專利名稱:防止欺騙攻擊服務器的方法
技術領域:
本發(fā)明涉及數(shù)據(jù)通信領域,尤其涉及一種以太網(wǎng)上的點到點協(xié) 議防止服務器#大騙攻擊的方法。
背景技術:
以太網(wǎng)上的點到點協(xié)、"i義(PPPoE)是基于以太網(wǎng)的點到點協(xié) 議的,PPPoE會話包含發(fā)現(xiàn)和點到點協(xié)i義(PPP )會話兩個階段, 發(fā)現(xiàn)階段是無狀態(tài)的客戶端/服務器模式,目的是獲得PPPoE終結 端的以太網(wǎng)々某介4矣入控制(MAC)地址,并建立一個唯一的PPPoE 會i舌標識。發(fā)現(xiàn)階_敬結束后,就進入PPP會話階^:。
目前大部分的寬帶4妄入方式是基于PPPoE協(xié)議的,PPPoE 4妄入 要求從用戶端至會聚點為橋接環(huán)境,會聚點通常為寬帶接入服務器 (BAS),這樣就使BAS與用戶處于同一個廣播域,PPPoE方式的 用戶流量全部經(jīng)過BAS。通常PPPoE服務器欺騙攻擊的方法是攻 擊者首先將正常的BAS在一條鏈路上所能支持的PPPoE會話占 滿,導致BAS不再響應客戶端的PPPoE會話請求,然后冒充合法 的BAS。攻擊者利用冒充的BAS,為用戶分配一個經(jīng)過l奮改的域名 服務器(DNS),在用戶毫無察覺的情況下被引導到預先配置好的 ,支金融等網(wǎng)站,騙取用戶帳戶和密碼,或者將流量重定向到意圖進 行流量截取的惡意節(jié)點。
雖然BAS與用戶之間有i人i正切、i義進4亍i人i正,^f旦是一4殳是BAS 認證用戶是否合法,用戶不認證BAS是否合法,即使BAS支持用 戶iU正BAS的功能,目前的PPPoE客戶端一般都不支持這個功能。 PPPoE客戶端還是不能防止上面的服務器欺騙攻擊發(fā)生。
發(fā)明內(nèi)容
為了在交才灸才幾上實玉見PPPoE 4貞口斤(PPPoE Snooping )功負fe ,即, 過濾掉非法PPPoE服務器向網(wǎng)絡上發(fā)送的數(shù)據(jù)包,使用戶能通過合 法的PPPoE服務器接入網(wǎng)絡,徹底防范非法PPPoE服務器欺騙攻 擊,以提高PPPoE接入的安全性。本發(fā)明提供了一種以太網(wǎng)上的點 到點協(xié)議防止力良務器#夂騙攻擊的方法。
本發(fā)明提供了 一種用于防止欺騙攻擊服務器的方法,其包括以 下步驟步驟S202 ,開啟交換機的以太網(wǎng)上的點到點協(xié)議偵聽功能; 步驟S204,配置交換機上的信任鏈路和不信任鏈路;步驟S206, 對發(fā)往力l務器的不信任鏈^各的以太網(wǎng)上的點到點協(xié)議才艮文進行偵 聽;以及步驟S208,丟掉來自不信任鏈路的非正常以太網(wǎng)上的點到 點協(xié)議報文,信任鏈路轉(zhuǎn)發(fā)以太網(wǎng)上的點到點協(xié)議報文到服務器
根據(jù)本發(fā)明,在缺省情況下,交換機的以太網(wǎng)上的點到點協(xié)議 偵聽功能為關閉狀態(tài)。交換機上的鏈路是端口或虛擬局域網(wǎng)。信任 鏈路是連接以太網(wǎng)上的點到點協(xié)議服務器或其它交換機的鏈路。不 信任鏈路是連接用戶或網(wǎng)絡的鏈路。在缺省情況下,交換機上的鏈 路均為不信任鏈路。報文包括以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn)提供 和以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn)確^人。
根據(jù)本發(fā)明,步驟S206還包括以下步驟至少一個以太網(wǎng)上 的點到點協(xié)議服務器收到來自以太網(wǎng)上的點到點協(xié)議客戶端主動 發(fā)送的以太網(wǎng)上的點到點協(xié)i義主動發(fā)現(xiàn)啟動凈艮文之后,回送以太網(wǎng)上的點到點主動發(fā)現(xiàn)才是供才艮文;以太網(wǎng)上的點到點協(xié)i義客戶端在回
