寬帶接入網(wǎng)還是比較常用的，于是我研究了一下寬帶接入網(wǎng)的基礎(chǔ)知識(shí)，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。上行方向，因?yàn)橛脩?hù)自組網(wǎng)絡(luò)不受控，惡意用戶(hù)或者惡意程序就可構(gòu)造非法協(xié)議報(bào)文，向上發(fā)送，這不僅會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備處理性能下降，有時(shí)還造成網(wǎng)絡(luò)設(shè)備系統(tǒng)紊亂甚至死機(jī)。另外，如果惡意用戶(hù)或者程序過(guò)量地上行發(fā)送協(xié)議、廣播報(bào)文，無(wú)論是合法還是非法，同樣會(huì)造成系統(tǒng)設(shè)備性能明顯下降，因?yàn)閰f(xié)議、廣播等報(bào)文的處理非常消耗設(shè)備資源。下行方向，盡管處于可控的網(wǎng)絡(luò)域內(nèi)，但是因?yàn)樵O(shè)備自身穩(wěn)定性問(wèn)題，以及網(wǎng)絡(luò)復(fù)雜性問(wèn)題，也可能會(huì)出現(xiàn)非法或者過(guò)量報(bào)文發(fā)送，也需要進(jìn)行防范。非法報(bào)文包括：

非法源MAC地址報(bào)文。源MAC地址不能是廣播或者組播地址，因?yàn)橛行㎝AC地址已經(jīng)被標(biāo)準(zhǔn)組織所預(yù)留，不能被普通用戶(hù)使用。

(2)非法協(xié)議報(bào)文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢(xún)問(wèn)(Query)報(bào)文，下行方向不可能有報(bào)告/離開(kāi)/加入(Report/Leave/Join)報(bào)文；上行不可能出現(xiàn)提供/確認(rèn)(OFFER/ACK)報(bào)文，下行不可能出現(xiàn)發(fā)現(xiàn)/請(qǐng)求(DISCOVER/REQUEST)報(bào)文；PPPoE協(xié)議上行不會(huì)有PADO和PADS報(bào)文，下行不會(huì)有PADI和PADR報(bào)文。根據(jù)需要，對(duì)這些報(bào)文都要攔截過(guò)濾。

(3)超長(zhǎng)報(bào)文、超短報(bào)文或者校驗(yàn)錯(cuò)報(bào)文，如低于64字節(jié)的報(bào)文或者大于1 518字節(jié)的報(bào)文。特定情況下，超長(zhǎng)報(bào)文是允許的。

對(duì)于非法報(bào)文，一般的技術(shù)是使用過(guò)濾器來(lái)過(guò)濾丟棄這些報(bào)文。過(guò)濾器的基本原理是，根據(jù)用戶(hù)定義的被過(guò)濾數(shù)據(jù)報(bào)文的特征，匹配數(shù)據(jù)報(bào)文。如果符合預(yù)定義的特征，那么過(guò)濾掉該報(bào)文。當(dāng)前的交換芯片大都具備報(bào)文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至更高層數(shù)據(jù)報(bào)文特征信息的提取和匹配。

前面3種過(guò)量報(bào)文會(huì)大量吞噬設(shè)備處理資源，第4種會(huì)占用交換芯片有限的MAC地址表資源，都需要進(jìn)行控制。前3種過(guò)量報(bào)文的處理步驟為：匹配特定類(lèi)型的報(bào)文，特征是：特定的協(xié)議報(bào)文、廣播報(bào)文(或者某種更具體特征的廣播報(bào)文)、組播報(bào)文(或者某種更具體特征的組播報(bào)文)；統(tǒng)計(jì)此類(lèi)報(bào)文的發(fā)送速率；如果發(fā)送速率超過(guò)預(yù)定義的速率，拋棄報(bào)文。處理過(guò)量協(xié)議、廣播和組播報(bào)文的技術(shù)又被稱(chēng)為報(bào)文抑制。解決過(guò)量源MAC地址問(wèn)題比較簡(jiǎn)單：可設(shè)定用戶(hù)側(cè)端口MAC地址個(gè)數(shù)的上限。這樣，一旦端口達(dá)到預(yù)定義的MAC地址個(gè)數(shù)，后續(xù)帶有新MAC地址的報(bào)文一律被丟棄。非法報(bào)文和過(guò)量報(bào)文的處理在寬帶接入網(wǎng)絡(luò)的各個(gè)層次都需要處理，但是對(duì)于接入節(jié)點(diǎn)，因?yàn)槠湓趯拵Ы尤刖W(wǎng)中的位置，上述功能的實(shí)現(xiàn)尤其顯得重要。

MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴(yán)重的安全威脅。MAC地址欺騙的本質(zhì)是會(huì)出現(xiàn)MAC地址重復(fù)，造成交換芯片MAC地址學(xué)習(xí)遷移，部分用戶(hù)無(wú)法上網(wǎng)。MAC地址欺騙可以分成下面兩種類(lèi)型：

用戶(hù)的MAC地址欺騙。

(2)上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS、DHCP服務(wù)器/中繼、默認(rèn)網(wǎng)關(guān)等)的MAC地址欺騙。

因?yàn)橐蕴�網(wǎng)自身的特點(diǎn)，MAC地址信息都是公開(kāi)的，通過(guò)掃描工具，用戶(hù)可以較容易地獲取其他用戶(hù)的MAC地址信息。如果相同的MAC地址出現(xiàn)在設(shè)備的不同用戶(hù)端口上，就會(huì)造成MAC地址學(xué)習(xí)發(fā)生紊亂，導(dǎo)致用戶(hù)無(wú)法上網(wǎng)。為了增強(qiáng)安全性，在寬帶接入網(wǎng)絡(luò)，一般要求在接入節(jié)點(diǎn)處實(shí)現(xiàn)用戶(hù)端口隔離：在同一個(gè)VLAN下的用戶(hù)之間相互不能通信，而只能和上行匯聚端口互通。用戶(hù)端口隔離可以通過(guò)私有虛擬局域網(wǎng)(PVLAN)技術(shù)來(lái)實(shí)現(xiàn)。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因?yàn)樵O(shè)備MAC地址設(shè)置不當(dāng)造成MAC地址重復(fù)問(wèn)題，或者用戶(hù)通過(guò)其他渠道獲得其他用戶(hù)的MAC(比如“暴力”MAC嘗試)。PVLAN技術(shù)本身不足以完全解決用戶(hù)側(cè)MAC地址欺騙問(wèn)題。解決用戶(hù)側(cè)MAC地址欺騙，有如下解決方法：

VMAC 在接入節(jié)點(diǎn)處，在上行方向，給每個(gè)<物理端口，MAC>分配或者生成一個(gè)獨(dú)一無(wú)二的VMAC地址。被解釋以后的MAC地址因?yàn)槭窃O(shè)備自己產(chǎn)生的，因此是可信的，而且確保不會(huì)出現(xiàn)用戶(hù)側(cè)MAC地址重復(fù)的現(xiàn)象。使用VMAC地址代替報(bào)文的源MAC地址。下行方向，根據(jù)VMAC查找到對(duì)應(yīng)的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來(lái)防止用戶(hù)MAC地址欺騙，還可防止對(duì)業(yè)務(wù)服務(wù)器MAC地址的欺騙，并且也可以用于用戶(hù)端口識(shí)別。缺點(diǎn)是影響與MAC地址相關(guān)的協(xié)議，處理復(fù)雜。

(2)MAC地址綁定。將MAC地址靜態(tài)綁定到用戶(hù)端口，如果數(shù)據(jù)報(bào)文的源MAC地址和綁定的MAC地址不同，則地址被丟棄。此方法雖簡(jiǎn)單，但是可用性差。用戶(hù)自組網(wǎng)絡(luò)的MAC地址千差萬(wàn)別，而且個(gè)數(shù)也不確定，如果采用靜態(tài)綁定，很難管理。

(3)基于PPPoE會(huì)話(huà)(Session)感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，應(yīng)用于PPPoE接入環(huán)境。每個(gè)用戶(hù)都對(duì)應(yīng)唯一的PPPoE會(huì)話(huà)標(biāo)識(shí)(SessionID)。可以在接入節(jié)點(diǎn)上記錄一張表，上行直接匯聚，下行可以查看該表來(lái)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學(xué)習(xí)，從而也就不存在MAC地址重復(fù)問(wèn)題。

(4)基于IP感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。應(yīng)用于IPoE的寬帶接入網(wǎng)環(huán)境。在接入節(jié)點(diǎn)上，建立一張表，因?yàn)镮P是唯一的，所以不會(huì)存在IP重復(fù)的現(xiàn)象，數(shù)據(jù)報(bào)文下行轉(zhuǎn)發(fā)沒(méi)有問(wèn)題。和基于PPPoE Session的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)一樣，接入節(jié)點(diǎn)上也不需要MAC地址學(xué)習(xí)。

上述3、4兩種處理方法對(duì)接入節(jié)點(diǎn)歸屬的VLAN有一定的要求。如果一個(gè)接入節(jié)點(diǎn)屬于一個(gè)唯一的VLAN，那么只要接入節(jié)點(diǎn)按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文即可。如果多個(gè)接入節(jié)點(diǎn)屬于一個(gè)VLAN，那么需要保證匯聚這些接入節(jié)點(diǎn)的交換機(jī)也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報(bào)文。利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制有質(zhì)的不同，一般的交換芯片難以實(shí)現(xiàn)，而且只解決特定類(lèi)型接入的MAC地址重復(fù)問(wèn)題。優(yōu)點(diǎn)是不用修改數(shù)據(jù)報(bào)文，不會(huì)影響其他協(xié)議。業(yè)務(wù)服務(wù)器的MAC地址欺騙將會(huì)使得網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)發(fā)生遷移，從而造成設(shè)備下的部分用戶(hù)無(wú)法上網(wǎng)。業(yè)務(wù)服務(wù)器MAC地址防欺騙可以使用下面的技術(shù)來(lái)解決：

VMAC
使用VMAC可以解決各種接入環(huán)境下的業(yè)務(wù)服務(wù)器MAC欺騙。

(2)業(yè)務(wù)服務(wù)器MAC地址靜態(tài)配置
手動(dòng)將業(yè)務(wù)服務(wù)器的MAC配置到接入節(jié)點(diǎn)交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)就不會(huì)發(fā)生遷移。這個(gè)方法雖然簡(jiǎn)單，但靈活性和擴(kuò)充性都很差。

(3)業(yè)務(wù)服務(wù)器MAC地址自動(dòng)配置
這是本文提出的一種解決業(yè)務(wù)服務(wù)器MAC地址欺騙的方法�；�本思想是，讓接入節(jié)點(diǎn)充當(dāng)PPPoE或者DHCP客戶(hù)端，定期發(fā)起PPPoE或者DHCP請(qǐng)求，這樣就可以動(dòng)態(tài)地獲取BRAS和DHCP服務(wù)器/中繼的MAC地址。其優(yōu)點(diǎn)非常明顯：可利用現(xiàn)有協(xié)議，不用手動(dòng)配置，不修改數(shù)據(jù)報(bào)文，不影響其他協(xié)議。

IP欺騙存在于IPoE接入場(chǎng)景下，冒用他人IP地址，盜取服務(wù)，或者沒(méi)有通過(guò)DHCP獲得配置信息的情況下寬帶接入網(wǎng)絡(luò)，妨礙了運(yùn)營(yíng)商的統(tǒng)一管理。解決這個(gè)問(wèn)題需要在接入節(jié)點(diǎn)上實(shí)現(xiàn)“DHCP IP源警衛(wèi)”，監(jiān)聽(tīng)來(lái)往于用戶(hù)和DHCP服務(wù)器/中繼的協(xié)議報(bào)文，在用戶(hù)沒(méi)有獲取配置信息以前，除了DHCP協(xié)議報(bào)文，其他上行報(bào)文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽(tīng)到DHCP ACK報(bào)文，就綁定<分配的IP，用戶(hù)MAC>到用戶(hù)端口，使能上行數(shù)據(jù)報(bào)文的發(fā)送，同時(shí)保證上行數(shù)據(jù)報(bào)文的和綁定的<分配的IP，用戶(hù)MAC>一致。在DHCP租用到期后，取消這種捆綁，并停止上行非DHCP協(xié)議報(bào)文發(fā)送。

非法業(yè)務(wù)

經(jīng)過(guò)多年的寬帶接入網(wǎng)絡(luò)建設(shè)，對(duì)于運(yùn)營(yíng)商而言，接入帶寬已經(jīng)不是主要的問(wèn)題。當(dāng)務(wù)之急，一是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，提供盡可能多的業(yè)務(wù)，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營(yíng)路線(xiàn)；另一個(gè)就是控制目前在已有網(wǎng)絡(luò)中存在的非法業(yè)務(wù)。所謂的非法業(yè)務(wù)是從運(yùn)營(yíng)商的角度來(lái)判定的一些目前網(wǎng)絡(luò)上存在的部分?jǐn)?shù)據(jù)服務(wù)。非法業(yè)務(wù)形式多種多樣，下面僅是其中幾例：

P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡(luò)帶寬，影響用戶(hù)上網(wǎng)。
(2)VoIP。VoIP分流運(yùn)營(yíng)商已有的公共交換電話(huà)網(wǎng)(PSTN)業(yè)務(wù)，可能?chē)?yán)重?fù)p害其業(yè)務(wù)收益。
(3)用戶(hù)側(cè)私拉亂接。寬帶用戶(hù)以個(gè)人的身份申請(qǐng)業(yè)務(wù)，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用寬帶，從而損害運(yùn)營(yíng)商的業(yè)務(wù)收益。

不同于前面幾節(jié)的安全問(wèn)題，非法業(yè)務(wù)具有非常復(fù)雜的業(yè)務(wù)特征，不可能通過(guò)簡(jiǎn)單的特征提取方法來(lái)判定某數(shù)據(jù)報(bào)文是否屬于非法業(yè)務(wù)的報(bào)文。為了檢測(cè)出某條數(shù)據(jù)流是否是非法業(yè)務(wù)，需要對(duì)數(shù)據(jù)流進(jìn)行深度智能分析，依據(jù)預(yù)定義的特征信息庫(kù)，對(duì)數(shù)據(jù)流匹配才能判定。

用戶(hù)私拉亂接現(xiàn)象一般發(fā)生在用戶(hù)使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能的設(shè)備和接入節(jié)點(diǎn)對(duì)接情況下，上行數(shù)據(jù)報(bào)文從表面看起來(lái)好像從一個(gè)用戶(hù)發(fā)出的一樣。解決這個(gè)問(wèn)題需要收集各種“蛛絲馬跡”：分析傳輸控制協(xié)議(TCP)連接數(shù)量、網(wǎng)絡(luò)流量、源TCP端口范圍，這些信息有一定的參考價(jià)值；分析MSN、Windows Update能攜帶的一些用戶(hù)特定信息；用戶(hù)上行數(shù)據(jù)流中，如OS版本、IE版本、用戶(hù)的行為習(xí)慣等有用的用戶(hù)信息。往往需要結(jié)合部分或者全部特征，作出綜合判斷，減少誤判和漏判。非法VoIP檢測(cè)起來(lái)具有很大的難度，VoIP軟件數(shù)量眾多。為了穿越防火墻或者NAT，防止被檢測(cè)，有些VoIP軟件甚至在特殊端口上啟動(dòng)私有隧道來(lái)承載VoIP相關(guān)數(shù)據(jù)。需要對(duì)數(shù)據(jù)報(bào)協(xié)議/傳輸控制協(xié)議(UDP/TCP)所有的數(shù)據(jù)流進(jìn)行監(jiān)控，利用VoIP注冊(cè)、呼叫、準(zhǔn)入等特征來(lái)分析數(shù)據(jù)流。

P2P流容易監(jiān)控，因?yàn)榱餍械腜2P軟件數(shù)量有限，這些軟件所發(fā)出的數(shù)據(jù)報(bào)文的特征相對(duì)容易定義。非法業(yè)務(wù)的檢測(cè)可以在寬帶接入網(wǎng)絡(luò)的各個(gè)層次進(jìn)行。檢測(cè)點(diǎn)越往下游偏移，“分布式處理”的特征越強(qiáng)烈，容易在性能上得到提升，但是在價(jià)格、檢測(cè)點(diǎn)協(xié)作和管理方面相對(duì)于集中式檢測(cè)來(lái)說(shuō)稍稍略弱一點(diǎn)。非法業(yè)務(wù)的檢測(cè)技術(shù)上具有智能化的趨勢(shì)。但是回報(bào)較高，因?yàn)榭梢詾檫\(yùn)營(yíng)商創(chuàng)造更高的附加值。隨著未來(lái)各種業(yè)務(wù)在寬帶接入網(wǎng)絡(luò)的興起，非法業(yè)務(wù)檢測(cè)將大有用武之地，代表著寬帶接入網(wǎng)絡(luò)安全研究的一個(gè)重要方向。

結(jié)束語(yǔ)

對(duì)于接入網(wǎng)絡(luò)的商業(yè)應(yīng)用，安全是一個(gè)重要的不容回避的問(wèn)題，也是一個(gè)隨著時(shí)間動(dòng)態(tài)變化的課題。不僅運(yùn)營(yíng)商高度重視安全問(wèn)題，網(wǎng)絡(luò)設(shè)備提供商對(duì)安全問(wèn)題也異常重視，中興通訊提供的DSLAM和BRAS可以解決上述大部分寬帶接入網(wǎng)安全問(wèn)題。