新四季網

一種防止dhcp伺服器欺騙的方法、裝置及系統的製作方法

2023-06-18 13:32:41 1

專利名稱:一種防止dhcp伺服器欺騙的方法、裝置及系統的製作方法
技術領域:
本發明涉及計算機數據通信領域,尤其涉及一種防止DHCP伺服器欺騙的方法、裝置及系統。
背景技術:
隨著網絡規模的擴大和網絡複雜程度的提高,網絡配置越來越複雜,經常出現計算機位置變化和計算機數量超過可分配的IP位址的情況。動態主機分配協議(Dynamic Host Configuration Protocol,DHCP)就是為了滿足這些需求而發展起來的,在網絡規模較大的情況下,通常採用DHCP伺服器來完成IP的分配。動態主機分配協議是一個區域網的網絡協議,使用UDP協議(User Datagr am Protocol,用戶數據包協議)工作,主要有兩個用途給內部網絡或網絡服務供應商自動分配IP位址給用戶和給內部網絡管理員作為對所有計算機作中央管理的手段。為了防止非法設置DHCP伺服器,一般在交換機中開啟DHCP偵聽(DHCP SNOOPING) 功能,DHCP SNOOPING功能指交換機監測DHCP客戶端通過DHCP協議獲取IP的過程。它通過設置可信埠和非可信埠,來防止DHCP攻擊及私設DHCP伺服器。從可信埠接收的 DHCP報文無需校驗即可轉發。典型的設置是將可信埠連接DHCP伺服器或者DHCP中繼代理。非可信埠連接DHCP客戶端,交換機將轉發從非可信埠接收的DHCP請求報文,不轉發從非可信埠接收的DHCP回應報文。如果從非可信埠接收DHCP回應報文,除了發出告警信息外,並可根據設置對該埠執行不同的動作,比如關閉該埠(Shutdown該埠),下發黑洞地址(BLACKH0LE MAC)等。但是啟用DHCP SNOOPING來防止私設DHCP伺服器是一種被動的行為,而且其判斷DHCP伺服器非法的條件相對簡單,不能滿足複雜網絡中的需求。現有技術中公開號為CN 101834870A的發明專利公開了 「一種防止MAC地址欺騙攻擊的方法和裝置」,該方法包括交換設備在接收到用戶終端發送的非動態主機配置協議 DHCP報文時,基於預先配置的靜態MAC地址表,檢測所述非DHCP報文的合法性,當所述非 DHCP報文不合法時,丟棄該報文。該方法防止了接入設備的MAC地址欺騙,並有效避免了交換設備上的MAC地址協議發生遷移,造成數據轉發紊亂,使用戶遭受攻擊的情況。現有技術中基於預先配置的靜態MAC地址表或MAC地址與IP位址綁定,來對用戶終端的非DHCP報文進行過濾,通過對報文的源MAC地址合法性檢查,防止接入設備的MAC 地址欺騙,也屬於一種被動的防止MAC地址欺騙的方法,而且該判斷方法較複雜,亟需一種簡單、易於實現、能夠主動探測發現非法DHCP伺服器的方法,能夠有效解決網絡中DHCP伺服器欺騙行為。

發明內容
為克服現有技術中存在的缺陷和不足,本發明提出一種防止DHCP伺服器欺騙的方法、裝置及系統,有效的解決了在網絡中私設DHCP伺服器的行為,確保用戶獲取合法IP位址,保證了網絡的安全性。本發明公開一種防止DHCP伺服器欺騙的方法,該方法包括如下步驟Sl 交換機預先配置滿足合法DHCP伺服器的特徵,下發DHCP報文重定向至交換機中央處理模塊的規則;S2 交換機的每個埠構建DHCP DISCOVERY報文,並將報文從構建埠發送給 DHCP伺服器,伺服器返回DHCP OFFER報文給交換機;S3 交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP伺服器特徵進行匹配;S4 根據步驟S3的匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。進一步地,所述合法DHCP伺服器的特徵包括DHCP伺服器連接埠、所屬虛擬區域網號、IP位址或MAC地址。進一步地,所述步驟Sl中交換機接收到DHCP報文後,將DHCP報文重定向至交換機的中央處理模塊,由中央處理模塊進行解析和轉發。進一步地,步驟S2中對交換機的每一個物理埠,構建DHCP DISCOVERY報文,將報文從構建埠發送給DHCP伺服器,並記錄DHCP請求對話。進一步地,步驟S3中交換機接收到DHCP OFFER報文,中央處理模塊對該報文進行解析,記錄接收報文的埠,根據解析結果與合法DHCP伺服器的特徵進行匹配。進一步地,步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應, 並且與合法DHCP伺服器的特徵匹配,則不再發送DHCP REQUEST,並且丟棄該DHCP OFFER報文。進一步地,步驟S4中如DHCP OFFER報文解析結果與合法DHCP伺服器的特徵不匹配,通過在交換機中設置的防護動作,將非法DHCP伺服器的所有報文全部丟棄。進一步地,交換機中設置的防護動作包括Shutdown該埠、下發該DHCP伺服器的黑洞MAC表項或將該埠設置到黑名單。本發明公開一種防止DHCP伺服器欺騙的裝置,該裝置用於DHCP客戶端向DHCP伺服器申請IP位址時進行信息交換,包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊,設置模塊預先配置合法DHCP伺服器的特徵,下發DHCP報文重定向至中央處理模塊的規則,該裝置埠接收到DHCP報文,重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發,自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文,從構建埠將報文發送給DHCP伺服器,DHCP伺服器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配,根據匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。本發明還公開一種防止DHCP伺服器欺騙的系統,一種由DHCP客戶端、DHCP伺服器和上面所述防止DHCP伺服器欺騙的裝置組成的系統。本發明的一種防止DHCP伺服器欺騙的方法、裝置及系統,能夠實現交換裝置主動探測發現非法DHCP伺服器,確保用戶獲取合法IP位址,該方法簡單,易於實現,保證了網絡的安全性。