送以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn)提供報文的至少 一 個以太網(wǎng)上 的點到點協(xié)議服務器中選擇一個,并向其發(fā)送以太網(wǎng)上的點到點協(xié)
議主動發(fā)現(xiàn)請求報文告知所選擇的以太網(wǎng)上的點到點協(xié)議服務器;
所選擇的以太網(wǎng)上的點到點協(xié)議服務器接收到以太網(wǎng)上的點到點 協(xié)議主動發(fā)現(xiàn)請求報文后,為客戶端分配一個唯一的會話標識符, 啟動以太網(wǎng)上的協(xié)議狀態(tài)機準備開始以太網(wǎng)上的協(xié)議會話,并發(fā)送
以太網(wǎng)上的協(xié)議主動發(fā)現(xiàn)確認報文;以及以太網(wǎng)上的點到點協(xié)議客 戶端在4妄收到以太網(wǎng)上的十辦i義主動發(fā)現(xiàn)確i人寺艮文之后,進入以太網(wǎng) 上的協(xié)議會話階段。
另外,才艮據(jù)本發(fā)明,用于防止欺騙攻擊服務器的方法,還包括 以下步艱《以太網(wǎng)上的點到點協(xié)i義客戶端和以太網(wǎng)上的點到點妨、i義 服務器中任一個發(fā)送以太網(wǎng)上的協(xié)議主動發(fā)現(xiàn)終止4艮文時,會話終止。
根據(jù)本發(fā)明的以太網(wǎng)上的點到點服務器是寬帶接入服務器或 者內(nèi)置寬帶接入服務器的數(shù)字用戶線接入復用器。
因此,本發(fā)明實現(xiàn)了以下才支術效果。用戶可以通過合法的 PPPoE服務器接入網(wǎng)絡,來過濾非法PPPoE服務器欺騙攻擊,從而 提高了 PPPoE接入的安全性。
附圖用來提供對本發(fā)明的進一步理解,并且構成i兌明書的一部 分,與本發(fā)明的實施例一起用于解釋本發(fā)明,并不構成對本發(fā)明的 限制。在附圖中
圖1是根據(jù)本發(fā)明的實施例的網(wǎng)絡結構圖2是本發(fā)明用于防止欺騙攻擊服務器的方法的流程圖;以及
圖3是以太網(wǎng)上點到點協(xié)議發(fā)現(xiàn)階段的通信視圖。
具體實施例方式
以下結合附圖對本發(fā)明的優(yōu)選實施例進行說明,應當理解,此 處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本 發(fā)明。
圖1是沖艮據(jù)本發(fā)明的實施例的網(wǎng)絡結構圖。
圖2是本發(fā)明用于 防止欺騙攻擊服務器的方法的流程圖。
圖3是以太網(wǎng)上點到點協(xié)議 發(fā)現(xiàn)階段的通信^L圖。
如圖1所示,該網(wǎng)絡由PPPoE客戶端102、非法PPPoE月良務器 104、交換才幾106、以及合法PPPoE月艮務器108構成。其中,PPPoE 客戶端102通過交換才幾106連4妄到合法PPPoE月良務器108上。在本 實施例中,合法PPPoE服務器108設備是指寬帶接入服務器或者內(nèi) 置寬帶服務器的數(shù)字用戶線接入復用器(DSLAM)。
以下將結合圖1以及圖3詳細描述圖2的詳細過程,如圖2所 示,防止#太騙攻擊力良務器的方法包纟舌以下步艱《
步驟S202,開啟交換機的以太網(wǎng)上的點到點協(xié)議偵聽功能。但 是,在缺省狀態(tài)下,交換才幾的以太網(wǎng)上的點到點協(xié)i義偵聽功能可以 設置為關閉狀態(tài)。
步驟S204,配置交換機上的信任鏈路和不信任鏈路。其中,交 換機上的鏈路是端口或虛擬局域網(wǎng)。在本發(fā)明的實施例中,其具體 步駛《如下所示
如圖2所示的以太網(wǎng)上的點到點1"辦i義偵聽一,交換:才凡106的鏈^各
設置為信任鏈路與不信任鏈路。信任鏈路是連接PPPoE服務器或其 他交換機的鏈路,此處的鏈路是交換機106連接合法PPPoE服務器 108的鏈路1;不信任鏈路是連接用戶或網(wǎng)絡的鏈路,此處的鏈路 是交換才幾106連4妾PPPoE客戶端102的鏈3各2、以及連接非法PPPoE 服務器104的鏈路3。在缺省情況下,交換機的鏈路均為不信任鏈 路。
