PPPoE,在安全的边缘徘徊

最新推荐文章于 2024-03-21 10:18:55 发布
最新推荐文章于 2024-03-21 10:18:55 发布
阅读量2.4k 收藏 4
点赞数
文章标签: 服务器 网络 防火墙 authentication service windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaidamu/article/details/1464220
版权
本文探讨了PPPoE(PPP Over Ethernet)在网络安全中的潜在风险,尤其是假冒服务器攻击,如何窃取用户账号,并详细解释了攻击的原理和过程。作者指出,PPPoE的验证过程存在安全隐患,广播数据包可被恶意利用,导致用户信息泄露,且现有的安全措施不足。建议采用Vlan和CHAP验证模式来增强安全性。
摘要由CSDN通过智能技术生成
  
PPPoE ,在安全的边缘徘徊
 
 
声明:撰写本文的目的在于让大家明白某些地区PPPoE(PPP Over Ethernet,基于以太网的 PPP协议)应用所存在的安全问题,并尽快找到弥补的方法。如果有谁利用本文提到的理论方法进行实际攻击,所造成的一切后果自负。
 
前言
宽带网的老用户肯定都知道,在几年前,我们去ISP(Internet Service Provider,因特网服务提供商)的营业厅开通网络的时候,他们会给我们一个IP地址,一个网关地址,回家来设好地址,插好网线,开机就可以上网了。而现在我们得到的是一个用户名和一个密码,开机后,先拨号,再上网,这就是PPPoE拨号。
PPPoE给网络提供商和用户都带来了很多好处,它的验证功能很好的解决了以前应用中非法用户私接线路上网的问题,也很好的完成了用户管理,流量统计等任务。随着管理水平的提高,用户的计费方式也更加灵活,包月、包时、包流量等计费方式满足了不同用户的需求。
然而,在PPPoE实施以来,安全问题一直没有得到重视。在某些地区,用户计算机仍旧处于一个快速以太网的环境当中,很容易受到攻击,但ISP在保证了经济效益的情况下并没有提供任何措施来保障用户在目前网络环境中的安全。在很多用户看来,账号和密码就代表着安全,其实不然,它们并不会给用户带来额外的保护,它们保证的是ISP的效益。
在快速以太网环境(以下简称网络)中,用户计算机会不可避免的泄露某些信息,比如机器的MAC地址,IP地址,广播报文所携带的其它信息等。这些信息有可能被攻击者利用,并对用户的网络安全造成威胁,损害用户的利益。
为了方便大家理解,用图1来简单的表示用户所处的网络环境。在实际应用中,网络拓扑会更加的复杂,然而它们的原理都是相同的。
  1
 
. PPPoE 验证过程简述
此部分不是本文的重点,大家知道以下几点就可以:
1. PPPoE的验证过程是由用户计算机的PADI(PPPoE Active Discovery Initiation)数据包开始的,PADI广播发送,它的作用是询问网络上有没有提供服务的PPPoE验证服务器,服务器会以一个单播发送的PADO(PPPoE Active Discovery Offer)做为回应,之后两者之间的所有数据包都是单播发送的。
2.如果网络上存在多台验证服务器,用户计算机会与最先收到的PADO所对应的服务器进行后续的验证过程,而不再向其它服务器发送任何数据。
3.验证过程中,计算机会在一个数据包中以明文发送用户名和密码,因为是单播发送,所以只有验证服务器会收到。
4.验证成功后,用户就可以正常上网了。验证服务器会定时向用户发送Echo-Request数据包,用户则会回应一个Echo-Reply数据包,它们的作用是测试连接是否正常&#
最低0.47元/天 解锁文章
chaidamu
关注
关于PPPoE网络安全
03-01
pppoe安全性?
奋斗的蜗牛的专栏
08-23 2595
pppoe安全性在哪里?中国电信使用PAP(c023)进行认证,谁都知道这个协议的密码是明文传输的,当然如果使用CHAP,对数据进行加密会影响速度。但是pppoe 的PADI报文是广播的,所有主机都可以收到这个报文,而只有服务器会响应这个报文,但是目前主机发出的报文的 service name Tag 都没有经过设置,是为NULL的 ,由此主机没办法确定那台主机是ISP的,而哪台是个人的(如果个
PPPOE又如何?安全吗?不安全
weixin_33869377的博客
09-01 428
一时心血来潮,想起在小区内的ARP霸道控制,很多朋友已经转向了PPPOE来免疫ARP,事实上这也是无忌于事的。依然可以进行***,但这次的目标不是主机和网关,而是他们之间的设备。交换机。本篇只适合小区内的PPPOE认证对于ADSL的VC方式无效。 1 交换机的工作原理是依靠MAC地址表进行的,如果MAC地址表学习发生错误,即可把所有原本发送给网关的数据发送至错误的接口 ...
pppoe计费流程和用户帐号安全问题
weixin_33747129的博客
03-25 226
用户安全问题是目前宽带网络开展业务时碰到的主要问题,具体表现为用户账号的非法共享(漫游)、用户账号的盗用以及对一些非法用户的追踪困难等问题。用户通过申请一个宽带上网账号,非法共享给其他人,使得多人能够同时上网,造成电信运营商业务收入的流失;同时因为账号可以漫游,也造成对非法用户(如在网上发表非法言论或故意破坏网络安全者)的定位和追踪困难。也有一些用户通过盗取其他用户的上网账号...
Python-用来模拟中间人拦截pppoe拨号过程的账号密码
08-10
实现了从 PPPoE 发现阶段到 PPPoE 会话阶段(LCP 和 IPCP)
PPPoE,在安全边缘徘徊-黑客防线官方站参考.pdf
02-12
PPPoE,在安全边缘徘徊-黑客防线官方站参考.pdf
信息安全_3.How.to.build.a.portable.PPPoE.Password.Sniffer.pptx
08-14
信息安全 - PPPoE>Password Sniffer 本资源主要讲解如何搭建一个便携的 PPPoE 密码嗅探器,用于嗅探路由器的 PPPoE 密码。该嗅探器可以嗅探到路由器的 WAN 端口的 PPPoE 密码,从而获取路由器的宽带账号。 PPPoE ...
PPPOE简介,描述了PPPOE基本原理
10-08
在ADSL等宽带接入场景中,PPPoE是确保用户安全、可控上网的重要技术手段。然而,它也存在一些挑战,如增加网络复杂性、可能导致网络性能下降等问题。 总的来说,PPPoE协议是实现以太网环境下PPP连接的关键技术,它...
DHCP服务器的优缺点简介
最新发布
成都亿佰特的博客
03-21 474
DHCP服务器在自动化配置、减少IP地址冲突、灵活性和安全性等方面具有显著优点,但也存在单点故障、配置复杂性、性能瓶颈和安全问题等缺点。在实际应用中,需要根据网络规模和需求来权衡这些优缺点,并采取相应的措施来确保网络的稳定性和安全性。
[转载]解决PPPOE宽带拨号经常掉线的一种方法(适合刷了第三方固件的无线路由)
ex_xyz的博客
05-26 6832
文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。 最近在进行下载或看视频等大量占用网络带宽的行为时,宽带PPPOE连接非常不稳定,经常自动掉线,严重影响我的下载进程和看视频的乐趣,为此我把无线路由上的Openwrt固件重新刷了一次,虽然增加了一些功能,修正了一些BUG,但掉线问题照旧…囧 不过由于这次我把日志保存了,所以在我查看了日志之后,发现了一些问题。 Oct 14 15:55:10 OpenWrt daemon.info pppd[8
