21

网络设备被垃圾报文攻击实例浅析

 4 years ago
source link: https://www.freebuf.com/articles/network/230056.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

摘要:本案例主要分析网络设备OLT被(IPV6) MLD报文攻击导致用户ONU大面积掉注册的故障现象。OLT(Optical Line Terminal)设备是互联网中常用的宽带用户接入(光电一体)网络设备,它不仅具备L2交换机或L3路由交换机功能,还具备对用户端设备ONU的控制、管理等功能。某OLT在没有任何网络拓扑变化且正常使用多年的情况下,某日突然出现大面积的用户ONU掉注册故障。掉注册的ONU不限于一个PON口、一块业务盘,而是整台OLT下所有的用户ONU随机大面积掉注册,大量断纤告警涌现。通过排查分析,确定是上层转发流入大量垃圾报文MLD攻击导致的网络安全故障。

关键词:OLT;   ONU;  MLD攻击;  IPv6 

案例描述

1 、首先对问题网络拓扑进行查看和简单分析

FniYFnq.jpg!web

图1为基本网络拓扑及简单分析

2、 因分析、 主要关键行为措施:

因业务一直运行正常,此OLT下所有用户ONU掉注册的故障应属于突发故障,基本上可排除业务盘、PON口、ONU、用户线路等故障可能,应该从OLT全局设置或网络环境变化的方向进行排查。

OLT侧及上层网络问题定位步骤如下:

1 登录到OLT故障业务盘(E**B盘),进入debug模式,使用 set default_print_to_me 命令查看OLT的打印信息;

I3mieu3.jpg!web

图2为故障业务盘打印信息

结果:打印信息显示有很多ONU加载配置和QinQ规则。并且有的加载失败,又再次加载,有的ONU频繁上下线,打印信息反复出现;

步骤1结论:ONU的业务配置存在问题。

登录到OLT故障业务盘(E**B盘),使用show macentry <onu_id> <mac><port_id>和show56302_mac_portbase <onu_id>命令分别查看ONU的端口的MAC地址和VLAN学习情况;

Vb6ZV3a.jpg!web 图3为ONU端口学习到的MAC地址情况

INfeemY.jpg!web 图4为ONU端口VLAN配置

结果:故障时ONU端口学习到了用户设备的MAC地址,但是没有学习到业务VLAN配置(4088是设备私有VLAN);

步骤2结论:需进一步排查ONU未学习到业务VLAN的原因。

登录到OLT故障业务盘(E**B盘),使用show statistic olt epon_dn <pon_id> 0和show statistic olt epon_dn <pon_id> 1命令查看PON口下行方向的状态;

iiqy6jU.jpg!web

图5为PON口下行方向状态

结果:业务盘PON口查看到组播包的数量是急剧增加,增长速率约400包/秒;

步骤3结论:OLT上联口必然也收到了大量嫌疑组播包。

4 在OLT上联口设置镜像抓包,查看上联口组播包情况。

nI7bmyf.jpg!web

结果:上联口包中没有看到IGMPv2、IGMPv3等组播包,但是发现有大量的(IPv6) MLD报文涌入到OLT上联口;多次执行此命令查看,上送CPU MLD 报文数量均为200(达到设置的安全阀值),垃圾报文将正常协议报文淹没,导致正常协议报文被丢弃,出现用户掉线或新用户无法上线,由此可确定故障是由于MLD报文攻击导致ONU大面积掉注册。

步骤4结论:该OLT上并没有该类型组播业务,由此推断这些包是上层设备转发下来的无用垃圾报文(MLD),导致该设备无法正常解析运行,产生该设备此类故障。

3.

注:MLD 在 RFC 2710“Multicast Listener Discovery (MLD) for IPv6”(IPv6 的多播侦听器探索)中定义。查询IPv6 MLD报文以太网类型为“0x86dd”,该值是十六进制表达式,转换为十进制为“34525”。

(1)通过OLT网管上软件设置QoS规则,将以太网类型为“34525”的报文“丢弃”。设置完成后用户ONU注册全部恢复正常,设备故障排除,用户上网恢复正常。

(2)在条件允许下,可进一步对MLD报文进行溯源,对攻击源头进行定位,才能进一步分析和解决问题。

分析总结

起于安全,不止于安全。信息网络发展和应用不断深入,为经济社会带来进步机遇的同时也带来了风险挑战。网络安全威胁日益突出,以隐蔽化、多样化、复杂化的形态挑战着网络空间秩序和公私利益。

当今互联网中,OLT设备在运行过程中容易受到网络数据的干扰及垃圾报文的攻击而导致故障。为保证业务的正常接入及设备的稳定运行,应关注在网设备相关安全防护参数的设置。分析OLT业务盘的打印信息是帮助定位故障的重要手段之一。通过打印信息可以看出设备存在哪些问题,如业务盘报错、ONU反复注册、数据配置错误等等。本例中就是通过打印信息看出ONU配置加载失败,从而发现ONU端口被垃圾报文MLD攻击导致故障。在网管上设置QoS规则,将以太网类型为“34525”的垃圾报文“丢弃”,从而解决相关网络安全故障。

网络安全管理中,技术不可缺席。技术性和安全性是一个相辅相成的关系,即相互依赖又相互促进;技术进步对安全会提出新要求,但同时又会对安全技术进步有支撑,安全技术的进步也会发现新技术中存在的安全问题,反过来又促进新技术的发展。人们借助安全软件、安全硬件等技术和产品来保障网络安全,初期运用中难免技术欠缺,管理较粗放,很难保证网络运用中数据的完整、保密、可用。之后技术的改进和网络质量的提高,修复了网络安全漏洞,改善了网络安全环境,从技术上打造坚实的网络安全基础。随着大数据、物联网、人工智能等技术的飞速发展和广泛运用,要关注其带来生活便利和经济效益中忽视网络安全的情况,要把发展的技术也应用到网络安全上去,相互促进,共同发展。

*本文原创作者:沃行山水369,本文属于FreeBuf原创奖励计划,未经许可禁止转载


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK