浅析ONU的流氓猫(DOS)攻击行为
2021-07-08 18:22:36 Author: www.freebuf.com(查看原文) 阅读量:37 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

案例摘要

根据IEEE802.3协议,宽带网PON系统传输信号时,采用的是时分复用技术。在正常状态下,ONU应该按照指定的时间戳向上行方向发送数据包。但当某个ONU没有按照指定时间戳发光,而是长发光或无规则发光,就会与其他正常发光的ONU光信号产生传输冲突, 破坏了OLT设备PON口的正常接受,对OLT设备造成L2(数据链路层) 的DOS攻击行为,从而导致整个PON口下挂用户大量的掉线、断网现象。这种不按照分配的时间戳向上发送光信号的ONU被俗称为流氓ONU。

案例背景

某OLT下1槽2口下挂用户大量掉线,在网管侧查看是ONU是频繁上下线。且通过命令行查看PON口存在大量误码,判断可能是光路质量不好或PON下存在流氓猫导致。

案例分析

一、 流氓ONU的DOS攻击行为及原理分析:

1、如下图,首先对问题网络关键点进行查看和分析
imagePON接入网传输数据时,采用TDM和TDMA技术。正常状态下,ONU应该按照指定的时间戳向上行方向发送数据包。如下图所示:
image

但当某个ONU没有按照指定时间戳发光,而是长发光或无规则乱发光,就会与其他正常发光的ONU的产生光信号冲突。这种不按照分配的时间戳向上发送光信号的ONU被称为流氓ONU,形成二层DOS攻击OLT设备行为,造成该设备下部分用户不能正常上网的现象。常见流氓光猫类型:长发光流氓光猫、无规则乱发光流氓光猫(如:低版本互斥、匿名、自环路、MAC地址漂移等)。长发光流氓光猫DOS攻击图例如下:
image遭受DOS攻击的网络现象如下表:
image原因分析如下表
image首先根据故障现象判断故障原因。流氓ONU DOS攻击导致的故障现象很多,在网管侧体现可能是设备脱管、反复上下线、出现断纤告警等,在用户侧体现为业务中断、瞬时掉线又恢复、上网速度慢等,判断故障原因时,如果网管上有大量“断纤告警”,且通过命令行查看有大量CRC误码,说明可能是光路或流氓ONU问题,进一步检查光路正常,则可以基本确定是存在流氓ONU。

二、 流氓ONU的排障定位:

在大量的ONU中定位流氓ONU。一般定位判定方法如下几种:

1.PON ONU可通过Debug命令基本定位;
2.关闭ONU的上行时隙通道;
3.关闭ONU激光器;
4.现场拔纤

其中有两点需要注意:

1/由于ONU数量可能较多,因此一般采取分批次方式进行排查;
2/谨防网络中同时存在多台流氓ONU而导致排查不彻底的情况出现。

总结流氓ONU处理流程图如下:
image确定问题具体步骤如下:

步骤1

查看OLT上的告警,确认故障性质。
从网管菜单栏选择“告警”→“当前告警”,查看告警的特征,判断是否为流氓ONU问题。

步骤2

登录到业务盘,通过命令行进一步查看PON的上行统计计数中是否出现大量CRC误码。如果是,可以判断网络中存在光路问题或流氓ONU。

以GPON业务盘为例,当存在大量CRC误码时,如下所示:

image步骤3:

1)长发光现象可直接在OLT开启流氓猫检测功能即可快速定位解决。处理流程如下图:
image2)无规则乱发光现象则需到现场断开光纤(同样适用于长发光现象)定位流氓ONU。建议在光交箱处操作,可以更方便操作和快速准确定位流氓ONU所在位置,减少往返于各ONU部署点的时间。
如果现场ONU数量不多,可以全部拔掉后逐个插上观察;
如果现场ONU数量较多,可以拔掉半数ONU的光纤,观察流氓ONU是否在其中。反复几次后即可定位出流氓ONU。

步骤4:

通过测量ONU的发送光功率判断系统是否存在流氓ONU。

1.设置光功率计参数,单位:dBm,波长:1310nm;

2.拔出ONU的PON口光纤,使用光纤跳线连接ONU的PON口和光功率计;

3.持续测量读取数据两分钟;

4.根据测量数据判断是否是流氓ONU。
如果光功率计一直没有读数,则该ONU不是流氓ONU;
如果光功率计一直有读数,则该ONU为长发光流氓ONU;
如果光功率计时而有读数,时而没有读数,则该ONU为无规则发光流氓ONU。

三、解决流氓ONU方案:

步骤1 查看ONU的电源适配器是否适用于该ONU。不适用的电源适配器可能导致ONU异常,需更换为与该型号ONU匹配的电源适配器。

步骤2 查看供电情况是否稳定。环境电压不稳定可能造成ONU发光不受控制,需确保ONU所处环境的电情况良好。

步骤3 更换ONU,查看故障是否消除。
ONU可能存在软件或硬件异常,导致发光不稳定,需进行更换。

步骤4 改善光路质量,查看故障是否消除。
光路质量差可能造成大量反射和非正常光功率损耗等干扰,需逐段排查并更换光纤或ODN部件。

案例总结

在宽带互联网运维中,经常存在流氓猫ONU的DOS攻击PON设备端口的疑难现象,这导致其它用户无法正常上网,大幅降低了用户上网的正常感知。网络专家在网管侧查看到的是用户ONU的频繁上下线,且通过命令行查看PON口存在大量CRC误码,预判可能是光路质量不好或PON口下存在流氓猫的DOS攻击,再排除光路正常之后需快速定位流氓ONU所在位置,这有利于用户被DOS攻击事件的快速处置。

建议网络运营者合理规划分配ODN网络,提升光路质量;规范使用ONU电源适配器、同时建立快速定位流氓ONU网络安全事件的应急处置预案等。


文章来源: https://www.freebuf.com/articles/endpoint/277925.html
如有侵权请联系:admin#unsafe.sh