CN111628963B

CN111628963B - 一种防攻击方法、装置、设备及机器可读存储介质

Info

Publication number: CN111628963B
Application number: CN202010246702.3A
Authority: CN
Inventors: 王阳; 廖以顺
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2020-04-01
Filing date: 2020-04-01
Publication date: 2023-03-28
Anticipated expiration: 2040-04-01
Also published as: CN111628963A

Abstract

本公开提供一种防攻击方法、装置、设备及机器可读存储介质，该方法包括：接收释放报文；根据释放报文携带的信息，监测为对应的IPOE用户表项；若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。通过本公开的技术方案，在接收到释放报文后，监测命中的IPOE用户表项，若在一定时间内仍然能收到对应于该IPOE用户表项的正常业务报文，则认为接收到的释放报文是攻击行为，丢弃该释放报文并不对对应的IPOE用户作下线处理，降低了因释放报文攻击造成正常用户异常下线的可能性。

Description

一种防攻击方法、装置、设备及机器可读存储介质

技术领域

本公开涉及通信技术领域，尤其是涉及一种防攻击方法、装置、设备及机器可读存储介质。

背景技术

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)是一个局域网的网络协议，指的是由服务器控制一段lP(Internet Protocol，网际互连协议)地址范围，客户机登录服务器时就可以自动获得服务器分配的lP地址和子网掩码。

BRAS(Broadband Remote Access Server，宽带接入服务器)是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户带宽的IP/ATM(AsynchronousTransfer Mode，异步传输模式)网的数据接入，实现终端的宽带上网、基于IPSec(IPSecurity Protocol，互联网安全协议)的IP VPN(Virtual Private Network，虚拟专用网络)服务、构建企业内部Intranet、支持ISP(Internet Service Provider，互联网服务提供商)向用户批发业务等应用。

AAA(Authentication、Authorization、Accounting，验证、授权、记账)是一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问网络服务器，对具有访问权的用户提供服务。

IPOE(IP over Ethernet)以DHCP技术为核心，紧密结合通用的RADIUS(RemoteAuthentication Dial In User Service，远程用户拨号认证协议)，实现IP用户会话机制、IP数据流的分级机制、IP会话鉴权和管理机制的宽带接入认证制度。

一般来说整个认证过程是终端设备发起DHCP的discover发现报文获取地址，BRAS设备接收discover发现报文后去AAA服务器认证，认证通过后由BRAS设备为终端设备分配地址，地址分配完成后，对应于该终端设备的IPOE用户表项在BRAS设备的IPOE用户表中正式建立完成，同时通知服务器开始计费，这时候终端设备也获取到地址能够正常访问网络。

终端设备主动释放地址流程是通过主动发起release释放报文来触发，BRAS收到release释放报文命中IPOE用户表，则直接下线该IPOE用户即该终端设备，同时删除对应的DHCP租约。

但是实际应用中存在release释放报文攻击的场景，如果这时候存在release报文攻击会导致BRAS设备上正常在线的IPOE用户下线，从而影响正常用户的网络访问。

发明内容

有鉴于此，本公开提供一种防攻击方法、装置及电子设备、机器可读存储介质，以改善上述释放报文攻击造成正常用户异常下线的问题。

具体地技术方案如下：

本公开提供了一种防攻击方法，应用于BRAS设备，所述方法包括：接收释放报文；根据释放报文携带的信息，监测为对应的IPOE用户表项；若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

作为一种技术方案，所述方法还包括：若在预设时间内接收到对应于所述IPOE用户表项的发现报文，则根据释放报文老化该IPOE用户表项。

作为一种技术方案，所述方法还包括：若在预设时间内接未收到对应于所述IPOE用户表项的业务报文，则在预设时间到期后，根据释放报文老化该IPOE用户表项。

作为一种技术方案，所述根据释放报文携带的信息，监测为对应的IPOE用户表项，包括：根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间；所述预先建立的记录表包括预老化状态字段和预老化时间字段；所述若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文，包括：若在预老化时间到期前接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

作为一种技术方案，所述方法还包括：丢弃释放报文后，去除所述表项对应的预老化状态和预老化时间。

作为一种技术方案，所述方法还包括：所述预先建立的记录表为IPOE用户表，IPOE用户表包括预老化状态字段和预老化时间字段。

作为一种技术方案，所述根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间，包括：将表项对应的预老化状态字段的值置1，将表项对应的预老化时间字段的值置为预设值。

本公开同时提供了一种防攻击装置，应用于BRAS设备，所述装置包括：接收模块，用于接收释放报文；监测模块，用于根据释放报文携带的信息，监测为对应的IPOE用户表项；处理模块，用于若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的防攻击方法。

本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的防攻击方法。

本公开提供的上述技术方案至少带来了以下有益效果：

在接收到释放报文后，监测命中的IPOE用户表项，若在一定时间内仍然能收到对应于该IPOE用户表项的正常业务报文，则认为接收到的释放报文是攻击行为，丢弃该释放报文并不对对应的IPOE用户作下线处理，降低了因释放报文攻击造成正常用户异常下线的可能性。

附图说明

为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。

图1是本公开一种实施方式中的防攻击方法的流程图；

图2是本公开一种实施方式中的防攻击装置的结构图；

图3是本公开一种实施方式中的电子设备的硬件结构图；

图4是本公开一种IPOE接入认证的组网。

具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

如图4所示是典型的IPOE接入认证的组网，用户(终端设备，如PC1、)PC2)通过交换机(如LSW1、LSW2、LSW3)与BRAS设备连接，进行IPOE认证，认证通过后获取IP地址就能够正常上网了，在这种网络系统中BRAS设备可以完成DHCP设备的功能。

整个IPOE认证流程调整为如下两个阶段：

第一阶段，BRAS设备收到终端设备的DHCP协议报文后无法解析option60作为域名，因此会进入默认域进行认证，把option60封装在用户名中携带给AAA设备(服务器)，AAA设备收到后解密该option60获取用户名、密码、域等信息，并且同时校验用户名和密码是否合法；

第二阶段，AAA设备校验非法后则通知BRAS设备认证失败，校验合法后则授权用户名、域名等信息给BRAS设备，BRAS设备的用户表中填写的用户名、域名等信息为授权后的信息，给终端设备分配的地址也是从授权后域名的地址池中分配的。

IPOE认证是通过DHCP协议来触发的，如果出现网络异常的情况，在BRAS上用户下线了，但终端设备实际在线，当网络异常恢复后，终端设备的流量到BRAS是无法转发的，因此一般情况下BRAS需要支持异常流量恢复功能，在终端设备网络异常造成异常下线时，BRAS上记录终端设备的相关信息到IPOE异常恢复表中。在网络异常恢复后，终端设备的流量被发送到BRAS设备，BRAS设备根据该流量的IP地址、MAC地址等相关信息查询并匹配IPOE异常恢复表的表项，如果存在并命中则模拟整个用户的交互过程生成IPOE用户表，从而实现了用户流量的正常转发。

当用户正常下线或需要重新获取地址时，则会发送release释放报文，终端设备通过主动发起release释放报文来触发释放流程，BRAS收到release释放报文命中IPOE用户表，则直接下线该IPOE用户即该终端设备，同时删除对应的DHCP租约。

一种可选的处理方式是BRAS设备直接过滤掉不处理release释放报文，但这种方式在终端设备真正需要主动释放地址的情况下会导致BRAS设备上的用户下线失败，地址回收失败，故具有一定缺陷。

具体地技术方案如后述。

在实际网络系统中，可以存在一个或多个终端设备与BRAS设备直接连接或通过其他网络设备，如交换机等，间接连接，本公开提供的技术方案实现的防攻击的技术效果，对于网内任意终端设备关联的release释放报文均生效，为了更便捷、清晰明了地阐述本公开的技术方案，在实施方式中以一台不特定的终端设备作为防攻击方法流程的说明对象。

在一种实施方式中，本公开提供了一种防攻击方法，应用于BRAS设备，所述方法包括：接收释放报文；根据释放报文携带的信息，监测为对应的IPOE用户表项；若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

具体地，如图1，本实施方式包括以下步骤：

步骤S11，接收释放报文。

步骤S12，根据释放报文携带的信息，监测为对应的IPOE用户表项。

步骤S13，若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

在一种实施方式中，所述方法还包括：若在预设时间内接收到对应于所述IPOE用户表项的发现报文，则根据释放报文老化该IPOE用户表项。

若在预设时间内接收到对应于所述IPOE用户表项的发现报文，则可以认为前述对应的释放报文是终端设备为了重新获取地址而主动发送的，故可以释放报文老化该IPOE用户表项，以使BRAS设备在再次受到该终端设备发送的发现报文时，根据认证流程为其分配IP地址。

在一种实施方式中，所述方法还包括：若在预设时间内接未收到对应于所述IPOE用户表项的业务报文，则在预设时间到期后，根据释放报文老化该IPOE用户表项。

若在预设时间内接未收到对应于所述IPOE用户表项的业务报文，则可以认为前述对应的释放报文是终端设备为了正常下线而主动发送的，故可以释放报文老化该IPOE用户表项，以正常回收地址。

在一种实施方式中，所述根据释放报文携带的信息，监测为对应的IPOE用户表项，包括：根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间；所述预先建立的记录表包括预老化状态字段和预老化时间字段；所述若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文，包括：若在预老化时间到期前接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

接收到释放报文后，对对应IPOE用户进行标记，通过在记录表中的预老化状态字段将其标记为预老化状态，并设定预老化时间，在预老化时间的倒计时时段内监测对应的IPOE用户表项。

在一种实施方式中，所述方法还包括：丢弃释放报文后，去除所述表项对应的预老化状态和预老化时间。

在丢弃释放报文后，去除所述表项对应的预老化状态和预老化时间，从而使对应的IPOE用户不受影响。

在一种实施方式中，所述方法还包括：所述预先建立的记录表为IPOE用户表，IPOE用户表包括预老化状态字段和预老化时间字段。

利用IPOE用户表，在其中增加两个字段，从而便于管理和节约系统资源。

在一种实施方式中，所述根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间，包括：将表项对应的预老化状态字段的值置1，将表项对应的预老化时间字段的值置为预设值。

将表项对应的预老化状态字段的值置1代表对应的IPOE用户为预老化状态，同时为其设定预老化时间。

在一种实施方式中，如图2，本公开同时提供了一种防攻击装置，应用于BRAS设备，所述装置包括：接收模块21，用于接收释放报文；监测模块22，用于根据释放报文携带的信息，监测为对应的IPOE用户表项；处理模块23，用于若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

在接收模块21接收到释放报文后，监测模块22监测命中的IPOE用户表项，若在一定时间内仍然能收到对应于该IPOE用户表项的正常业务报文，则认为接收到的释放报文是攻击行为，丢弃该释放报文并不对对应的IPOE用户作下线处理，降低了因释放报文攻击造成正常用户异常下线的可能性。

进一步详细说明如下。

在BRAS设备上对IPOE用户表新增两个字段，一个是预老化状态字段state，以及对应的预老化时间Time，这样IPOE用户表结构调整如表1。

Index

MAC

IP

Username

Domain

Aging

State

Time

1

Mac1

Ip1

User1

D1

T1

0

2

Mac2

Ip2

User2

D2

T2

0

表1

字段说明：

MAC，用户的MAC地址；

IP，用户的IP地址；

Username，用户名；

Domain，用户接入的域名；

Aging，老化时间；

State，0表示正常，1表示预老化状态；

Time，预老化时间。

终端设备的MAC地址为mac1，到BRAS认证的域为d1，用户名为user1，分配的IP地址为ip1，在终端发起DHCP的discover发现报文触发上线完成后，BRAS生成的用户表项如表2。

Index

MAC

IP

Username

Domain

Aging

State

Time

1

mac1

ip1

user1

d1

t1

0

表2

BRAS设备对应该终端设备的释放报文时，释放报文携带的服务器地址为BRAS设备的地址，client ip为刚才上线的终端ip为ip1，client mac为该终端设备的MAC地址mac1。BRAS设备把对应的IPOE表项的state标记置为1，即表项进入预老化状态，Time为t2是预老化时间，对应的表项变化如表3。

Index

MAC

IP

Username

Domain

Aging

State

Time

1

mac1

ip1

user1

d1

t1

1

t2

表3

在t2的时间内如果BRAS设备收到了该终端设备的业务报文/数据流量说明刚才收到的release释放报文为攻击报文，因此需要则把该表项state置回0，Time置为0，使得对应的IPOE用户表项回复到正常表项状态，如表4。

Index

Mac

Ip

Username

Domain

Aging

State

Time

1

mac1

ip1

user1

d1

t1

0

表4

在t2时间内如果BRAS设备没有收到数据报文，则说明刚才的release释放报文为终端设备因主动下线而发送的，这时候BRAS设备老化掉对应的IPOE用户表项即可。

在t2时间内如果BRAS设备收到了该表项对应的discover发现报文，则说明刚才的release报文是终端设备因主动释放而发送的，因此BRAS设备老化掉对应的IPOE用户表项，待终端设备再次发送discover发现报文到后触发IPOE上线流程。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的防攻击方法，从硬件层面而言，硬件架构示意图可以参见图3所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的防攻击方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。

Claims

1.一种防攻击方法，其特征在于，应用于BRAS设备，所述方法包括：

接收释放报文；

根据释放报文携带的信息，监测为对应的IPOE用户表项；

若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若在预设时间内接收到对应于所述IPOE用户表项的发现报文，则根据释放报文老化该IPOE用户表项。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若在预设时间内接未收到对应于所述IPOE用户表项的业务报文，则在预设时间到期后，根据释放报文老化该IPOE用户表项。

4.根据权利要求1所述的方法，其特征在于，

所述根据释放报文携带的信息，监测为对应的IPOE用户表项，包括：

根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间；

所述预先建立的记录表包括预老化状态字段和预老化时间字段；

所述若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文，包括：

若在预老化时间到期前接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

丢弃释放报文后，去除所述表项对应的预老化状态和预老化时间。

6.根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述预先建立的记录表为IPOE用户表，IPOE用户表包括预老化状态字段和预老化时间字段。

7.根据权利要求4所述的方法，其特征在于，所述根据释放报文携带的信息，在预先建立的记录表中，将对应的表项设为预老化状态，并设定预老化时间，包括：

将表项对应的预老化状态字段的值置1，将表项对应的预老化时间字段的值置为预设值。

8.一种防攻击装置，其特征在于，应用于BRAS设备，所述装置包括：

接收模块，用于接收释放报文；

监测模块，用于根据释放报文携带的信息，监测为对应的IPOE用户表项；

处理模块，用于若在预设时间内接收到对应于所述IPOE用户表项的业务报文，则丢弃释放报文。

9.一种电子设备，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令，以实现权利要求1-7任一所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现权利要求1-7任一所述的方法。