CN114338218A - PPPoE拨号的方法 - Google Patents
PPPoE拨号的方法 Download PDFInfo
- Publication number
- CN114338218A CN114338218A CN202210004986.4A CN202210004986A CN114338218A CN 114338218 A CN114338218 A CN 114338218A CN 202210004986 A CN202210004986 A CN 202210004986A CN 114338218 A CN114338218 A CN 114338218A
- Authority
- CN
- China
- Prior art keywords
- server
- dialing
- pppoe
- disguised
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种PPPoE拨号的方法,包括选取优先级最高的AC服务器进行拨号;客户端开始建立数据通信链路,客户端在拨号时,在真正的帐号密码基础上,生产多个伪装的帐号密码,首先使用伪装的帐号密码进行认证,真实的帐号密码在某一次随机的流程中参加认证;本发明通过使用伪装的帐号密码进行PPPoE拨号,探测网络环境,加强对帐号密码的保护,增加攻击者获取真正帐号密码的难度。
Description
技术领域
本发明涉及通信技术领域,特别是一种PPPoE拨号的方法。
背景技术
PPPoE(Point-to-Point Protocol Over Ethernet),是将点对点协议(PPP)封装在以太网框架中的一种隧道协议,该协议在1999年发表于RFC2516中。PPPoE是利用以太网发送PPP包的传输方法,也提供了在同一以太网上建立多个PPP连接的技术。PPPoE集成了以太网和PPP连接的特点。通过使用PPPoE建立网络连接,可以对网络接入进行集中管理,方便运营商对用户进行计费、带宽分配、访问控制等,PPPoE还可以防止局域网内的ARP攻击。PPPoE的以上优点解决了运营商的实际应用问题,得到了运营商的认可,在部署上兼容现有网络中的设备,对现网造成的影响小,这些优点让PPPoE在运营商中获得了广泛使用。
PPPoE工作流程分为两个阶段,第一个阶段是服务发现阶段,第二个阶段是会话阶段。在服务发现阶段有四个步骤:PADI、PADO、PADR和PADS。PADI是采用广播发送,局域网中的所以主机都可以收到该广播,提供PPPoE服务的服务器都可以对该包进行回复,拨号主机对收到的第一个PADO包进行响应,在PADR和PADS后完成服务发现阶段的流程生成会话ID(Session ID)进入会话阶段,会话阶段分为LCP协商、PAH/CHAP认证和NCP协商。LCP阶段配置会话链路,链路建立以后,进入认证阶段,认证阶段不是必须的,根据实际应用环境来决定是否需要认证。认证方式有PAP和CHAP两种,认证方式的选择在LCP协商过程中确定。认证完成以后,通过NCP完成主机的网络配置,PPPoE拨号成功,主机可以使用IP进行互联网通信。
在PPPoE的协商过程中,没有一个保障机制确保认证过程中的帐号密码安全,密码以对称加密或者明文的方式在主机之间传输,这造成用户的帐号和密码在传输过程中可以被监听泄露。除此之外,攻击者还可以在局域网中伪装成PPPoE服务器,通过构造PADT包让客户机断开原有连接,在客户机重新发起PPPoE认证时首先响应PADI包来与客户机建立PPPoE连接,通过模拟拨号流程来获取客户机的帐号密码。
针对上述问题,在申请号为201410515707.6的发明专利《一种PPPoE接入方法及设备》中提出了一个基于运营商的PPPoE拨号保护机制,该方案提出客户机通过PADO报文搜集局域网中的所有提供PPPoE服务的主机,将所有AC(Access Concentrator)主机的信息上报至云端进行验证,运营商通过上报的信息屏蔽掉非法的主机,让客户机只与合法的AC服务器建立PPP连接。该发明中提出的方案是基于拨号主机在拨号成功之前能与云端的主机进行通信,这样才能达到在云端校验PPPoE服务器的目的,但是在拨号成功之前,主机只能通过mac进行通信,造成这一方法在实现上有难度;其次,伪装的PPPoE服务器也可以将自己的MAC和主机名称伪装成正常的AC主机,这增加了云端识别非法AC服务器的难度。在文章《解密古老又通杀的路由器攻击手法:从嗅探PPPoE到隐蔽性后门》中提出,禁用PAP协议或者在认证时对帐号密码加扰来达到提高pppoe帐号密码难度,这一方案需要根据帐号密码的加扰规则设计一个新的认证方式,对于运营商来说不具备通用性。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种PPPoE拨号的方法,本发明保证了拨号的安全性。
为实现上述目的,本发明采用的技术方案是:一种PPPoE拨号的方法,包括以下步骤:
步骤1、选取优先级最高的AC服务器进行拨号;
步骤2、客户端开始建立数据通信链路,客户端在拨号时,在真正的帐号密码基础上,生产多个伪装的帐号密码,首先使用伪装的帐号密码进行认证,真实的帐号密码在某一次随机的流程中参加认证。
作为本发明的进一步改进,所述步骤1具体如下:
在客户端发送PADI报文后,监听所有返回的PADO报文,对返回的PADO信息整理出主机信息,更新AC服务器信息表,依次选取拨号成功次数最高的AC服务器作为优先级最高的响应服务器直至拨号成功。
作为本发明的进一步改进,在步骤2中,如果出现对于真实的帐号密码和伪装的帐号密码都反馈相同结果或者对伪装的帐号密码反馈拨号成功的AC服务器,将其标注为异常AC服务器,并记录异常;如果该AC服务器是曾经拨号成功过的AC服务器,则有可能是攻击者伪装成为正常的AC服务器发起的攻击。
作为本发明的进一步改进,如果AC服务器标注为异常AC服务器,则将该异常AC服务器记录到AC服务器信息表中相应的AC主机条目,通过网页或其他渠道反馈给用户,提示用户检查网络并修改密码。
