由于PADT伪造攻击带来的大面积掉线原因分析

今天一早接到一个客户电话，说他有一个交换机下面的用户，大面积和上线下线。

由于之有已建议用户在主干换了普通VLAN交换机。所以这次出现问题概率较小，只在一条支路的交换机下面。

下面我对这个情况的发生做一下分析：

PPPoE认证分为两个阶段：

第一阶段：发现阶段

1.客户端以向FFFF-FFFF-FFFF广播发送PADI数据包寻找AC，即服务端

2.服务端回复一个PADO单播帧；

3.农牧民端回复一个PADR单播请求，期望进行会话

4.服务端回复一个PADS数据包，同意进行下一步协商（包中携带一个sessionid，作为用户的凭证之一）

第二阶断：会话阶段

双方使用PPP的LCP协议协商链路，NCP进行用户名密码检验，双方完成通讯。

在第一阶段pppoe会话重要依据就是双方的mac地址，在和sessionid

在用户下线的时候，用户会发送PADT数据包进行协商，断开会话连接

大家可以想象一下：病毒模拟发包的方式，向服务端发送PADT数据包？服务端以为是客户端请求下线，就会断开客户端，导致客户端掉线，多可怕的事啊。

具体数据包看附图

有人要问了，病毒没有客户端与服务端通讯的seddionid，如何断开？这个问题，我晚点再给大家解释，大家先看图

图上第一段是客户机正常下线的数据图片。

过程是客户端向服务端发送一个PADT，然后服务端收到PADT包，然后再回馈一个PADT包，客户端下线，这个过程服务端只收到一个PADT数据包的。

图上第三段是大面积掉线用户的数据图片。

大家仔细看，服务端收到两个PADT包，多了一个PADT？这要如何解释？

原因是病毒模拟客户端向服务端发送PADT，服务端回馈一个PADT，此时按理如果是由客户端自己主动发起的断开，他是不会再回馈一个PADT包的。

可是我们服务端确实是收到了两个PADT，这是因为第一个不是我们的客户端发送的(是病毒发送的)，所以客户端以为是服务端主动断开，所以再回复一个PADT，才有上面的2个PADT包。

我仔细看了一下日志，大部分用户都是2个PADT的数据包，印证了这一点。

接下去，我向大家解释一下，为什么没有sessionid，病毒为什么能模仿发送数据包？

发送PADT起码要知道客户端MAC和sessionid，我在抓包的时候发现：中毒的客户机，一秒钟发起5000多个ARP请求，而且是获取其他客户机MAC地址的ARP数据包。

这说明病毒一直在扫描内网的MAC，这个因为是二层通讯，这人以很简单可以获取的，而且在三层是禁止不了的。

接下去说一下sessionid吧

由于session是0xFFFF，也就是65536，网上有人说，病毒要断开一个客户端，要发送65536个数据包？

其实不然的，病毒没有这么傻吧？断开一个客户端，要这么麻烦，6万多个数据包，也得发送好一会儿。

病毒其实可以模拟一个pppoe认证过程的，自己就会获取一个sessionid，或者根本不需要，因为本身就是pppoe 上网的，直接获取。

大家都清楚，PPPOE的sessionid是累加的，这个看日志就知道了，所以病毒只要往他的MAC地址库里面取出来的地址（这个数量就很少了吧），然后发送session为当前sessionid的数值就可以了

想想，是不是太可怕了？

又有人要问了，这样之前上网的不就没事？确实是，但是你总要下线吧，下线后，你的sessionid就在病毒扫描范围内了，有甚者，全网扫描

有人要问了，这个要怎么防呢？其实这是二层通讯，除非你每个端口用VLAN隔离，才可以完全避免啊，

其实只要增加VLAN交换机使用，8口的才50多一个，以后还会更便宜，出了问题，影响的面积就不会是全网，不但有些用户不受影响，而且也好找

如果有遇到这个问题要咨询详细处理的，可以加我的Q561454825