以太网点到点协议防止拒绝服务攻击的方法.pdf

以太网点到点协议防止拒绝服务攻击的方法
    【技术领域】

    本发明属于数据通信领域，涉及一种宽带接入服务器。

    背景技术

    以太网上的点到点协议(PPPoE)是比较典型的驻地网用户接入方式，PPPoE是基于以太网点到点的协议，PPPoE接入要求从用户端至会聚点为桥接环境，使宽带接入服务器与用户处于同一个广播域，PPPoE方式的用户流量全部经过宽带接入服务器，用户流量增大后，宽带接入服务器将会成为瓶颈。为了防止拒绝服务(Denial of Service，简称DOS)攻击，宽带接入服务器可以使用接入集中器的标记(TAG)，如类型为接入集中器-定制(AC-Cookie)的标记(TAG)。宽带接入服务器应该能够根据PPPoE主动发现请求(PADR)的源地址(SOURCE_ADDR)来重新产生具有唯一性的标记值(TAG_VALUE)。使用这种方法，宽带接入服务器可以确保PPPoE主动发现启动(PADI)地SOURCE_ADDR确实是可到达的，并对该地址的并行会话数进行限制。在RFC2516中，使用什么样的算法并没有指定，留给具体实现细节自由选择。在RFC2516提到一个例子：对主机MAC地址使用基于散列的消息验证代码(HMAC)(RFC 2104)，在进行HMAC密码散列时，使用的是只有宽带接入服务器知道的密码。对于相同的主机MAC地址会产生相同的HMAC输出。这样对于相同MAC地址发出的多个会话的PPPoE主动发现请求(PADR)和重传的PADR，都会产生相同的HMAC输出，这样宽带接入服务器不能根据PADR的SOURCE_ADDR来重新产生具有唯一性的TAG_VALUE，也不能对该地址的并行会话数进行限制。为了防止DOS攻击，就要求对于相同MAC地址发出的PADR，产生不同的HMAC输出。

    【发明内容】

    本发明所要解决的技术问题是，针对宽带接入服务器在提供PPPoE业务时，PPPoE防止拒绝服务(DOS)攻击的方法。

    一种以太网点到点协议防止拒绝服务攻击的方法的操作步骤如下：

    步骤一：检查PADI包中源MAC地址上的最大会话数目宽带接入服务器接收到主机发送来的PADI后，检查PADI包中源MAC地址上的最大会话数目，若已经到达允许的最大会话数目，则丢弃这个PADI包，否则转入步骤二；

    步骤二：宽带接入服务器接收到主机发送来的PADI后，生成AC-Cookie，将AC-Cookie打包进PADO(PPPoE主动发现提供)包中，发送给主机；

    步骤三：接收到PADR，检查包中的AC-Cookie有效性

    检查PADR包中的AC-Cookie是否有效。

    步骤四：检查PADR包中源MAC地址上的最大会话数目

    宽带接入服务器接收到主机发送来的PADR后，检查PADR包中源MAC地址上的并发会话数目，若已经到达允许的最大会话数目，则丢弃这个PADR包，否则转入步骤五；

    步骤五：检查PADR是否重传

    宽带接入服务器根据主机的MAC地址和随机数，或者主机的MAC地址和AC-Cookie，来检查记录的PPPoE会话，判断是否存在相同的会话，若存在则说明这个PADR是重传的，不再生成新会话，而是给主机返回相同会话的会话标识(session_id)；

    步骤六：生成新会话

    宽带接入服务器生成新会话，并将这个主机MAC地址上的会话数目加1，记录的新会话记录中包含主机的MAC地址，随机数或者AC-Cookie。

    使用所述以太网点到点协议防止拒绝服务攻击的方法，能够根据PADR的SOURCE_ADDR来重新产生具有唯一性的TAG_VALUE，这样宽带接入服务器就可以确保PADI的SOURCE_ADDR确实是可到达的，并对该地址的并行会话数进行限制，从而防止了PPPoE的DOS攻击，提高了宽带接入服务器在提供PPPoE业务时的安全性。

    【附图说明】

    图1是PPPoE发现阶段的通信流程。

    【具体实施方式】

    在接入服务器上，可以采用这种方法来进行PPPoE防止DOS攻击，接入服务器可以确保PADI的SOURCE_ADDR确实是可到达的，并对该地址的并行会话数进行限制，实现了PPPoE防止DOS攻击，接入服务器可以方便提供PPPoE业务。

    实施算法：

    算法的密钥key＝主机的MAC地址(6 octets)+主机访问宽带接入服务器的端口号(2 octets)+随机数(8 octets)。

    算法的密钥的长度是16字节，八字节的随机数使用强大的基于随机种子的伪随机生成方法，每接收到一个PADI就新生成一个随机数，从而产生一个新的key。

    MD5的输出＝MD5(算法的密钥key)

    定义mask(掩码)＝0x3636

    AC-Cookie＝MD5的输出+随机数XOR mask

    其中AC-Cookie的长度是MD5输出的长度(16)。随机数与mask异或后的结果覆盖MD5输出的前八个字节，这个结果作为AC-Cookie。

    操作步骤：

    第一步：检查PADI包中源MAC地址上的最大会话数目

    宽带接入服务器接收到主机发送来的PADI后，检查PADI包中源MAC地址上的并发会话数目，若已经到达允许的最大会话数目，则丢弃这个PADI包，否则进行下面的步骤；

    第二步：生成AC-Cookie，并打包进PADO包中

    宽带接入服务器接收到主机发送来的PADI后，它根据相应的信息生成AC-Cookie，将AC-Cookie打包进PADO包中，发送给主机；

    1.生成密钥key

    它根据下面的三项来生成MD5算法的密钥key：

    1)PADI包的源MAC地址，即主机的MAC地址；

    2)主机访问宽带接入服务器的端口号；

    3)生成的一个八字节的随机数，每接收到一个PADI就新生成一个随机数。

    2.上面生成的密钥作为MD5算法的输入，运行MD5算法，产生MD5输出；

    3.再将随机数与mask异或后的结果覆盖MD5算法输出的前八个字节，来生成AC-Cookie；

    4.将AC-Cookie打包进PADO包中，发送给主机；

    第三步：接收到PADR，检查包中的AC-Cookie有效性

    1.AC-Cookie是否存在，若存在则通过，否则不通过；

    2.AC-Cookie的长度是否是16字节，若是16字节则通过，否则不通过；

    3.提取AC-Cookie的前八个字节，并与mask异或后，得到随机数；

    4.提取PADR的源MAC地址，得到主机的MAC地址；

    5.得到主机访问宽带接入服务器的端口号；

    6.生成密钥key，运行上面的算法，生成AC-Cookie，比较这个AC-Cookie和PADR包中的AC-Cookie是否相等，若相等则通过，否则不通过；

    第四步：检查PADR包中源MAC地址上的最大会话数目

    宽带接入服务器接收到主机发送来的PADR后，检查PADR包中源MAC地址上的并发会话数目，若已经到达允许的最大会话数目，则丢弃这个PADR包，否则进行下面的步骤；

    第五步：检查PADR是否重传

    宽带接入服务器根据主机的MAC地址和八字节的随机数来检查记录的PPPoE会话，看看是否存在相同的会话，若存在则说明这个PADR是重传的，不再生成新会话，而是给主机返回相同会话的会话标识(session_id)；

    第六步：生成新会话

    宽带接入服务器生成新会话，并将这个主机MAC地址上的会话数目加一，记录的新会话记录中包含主机的MAC地址和八字节的随机数。