本发明针对PPPoE帐号密码容易被监听窃取的问题,本发明提出一种PPPoE拨号的方法,该方法通过在客户端对PPPoE拨号进行监听和流程控制,达到防范PPPoE嗅探攻击的目的。改造PPPoE选择AC服务器的方式,通过保存常用AC服务器的数据来选取最常用的AC服务器,避免了PADO报文先来先选造成的不确定性。根据局域网中拨号的情况,向用户展示网络中存在的PPPoE服务器,根据拨号统计情况来预测该网络中是否存在伪装的PPPoE服务器并提示用户是否应该修改PPPoE密码。
本发明的有益效果是:
本发明在AC服务器选择,拨号流程控制中都提出了新的方案。使用该方案,首先可以确保PPPoE客户端在拨号时可以选取常用的AC服务器作为拨号对象。避免了使用PADO包选取服务器带来的不确定性。通过使用伪装的帐号密码进行多次认证,可以增加攻击者获取真实帐号密码的难度,提高攻击者的攻击成本。使用伪装的帐号密码探测网络环境,记录拨号过程中的相关数据和异常,为用户展示PPPoE拨号过程中的网络空间活动历史及各种异常信息。通过数据记录分析网络是否异常或者存在攻击行为,为用户提供网络安全配置策略参考。
附图说明
图1为本发明实施例的拨号流程图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例
如图1所示,根据PPPoE协商的特点以及在PPPoE嗅探过程中,攻击者并不知道客户机所提供的帐号密码是否为真实的帐号密码,根据这一事实,提出一种在PPPoE认证阶段进行多次干扰验证的方法来达到增加PPPoE帐号密码获取难度的目的。
本实施例在PPPoE拨号过程中实现对PPPoE相关报文的监听处理和PPPoE拨号流程控制。该模块可以收集局域网中的所有AC(Acess Concentrate)服务器,将AC服务器信息存入文档或者数据库中,这里成为AC信息表,除了AC主机信息外,还保存该AC服务器中返回的PADO次数,接受拨号次数,拨号成功次数等,接受拨号次数和拨号成功次数这两项纪录用于对AC服务器进行优先级排序,在以后的拨号过程中,选择成功次数最高的AC服务器作为首选拨号服务器。
拨号流程:
1、在客户端发送PADI报文后,监听所有返回的PADO报文,对返回的PADO信息整理出主机信息,更新AC信息表,依次选取拨号成功次数最高的AC服务器作为首选响应服务器直至拨号成功。该方法保证了使用常用的PPPoE服务器,让伪装的AC需要获取更多的信息才能获得客户端的PADR请求。
2、当发现阶段完成以后,客户端开始建立数据通信链路,进入认证阶段,认证阶段客户机将会发送帐号密码,是造成帐号密码泄露的阶段。攻击者在攻击时会尽量让用户认为拨号只是意外失败而不是网络有异常,所以一般会对帐号密码进行有限次数的监听,以免造成用户的警觉,根据这一特点,本方案提出使用伪装的帐号密码进行多次认证的方法达到保护真正的帐号密码的目的。客户端在拨号时将会在真正的帐号密码基础上,生产多个伪装的帐号密码,首先使用伪装的帐号密码进行认证,真实的帐号密码也会在某一次随机的流程中参加认证。该方案的思想是,伪装的AC并不知道哪一条帐号密码是真实的,所以针对这些随机的认证,攻击者的反馈一定是断开连接、拒绝接入、认证失败和认证成功中的一条,不会对错误的帐号密码反馈认证失败而对真实的帐号密码反馈认证成功。如果出现对于真实的帐号密码和伪装的帐号密码都反馈相同结果或者对伪装的帐号密码反馈拨号成功的服务器,我们将其标注为异常服务器,并记录异常;如果该服务器是曾经拨号成功过的服务器,则有可能是攻击者伪装成为正常的服务器发起的攻击。这两种情况都是网络可能遭受攻击的表现。程序将这两种异常现象纪录到AC信息表中相应的AC主机条目,通过网页或其他渠道反馈给用户,提示用户检查网络并修改密码。
通过该方案,即使攻击者获取到了帐号密码,也需要从伪装的帐号密码中找出真正的帐号密码,延长了攻击者完成攻击的时间。通过反馈拨号过程中的异常现象,让用户对网络空间中的异常情况产生警觉,提醒用户尽快采取补救措施。
本实施例通过使用历史数据对所有AC服务器进行优先级排序,达到优先使用常用AC服务器的目的;通过使用伪装的帐号密码进行PPPoE拨号,探测网络环境,加强对帐号密码的保护,增加攻击者获取真正帐号密码的难度;通过策略分析拨号过程中的历史信息,反馈网络空间中的主机活动情况,分辨网络中异常的AC服务器。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (4)
1.一种PPPoE拨号的方法,其特征在于,包括以下步骤:
步骤1、选取优先级最高的AC服务器进行拨号;
步骤2、客户端开始建立数据通信链路,客户端在拨号时,在真正的帐号密码基础上,生产多个伪装的帐号密码,首先使用伪装的帐号密码进行认证,真实的帐号密码在某一次随机的流程中参加认证。
2.根据权利要求1所述的PPPoE拨号的方法,其特征在于,所述步骤1具体如下:
在客户端发送PADI报文后,监听所有返回的PADO报文,对返回的PADO信息整理出主机信息,更新AC服务器信息表,依次选取拨号成功次数最高的AC服务器作为优先级最高的响应服务器直至拨号成功。
3.根据权利要求2所述的PPPoE拨号的方法,其特征在于,在步骤2中,如果出现对于真实的帐号密码和伪装的帐号密码都反馈相同结果或者对伪装的帐号密码反馈拨号成功的AC服务器,将其标注为异常AC服务器,并记录异常;如果该AC服务器是曾经拨号成功过的AC服务器,则有可能是攻击者伪装成为正常的AC服务器发起的攻击。
4.根据权利要求3所述的PPPoE拨号的方法,其特征在于,如果AC服务器标注为异常AC服务器,则将该异常AC服务器记录到AC服务器信息表中相应的AC主机条目,通过网页或其他渠道反馈给用户,提示用户检查网络并修改密码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210004986.4A CN114338218B (zh) | 2022-01-04 | 2022-01-04 | PPPoE拨号的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210004986.4A CN114338218B (zh) | 2022-01-04 | 2022-01-04 | PPPoE拨号的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338218A true CN114338218A (zh) | 2022-04-12 |
