CN1866860A - 一种定位拒绝服务攻击源的方法及系统 - Google Patents
一种定位拒绝服务攻击源的方法及系统 Download PDFInfo
- Publication number
- CN1866860A CN1866860A CN 200510109400 CN200510109400A CN1866860A CN 1866860 A CN1866860 A CN 1866860A CN 200510109400 CN200510109400 CN 200510109400 CN 200510109400 A CN200510109400 A CN 200510109400A CN 1866860 A CN1866860 A CN 1866860A
- Authority
- CN
- China
- Prior art keywords
- optical fiber
- olt
- attack source
- branch road
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Optical Communication System (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及网络通信技术领域中一种定位拒绝服务攻击源的方法及系统。光纤状态监测模块与各ONU设备通过支路光纤相连,通过实时监测各设备支路光纤上的光信号的有无,来判断存在光信号的设备,从而自动定位拒绝服务攻击源。本发明实现了准确、快速定位拒绝服务的攻击源,使无源光网络,在不需人工干预的条件下,自动定位故障ONU设备或恶意ONU用户,因而提高了效率,节约了维护成本。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种定位拒绝服务攻击源的方法及系统。
背景技术
PON(无源光网络)是一种诞生于20世纪80年代末90年代初的技术,在经过了近20年的发展,逐渐得到运营商和设备商的一致青睐,尤其是在纯介质网络以及ODN(光分配网络)中由于其具有不存在有源设备的特性,更是在当今博得运营商的赞誉,被认为是宽带接入技术的发展方向。
即便如此,无源光网络在ODN上的无源分支特性以及树型拓扑所具有的网络生存性却总是受到包括设备运营商和设备商在内的许多人的质疑,尤其是在采用传统的功率分配进行分支的无源光网络,所采用的突发TDMA(时分多址复用)复用技术带来的DOS(拒绝服务)问题更是令他们困扰。
如图1所示,无源光网络下行采用广播方式,OLT(光线路终端)发送到ONU(光网络单元)的数据通过无源光分路器的功率分配方式广播到所有的与之连接的ONU,ONU根据系统内部预先定义的地址过滤接收属于自身的数据;而在上行,则每个无源光分路器接收来自每个ONU的上行数据,并通过无源光功率汇聚的原理将数据进行复用后传送给OLT。
为了保证上行方向各个ONU的数据不会发生冲突,OLT设备必须对各个ONU进行测距,同时根据测距结果控制每个ONU占有上行光通道的时刻和时长,同时要求每个ONU必须采用突发方式发送上行数据。在正常情况下,每个ONU均按照OLT的授权占用上行通道发送数据,网络不会出现信号冲突,但是,在ONU设备出现故障不响应OLT的授权而随机或永远占用上行通道,或者恶意用户随意占用上行通道时,无源光网络会陷入瘫痪状态,即出现DOS问题,此时,OLT需要识别系统已经陷入DOS状态。
针对上述问题,通常的无源光网络系统设置一个识别DOS误码特征值——某种阈值,之后OLT对上行数据的误码状况进行监视,并与所述阈值进行比较。当发现越限时,OLT激活所有ONU设备,或在某个相当长的时间内,禁止所有ONU占用上行通道。此时,当系统确实出现导致DOS的故障ONU设备或恶意用户时,OLT仍然能够收到上行数据,据此OLT通知网络管理系统给出有效的告警信息,提醒系统操作员无源光网络中存在故障ONU设备或恶意用户,并已经导致了拒绝服务状态出现。
上述方案虽然能够识别系统存在DOS状态,并且给出告警信息,但由于分支节点的无源特性仍然存在以下缺点:
1)不能定位引起DOS问题的故障ONU设备或恶意用户,导致无法及时进行维护操作;
2)定位故障ONU所在支路需要人工排查,效率低,成本高;
3)定位恶意用户,基本不存在可能,因为人工排查时间太长,恶意用户可能暂时离去,或自行修改为合法;
4)问题定位过程网络中断时间长,严重影响网络服务质量。因此,在无源光网络中如何快速定位DOS攻击源成为亟待解决的问题。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的在于提供一种定位拒绝服务攻击源的方法及系统,通过光纤状态监测模块监测各设备支路光纤上光信号的有无,来判断存在光信号的设备,实现了准确、快速定位拒绝服务的攻击源。
本发明的目的是通过以下技术方案实现的:
一种定位拒绝服务攻击源的系统,包括光线路终端OLT、光网络单元ONU,还包括:
光纤状态监测模块,通过支路光纤与ONU相连,用于实时监测与其相连的各ONU设备支路光纤上的状态,传送给OLT,OLT根据所述状态判断出现故障的设备,最终定位拒绝服务攻击源。
所述光纤状态监测模块只监测支路光纤上行方向光信号。
所述光纤状态监测模块通过通信通道与光线路终端OLT相连接。
一种定位拒绝服务攻击源的方法,包括:
A、确定系统进入拒绝服务确认状态,OLT关闭所有设备上行通道访问权;
B、光纤状态监测模块将在线监测到的支路光纤的状态发送给OLT;
C、OLT根据所述支路光纤的状态定位拒绝服务攻击源。
