寬帶接入網(wǎng)絡(luò)的安全

1、寬帶接入網(wǎng)絡(luò)的安全Security of Broadband Access Networks2006-10-12作者:王德強(qiáng)摘要:寬帶接入網(wǎng)絡(luò)的技術(shù)發(fā)展迅速，其應(yīng)用也越來越廣泛，但是安全問題也伴隨著它的發(fā)展成為大家越來 越關(guān)心的問題。在接入網(wǎng)環(huán)境下，用戶、接入設(shè)備和網(wǎng)絡(luò)都面臨著各種威脅，特別是來自用戶側(cè)的威脅。針對(duì)當(dāng)前網(wǎng)絡(luò)中出現(xiàn)的問題，可以采用端口定位、媒體訪問控制(MAC)地址防欺騙、非法業(yè)務(wù)監(jiān)測(cè)等技術(shù)和 方案加以解決。關(guān)鍵字：寬帶接入；安全；寬帶接入遠(yuǎn)程服務(wù)；接入節(jié)點(diǎn)；DSL接入復(fù)用器英文摘要:The broadband access security is receiving incre

2、asing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive.In an open access scenario, users, access equipments and networks are confronted with all kinds of threats and challenges, especially those from users ends. Preventi

3、ve measures and solutions can be taken to unlock such challenges, which include port positioning, anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services英文關(guān)鍵字:broadband access; security; broadband remote access service; access point; DSL access multiplexer最近10年，寬帶接入網(wǎng)絡(luò)在

4、全球蓬勃發(fā)展，越來越多的個(gè)人用戶和企業(yè)用戶通過寬帶接入到 Internet。同時(shí)，用戶對(duì)網(wǎng)絡(luò)性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸 對(duì)服務(wù)的質(zhì)量提出了更高的要求。在服務(wù)質(zhì)量(QoS )中，一個(gè)重要的不能忽視的指標(biāo)就是安全保證。1寬帶接入安全性問題寬帶接入網(wǎng)絡(luò)的快速發(fā)展使得寬帶用戶數(shù)成倍增加，但是也使得網(wǎng)絡(luò)遭受安全攻擊的可能性大大增 加。特別是引入以太網(wǎng)技術(shù)、IP技術(shù)后，接入網(wǎng)安全性問題日益凸現(xiàn)。因?yàn)橐蕴W(wǎng)絡(luò)是共享式的網(wǎng)絡(luò)，它 的優(yōu)點(diǎn)和缺點(diǎn)均很明顯。當(dāng)前網(wǎng)絡(luò)上很多黑客工具可以用來在以太網(wǎng)上興風(fēng)作浪：監(jiān)聽他人信息、盜取業(yè) 務(wù)、發(fā)起拒絕服務(wù)(DOS)攻擊1，造成網(wǎng)絡(luò)設(shè)備癱

5、瘓。IP網(wǎng)絡(luò)因?yàn)闅v史原因，最初在安全性方面的設(shè)計(jì)考 慮不多。IP網(wǎng)絡(luò)上的業(yè)務(wù)大都通過智能終端來完成，處于運(yùn)營商控制范圍內(nèi)的中間設(shè)備主要的功能就是交 換，運(yùn)營商對(duì)業(yè)務(wù)很難控制，這就為惡意用戶提供了開展破壞活動(dòng)的空間。為提供“電信運(yùn)營級(jí)”的接入網(wǎng)絡(luò)，為用戶提供安全的接入服務(wù)，檢測(cè)非法業(yè)務(wù)，保證網(wǎng)絡(luò)設(shè)備正 常運(yùn)行，目前是設(shè)備提供商和電信運(yùn)營商共同關(guān)注的問題2-3。目前，寬帶接入技術(shù)呈現(xiàn)多樣化趨勢(shì)，包括數(shù)字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網(wǎng) 絡(luò)(PON)和WiMax無線接入等，他們都具有如圖1所示的網(wǎng)絡(luò)架構(gòu)：寬帶接入網(wǎng)絡(luò)的架構(gòu)包括以下幾個(gè)組成部分：用戶自組網(wǎng)絡(luò)用戶自組網(wǎng)絡(luò)是以家庭

6、網(wǎng)關(guān)為核心組成的局部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)物理上歸屬于用戶。DSL是當(dāng)前最普 遍的用戶接入方式。(2 )接入節(jié)點(diǎn)接入節(jié)點(diǎn)完成用戶線纜的物理終結(jié)，或者無線信道的終結(jié)，實(shí)現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多 形式的接入。接入節(jié)點(diǎn)最靠近用戶，是運(yùn)營商網(wǎng)絡(luò)的邊緣，是安全防護(hù)的第一道門檻。在接入網(wǎng)安全問題 中，接入節(jié)點(diǎn)處于重要的地位。以太網(wǎng)匯聚網(wǎng)絡(luò)因?yàn)樾詢r(jià)比突出，以太網(wǎng)受到運(yùn)營商的青睞。進(jìn)一步，以太網(wǎng)同時(shí)也肩負(fù)匯聚數(shù)據(jù)和網(wǎng)絡(luò)內(nèi)部數(shù)據(jù) 交換的任務(wù)。寬帶網(wǎng)絡(luò)網(wǎng)關(guān)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)包括很多功能：終結(jié)以太層及其對(duì)應(yīng)的封裝、用戶認(rèn)證(結(jié)合認(rèn)證服務(wù)器)、用戶端自 動(dòng)配置、QoS業(yè)務(wù)保證等。物理上，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)可以是一個(gè)設(shè)備，也可以是

7、多個(gè)設(shè)備，執(zhí)行寬帶接入遠(yuǎn) 程服務(wù)器、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器(或DHCP中繼器)和路由器的功能。接入節(jié)點(diǎn)、以太匯聚網(wǎng)絡(luò)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)屬于運(yùn)營商所有，這些設(shè)備或者網(wǎng)絡(luò)對(duì)運(yùn)營商而言都是可 信的。用戶自組網(wǎng)絡(luò)歸用戶自己所有和使用。對(duì)運(yùn)營商而言，用戶自組網(wǎng)絡(luò)是不可信的。安全威脅大都來 自不可信網(wǎng)絡(luò)內(nèi)惡意用戶或者程序的攻擊。當(dāng)然，有時(shí)安全問題也產(chǎn)生于可信任域內(nèi)，比如因?yàn)樵O(shè)備不穩(wěn) 定等原因產(chǎn)生的安全問題。但安全問題主要還是來自不可信域?qū)尚湃斡虻陌踩{。歸納起來，接入網(wǎng)絡(luò)中主要有下面的一些安全問題：非法用戶的接入。非法報(bào)文和惡意報(bào)文發(fā)送。通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地

8、址或者IP地址，偷取他人的業(yè)務(wù)服務(wù)或者 造成DOS攻擊。非法業(yè)務(wù)，如開展非法的IP語音(VoIP)業(yè)務(wù)、私拉亂接用戶等。下面依次對(duì)上述問題以及與其相對(duì)應(yīng)的解決方案展開論述。2非法用戶接入非法用戶接入性質(zhì)嚴(yán)重，直接影響運(yùn)營商的運(yùn)營收益。如果不對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，那么非法用 戶接入就會(huì)大量存在。用戶識(shí)別與認(rèn)證技術(shù)已經(jīng)非常的成熟，基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議 等已經(jīng)被普遍使用。當(dāng)前，業(yè)界關(guān)注的問題是：對(duì)用戶端口(也稱為用戶線路)的識(shí)別。在零售模式下，每 個(gè)用戶在接入節(jié)點(diǎn)處都有一個(gè)邏輯端口，有線環(huán)境下是硬端口，無線環(huán)境下是一個(gè)軟端口。如果認(rèn)證服務(wù) 器只是通

9、過用戶名來識(shí)別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過 這一邏輯端口上網(wǎng)，這是運(yùn)營商不希望看到的，會(huì)造成運(yùn)營商的運(yùn)營收入的減少。在基于ATM的點(diǎn)到點(diǎn)協(xié)議(PPPoA)為主要接入方式時(shí)，用戶虛通道(VC)在寬帶接入遠(yuǎn)程服務(wù)器(BRAS)上終 結(jié)，因此，用戶的端口信息直接就可以在BRAS上獲取?，F(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩 種接入方式下，物理上，用戶線路在接入節(jié)點(diǎn)處就被終結(jié)；VC信息要么在接入節(jié)點(diǎn)處終結(jié)，要么根本沒有， 因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機(jī)制能夠?qū)⒔尤牍?jié)點(diǎn)處的用戶端口 信息傳遞給BRAS。當(dāng)前，有多