CN114338218B CN114338218B (zh) | 2023-06-02 |
Family
ID=81025568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210004986.4A Active CN114338218B (zh) | 2022-01-04 | 2022-01-04 | PPPoE拨号的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338218B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3792660B2 (ja) * | 2003-02-27 | 2006-07-05 | Necアクセステクニカ株式会社 | PPPoE端末装置及びそのセッション確立方法 |
KR20140054425A (ko) * | 2011-09-30 | 2014-05-08 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 네트워크 발호 방법 및 장치 |
CN103227729B (zh) * | 2013-04-19 | 2016-01-13 | 深圳市吉祥腾达科技有限公司 | PPPoE拨号用户名和密码错误故障提示方法及装置 |
CN108900394B (zh) * | 2018-06-28 | 2021-01-08 | 重庆广用通信技术有限责任公司 | 一种PPPoE内外网帐号无序转换方法及系统 |
-
2022
- 2022-01-04 CN CN202210004986.4A patent/CN114338218B/zh active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
CN114844720B (zh) * | 2022-06-06 | 2023-06-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
Also Published As
Publication number | Publication date |
---|---|
CN114338218B (zh) | 2023-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1833403B (zh) | 通信系统、通信装置、通信方法 | |
US8191119B2 (en) | Method for protecting against denial of service attacks | |
US8762726B2 (en) | System and method for secure access | |
US20040049586A1 (en) | Security apparatus and method for local area networks | |
US10250581B2 (en) | Client, server, radius capability negotiation method and system between client and server | |
CN101471936A (zh) | 建立ip会话的方法、装置及系统 | |
CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和系统 | |
WO2011111842A1 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
CN114338218B (zh) | PPPoE拨号的方法 | |
CN105187417B (zh) | 权限获取方法和装置 | |
CN105591848A (zh) | 一种IPv6无状态自动配置的认证方法及装置 | |
CN101547158A (zh) | PPPoE会话中的PADT报文交互方法和设备 | |
KR101047994B1 (ko) | 네트워크 기반 단말인증 및 보안방법 | |
US7631344B2 (en) | Distributed authentication framework stack | |
CN114710388B (zh) | 一种校园网安全系统及网络监护系统 | |
JPH11331181A (ja) | ネットワーク端末認証装置 | |
CN106954215B (zh) | 一种便捷登录无线网络的方法及系统 | |
CN116389029A (zh) | 一种用户认证方法及系统 | |
CN106571937A (zh) | 路由器、移动终端及告警信息发送和接收的方法 | |
CN101656738A (zh) | 一种对接入网络的终端进行验证的方法和装置 | |
CN100546305C (zh) | 一种点到点协议强制认证方法和装置 | |
CN100356741C (zh) | 一种基于链路层协议实现网络连接控制的方法和装置 | |
CN100589389C (zh) | 一种无帐号输入实现认证的方法 | |
US20150341328A1 (en) | Enhanced Multi-Level Authentication For Network Service Delivery | |
JP6847488B1 (ja) | Ip通信における認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |