新手快速入門 寬帶接入網(wǎng)基礎(chǔ)知識(shí)
寬帶接入網(wǎng)還是比較常用的,于是我研究了一下寬帶接入網(wǎng)的基礎(chǔ)知識(shí),在這里拿出來(lái)和大家分享一下,希望對(duì)大家有用。上行方向,因?yàn)橛脩糇越M網(wǎng)絡(luò)不受控,惡意用戶或者惡意程序就可構(gòu)造非法協(xié)議報(bào)文,向上發(fā)送,這不僅會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備處理性能下降,有時(shí)還造成網(wǎng)絡(luò)設(shè)備系統(tǒng)紊亂甚至死機(jī)。另外,如果惡意用戶或者程序過(guò)量地上行發(fā)送協(xié)議、廣播報(bào)文,無(wú)論是合法還是非法,同樣會(huì)造成系統(tǒng)設(shè)備性能明顯下降,因?yàn)閰f(xié)議、廣播等報(bào)文的處理非常消耗設(shè)備資源。下行方向,盡管處于可控的網(wǎng)絡(luò)域內(nèi),但是因?yàn)樵O(shè)備自身穩(wěn)定性問(wèn)題,以及網(wǎng)絡(luò)復(fù)雜性問(wèn)題,也可能會(huì)出現(xiàn)非法或者過(guò)量報(bào)文發(fā)送,也需要進(jìn)行防范。非法報(bào)文包括:
(1)非法源MAC地址報(bào)文。源MAC地址不能是廣播或者組播地址,因?yàn)橛行㎝AC地址已經(jīng)被標(biāo)準(zhǔn)組織所預(yù)留,不能被普通用戶使用。
(2)非法協(xié)議報(bào)文。從理論上分析,互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(wèn)(Query)報(bào)文,下行方向不可能有報(bào)告/離開/加入(Report/Leave/Join)報(bào)文;DHCP協(xié)議上行不可能出現(xiàn)提供/確認(rèn)(OFFER/ACK)報(bào)文,下行不可能出現(xiàn)發(fā)現(xiàn)/請(qǐng)求(DISCOVER/REQUEST)報(bào)文;PPPoE協(xié)議上行不會(huì)有PADO和PADS報(bào)文,下行不會(huì)有PADI和PADR報(bào)文。根據(jù)需要,對(duì)這些報(bào)文都要攔截過(guò)濾。
(3)超長(zhǎng)報(bào)文、超短報(bào)文或者校驗(yàn)錯(cuò)報(bào)文,如低于64字節(jié)的報(bào)文或者大于1 518字節(jié)的報(bào)文。特定情況下,超長(zhǎng)報(bào)文是允許的。
對(duì)于非法報(bào)文,一般的技術(shù)是使用過(guò)濾器來(lái)過(guò)濾丟棄這些報(bào)文。過(guò)濾器的基本原理是,根據(jù)用戶定義的被過(guò)濾數(shù)據(jù)報(bào)文的特征,匹配數(shù)據(jù)報(bào)文。如果符合預(yù)定義的特征,那么過(guò)濾掉該報(bào)文。當(dāng)前的交換芯片大都具備報(bào)文特征提取和匹配功能,可以完成數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至更高層數(shù)據(jù)報(bào)文特征信息的提取和匹配。
前面3種過(guò)量報(bào)文會(huì)大量吞噬設(shè)備處理資源,第4種會(huì)占用交換芯片有限的MAC地址表資源,都需要進(jìn)行控制。前3種過(guò)量報(bào)文的處理步驟為:匹配特定類型的報(bào)文,特征是:特定的協(xié)議報(bào)文、廣播報(bào)文(或者某種更具體特征的廣播報(bào)文)、組播報(bào)文(或者某種更具體特征的組播報(bào)文);統(tǒng)計(jì)此類報(bào)文的發(fā)送速率;如果發(fā)送速率超過(guò)預(yù)定義的速率,拋棄報(bào)文。處理過(guò)量協(xié)議、廣播和組播報(bào)文的技術(shù)又被稱為報(bào)文抑制。解決過(guò)量源MAC地址問(wèn)題比較簡(jiǎn)單:可設(shè)定用戶側(cè)端口MAC地址個(gè)數(shù)的上限。這樣,一旦端口達(dá)到預(yù)定義的MAC地址個(gè)數(shù),后續(xù)帶有新MAC地址的報(bào)文一律被丟棄。非法報(bào)文和過(guò)量報(bào)文的處理在寬帶接入網(wǎng)絡(luò)的各個(gè)層次都需要處理,但是對(duì)于接入節(jié)點(diǎn),因?yàn)槠湓趯拵Ы尤刖W(wǎng)中的位置,上述功能的實(shí)現(xiàn)尤其顯得重要。
MAC/IP地址欺騙
MAC/IP地址欺騙是非常嚴(yán)重的安全威脅。MAC地址欺騙的本質(zhì)是會(huì)出現(xiàn)MAC地址重復(fù),造成交換芯片MAC地址學(xué)習(xí)遷移,部分用戶無(wú)法上網(wǎng)。MAC地址欺騙可以分成下面兩種類型:
(1)用戶的MAC地址欺騙。
(2)上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS、DHCP服務(wù)器/中繼、默認(rèn)網(wǎng)關(guān)等)的MAC地址欺騙。
因?yàn)橐蕴W(wǎng)自身的特點(diǎn),MAC地址信息都是公開的,通過(guò)掃描工具,用戶可以較容易地獲取其他用戶的MAC地址信息。如果相同的MAC地址出現(xiàn)在設(shè)備的不同用戶端口上,就會(huì)造成MAC地址學(xué)習(xí)發(fā)生紊亂,導(dǎo)致用戶無(wú)法上網(wǎng)。為了增強(qiáng)安全性,在寬帶接入網(wǎng)絡(luò),一般要求在接入節(jié)點(diǎn)處實(shí)現(xiàn)用戶端口隔離:在同一個(gè)VLAN下的用戶之間相互不能通信,而只能和上行匯聚端口互通。用戶端口隔離可以通過(guò)私有虛擬局域網(wǎng)(PVLAN)技術(shù)來(lái)實(shí)現(xiàn)。不是所有的交換芯片都支持PVLAN的功能,即使支持PVLAN的功能,也有可能因?yàn)樵O(shè)備MAC地址設(shè)置不當(dāng)造成MAC地址重復(fù)問(wèn)題,或者用戶通過(guò)其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN技術(shù)本身不足以完全解決用戶側(cè)MAC地址欺騙問(wèn)題。解決用戶側(cè)MAC地址欺騙,有如下解決方法:
(1)VMAC 在接入節(jié)點(diǎn)處,在上行方向,給每個(gè)<物理端口,MAC>分配或者生成一個(gè)***的VMAC地址。被解釋以后的MAC地址因?yàn)槭窃O(shè)備自己產(chǎn)生的,因此是可信的,而且確保不會(huì)出現(xiàn)用戶側(cè)MAC地址重復(fù)的現(xiàn)象。使用VMAC地址代替報(bào)文的源MAC地址。下行方向,根據(jù)VMAC查找到對(duì)應(yīng)的原始的MAC地址,然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來(lái)防止用戶MAC地址欺騙,還可防止對(duì)業(yè)務(wù)服務(wù)器MAC地址的欺騙,并且也可以用于用戶端口識(shí)別。缺點(diǎn)是影響與MAC地址相關(guān)的協(xié)議,處理復(fù)雜。
(2)MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口,如果數(shù)據(jù)報(bào)文的源MAC地址和綁定的MAC地址不同,則地址被丟棄。此方法雖簡(jiǎn)單,但是可用性差。用戶自組網(wǎng)絡(luò)的MAC地址千差萬(wàn)別,而且個(gè)數(shù)也不確定,如果采用靜態(tài)綁定,很難管理。
(3)基于PPPoE會(huì)話(Session)感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā),應(yīng)用于PPPoE接入環(huán)境。每個(gè)用戶都對(duì)應(yīng)唯一的PPPoE會(huì)話標(biāo)識(shí)(SessionID)。可以在接入節(jié)點(diǎn)上記錄一張表,上行直接匯聚,下行可以查看該表來(lái)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣,數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)完全可以不使用MAC地址,也就不需要學(xué)習(xí),從而也就不存在MAC地址重復(fù)問(wèn)題。
(4)基于IP感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。應(yīng)用于IPoE的寬帶接入網(wǎng)環(huán)境。在接入節(jié)點(diǎn)上,建立一張表,因?yàn)镮P是唯一的,所以不會(huì)存在IP重復(fù)的現(xiàn)象,數(shù)據(jù)報(bào)文下行轉(zhuǎn)發(fā)沒(méi)有問(wèn)題。和基于PPPoE Session的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)一樣,接入節(jié)點(diǎn)上也不需要MAC地址學(xué)習(xí)。