10、種用戶端口(或者用戶線路)識(shí)別方案被提出來：DHCP option82 協(xié)議DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131 )的基礎(chǔ)上，對(duì)協(xié)議流程進(jìn)行了擴(kuò)充。接入節(jié)點(diǎn)需要 截獲DHCP上下行協(xié)議報(bào)文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插 入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。圖2為協(xié)議交互示意圖。PPPoE+協(xié)議PPPoE+協(xié)議又稱為PPPoE中間代理。和DHCP Option82類似，它對(duì)PPPoE協(xié)議報(bào)文進(jìn)行了擴(kuò)充。接 入節(jié)點(diǎn)截獲PPPoE搜索階段的協(xié)議報(bào)文，在上行方向插入端口信息。圖3為P

11、PPoE+協(xié)議交互示意圖。VBAS 協(xié)議VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS客戶機(jī)與接入節(jié)點(diǎn)的交互，獲取端口信息。圖4為VBAS協(xié)議交互示意圖。RiiDIPDOP.BDRuFC-dlD RFQUC5TuEHD .此 KRig中目技理職場(chǎng):寬壽跳入遠(yuǎn)牡張髡囂邛E ： EE主句搜索詢蛟妄主卻慎索啟旬報(bào)交邛DE：EE主句索會(huì)話蜩帔妄Wig ：E主卻慎索提供報(bào)交哄耳于頃木畛點(diǎn)留點(diǎn)1D汝圖耳VBAS協(xié)議玄互示意圖虛擬局域網(wǎng)棧虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標(biāo)簽(Tag)，使用內(nèi)層VLAN來唯一標(biāo)識(shí)用戶端口信息。虛擬

12、MAC虛擬媒體訪問控制(VMAC)對(duì)每個(gè)用戶數(shù)據(jù)報(bào)文的源MAC地址按照特定規(guī)則進(jìn)行翻譯，翻譯后的MAC 地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時(shí)，就可以直接從源MAC地址信息中獲取用戶端口 信息。各種用戶端口識(shí)別方案的優(yōu)缺點(diǎn)如表1所示。甲表1各種用戶端口識(shí)別方案的憂缺點(diǎn)D CP 口 OlE WEPOE+,性5伽|.此T充風(fēng)有忸戒，無翻外的 町臨蜘建， 理解利觀方便.也戒有一定的可/匕 可用卑控制用戶其他后 性，如口兇1用戶寺寬等.與業(yè)案不關(guān)I效具有悄強(qiáng)的安全d酒點(diǎn)常妥或時(shí)獰橋DHB麝口珍息皆式不沆一.TDSlBM，配 置裳呆，詛SD受收.只支二居ViEif劃，日時(shí)覦支胎二居詭

13、麗標(biāo)笛，對(duì)沒宙段求町嫉相關(guān)住較大， 滯耍點(diǎn)齡t理利：虛損局嫌聊易于頃志命的點(diǎn)碼點(diǎn)10戒匚：媒體由同控制例1虹：虔報(bào)媒悻訪月控削必斗艮至匝置3非法報(bào)文和過量報(bào)文上行方向，因?yàn)橛脩糇越M網(wǎng)絡(luò)不受控，惡意用戶或者惡意程序就可構(gòu)造非法協(xié)議報(bào)文，向上發(fā)送， 這不僅會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備處理性能下降，有時(shí)還造成網(wǎng)絡(luò)設(shè)備系統(tǒng)紊亂甚至死機(jī)。另外，如果惡意用戶或者 程序過量地上行發(fā)送協(xié)議、廣播報(bào)文，無論是合法還是非法，同樣會(huì)造成系統(tǒng)設(shè)備性能明顯下降，因?yàn)閰f(xié) 議、廣播等報(bào)文的處理非常消耗設(shè)備資源。下行方向，盡管處于可控的網(wǎng)絡(luò)域內(nèi)，但是因?yàn)樵O(shè)備自身穩(wěn)定性問題，以及網(wǎng)絡(luò)復(fù)雜性問題，也可 能會(huì)出現(xiàn)非法或者過量報(bào)文發(fā)送，也需要進(jìn)行