圖1為本發明防止DHCP伺服器欺騙的系統原理框圖;圖2為本發明防止DHCP伺服器欺騙的系統示意圖;圖3為本發明防止DHCP伺服器欺騙的方法流程圖;圖4為本發明一具體實施的防止DHCP伺服器欺騙的方法的流程圖。
具體實施例方式為詳細說明本發明的技術內容、所實現目的及效果,以下結合實施方式並配合附圖予以詳細說明。參見圖1,為本發明防止DHCP伺服器欺騙的系統原理框圖,該系統包括DHCP客戶端、交換裝置和DHCP伺服器,其中,交換裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊;設置模塊用於配置合法DHCP伺服器的特徵,該合法DHCP伺服器的特徵指管理員搭建的DHCP伺服器具有的特徵,包括DHCP伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等;重定向模塊用於將交換裝置埠收到的DHCP網絡報文重定向到中央處理模塊進行解析和轉發,自定義模塊為交換設備在每一個物理埠構建DHCP DISCOVERY報文,從構建埠將DHCP DISCOVERY報文發送到DHCP伺服器,DHCP伺服器收到DISCOVERY報文,返回一個DHCP OFFER給交換設備;交換設備接收到DHCP OFFER報文,由中央處理模塊對報文進行解析,匹配模塊對解析結果與合法DHCP伺服器的特徵進行匹配,根據匹配結果,採取不同的防護措施如匹配成功,則停止發送DHCP REQUEST報文, 並且丟棄DHCP OFFER報文;如果匹配失敗,則根據防護措施採取不同動作,禁止非法DHCP 伺服器接入網絡,採用主動方式解決了網絡中私設DHCP伺服器的行為。其中,所述交換裝置為一種防止DHCP伺服器欺騙的裝置,該裝置用於DHCP客戶端向DHCP伺服器申請IP位址時進行信息交換,包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊。設置模塊由管理員預先配置合法DHCP伺服器的特徵,該裝置下發 DHCP報文重定向至交換機中央處理模塊的規則,DHCP客戶端與DHCP伺服器發送DHCP報文時,該規則將埠收到的DHCP報文通過重定向模塊重定向到中央處理模塊進行解析和轉發,自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文,從構建埠將報文發送給DHCP伺服器,DHCP伺服器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配,根據匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。參見圖2,為本發明防止DHCP伺服器欺騙的系統示意圖。用戶終端通過交換機連入網絡,交換機將用戶的DHCP報文向DHCP伺服器轉發。整個系統的具體工作過程如下 交換機啟用主動探測非法DHCP伺服器功能;交換機預先配置合法DHCP伺服器的特徵。交換機下發DHCP報文重定向至交換機中央處理模塊的規則,DHCP客戶端向DHCP伺服器發送DHCP網絡報文,交換機埠收到DHCP報文,通過重定向模塊將DHCP報文重定向到中央處理模塊,中央處理模塊對DHCP報文進行解析;自定義模塊為交換機每個埠構造DHCP DISCOVERY報文,將DHCP DISCOVERY報文由構造埠發送到DHCP伺服器,DHCP伺服器接收到DHCP DISCOVERY報文並進行響應,返回DHCP OFFER報文給交換機,交換機接收到DHCP OFFER報文並由中央處理模塊進行解析;匹配模塊根據解析結果與合法DHCP伺服器的特徵進行匹配,如果DHCP OFFER報文為本機的DHCP請求對話的回應,並且滿足合法DHCP伺服器的特徵,則刪除DHCP請求對話,不再發送DHCP REQUEST請求報文,並且丟棄該DHCP OFFER 報文;如果不滿足合法DHCP伺服器特徵,根據防護措施採取不同動作,禁止非法DHCP伺服器接入網絡。其中,防護動作由管理員在交換機中設置,比如Shutdown該埠,下發該DHCP 伺服器的黑洞MAC表項,或者設置黑名單等,交換機將非法DHCP伺服器的所有報文全部丟棄。參見圖3,為本發明防止DHCP伺服器欺騙的方法流程圖。該方法具體步驟如下Sl 交換機預先配置滿足合法DHCP伺服器的特徵,下發DHCP報文重定向至交換機中央處理模塊的規則。其中,合法DHCP伺服器的特徵指管理員搭建的DHCP伺服器具有的特徵,如DHCP 伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等。交換機下發 DHCP報文重定向至交換機CPU的規則,根據該規則交換機的交換晶片接收到DHCP報文後, 不執行硬體轉發行為,而是將報文重定向至交換機的CPU,由CPU進行軟體的解析和轉發。S2 交換機的每個埠構建DHCP DISCOVERY報文,並將報文從構建埠發送給 DHCP伺服器,伺服器返回DHCP OFFER報文給交換機。交換機上包括多個物理埠,交換晶片接收到DHCP報文後,為每一個埠構造 DHCP DISCOVERY報文,並將DHCP DISCOVERY報文從構建埠發送給DHCP伺服器,DHCP伺服器接收到報文並進行響應,返回DHCP OFFER報文給交換機;同時記錄此次DHCP請求對話,S3 交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP伺服器特徵進行匹配。交換機接收到DHCP OFFER報文後,由中央處理模塊進行解析,解析得到DHCP伺服器的連接埠、所屬虛擬區域網號、IP位址或者MAC地址等信息,然後與預先配置好的合法 DHCP伺服器的特徵進行匹配。S4 根據步驟S3的匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。如果DHCP伺服器報文為本次的DHCP請求對話的回應,解析後的信息與合法DHCP 伺服器的特徵匹配成功,就不再發送DHCP REQUEST報文,並且將接收到的DHCP OFFER丟棄。如解析後的信息與合法DHCP伺服器的特徵匹配不成功,則根據防護措施採取不同動作,禁止非法DHCP伺服器接入網絡。具體的防護動作由管理員在交換機中設置,比如 Shutdown該埠,下發該DHCP伺服器的黑洞MAC表項,或者設置黑名單等,此種情況下,交換機將非法DHCP伺服器的所有報文全部丟棄。本發明的技術方案採用主動探測並發現非法DHCP伺服器,確保客戶端獲得合法的IP位址,保證了網絡安全。參見圖4,為本發明一具體實施的防止DHCP伺服器欺騙的方法的具體流程1)在交換機上配置滿足合法DHCP伺服器的特徵,合法DHCP伺服器的特徵指由管理員搭建的DHCP伺服器具有的特徵,包括DHCP伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等。啟用主動探測非法DHCP伺服器功能;