所述步骤A包括:
A1、OLT设备监测到系统上行误码性能超过预定义的阈值;
A2、OLT通过通信通道向光纤状态监测模块查询各设备上行状态。
所述步骤B具体包括:
光纤状态监测模块通过通信通道将监测到的各设备支路光纤的状态发送给OLT设备。
所述步骤C具体包括:
OLT根据接收的所述支路光纤的状态,判断存在光信号的支路光纤,从而定位与没有光信号的支路光纤相连的设备为拒绝服务攻击源。
所述拒绝服务攻击源包括:故障设备或恶意用户。
由上述本发明提供的技术方案可以看出,本发明实现了准确、快速定位拒绝服务的攻击源,使无源光网络,在不需人工干预的条件下,自动定位故障ONU设备或恶意ONU用户,因而提高了效率,节约了维护成本。
附图说明
图1为现有技术无源光网络树型拓扑示意图;
图2为本发明所述系统应用于无源光网络系统示意图;
图3为本发明所述方法流程图;
图4为本发明所述系统应用于无源光网络系统存在故障ONU设备示意图;
图5为本发明所述系统应用于无源光网络系统存在恶意ONU用户示意图。
具体实施方式
本发明的核心思想是提供一种定位拒绝服务攻击源的方法及系统,通过光纤状态监测模块实时监测各设备支路光纤上光信号的有无,来判断存在光信号的设备,从而定位出现故障的设备,解决了人工排查故障中断时间长、工作效率低、成本高的问题。
本发明提供了一种定位拒绝服务攻击源的系统,该系统包括OLT、多个ONU及光纤状态监测模块。所述光线状态监测模块通过通信通道与OLT进行交互,通过支路光纤与ONU相连,用于实时监测与其相连的各ONU设备支路光纤上的状态,传送给OLT,OLT通过支路光纤上光信号的有无判断存在光信号的设备光信号,确定出现故障的设备,达到定位拒绝服务攻击源的目的。
下面以本发明所述系统应用到无源光网络系统为例对该系统及工作方法进行详细说明,在该系统中的光纤状态监测模块为DET模块。
所述系统架构如图2所示,该无源光网络系统至少包含一个OLT设备和2个ONU设备,如图2中的ONU0和ONU1。其中OLT与主光分路器SP通过光纤FR连接;ONU0通过支路光纤FB0连接到从光分路器SP_sub0,之后再通过支路光纤FB0_sub0连接到主光分路器SP;ONU1通过支路光纤FB1连接到从光分路器SP_sub1,之后通过支路光纤FB1_sub0连接到主光分路器SP;从光分路器SP_sub0通过支路光纤FB0_sub1连接到DET模块;而从光分路器SP_sub1则通过支路光纤FB1_sub1连接到DET模块。DET模块通过支路光纤FB0_sub1监测支路光纤FB0上行方向是否有光信号;通过支路光纤FB1_sub1监测支路光纤FB1的上行是否有光信号,监测过程不需要关心上行方向传输的具体内容。
该系统正常状态下的工作原理为:OLT以TDM(时分复用)方式,通过由主光分路器SP和从光分路器SP_sub0和SP_sub1以及主光纤FR、支路光纤(FB0,FB1,FB0_sub0,FB0_sub1,FB1_sub0,FB1_sub1)组成的ODN,广播给所有的ONU设备(ONU0,ONU1),在ONU设备经过测距和注册后,OLT对ONU设备的上行进行控制,ONU设备根据突发TDMA(时分多址)方式共享上行链路。此时,OLT能够正确接收来自ONU设备的上行数据,ONU与OLT之间能够进行正确的数据交互。DET模块则通过支路光纤FB0_sub1实时监测ONU0的上行状态;通过支路光纤FB1_sub1实时监测ONU1的上行状态。
本发明还提供一种定位拒绝服务攻击源的方法,以该方法应用于无源光网络为例,如图3所示,该方法具体包括如下步骤:
步骤10:确定系统处于拒绝服务确认状态;
假设存在一个故障ONU设备或恶意ONU用户,如图4或图5中的ONU1设备,并且该设备对OLT上行控制指令不响应,转而随意占用或永久占用上行通道,ONU0的上行数据与ONU1的上行数据在主光纤FR上冲突,导致OLT无法正确接收ONU0的上行数据。此时,OLT设备上所监测到的系统上行误码性能超过预先定义的阈值,系统进入拒绝服务确认状态;
步骤11:OLT关闭对系统所有ONU设备的上行通道,与DET模块通信;
当系统进入拒绝服务确认状态时,OLT设备关闭对系统所有ONU设备的上行通道访问授权,转而监测上行通道是否存在光信号,OLT通过通信通道C与DET模块通信,查询个支路光纤上行状态。
步骤12:DET模块将监测到的支路光纤的上行状态发送至OLT设备;
DET模块实时监测各设备上行方向的光信号,当接收到上述OLT的查询请求后,将在线监测到的支路光纤的上行状态以系统规定的数据格式通过通道C发送给OLT设备;所述支路光纤的上行状态信息包括光信号的有无;
步骤13:OLT定位拒绝服务攻击源;
OLT设备根据接收的来自DET模块的数据进行解读,确认仍然存在光信号的支路光纤,从而确定与没有光信号的支路光纤相连的ONU设备为故障ONU设备,最终定位造成拒绝服务的攻击源。
综上所述,本发明通过引入DET模块实时监测各设备支路光纤的状态,实现了准确、快速定位拒绝服务的攻击源,应用于无源光网络系统中,在不需人工干预的条件下,自动定位故障ONU设备或恶意ONU用户,因而提高了效率,节约了维护成本。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1、一种定位拒绝服务攻击源的系统,包括光线路终端OLT、光网络单元ONU,其特征在于,还包括:
光纤状态监测模块,通过支路光纤与ONU相连,用于实时监测与其相连的各ONU设备支路光纤上的状态,传送给OLT,OLT根据所述状态判断出现故障的设备,最终定位拒绝服务攻击源。
2、如权利要求1所述的一种定位拒绝服务攻击源的系统,其特征在于,所述光纤状态监测模块只监测支路光纤上行方向光信号。
3、如权利要求1所述的一种定位拒绝服务攻击源的系统,其特征在于,所述光纤状态监测模块通过通信通道与光线路终端OLT相连接。
4、一种定位拒绝服务攻击源的方法,其特征在于,包括:
A、确定系统进入拒绝服务确认状态,OLT关闭所有设备上行通道访问权;
B、光纤状态监测模块将在线监测到的支路光纤的状态发送给OLT;
C、OLT根据所述支路光纤的状态定位拒绝服务攻击源。
5、如权利要求4所述的一种定位拒绝服务攻击源的方法,其特征在于,所述步骤A包括:
A1、OLT设备监测到系统上行误码性能超过预定义的阈值;
A2、OLT通过通信通道向光纤状态监测模块查询各设备上行状态。
6、如权利要求4所述的一种定位拒绝服务攻击源的方法,其特征在于,所述步骤B具体包括:
光纤状态监测模块通过通信通道将监测到的各设备支路光纤的状态发送给OLT设备。
7、如权利要求4所述的一种定位拒绝服务攻击源的方法,其特征在于,所述步骤C具体包括:
OLT根据接收的所述支路光纤的状态,判断存在光信号的支路光纤,从而定位与没有光信号的支路光纤相连的设备为拒绝服务攻击源。
8、如权利要求4所述的一种定位拒绝服务攻击源的方法,其特征在于,所述拒绝服务攻击源包括:故障设备或恶意用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101094007A CN100417090C (zh) | 2005-10-19 | 2005-10-19 | 一种定位拒绝服务攻击源的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101094007A CN100417090C (zh) | 2005-10-19 | 2005-10-19 | 一种定位拒绝服务攻击源的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1866860A true CN1866860A (zh) | 2006-11-22 |
| CN100417090C CN100417090C (zh) | 2008-09-03 |
Family
ID=37425751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101094007A Expired - Fee Related CN100417090C (zh) | 2005-10-19 | 2005-10-19 | 一种定位拒绝服务攻击源的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100417090C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009094943A1 (fr) * | 2008-01-25 | 2009-08-06 | Huawei Technologies Co., Ltd. | Procédé, système et appareil d'administration de ligne |
| CN101360014B (zh) * | 2008-09-22 | 2010-09-15 | 电子科技大学 | 一种利用多点错位联合检测实现网络异常定位的方法 |
| EP2330755A1 (en) * | 2009-12-07 | 2011-06-08 | Nokia Siemens Networks Oy | Method and device for data processing in an optical network |
| CN101304281B (zh) * | 2007-05-09 | 2011-11-16 | 株式会社日立制作所 | Pon系统的可进行警报传送策略的光线路终端、光网络单元 |
| CN101594557B (zh) * | 2009-07-01 | 2012-04-25 | 北京邮电大学 | 无源光网络系统中定位恶意用户的方法及光纤线路终端 |
| CN104811243A (zh) * | 2014-01-26 | 2015-07-29 | 中兴通讯股份有限公司 | 长发光检测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775704B1 (en) * | 2000-12-28 | 2004-08-10 | Networks Associates Technology, Inc. | System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment |
| JP2003333092A (ja) * | 2002-05-14 | 2003-11-21 | Mitsubishi Electric Corp | ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法 |
| US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
| CN1553624A (zh) * | 2003-12-19 | 2004-12-08 | 上海交通大学 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
-
2005
