(guān)閉(shutdown)操作,切斷黑客用戶的物理通路,以阻止黑客進(jìn)一步的攻擊,保證網(wǎng)絡(luò)及其他用戶的安全。
文檔編號(hào)H04L12/28GK1467955SQ02124258
公開(kāi)日2004年1月14日 申請(qǐng)日期2002年7月12日 優(yōu)先權(quán)日2002年7月12日
發(fā)明者胡鍇, 楊小朋, 胡 鍇 申請(qǐng)人:華為技術(shù)有限公司