4G优化案例：护网典型案例某抄表终端疑似攻击处理及优化提升.docxVIP

护网典型案例某抄表终端疑似攻击处理及优化提升 XX XX年XX月 目 录 TOC \o 1-2 \h \z \u 一、 问题描述 3 1.1 物联网VPDN业务流程 3 1.2 故障现象 4 二、分析过程 6 三、 处理及优化 7 3.1 护网期间处理 8 3.2 后续优化改造 8 四、 经验总结 8  护网典型案例某抄表终端疑似攻击处理及优化提升 XX 【摘要】 VPDN是通过L2TP隧道技术构建与互联网隔离的虚拟专用网络。政企客户使用安全组网后，用户即可获得一个客户办公内网的IP地址以安全访问内部网络，有效避免网络层DDoS等恶意攻击，保障所传送的数据不会被监听和窃取，适用于党政军、金融、大企业等对移动办公安全性要求高的客户，同时也适用于金融、抄表、广告等行业客户进行物联网终端的数据采集和回传。 2019年6月份护网行动开始后，XXVPDN业务的承载LNS、融合VPDN平台、连同江苏南京的物联网PGW同时受到疑似攻击负载过大，严重影响了多个物联网业务、VPDN业务的稳定运行。本文对6月份的案例进行回顾，针对物联网业务、尤其是物联网VPDN业务的安全，网络及系统优化进行总结，便于全国其他省份参考。 【关键字】物联网、VPDN、抄表等 【业务类别】 物联网政企安全组网业务（物联网VPDN 业务） 问题描述 XX物联网VPDN业务流程图 其流程为：物联网终端——》XX本地基站——》XXSGW（图中省略）——》江苏南京的PGW——》XX电信共享LNS——》客户内网系统 物联网VPDN业务的一次认证在南京物联网平台处理，认证成功后返回LNS地址等信息 XX物联网VPDN业务的二次认证在XX融合VPDN平台处理，认证成功终端通过XX电信共享LNS连接客户内网及系统 故障现象及处置 2019-6-12 上午10点：XX省NOC接到多个地市多个VPDN业务接入困难故障投诉，大量政企用户不能正常使用，省NOC发现省共享NE40EX3型号LNS设备CPU资源、融合VPDN平台radius程序资源紧张，经过应急处置后，客户业务逐步好转，但客户反馈业务偶尔仍有不稳定情况。 2019-6-12 晚上8点：客户反馈业务全部恢复正常。 2019-6-13 上午10点：类似12日的情况再次发生，仍然有较多政企VPDN业务投诉，同时，XX电信确定故障为某抄表业务终端疑似攻击导致，紧急针对该抄表业务在LNS环节拦截处置后，XX省内VPDN业务逐步恢复正常。 2019-6-13 下午3点，南京物联网公司联系XX，声称有2台承载全国物联网VPDN业务的PGW负载过大导致流控，主要是XX方向过来的业务请求报文较多。与物联网公司沟通后，在南京物联网的2台PGW针对XX某抄表业务进行拦截后，流控问题解除，业务恢复正常。 2019年6月期间白天时间，由于针对抄表业务开启拦截，导致东莞、佛山等多个抄表业务较多地市的无线E-RAB成功率指标明显下降。 二、分析过程 XX电信省NOC融合VPDN管理员通过分析日志，发现2019-6-12 11:41:10开始二次认证请求量突增。 继续分析突增的来源，确认大部分请求来自某抄表业务，疑似终端攻击。 经过与XX某集团现场沟通后，确认在6月份其系统有特别处理，白天期间其将近20万终端将会频繁连接电信网络，进行上、下网动作，预计对电信网络会造成冲击。虽然终端是正常的上、下网，但是频繁重连后，相当于对电信网络造成了类似DDos的攻击行为，导致电信网络压力剧增到日常得8-10倍。 处理及优化 3.1护网期间处理 期间前往XX某国企集团沟通，确定其系统在6月份将进行特别处理，白天可以针对其业务终端发起的频繁连接进行拦截，但是晚上其终端能恢复正常，需要在晚上21点后保障其业务可用，请求XX电信予以配合。 沟通后，XX公司联合物联网公司，共同制定了每天配合的具体措施，部署脚本，执行以下措施： 1、每天上午6点，自动执行在物联网PGW、XXLNS两个环节针对某抄表业务进行拦截；（客户20万终端中有大部分是物联网卡、有少部分是XX本地卡，因此需要同时在多个点进行拦截） 2、每天晚上9点，取消拦截，保证客户业务正常使用。 通过以上措施，既保障了6月期间电信物联网业务、VPDN业务的稳定运行，也保证了客户业务的特殊需要。 3.2后续优化改造 三季度，XX电信省NOC根据上述情况，针对XX电信的移动网VPDN网络进行了部分优化改造，详细如下： 1、将XX电信的4台NE40EX3型号LNS设备升级改造为NE40EX3A，改造后其cpu能力提升为原来的4倍。 2、将部分要求较高、对网络比较敏感的业务由原来在NE40EX3型号LNS承载的业务割接调整到能力更强的NE40EX16型号LNS设备承载，譬如“佛山成柏