快速查找PPPOE攻击源的方法.docVIP

快速查找PPPOE攻击源的方法 随着宽带接入服务器和PPPOE协议在电信运营商宽带网中的大量应用，一种针对PPPOE协议的病毒攻击也随之产生。此类攻击主要利用PPPOE协议的特点，采用类似DOS攻击的方式，不断发送PPPOE连接请求包，导致宽带接入服务器处理能力饱和，无法及时响应正常的PPPOE呼叫请求，造成用户无法拨号上网，对宽带网络质量影响较大。 下面以REDBACK生产的SE800设备为例，介绍一下如何快速定位攻击源并制止攻击对网络通信的影响。在此之前，首先对PPPOE协议的原理和建立过程。 PPPOE协议简介 PPPoE协议全称Point to Point Protocol over Ethernet（以太网上的点对点协议），简单地说，就是将以太网和PPP协议结合后的协议，目前广泛应用在ADSL接入方式中。通过PPPoE技术和宽带调制解调器（比如ADSL Modem），可以实现高速宽带网的个人身份验证访问，为每个用户创建虚拟拨号连接，这样就可以高速连接到Internet。 PPPOE连接的建立 PPPOE协议会话的建立包括两个阶段：发现阶段（Discovery）和PPP 会话阶段。 Discovery阶段 在Discovery过程中用户主机以广播方式寻找可以连接的所有接入设备，获得其以太网MAC地址。然后选择需要连接的用户主机并最后获得所要建立的PPP会话的SESSION_ID。在Discovery过程中节点间是客户端－服务器关系， 一个用户主机（客户端）最终要发现一个接入设备（服务器）。在网络拓朴中，一般有不止一个的接入设备可以通信，Discovery阶段允许用户主机发现所有的接入设备，并从中选择一个。当Discovery阶段结束时， 用户主机和接入设备之间都获得了可供以太网上建立PPP连接的全部信息。Discovery阶段保持无连接状态直到一个PPP会话的建立。一旦PPP连接建立，则用户主机和接入设备都必须为PPP虚拟端口分配资源。 典型的发现（Discovery）阶段共包括4个步骤： 用户主机发出PPPOE有效发现初始（PADI）包。以太网目的地址为广播地址0xffffffff， CODE 字段为0x09， SESSION_ID为0x0000。PADI包必须至少包含一个服务名称类型（Service-Name）的标签（标签类型字段为0x0101）， 向接入设备提出所要求提供的服务。一个完整的PADI（包括PPPOE头）不能超过1484字节，以留下充足的预留给agent设备增加Relay-Session-Id标识。 接入设备收到在服务范围内的PADI包后，发送PPPOE有效发现提供（PADO） 包以响应请求。其CODE字段为0x07 ，SESSION_ID仍为0x0000。PADO包必须包含一个接入设备名称类型（AC-Name）的标签（标签类型字段为0x0102）以及一个或多个服务名称类型标签，表明可向用户主机提供的服务种类。 用户主机在可能收到的多个PADO包中选择一个合适的接入设备，选择的原则是根据PADO中接入设备名称类型标签和服务名称类型标签的内容。然后向所选择的接入设备发送PPPOE有效发现请求（PADR）包。其CODE 字段为0x19，SESSION_ID仍为0x0000。PADR包必须包一个服务名称类型标签，确定向接入设备请求的服务种类。当一个用户主机在确定时间没有收到PADO，他会重发一个PADI，同时等待两倍的时间。这种过程可以根据需要重复多次。 接入设备收到PADR包后准备开始PPP会话，它发送一个PPPOE 有效发现会话确认（PADS）包。其CODE 字段为0x65 ， SESSION_ID为接入设备所产生的一个唯一的PPPOE会话标识号码。0xffff作为预留资源，目前不能被使用作SESSION_ID。PADS包也必须包含一个服务名称类型的标签确认向用户主机提供的服务。当用户主机收到PADS包确认后，双方就进入PPP会话阶段。如果接入设备不能识别PADR中的服务名称类型的标签，则会回一个包含服务名称错误（ Service-Name-Error ） 标签的PADS ，其SESSION_ID仍然是0x0000。如果用户主机在确定时间没收到PADS包，与没收到PADO作同样处理。 PPP 会话阶段 用户主机与在发现阶段确定的接入设备进行PPP协商。这个协商过程与标准的PPP协商并没有任何区别。在PPP会话阶段节点间是对等关系。 PPPOE有效发现终止包 PPPOE有效发现终止包（PADT），可以在PPP会话建立后的任何时候发送，来终止PPPOE会话。在一个PPP会话建立后，PADT包随时可由用户主机或接入设备中任何一方发送，指示PPP会话已终止。PADT包不需要任何标签，其CODE字段为0xa7，S