浅析用户认证频率抑制功能

《中国有线电视》2016（09）CHINA DIGITAL CABLE TV
·技术交流·
中图分类号：TN943．6
文献标识码：B
文章编号：1007－7022（2016）09－1056－02
作者简介：粘成涛（1980－
），男，鱼台分公司总经理/工程师，
从事有线电视网络维护和增值业务开发；何钰（1985－
），男，济
宁分公司技术部员工，从事有线电视网络维护和增值业务开发，
E-mail ：939855591@qq．com 。

浅析用户认证频率抑制功能
□粘成涛，
何钰（山东广电网络有限公司济宁分公司，山东济宁272037）
摘
要：ＲADIUS 服务器在网络中具有用户认证、
计费和授权的核心作用，但是频繁的非法拨号会影响认证率，为了维护ＲADIUS 服务器的安全，在BＲAS 上开启用户认证频率抑制功能，这样可在一定程度
上减轻服务器的负担，使其保持稳定的运行状态。

关键词：ＲADIUS ；BＲAS ；认证；抑制
Analysis of User Authentication Frequency Suppression Function
□NIAN Chengtao ，
HE Yu （Shandong Ｒadio and Television Network Co．，Ltd ，Jining Branch ，Jining 272037，China ）
Abstract ：The radius server in the network plays a core role in user authentication ，authorization and account-ing．However ，frequent illegal dial will impact authentication rate．To maintain the security of ＲADIUS serv-er ，the user authentication frequency suppression function i opened on BＲAS ，resulting in a certain extent re-duced server burden and maintenance of its stable operation．Key words ：ＲADIUS ；BＲAS ；authentication ；suppression
0引言
目前网络中一些接入设备会自动拨号，特别是在
密码设置错误的情况下频繁自动拨号，会在一定程度上影响BＲAS 下挂接入用户的ＲADIUS 认证成功率，同时频繁尝试密码也是对ＲADIUS 服务器的一种攻击。

1故障现象分析
近期单位的ＲADIUS 服务器经常出现故障，故障现象是服务器的认证服务停止工作，用户拨号时错误代码691，前期我们对该故障进行深入分析，最终在ＲADIUS 认证服务器上看到许多账号在频繁拨号，其中个别账号24小时内拨号近1．7万次，这在一定程度上影响了ＲADIUS 的认证成功率，换种思维，如此频繁
的尝试密码服务也是对ＲADIUS 服务器的一种攻击。

2解决方案
为了更好地服务互联网用户，防止不法用户持续拨号恶意攻击ＲADIUS 服务器，引发服务器内存和硬盘使用率居高的故障，同时借鉴其他电信运营商的经验，我们决定开启互联网用户认证频率抑制功能，认证频率控制的基本原理是在用户认证失败多次后，锁定一段时间重新释放，在这期间对用户再次发送的认证请求进行抑制，从而控制用户的认证频率。

用户认证失败后，将认证失败信息记录到认证失败信息表中，下一次用户上线，首先查询该表，根据配置计算出需要抑制的时间，判断是否允许该用户接入，如在拒绝时间内请求无响应，否则才发起AAA 认证。

认证成
功，删除对应fail 表，认证失败，更新fail 表用户最近
一次上线时间［1］。

3
BＲAS 配置
该功能需要在相关BＲAS 上进行应用，这样做的好处是可最大程度保证ＲADIUS 服务器的安全稳定，具体的配置步骤是：
subscriber －manage //进入用户管理配置模式
authentic －request －ctrl control enable //配置认证频率抑制功能开启
authentic －request －ctrl request －count 3forbid －period 300reset －period 6//配置认证频率抑制功能参数
通过上面的配置，用户连续拨号超过3次就会被
抑制拨号，第4次拨号就是651或者678，
5分钟后才能再次拨号。

这些命令是在BＲAS 的全局模式下应用的，所以整个BＲAS 下的域名都会生效，完成配置后我们使用账号测试，连续3次错误拨号错误代码均为
691，第4次拨号错误代码显示651［2］，紧接着使用命令show submanage authentic －request －ctrl pppox slot 0
brief 查看用户抑制情况，如图1所示。

图1查看用户抑制情况示意图
具体抑制用户的信息可以使用命令show submanage authentic －request －ctrl pppox slot 0detail ，如图2所示。

图2查看具体抑制用户信息示意图
从图2可以看到在抑制时间内，即15：36：25之前，填入正确的密码进行拨号，用户无法上线，没有进行AAA 认证。

4
总结
根据故障现象，分析出ＲADIUS 服务器故障的原因是许多错误账号频繁自动拨号，影响了BＲAS 下挂接入用户的ＲADIUS 认证成功率，在BＲAS 上开启认证频率控制功能，即可限制错误账号的频繁拨号，最大程度保证ＲADIUS 服务器的安全和稳定。

参考文献：
［1］吴礼发．网络协议逆向分析及应用［M ］．北京：
国防工业出版社，
2016：22．［2］贾铁军．网络安全技术及应用实践教程［M ］．第
2版．北京：机械工业出版社，2016：19．
［收稿日期：2016-
03-01櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦櫦毤
毤
毤
毤
］乌苏市实现“
户户通”工程全覆盖8月31日，新疆乌苏市巴音沟牧场阔克塔拉队村委会热闹非凡，乌苏市文化体育广播影视局工程技术人员忙着为该村农
牧民安装“户户通”广播电视直播卫星设备，经过调试，牧民们很快就看上了“户户通”直播卫星的电视节目。

村民蒲书照说：“不用花钱就能收看到78套电视、听到55套广播节目，不但信号好，而且很清楚，真是太好了！”
据了解，根据西新工程规划，在有线网络覆盖不到的区域采取“户户通”解决农牧民收听、收看广播电视问题。

西新工程
“户户通”项目是“村村通”工程项目的提升，是以最低成本、最快速度、最有效方式，从根本上解决广大农牧民群众听广播、看电视问题的公共文化惠民工程。

自2014年乌苏市实施“户户通”工程以来，解决了22666户有线网络未能通达地区的农牧民群众免费收听收视广播电视
难题；城区有线电视网络不断升级换代，
16930户城区用户可收看到130套数字电视节目。

不仅如此，乌苏市广播电台还将播出频率增至7个，收转中央1套、新疆汉、哈萨克、维吾尔、蒙古等语种节目，新增自办综
合节目1套，开设有《乌苏新闻》、《乌苏印象》、《相约乌苏》等栏目；完成406个村队“大喇叭”工程，通响率和覆盖率达99%；乌苏电视台《乌苏新闻》实现日播，自办的《乌苏新闻》、《走进田野》、《七色花》等栏目也广受欢迎，为乌苏经济社会发展营造
了良好的舆论氛围。

今年5月，八十四户乡康家庄子村村民葛启洲家也领取了“户户通”设备，随时可观看自己喜爱的电视节目，让他感慨万
千。

葛启洲说：“近些年，有了数字电视、网络电视等，节目越来越多了，可费用也不算低，现在好了，有了‘户户通’，不但节目
多，还免费，老百姓们都赞不绝口呢！”
《中国有线电视》2016年第09期
粘成涛等：浅析用户认证频率抑制功能。