2)交換裝置下發DHCP報文重定向至交換機CPU的規則到交換晶片,交換晶片收到 DHCP報文後,不執行硬體轉發行為,而是將報文重定向至交換機的CPU,由CPU進行軟體的解析和轉發;3)交換裝置的自定義模塊為交換機的每一個物理埠構造DHCP DISCOVERY報文,將DHCP DISCOVERY報文以廣播的方式從構造埠發送給DHCP伺服器,DHCP伺服器根據DHCP DISCOVERY報文信息,以廣播的形式返回DHCP OFFER報文給交換機,同時記錄此次 DHCP請求對話;4)交換機埠收到DHCP OFFER報文,解析該報文,記錄接收報文的埠,判斷 DHCP OFFER報文解析結果與步驟1)中配置的合法DHCP伺服器特徵是否匹配,如是,執行步驟5);如否,則執行步驟6);5)如果DHCP伺服器報文為本次的DHCP請求對話的回應,解析後的信息與合法 DHCP伺服器的特徵匹配成功,就不再發送DHCP REQUEST報文,並且將接收到的DHCP OFFER 報文丟棄;6)如解析後的信息與合法DHCP伺服器的特徵匹配不成功,交換機將非法DHCP伺服器的所有報文全部丟棄。實施本發明的一種防止DHCP伺服器欺騙的方法、裝置及系統,通過主動探測發現非法DHCP伺服器,確保用戶獲取合法IP位址,該方案簡單,易於實現,保證了網絡的安全性。
權利要求
1.一種防止DHCP伺服器欺騙的方法,其特徵在於,包括如下步驟51交換機預先配置滿足合法DHCP伺服器的特徵,下發DHCP報文重定向至交換機中央處理模塊的規則;52交換機的每個埠構建DHCP DISCOVERY報文,並將報文從構建埠發送給DHCP伺服器,伺服器返回DHCP OFFER報文給交換機;53交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP伺服器特徵進行匹配;54根據步驟S3的匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。
2.根據權利要求1所述的防止DHCP伺服器欺騙的方法,其特徵在於,所述合法DHCP伺服器的特徵包括DHCP伺服器連接埠、所屬虛擬區域網號、IP位址或MAC地址。
3.根據權利要求1所述的防止DHCP伺服器欺騙的方法,其特徵在於,所述步驟Sl中交換機接收到DHCP報文後,將DHCP報文重定向至交換機的中央處理模塊,由中央處理模塊進行解析和轉發。
4.根據權利要求1所述的防止DHCP伺服器欺騙的方法,其特徵在於,步驟S2中對交換機的每一個物理埠構建DHCP DISCOVERY報文,將報文從構建埠發送給DHCP伺服器,並記錄DHCP請求對話。
5.根據權利要求1所述的防止DHCP伺服器欺騙的方法,其特徵在於,步驟S3中交換機接收到DHCP OFFER報文,中央處理模塊對該報文進行解析,記錄接收報文的埠,根據解析結果與合法DHCP伺服器的特徵進行匹配。
6.根據權利要求1所述的防止DHCP伺服器欺騙的方法,其特徵在於,步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應,並且與合法DHCP伺服器的特徵匹配,則不再發送DHCP REQUEST,並且丟棄該DHCP OFFER報文。
7.根據權利要求1或6所述的防止DHCP伺服器欺騙的方法,其特徵在於,步驟S4中如DHCP OFFER報文解析結果與合法DHCP伺服器的特徵不匹配,通過在交換機中設置的防護動作,將非法DHCP伺服器的所有報文全部丟棄。
8.根據權利要求7所述的防止DHCP伺服器欺騙的方法,其特徵在於,交換機中設置的防護動作包括Shutdown該埠、下發該DHCP伺服器的黑洞MAC表項或將該埠設置到黑名單。
9.一種防止DHCP伺服器欺騙的裝置,該裝置用於DHCP客戶端向DHCP伺服器申請IP 地址時進行信息交換,該裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊,設置模塊預先配置合法DHCP伺服器的特徵,下發DHCP報文重定向至中央處理模塊的規則,該裝置埠接收到DHCP報文,重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發,自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文,從構建埠將報文發送給DHCP伺服器,DHCP伺服器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配,根據匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。
10.一種防止DHCP伺服器欺騙的系統,其特徵在於,一種由DHCP客戶端、DHCP伺服器和如權利要求9所述防止DHCP伺服器欺騙的裝置組成的系統。
全文摘要
本發明公開一種防止DHCP伺服器欺騙的方法、裝置及系統,步驟如下S1交換機預先配置滿足合法DHCP伺服器的特徵,下發DHCP報文重定向至交換機中央處理模塊的規則;S2交換機的每個埠構建DHCP DISCOVERY報文,並將報文從構建埠發送給DHCP伺服器,伺服器返回DHCP OFFER報文給交換機;S3交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP伺服器特徵進行匹配;S4根據步驟S3的匹配結果,採取不同的防護措施,從而主動防止DHCP伺服器欺騙。本發明通過主動探測發現非法DHCP伺服器,確保用戶獲取合法IP位址,該方案簡單,易於實現,保證了網絡的安全性。
文檔編號H04L29/12GK102438028SQ20121001802
公開日2012年5月2日 申請日期2012年1月19日 優先權日2012年1月19日
發明者梁小冰 申請人:神州數碼網絡(北京)有限公司