上述3、4兩種處理方法對(duì)接入節(jié)點(diǎn)歸屬的VLAN有一定的要求。如果一個(gè)接入節(jié)點(diǎn)屬于一個(gè)唯一的VLAN,那么只要接入節(jié)點(diǎn)按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文即可。如果多個(gè)接入節(jié)點(diǎn)屬于一個(gè)VLAN,那么需要保證匯聚這些接入節(jié)點(diǎn)的交換機(jī)也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報(bào)文。利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制有質(zhì)的不同,一般的交換芯片難以實(shí)現(xiàn),而且只解決特定類型接入的MAC地址重復(fù)問(wèn)題。優(yōu)點(diǎn)是不用修改數(shù)據(jù)報(bào)文,不會(huì)影響其他協(xié)議。業(yè)務(wù)服務(wù)器的MAC地址欺騙將會(huì)使得網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)發(fā)生遷移,從而造成設(shè)備下的部分用戶無(wú)法上網(wǎng)。業(yè)務(wù)服務(wù)器MAC地址防欺騙可以使用下面的技術(shù)來(lái)解決:
(1)VMAC
使用VMAC可以解決各種接入環(huán)境下的業(yè)務(wù)服務(wù)器MAC欺騙。
(2)業(yè)務(wù)服務(wù)器MAC地址靜態(tài)配置
手動(dòng)將業(yè)務(wù)服務(wù)器的MAC配置到接入節(jié)點(diǎn)交換芯片的靜態(tài)MAC地址表上,這樣業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)就不會(huì)發(fā)生遷移。這個(gè)方法雖然簡(jiǎn)單,但靈活性和擴(kuò)充性都很差。
(3)業(yè)務(wù)服務(wù)器MAC地址自動(dòng)配置
這是本文提出的一種解決業(yè)務(wù)服務(wù)器MAC地址欺騙的方法。基本思想是,讓接入節(jié)點(diǎn)充當(dāng)PPPoE或者DHCP客戶端,定期發(fā)起PPPoE或者DHCP請(qǐng)求,這樣就可以動(dòng)態(tài)地獲取BRAS和DHCP服務(wù)器/中繼的MAC地址。其優(yōu)點(diǎn)非常明顯:可利用現(xiàn)有協(xié)議,不用手動(dòng)配置,不修改數(shù)據(jù)報(bào)文,不影響其他協(xié)議。
IP欺騙存在于IPoE接入場(chǎng)景下,冒用他人IP地址,盜取服務(wù),或者沒(méi)有通過(guò)DHCP獲得配置信息的情況下寬帶接入網(wǎng)絡(luò),妨礙了運(yùn)營(yíng)商的統(tǒng)一管理。解決這個(gè)問(wèn)題需要在接入節(jié)點(diǎn)上實(shí)現(xiàn)“DHCP IP源警衛(wèi)”,監(jiān)聽來(lái)往于用戶和DHCP服務(wù)器/中繼的協(xié)議報(bào)文,在用戶沒(méi)有獲取配置信息以前,除了DHCP協(xié)議報(bào)文,其他上行報(bào)文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP ACK報(bào)文,就綁定<分配的IP,用戶MAC>到用戶端口,使能上行數(shù)據(jù)報(bào)文的發(fā)送,同時(shí)保證上行數(shù)據(jù)報(bào)文的和綁定的<分配的IP,用戶MAC>一致。在DHCP租用到期后,取消這種捆綁,并停止上行非DHCP協(xié)議報(bào)文發(fā)送。
非法業(yè)務(wù)
經(jīng)過(guò)多年的寬帶接入網(wǎng)絡(luò)建設(shè),對(duì)于運(yùn)營(yíng)商而言,接入帶寬已經(jīng)不是主要的問(wèn)題。當(dāng)務(wù)之急,一是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,提供盡可能多的業(yè)務(wù),改變目前僅靠接入和帶寬盈利的模式,改變粗放式的經(jīng)營(yíng)路線;另一個(gè)就是控制目前在已有網(wǎng)絡(luò)中存在的非法業(yè)務(wù)。所謂的非法業(yè)務(wù)是從運(yùn)營(yíng)商的角度來(lái)判定的一些目前網(wǎng)絡(luò)上存在的部分?jǐn)?shù)據(jù)服務(wù)。非法業(yè)務(wù)形式多種多樣,下面僅是其中幾例:
(1)P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡(luò)帶寬,影響用戶上網(wǎng)。
(2)VoIP。VoIP分流運(yùn)營(yíng)商已有的公共交換電話網(wǎng)(PSTN)業(yè)務(wù),可能嚴(yán)重?fù)p害其業(yè)務(wù)收益。
(3)用戶側(cè)私拉亂接。寬帶用戶以個(gè)人的身份申請(qǐng)業(yè)務(wù),但給企業(yè)或黑網(wǎng)吧使用,或與其他家庭共用寬帶,從而損害運(yùn)營(yíng)商的業(yè)務(wù)收益。
不同于前面幾節(jié)的安全問(wèn)題,非法業(yè)務(wù)具有非常復(fù)雜的業(yè)務(wù)特征,不可能通過(guò)簡(jiǎn)單的特征提取方法來(lái)判定某數(shù)據(jù)報(bào)文是否屬于非法業(yè)務(wù)的報(bào)文。為了檢測(cè)出某條數(shù)據(jù)流是否是非法業(yè)務(wù),需要對(duì)數(shù)據(jù)流進(jìn)行深度智能分析,依據(jù)預(yù)定義的特征信息庫(kù),對(duì)數(shù)據(jù)流匹配才能判定。
用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能的設(shè)備和接入節(jié)點(diǎn)對(duì)接情況下,上行數(shù)據(jù)報(bào)文從表面看起來(lái)好像從一個(gè)用戶發(fā)出的一樣。解決這個(gè)問(wèn)題需要收集各種“蛛絲馬跡”:分析傳輸控制協(xié)議(TCP)連接數(shù)量、網(wǎng)絡(luò)流量、源TCP端口范圍,這些信息有一定的參考價(jià)值;分析MSN、Windows Update能攜帶的一些用戶特定信息;用戶上行數(shù)據(jù)流中,如OS版本、IE版本、用戶的行為習(xí)慣等有用的用戶信息。往往需要結(jié)合部分或者全部特征,作出綜合判斷,減少誤判和漏判。非法VoIP檢測(cè)起來(lái)具有很大的難度,VoIP軟件數(shù)量眾多。為了穿越防火墻或者NAT,防止被檢測(cè),有些VoIP軟件甚至在特殊端口上啟動(dòng)私有隧道來(lái)承載VoIP相關(guān)數(shù)據(jù)。需要對(duì)數(shù)據(jù)報(bào)協(xié)議/傳輸控制協(xié)議(UDP/TCP)所有的數(shù)據(jù)流進(jìn)行監(jiān)控,利用VoIP注冊(cè)、呼叫、準(zhǔn)入等特征來(lái)分析數(shù)據(jù)流。
P2P流容易監(jiān)控,因?yàn)榱餍械腜2P軟件數(shù)量有限,這些軟件所發(fā)出的數(shù)據(jù)報(bào)文的特征相對(duì)容易定義。非法業(yè)務(wù)的檢測(cè)可以在寬帶接入網(wǎng)絡(luò)的各個(gè)層次進(jìn)行。檢測(cè)點(diǎn)越往下游偏移,“分布式處理”的特征越強(qiáng)烈,容易在性能上得到提升,但是在價(jià)格、檢測(cè)點(diǎn)協(xié)作和管理方面相對(duì)于集中式檢測(cè)來(lái)說(shuō)稍稍略弱一點(diǎn)。非法業(yè)務(wù)的檢測(cè)技術(shù)上具有智能化的趨勢(shì)。但是回報(bào)較高,因?yàn)榭梢詾檫\(yùn)營(yíng)商創(chuàng)造更高的附加值。隨著未來(lái)各種業(yè)務(wù)在寬帶接入網(wǎng)絡(luò)的興起,非法業(yè)務(wù)檢測(cè)將大有用武之地,代表著寬帶接入網(wǎng)絡(luò)安全研究的一個(gè)重要方向。
結(jié)束語(yǔ)
對(duì)于接入網(wǎng)絡(luò)的商業(yè)應(yīng)用,安全是一個(gè)重要的不容回避的問(wèn)題,也是一個(gè)隨著時(shí)間動(dòng)態(tài)變化的課題。不僅運(yùn)營(yíng)商高度重視安全問(wèn)題,網(wǎng)絡(luò)設(shè)備提供商對(duì)安全問(wèn)題也異常重視,中興通訊提供的DSLAM和BRAS可以解決上述大部分寬帶接入網(wǎng)安全問(wèn)題。
