本帖最后由 zhaorong 于 2021-7-15 17:27 编辑

案例摘要

根据IEEE802．3协议,宽带网PON系统传输信号时 采用的是时分复用技术。在正常状态下 ONU应该按照指定的时间戳
向上行方向发送数据包。但当某个ONU没有按照指定时间戳发光 而是长发光或无规则发光就会与其他正常发光的ONU
光信号产生传输冲突, 破坏了OLT设备PON口的正常接受 对OLT设备造成L2 数据链路层 的DOS攻击行为 从而导致整个
PON口下挂用户大量的掉线 断网现象。这种不按照分配的时间戳向上发送光信号的ONU被俗称为流氓ONU。

案例背景

某OLT下1槽2口下挂用户大量掉线 在网管侧查看是ONU是频繁上下线。且通过命令行查看PON口存在大量
误码判断可能是光路质量不好或PON下存在流氓猫导致。

案例分析

一、 流氓ONU的DOS攻击行为及原理分析：

1、如下图 首先对问题网络关键点进行查看和分析


PON接入网传输数据时 采用TDM和TDMA技术。正常状态下 ONU应该按照指定的时间戳向上
行方向发送数据包。如下图所示：


但当某个ONU没有按照指定时间戳发光 而是长发光或无规则乱发光 就会与其他正常发光的ONU的产生光信号冲突。这种不按
照分配的时间戳向上发送光信号的ONU被称为流氓ONU 形成二层DOS攻击OLT设备行为 造成该设备下部分用户不能正常上网
的现象。常见流氓光猫类型：长发光流氓光猫 无规则乱发光流氓光猫 如：低版本互斥、匿名、自环路、MAC地址漂移等 长发
光流氓光猫DOS攻击图例如下：


遭受DOS攻击的网络现象如下表：


原因分析如下表


首先根据故障现象判断故障原因。流氓ONU DOS攻击导致的故障现象很多 在网管侧体现可能是设备脱管 反复上下线 出现断
纤告警等，在用户侧体现为业务中断 瞬时掉线又恢复 上网速度慢等 判断故障原因时 如果网管上有大量 断纤告警 且通过命令
行查看有大量CRC误码 说明可能是光路或流氓ONU问题，进一步检查光路正常，则可以基本确定是存在流氓ONU。

二、 流氓ONU的排障定位：

在大量的ONU中定位流氓ONU。一般定位判定方法如下几种：

其中有两点需要注意：

总结流氓ONU处理流程图如下：


确定问题具体步骤如下：

步骤1

查看OLT上的告警 确认故障性质。

从网管菜单栏选择 告警 →当前告警= 查看告警的特征 判断是否为流氓ONU问题。

步骤2

登录到业务盘 通过命令行进一步查看PON的上行统计计数中是否出现大量CRC
误码如果是可以判断网络中存在光路问题或流氓ONU。

以GPON业务盘为例 当存在大量CRC误码时 如下所示：


步骤3：

1）长发光现象可直接在OLT开启流氓猫检测功能即可快速定位解决。处理流程如下图：


2）无规则乱发光现象则需到现场断开光纤 同样适用于长发光现象 定位流氓ONU 建议在光交箱处操作
可以更方便操作和快速准确定位流氓ONU所在位置 减少往返于各ONU部署点的时间。
如果现场ONU数量不多，可以全部拔掉后逐个插上观察；
如果现场ONU数量较多 可以拔掉半数ONU的光纤 观察流氓ONU是否在其中
反复几次后即可定位出流氓ONU。

步骤4：

通过测量ONU的发送光功率判断系统是否存在流氓ONU。

1.设置光功率计参数，单位：dBm，波长：1310nm；

2.拔出ONU的PON口光纤，使用光纤跳线连接ONU的PON口和光功率计；

3.持续测量读取数据两分钟；

4.根据测量数据判断是否是流氓ONU。

三、解决流氓ONU方案：

步骤1 查看ONU的电源适配器是否适用于该ONU。不适用的电源适配器可能
导致ONU异常需更换为与该型号ONU匹配的电源适配器。
步骤2 查看供电情况是否稳定。环境电压不稳定可能造成ONU发光不受控制
需确保ONU所处环境的电情况良好。

步骤3 更换ONU 查看故障是否消除。
ONU可能存在软件或硬件异常导致发光不稳定需进行更换。
步骤4 改善光路质量查看故障是否消除。
光路质量差可能造成大量反射和非正常光功率损耗等干扰需逐
段排查并更换光纤或ODN部件。

案例总结

在宽带互联网运维中 经常存在流氓猫ONU的DOS攻击PON设备端口的疑难现象 这导致其它用户无法正常上网大幅降
低了用户上网的正常感知。网络专家在网管侧查看到的是用户ONU的频繁上下线 且通过命令行查看PON口存在大量
CRC误码 预判可能是光路质量不好或PON口下存在流氓猫的DOS攻击，再排除光路正常之后需快速定位流氓ONU所
在位置，这有利于用户被DOS攻击事件的快速处置。

建议网络运营者合理规划分配ODN网络 提升光路质量规范使用ONU电源适配器 同时
建立快速定位流氓ONU网络安全事件的应急处置预案等。