步驟S206,對發(fā)往服務器的不信任鏈路的以太網(wǎng)上的點到點協(xié) 議才艮文進行偵聽。其中,才艮文包括以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn) 才是供(PADO)和以太網(wǎng)上的點到點協(xié)i義主動發(fā)現(xiàn)確認(PADS), 這兩個凈艮文是PPPoE月良務器響應PPPoE客戶端的才艮文。
以下將參照圖3詳細描述步驟S206的具體偵聽過程
首先,至少一個PPPoE服務器304收到來自PPPoE客戶端302 主動發(fā)送的PPPoE主動發(fā)現(xiàn)啟動(PADI)才艮文之后,回送PPPoE 主動發(fā)現(xiàn)提供(PADO )報文;
接著,PPPoE客戶端302在回送PADO報文的至少一個PPPoE 月良務器304中選沖奪一個,并向其發(fā)送PPPoE主動發(fā)現(xiàn)"i青求(PADR ) 才艮文告知所選擇的PPPoE月良務器304;
然后,所選擇的PPPoE服務器304接收到PADR報文后,為客 戶端302分配一個唯一的會i舌標識符,啟動PPPoE 4夫態(tài)才幾準備開始 PPPoE會話,并發(fā)送PPPoE主動發(fā)現(xiàn)確i^ ( PADS )凈艮文;以及
最后,PPPoE客戶端302在接收到PADS l艮文之后,進入以太 網(wǎng)上的協(xié)議會話階H
至此,通信結束。但是,需要指出的是,當PPPoE客戶端302 和PPPoE月l務器304中4壬一個發(fā)送PPPoE主動發(fā)現(xiàn)終止(PADT ) 冷艮文時,會話就會終止。
步驟S208,丟掉來自不信任鏈路的非正常以太網(wǎng)上的點到點協(xié) 議報文,信任鏈路將以太網(wǎng)上的點到點協(xié)議報文轉(zhuǎn)發(fā)到服務器。
才艮據(jù)本發(fā)明的實施例,圖2中步驟S208中的來自不信任鏈路 的非正常PPPoE報文是指如圖3所示的PADO報文和PADS報文, 丟棄這些報文,欺騙PPPoE響應包被交換機阻斷,從而達到過濾非 法PPPoE服務器的目的。這樣,信任鏈路就可以正常轉(zhuǎn)發(fā)PPPoE 報文,從而,保證用戶能通過合法的PPPoE服務器接入網(wǎng)絡。
如上所述,實現(xiàn)了以太網(wǎng)上的點到點協(xié)議防止服務器欺騙攻擊 的方法,從而,在交換才幾上實現(xiàn)PPPoE偵聽功能,過濾掉了非法 PPPoE服務器向網(wǎng)絡上發(fā)送的數(shù)據(jù)包,使用戶可以通過合法的 PPPoE服務器連接網(wǎng)絡,徹底地防范非法PPPoE服務器的欺騙攻擊 行為,進而提高了 PPPoE接入的安全性。
以上所述4又為本發(fā)明的伊G選實施例而已,并不用于限制本發(fā) 明,對于本領域的才支術人員來i兌,本發(fā)明可以有各種更改和變化。 凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進 等,均應包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1.一種用于防止欺騙攻擊服務器的方法,其特征在于,包括以下步驟步驟S202,開啟交換機的以太網(wǎng)上的點到點協(xié)議偵聽功能;步驟S204,配置所述交換機上的信任鏈路和不信任鏈路;步驟S206,對發(fā)往所述服務器的所述不信任鏈路的以太網(wǎng)上的點到點協(xié)議報文進行偵聽;以及步驟S208,丟掉來自所述不信任鏈路的非正常以太網(wǎng)上的點到點協(xié)議報文,所述信任鏈路轉(zhuǎn)發(fā)所述以太網(wǎng)上的點到點協(xié)議報文到所述服務器。
2. 根據(jù)權利要求1所述的用于防止欺騙攻擊服務器的方法,其特 征在于,在缺省情況下,所述交換機的以太網(wǎng)上的點到點協(xié)議 偵聽功能為關閉狀態(tài)。
3. 根據(jù)權利要求1所述的用于防止欺騙攻擊服務器的方法,其特 征在于,所述交換機上的鏈路是端口或虛擬局域網(wǎng)。