pppoe工作原理详解
热门推荐
xinyuan510214的专栏
05-10 5万+
与传统的接入方式相比,PPPoE具有较高的性能价格比,它在包括小区组网建设等一系列应用中被广泛采用,目前流行的宽带接入方式ADSL就使用了PPPoE协议。随着低成本的宽带技术变得日益流行,DSL(Digital Subscriber Line)数字用户线技术更是使得许多计算机在互联网上能够酣畅淋漓的冲浪了。但是这也增加了DSL服务提供商们对于网络安全的担心。通过ADSL方式上网的计算机大都是通过以
PIX/ASA 防火墙PPPoe 拨号配置
Jian Sun_的博客
07-01 996
PIX/ASA 防火墙PPPoe 拨号配置 转载别人的问题 挺实用的。 可以把PIX防火墙配置成为一台PPPoE客户端。这个新增的功能使得PIX防护墙能够适用于运行PPPoE的宽带环境。 如图 pix(config)#interface e0 100full //激活外网接口,设定为100M,全双工模式 pix(config)#interface e1 100full //...
同时大量PPPoE连接请求,攻击PPPoE服务器,导致的用户异常掉线故障分析
weixin_34220834的博客
07-15 718
前几天接一个客户电话,PPPoE下用户异常掉线,掉线后拨号困难 到达后,我首先查看PPPoE日志,发现一秒钟内有大量PADI包,浪费服务器的SESSION,同时让服务器无法处理其他用户的请求。 打开Wireshark后,发现用户使用协靠的MAC地址,就是自定义数据包,来发送数据 这种大量的PPPoE请求,严重浪费了PPPoE SERVER的资源,导致服务器没有办法正常接受用户的心跳包,导致掉...
PPPoE中间人拦截以及校园网突破漫谈
ai74583的博客
05-12 1972
本文首发于PPPoE中间人拦截以及校园网突破漫谈,转载请注明出处。 PPPoE中间人拦截以及校园网突破漫谈 校园生活快结束了,之前还有点未完成的想法,趁着这两天有兴趣搞搞。 此文面向大众是那种在校园内苦受拨号客户端的毒害,但是又想自己动手折腾下的。 一些我知道的办法 目前主要的方法可以可以分为移动端和电脑客户端。 移动端 移动端基本是基于 http 的 portal 认证,这个解决方...
PPPoE 报文分析
YellowTail
12-01 1万+
转载自http://wenku.baidu.com/link?url=mWJ8HLNZ98Cc-E0RRPQohT35bsyBNAnQzB3DEG60v9ufXWhSAK5Y4oecTvzIue0Ky06snhbmoZSyAL1e6UV7oXcI0XxDieCBElU4kqQ0-BK PPPoE报文的格式就是在以太网帧中携带PPP报文,如图所示 PPPoE
带宽接入--以太网接入PPPOE简述
qq_43115153的博客
08-25 1532
带宽接入技术 需求:除了传统专线连接,企业网中部分用户在接入企业网络时也会考虑高速,灵活,便宜的宽带接入技术先接入internet,然后通过安全VPN方式来访问企业网络资源 数据网络的建设分为三层:核心交换网,城域网,接入网 核心交换网相当于城市间高速公路 城域网相当于城市公路 接入网相当于道路市区延伸到小区,直至家庭用户或办公室 接入网:本地交换机与用户之间的连接部分,常包括用户线传输系统,复用设备,交叉连接设备或用户/网络终端设备
网络安全-pppoe拨号-防火墙的负载分担-ensp
croumin的博客
09-17 3794
  实验名称: 防火墙应用有关实验 实验拓扑图: 实验需求: 1.AR1是一台PPPoE服务器,内网防火墙通过拨号进行获得地址。 2.通过所学技术实现对内网PC机的访问外网的数据分流,实现防火墙的负载分担   实验步骤:   1、PPPOE AR1 创建地址池 [ar1-ip-pool-pppoe1]net 61.67.1.0 m 24 创建虚拟模板 [ar1]int Vi...
PPPOE、Web+Portal、802.1x常见三种认证方式对比
weixin_34067049的博客
09-08 1164
认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAAServer和计费软件四个环节。用户终端与AAAClient之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。三种方式有其产生的背景原因和技术特点,以下对这三种主要认证技术作一个简要的分析: 1.PPPOE...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值