- 2005-10-19 CN CNB2005101094007A patent/CN100417090C/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304281B (zh) * | 2007-05-09 | 2011-11-16 | 株式会社日立制作所 | Pon系统的可进行警报传送策略的光线路终端、光网络单元 |
| WO2009094943A1 (fr) * | 2008-01-25 | 2009-08-06 | Huawei Technologies Co., Ltd. | Procédé, système et appareil d'administration de ligne |
| CN101360014B (zh) * | 2008-09-22 | 2010-09-15 | 电子科技大学 | 一种利用多点错位联合检测实现网络异常定位的方法 |
| CN101594557B (zh) * | 2009-07-01 | 2012-04-25 | 北京邮电大学 | 无源光网络系统中定位恶意用户的方法及光纤线路终端 |
| EP2330755A1 (en) * | 2009-12-07 | 2011-06-08 | Nokia Siemens Networks Oy | Method and device for data processing in an optical network |
| CN104811243A (zh) * | 2014-01-26 | 2015-07-29 | 中兴通讯股份有限公司 | 长发光检测方法及装置 |
| CN104811243B (zh) * | 2014-01-26 | 2018-05-04 | 中兴通讯股份有限公司 | 长发光检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100417090C (zh) | 2008-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6111486B2 (ja) | 光ネットワークユニット検出方法および装置、ならびに受動光ネットワークシステム | |
| CN1866860A (zh) | 一种定位拒绝服务攻击源的方法及系统 | |
| CN102130718B (zh) | 一种主干光路保护倒换的网元设备及方法 | |
| CN1324826C (zh) | 在千兆以太网无源光网络中传输数据的方法及设备 | |
| CN1859811A (zh) | 一种无源光网络系统及其业务保护方法 | |
| JP2010068362A (ja) | 受動光網システムおよびその障害特定方法 | |
| CN109450527B (zh) | 故障的确定方法、装置、计算机设备及存储介质 | |
| CN1901419A (zh) | 支持骨干光纤保护的epon系统及骨干光纤保护方法 | |
| JP6321802B2 (ja) | 受動光ネットワークにおける長期発光障害onuを識別する方法 | |
| WO2004056025A2 (en) | Method of ethernet frame forward error correction initialization and auto-negotiation | |
| CN1889405A (zh) | 分光装置及无源光网络环路系统 | |
| CN1866791A (zh) | 无源光网络故障的测试方法和装置 | |
| CN102045105A (zh) | 一种故障主动检测隔离方法和光线路单元 | |
| CN107666362B (zh) | 一种电力通信多业务隔离接入系统及接入方法 | |
| CN1968056A (zh) | 一种无源光网络中线路故障诊断方法 | |
| CN111954101B (zh) | Gpon系统中重复alloc id的检测方法与装置 | |
| JP4961996B2 (ja) | 通信管理装置監視システム及び方法 | |
| CN101317349A (zh) | 一种无源光网络维护方法、光网络单元和光线路终端 | |
| CN1283049C (zh) | 一种无源光网络环网系统及断路保护的方法 | |
| CN102932054A (zh) | Epon系统中olt侧的onu长发光告警诊断方法及装置 | |
| CN1143461C (zh) | 在光学传输装置上用于激光器-安全断路和/或纤维备用切换的方法 | |
| CN102006525B (zh) | 光通信控制装置 | |
| CN101051854A (zh) | 一种无源光网络的异种媒体保护方法 | |
| CN1387337A (zh) | 在被动光学网络中的小时隙控制系统 | |
| CN1859164A (zh) | 隔离拒绝服务源的方法及其无源光网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170922 Address after: 075000 Zhangjiakou City, Hebei Province town of Xinhua Street, Wanquan County kongjiazhuang Jardine Park District 5 Building 1 unit 102 room Patentee after: Dong Lihua Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080903 Termination date: 20171019 |