14、防范。非法報(bào)文包括：非法源MAC地址報(bào)文。源MAC地址不能是廣播或者組播地址，因?yàn)橛行㎝AC地址已經(jīng)被標(biāo)準(zhǔn)組織 所預(yù)留，不能被普通用戶使用。非法協(xié)議報(bào)文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(Query)報(bào)文，下行方向不可能有報(bào)告/離開/加入(Report/Leave/Join)報(bào)文；DHCP協(xié)議上行不可能出現(xiàn)提供/確認(rèn) (OFFER/ACK)報(bào)文，下行不可能出現(xiàn)發(fā)現(xiàn)/請(qǐng)求(DISCOVER/REQUEST)報(bào)文；PPPoE協(xié)議上行不會(huì)有PADO和PADS 報(bào)文，下行不會(huì)有PADI和PADR報(bào)文。根據(jù)需要，對(duì)這些報(bào)文都要攔截過濾。超長(zhǎng)報(bào)文、超短報(bào)文或者校驗(yàn)錯(cuò)報(bào)文，如低

15、于64字節(jié)的報(bào)文或者大于1 518字節(jié)的報(bào)文。特定 情況下，超長(zhǎng)報(bào)文是允許的。對(duì)于非法報(bào)文，一般的技術(shù)是使用過濾器來過濾丟棄這些報(bào)文。過濾器的基本原理是，根據(jù)用戶定 義的被過濾數(shù)據(jù)報(bào)文的特征，匹配數(shù)據(jù)報(bào)文。如果符合預(yù)定義的特征，那么過濾掉該報(bào)文。當(dāng)前的交換芯 片大都具備報(bào)文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至更高層數(shù)據(jù)報(bào)文特征信息的提取 和匹配。過量報(bào)文類型一般分成以下幾類：過量的協(xié)議報(bào)文過量的廣播報(bào)文過量的組播報(bào)文過量不同源MAC地址的報(bào)文前面3種過量報(bào)文會(huì)大量吞噬設(shè)備處理資源，第4種會(huì)占用交換芯片有限的MAC地址表資源，都需 要進(jìn)行控制。前3種過量報(bào)文的處理步驟為：匹配特定類

16、型的報(bào)文，特征是：特定的協(xié)議報(bào)文、廣播報(bào)力或者某 種更具體特征的廣播報(bào)文)、組播報(bào)文(或者某種更具體特征的組播報(bào)文)；統(tǒng)計(jì)此類報(bào)文的發(fā)送速率；如果 發(fā)送速率超過預(yù)定義的速率，拋棄報(bào)文。處理過量協(xié)議、廣播和組播報(bào)文的技術(shù)又被稱為報(bào)文抑制。解決過量源MAC地址問題比較簡(jiǎn)單：可設(shè)定用戶側(cè)端口 MAC地址個(gè)數(shù)的上限。這樣，一旦端口達(dá)到 預(yù)定義的MAC地址個(gè)數(shù)，后續(xù)帶有新MAC地址的報(bào)文一律被丟棄。非法報(bào)文和過量報(bào)文的處理在接入網(wǎng)絡(luò)的各個(gè)層次都需要處理，但是對(duì)于接入節(jié)點(diǎn)，因?yàn)槠湓诮尤?網(wǎng)中的位置，上述功能的實(shí)現(xiàn)尤其顯得重要。4 MAC/IP地址欺騙MAC/IP地址欺騙是非常嚴(yán)重的安全威脅。MAC地址欺騙

17、的本質(zhì)是會(huì)出現(xiàn)MAC地址重復(fù)，造成交換芯片MAC地址學(xué)習(xí)遷移，部分用戶無法上網(wǎng)。MAC地 址欺騙可以分成下面兩種類型：用戶的MAC地址欺騙。上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS、DHCP服務(wù)器/中繼、默認(rèn)網(wǎng)關(guān)等)的MAC地址欺騙。因?yàn)橐蕴W(wǎng)自身的特點(diǎn)，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC 地址信息。如果相同的MAC地址出現(xiàn)在設(shè)備的不同用戶端口上，就會(huì)造成MAC地址學(xué)習(xí)發(fā)生紊亂，導(dǎo)致用 戶無法上網(wǎng)。為了增強(qiáng)安全性，在接入網(wǎng)絡(luò)，一般要求在接入節(jié)點(diǎn)處實(shí)現(xiàn)用戶端口隔離：在同一個(gè)VLAN下的用戶 之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局

18、域網(wǎng)(PVLAN)技術(shù)來實(shí) 現(xiàn)。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因?yàn)樵O(shè)備MAC地址設(shè) 置不當(dāng)造成MAC地址重復(fù)問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN 技術(shù)本身不足以完全解決用戶側(cè)MAC地址欺騙問題。解決用戶側(cè)MAC地址欺騙，有如下解決方法：VMAC在接入節(jié)點(diǎn)處，在上行方向，給每個(gè)物理端口，MAC分配或者生成一個(gè)獨(dú)一無二的VMAC地址。被解釋以后的MAC地址因?yàn)槭窃O(shè)備自己產(chǎn)生的，因此是可信的，而且確保不會(huì)出現(xiàn)用戶側(cè)MAC 地址重復(fù)的現(xiàn)象。使用VMAC地址代替報(bào)文的源MAC地址。下行方向，根據(jù)VMAC查找到對(duì)

19、應(yīng)的原始的MAC 地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對(duì)業(yè) 務(wù)服務(wù)器MAC地址的欺騙，并且也可以用于用戶端口識(shí)別。缺點(diǎn)是影響與MAC地址相關(guān)的協(xié)議，處理復(fù)雜。MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報(bào)文的源MAC地址和綁定的MAC地址 不同，則地址被丟棄。此方法雖簡(jiǎn)單，但是可用性差。用戶自組網(wǎng)絡(luò)的MAC地址千差萬別，而且個(gè)數(shù)也不 確定，如果采用靜態(tài)綁定，很難管理?；赑PPoE會(huì)話(Session)感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，應(yīng)用于PPPoE接入環(huán)境。每個(gè)用戶都對(duì)應(yīng)唯一 的PPPoE會(huì)話標(biāo)識(shí)(SessionlD)?？梢栽诮尤?/p>

20、節(jié)點(diǎn)上記錄一張PPPoE_SessionID，端口表，上行直接匯聚， 下行可以查看該表來進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學(xué)習(xí)， 從而也就不存在MAC地址重復(fù)問題?；贗P感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。應(yīng)用于IPoE的接入環(huán)境。在接入節(jié)點(diǎn)上，建立一張IP，端口 表，因?yàn)镮P是唯一的，所以不會(huì)存在IP重復(fù)的現(xiàn)象，數(shù)據(jù)報(bào)文下行轉(zhuǎn)發(fā)沒有問題。和基于PPPoE Session 的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)一樣，接入節(jié)點(diǎn)上也不需要MAC地址學(xué)習(xí)。上述3、4兩種處理方法對(duì)接入節(jié)點(diǎn)歸屬的VLAN有一定的要求。如果一個(gè)接入節(jié)點(diǎn)屬于一個(gè)唯一的 VLAN，那么只要接入節(jié)點(diǎn)按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文即可。

21、如果多個(gè)接入節(jié)點(diǎn)屬于一個(gè)VLAN，那么需要保 證匯聚這些接入節(jié)點(diǎn)的交換機(jī)也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報(bào)文。利用PPPoE Session或者IP感知的 方式和傳統(tǒng)的二層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制有質(zhì)的不同，一般的交換芯片難以實(shí)現(xiàn)，而且只解決特定類型接入的 MAC地址重復(fù)問題。優(yōu)點(diǎn)是不用修改數(shù)據(jù)報(bào)文，不會(huì)影響其他協(xié)議。業(yè)務(wù)服務(wù)器的MAC地址欺騙將會(huì)使得網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)發(fā)生遷移，從而造成設(shè)備下的部 分用戶無法上網(wǎng)。業(yè)務(wù)服務(wù)器MAC地址防欺騙可以使用下面的技術(shù)來解決：VMAC使用VMAC可以解決各種接入環(huán)境下的業(yè)務(wù)服務(wù)器MAC欺騙。業(yè)務(wù)服務(wù)器MAC地址靜態(tài)配置手動(dòng)將業(yè)務(wù)服務(wù)器的MAC配置到

22、接入節(jié)點(diǎn)交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務(wù)服務(wù)器MAC地址 學(xué)習(xí)就不會(huì)發(fā)生遷移。這個(gè)方法雖然簡(jiǎn)單，但靈活性和擴(kuò)充性都很差。業(yè)務(wù)服務(wù)器MAC地址自動(dòng)配置這是本文提出的一種解決業(yè)務(wù)服務(wù)器MAC地址欺騙的方法?；舅枷胧?，讓接入節(jié)點(diǎn)充當(dāng)PPPoE或 者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請(qǐng)求，這樣就可以動(dòng)態(tài)地獲取BRAS和DHCP服務(wù)器/中繼的MAC 地址。其優(yōu)點(diǎn)非常明顯：可利用現(xiàn)有協(xié)議，不用手動(dòng)配置，不修改數(shù)據(jù)報(bào)文，不影響其他協(xié)議。IP欺騙存在于IPoE接入場(chǎng)景下，冒用他人IP地址，盜取服務(wù)，或者沒有通過DHCP獲得配置信息 的情況下接入網(wǎng)絡(luò)，妨礙了運(yùn)營商的統(tǒng)一管理。解決這個(gè)問題需要

23、在接入節(jié)點(diǎn)上實(shí)現(xiàn)“ DHCP IP源警衛(wèi)”， 監(jiān)聽來往于用戶和DHCP服務(wù)器/中繼的協(xié)議報(bào)文，在用戶沒有獲取配置信息以前，除了 DHCP協(xié)議報(bào)文，其 他上行報(bào)文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP ACK報(bào)文，就綁定分配的IP，用戶MAC到用戶端口，使能上行數(shù) 據(jù)報(bào)文的發(fā)送，同時(shí)保證上行數(shù)據(jù)報(bào)文的IP，MAC和綁定的分配的IP，用戶MAC一致。在DHCP租用到 期后，取消這種捆綁，并停止上行非DHCP協(xié)議報(bào)文發(fā)送。5非法業(yè)務(wù)經(jīng)過多年的接入網(wǎng)絡(luò)建設(shè)，對(duì)于運(yùn)營商而言，接入帶寬已經(jīng)不是主要的問題。當(dāng)務(wù)之急，一是在現(xiàn) 有網(wǎng)絡(luò)的基礎(chǔ)上，提供盡可能多的業(yè)務(wù)，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營路線；

24、 另一個(gè)就是控制目前在已有網(wǎng)絡(luò)中存在的非法業(yè)務(wù)。所謂的非法業(yè)務(wù)是從運(yùn)營商的角度來判定的一些目前網(wǎng)絡(luò)上存在的部分?jǐn)?shù)據(jù)服務(wù)。非法業(yè)務(wù)形式多 種多樣，下面僅是其中幾例：P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡(luò)帶寬，影響用戶上網(wǎng)。VoIP。VoIP分流運(yùn)營商已有的公共交換電話網(wǎng)(PSTN)業(yè)務(wù)，可能嚴(yán)重?fù)p害其業(yè)務(wù)收益。用戶側(cè)私拉亂接。寬帶用戶以個(gè)人的身份申請(qǐng)業(yè)務(wù)，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用 寬帶，從而損害運(yùn)營商的業(yè)務(wù)收益。不同于前面幾節(jié)的安全問題，非法業(yè)務(wù)具有非常復(fù)雜的業(yè)務(wù)特征，不可能通過簡(jiǎn)單的特征提取方法 來判定某數(shù)據(jù)報(bào)文是否屬于非法業(yè)務(wù)的報(bào)文。為了檢測(cè)出某條數(shù)據(jù)流是否是非法業(yè)務(wù)，需要對(duì)數(shù)據(jù)流進(jìn)行 深度智能分析，依據(jù)預(yù)定義的特征信息庫，對(duì)數(shù)據(jù)流匹配才能判定。用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能的設(shè)備和接入節(jié)點(diǎn)對(duì)接情況下， 上行數(shù)據(jù)報(bào)文從表面看起來好像從一個(gè)用戶發(fā)出的一