4. 根據(jù)權利要求1所述的用于防止欺騙攻擊服務器的方法,其特 征在于,所述信任鏈路是連接以太網(wǎng)上的點到點協(xié)議服務器或 其它交換機的鏈路。
5. 根據(jù)權利要求1所述的用于防止欺騙攻擊服務器的方法,其特 征在于,所述不信任鏈路是連接用戶或網(wǎng)絡的鏈路。
6. 4艮據(jù)4又利要求1所述的用于防止其大騙攻擊月良務器的方法,其特 征在于,在缺省情況下,所述交換機上的鏈路均為不信任鏈路。
7. 根據(jù)權利要求1所迷的用于防止欺騙攻擊服務器的方法,其特征在于,所述才艮文包括以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn)提供和以太網(wǎng)上的點到點妨、i義主動發(fā)J見確i人。
8. 根據(jù)權利要求1所述的用于防止欺騙攻擊服務器的方法,其特 4正在于,步駛《S206還包^舌以下步艱《至少 一個以太網(wǎng)上的點到點協(xié)議服務器收到來自以太網(wǎng) 上的點到點+辦i義客戶端主動發(fā)送的以太網(wǎng)上的點到點切、i義主 動發(fā)現(xiàn)啟動才艮文之后,回送以太網(wǎng)上的點到點主動發(fā)現(xiàn)提供報文;所述以太網(wǎng)上的點到點切、i義客戶端在回送所述以太網(wǎng)上 的點到點協(xié)議主動發(fā)現(xiàn)提供報文的所述至少 一個以太網(wǎng)上的 點到點協(xié)議服務器中選擇一個,并向其發(fā)送以太網(wǎng)上的點到點 協(xié)議主動發(fā)現(xiàn)請求才艮文告知所選擇的以太網(wǎng)上的點到點協(xié)議 服務器;所述所選擇的以太網(wǎng)上的點到點協(xié)議服務器接收到所述 以太網(wǎng)上的點到點協(xié)議主動發(fā)現(xiàn)請求報文后,為所述客戶端分 配一個唯一的會話標識符,啟動以太網(wǎng)上的協(xié)議狀態(tài)機準備開 始以太網(wǎng)上的協(xié)議會話,并發(fā)送以太網(wǎng)上的協(xié)議主動發(fā)現(xiàn)確認 凈艮文;以及所述以太網(wǎng)上的點到點協(xié)議客戶端在接收到所述以太網(wǎng) 上的協(xié)議主動發(fā)現(xiàn)確認報文之后,進入以太網(wǎng)上的協(xié)議會話階 段。
9. 根據(jù)權利要求8所述的用于防止欺騙攻擊服務器的方法,其特 征在于,還包括以下步驟所述以太網(wǎng)上的點到點十辦i義客戶端和所述以太網(wǎng)上的點 到點協(xié)議服務器中任一個發(fā)送以太網(wǎng)上的協(xié)議主動發(fā)現(xiàn)終止 報文時,所述會話終止。
10.才艮據(jù)權利要求1所述的用于防止-大騙攻擊服務器的方法,其特征在于,所述以太網(wǎng)上的點到點服務器是寬帶接入服務器或者 內(nèi)置寬帶接入服務器的數(shù)字用戶線接入復用器。
全文摘要
本發(fā)明提供了一種用于防止欺騙攻擊服務器的方法,其包括以下步驟步驟S202,開啟交換機的以太網(wǎng)上的點到點協(xié)議偵聽功能;步驟S204,配置交換機上的信任鏈路和不信任鏈路;步驟S206,對發(fā)往服務器的不信任鏈路的以太網(wǎng)上的點到點協(xié)議報文進行偵聽;以及步驟S208,丟掉來自不信任鏈路的非正常以太網(wǎng)上的點到點協(xié)議報文,信任鏈路轉(zhuǎn)發(fā)以太網(wǎng)上的點到點協(xié)議報文到服務器。因此,過濾掉非法以太網(wǎng)點對點協(xié)議服務器向網(wǎng)絡上發(fā)送的數(shù)據(jù)包,使用戶能通過合法的以太網(wǎng)點對點協(xié)議服務器接入網(wǎng)絡,防范了非法以太網(wǎng)點對點協(xié)議服務器欺騙攻擊,從而,提高了以太網(wǎng)點對點協(xié)議服務器接入的安全性。
文檔編號H04L12/56GK101197757SQ20061016069
公開日2008年6月11日 申請日期2006年12月6日 優(yōu)先權日2006年12月6日
發(fā)明者曹文利 申請人:中興通訊股份有限公司