同类文章

一種新型多功能組合攝影箱的製作方法

一種新型多功能組合攝影箱的製作方法【專利摘要】本實用新型公開了一種新型多功能組合攝影箱,包括敞開式箱體和前攝影蓋,在箱體頂部設有移動式光源盒,在箱體底部設有LED脫影板,LED脫影板放置在底板上;移動式光源盒包括上蓋,上蓋內設有光源,上蓋部設有磨沙透光片,磨沙透光片將光源封閉在上蓋內;所述LED脫影

壓縮模式圖樣重疊檢測方法與裝置與流程

本發明涉及通信領域,特別涉及一種壓縮模式圖樣重疊檢測方法與裝置。背景技術:在寬帶碼分多址(WCDMA,WidebandCodeDivisionMultipleAccess)系統頻分復用(FDD,FrequencyDivisionDuplex)模式下,為了進行異頻硬切換、FDD到時分復用(TDD,Ti

個性化檯曆的製作方法

專利名稱::個性化檯曆的製作方法技術領域::本實用新型涉及一種檯曆,尤其涉及一種既顯示月曆、又能插入照片的個性化檯曆,屬於生活文化藝術用品領域。背景技術::公知的立式檯曆每頁皆由月曆和畫面兩部分構成,這兩部分都是事先印刷好,固定而不能更換的。畫面或為風景,或為模特、明星。功能單一局限性較大。特別是畫

一種實現縮放的視頻解碼方法

專利名稱:一種實現縮放的視頻解碼方法技術領域:本發明涉及視頻信號處理領域,特別是一種實現縮放的視頻解碼方法。背景技術: Mpeg標準是由運動圖像專家組(Moving Picture Expert Group,MPEG)開發的用於視頻和音頻壓縮的一系列演進的標準。按照Mpeg標準,視頻圖像壓縮編碼後包

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

本發明涉及一種基於加熱模壓的纖維增強pbt複合材料成型工藝。背景技術:熱塑性複合材料與傳統熱固性複合材料相比其具有較好的韌性和抗衝擊性能,此外其還具有可回收利用等優點。熱塑性塑料在液態時流動能力差,使得其與纖維結合浸潤困難。環狀對苯二甲酸丁二醇酯(cbt)是一種環狀預聚物,該材料力學性能差不適合做纖

一種pe滾塑儲槽的製作方法

專利名稱:一種pe滾塑儲槽的製作方法技術領域:一種PE滾塑儲槽一、 技術領域 本實用新型涉及一種PE滾塑儲槽,主要用於化工、染料、醫藥、農藥、冶金、稀土、機械、電子、電力、環保、紡織、釀造、釀造、食品、給水、排水等行業儲存液體使用。二、 背景技術 目前,化工液體耐腐蝕貯運設備,普遍使用傳統的玻璃鋼容

釘的製作方法

專利名稱:釘的製作方法技術領域:本實用新型涉及一種釘,尤其涉及一種可提供方便拔除的鐵(鋼)釘。背景技術:考慮到廢木材回收後再加工利用作業的方便性與安全性,根據環保規定,廢木材的回收是必須將釘於廢木材上的鐵(鋼)釘拔除。如圖1、圖2所示,目前用以釘入木材的鐵(鋼)釘10主要是在一釘體11的一端形成一尖

直流氧噴裝置的製作方法

專利名稱:直流氧噴裝置的製作方法技術領域:本實用新型涉及ー種醫療器械,具體地說是ー種直流氧噴裝置。背景技術:臨床上的放療過程極易造成患者的局部皮膚損傷和炎症,被稱為「放射性皮炎」。目前對於放射性皮炎的主要治療措施是塗抹藥膏,而放射性皮炎患者多伴有局部疼痛,對於止痛,多是通過ロ服或靜脈注射進行止痛治療

新型熱網閥門操作手輪的製作方法

專利名稱:新型熱網閥門操作手輪的製作方法技術領域:新型熱網閥門操作手輪技術領域:本實用新型涉及一種新型熱網閥門操作手輪,屬於機械領域。背景技術::閥門作為流體控制裝置應用廣泛,手輪傳動的閥門使用比例佔90%以上。國家標準中提及手輪所起作用為傳動功能,不作為閥門的運輸、起吊裝置,不承受軸向力。現有閥門

用來自動讀取管狀容器所載識別碼的裝置的製作方法

專利名稱:用來自動讀取管狀容器所載識別碼的裝置的製作方法背景技術:1-本發明所屬領域本發明涉及一種用來自動讀取管狀容器所載識別碼的裝置,其中的管狀容器被放在循環於配送鏈上的文檔匣或託架裝置中。本發明特別適用於,然而並非僅僅專用於,對引入自動分析系統的血液樣本試管之類的自動識別。本發明還涉及專為實現讀