一種防止dhcp伺服器欺騙的方法、裝置及系統的製作方法

2023-06-18 13:32:41

專利名稱：一種防止dhcp伺服器欺騙的方法、裝置及系統的製作方法
技術領域：
本發明涉及計算機數據通信領域，尤其涉及一種防止DHCP伺服器欺騙的方法、裝置及系統。
背景技術：
隨著網絡規模的擴大和網絡複雜程度的提高，網絡配置越來越複雜，經常出現計算機位置變化和計算機數量超過可分配的IP位址的情況。動態主機分配協議(Dynamic Host Configuration Protocol，DHCP)就是為了滿足這些需求而發展起來的，在網絡規模較大的情況下，通常採用DHCP伺服器來完成IP的分配。動態主機分配協議是一個區域網的網絡協議，使用UDP協議(User Datagr am Protocol，用戶數據包協議)工作，主要有兩個用途給內部網絡或網絡服務供應商自動分配IP位址給用戶和給內部網絡管理員作為對所有計算機作中央管理的手段。為了防止非法設置DHCP伺服器，一般在交換機中開啟DHCP偵聽(DHCP SNOOPING) 功能，DHCP SNOOPING功能指交換機監測DHCP客戶端通過DHCP協議獲取IP的過程。它通過設置可信埠和非可信埠，來防止DHCP攻擊及私設DHCP伺服器。從可信埠接收的 DHCP報文無需校驗即可轉發。典型的設置是將可信埠連接DHCP伺服器或者DHCP中繼代理。非可信埠連接DHCP客戶端，交換機將轉發從非可信埠接收的DHCP請求報文，不轉發從非可信埠接收的DHCP回應報文。如果從非可信埠接收DHCP回應報文，除了發出告警信息外，並可根據設置對該埠執行不同的動作，比如關閉該埠(Shutdown該埠)，下發黑洞地址(BLACKH0LE MAC)等。但是啟用DHCP SNOOPING來防止私設DHCP伺服器是一種被動的行為，而且其判斷DHCP伺服器非法的條件相對簡單，不能滿足複雜網絡中的需求。現有技術中公開號為CN 101834870A的發明專利公開了 「一種防止MAC地址欺騙攻擊的方法和裝置」，該方法包括交換設備在接收到用戶終端發送的非動態主機配置協議 DHCP報文時，基於預先配置的靜態MAC地址表，檢測所述非DHCP報文的合法性，當所述非 DHCP報文不合法時，丟棄該報文。該方法防止了接入設備的MAC地址欺騙，並有效避免了交換設備上的MAC地址協議發生遷移，造成數據轉發紊亂，使用戶遭受攻擊的情況。現有技術中基於預先配置的靜態MAC地址表或MAC地址與IP位址綁定，來對用戶終端的非DHCP報文進行過濾，通過對報文的源MAC地址合法性檢查，防止接入設備的MAC 地址欺騙，也屬於一種被動的防止MAC地址欺騙的方法，而且該判斷方法較複雜，亟需一種簡單、易於實現、能夠主動探測發現非法DHCP伺服器的方法，能夠有效解決網絡中DHCP伺服器欺騙行為。

發明內容
為克服現有技術中存在的缺陷和不足，本發明提出一種防止DHCP伺服器欺騙的方法、裝置及系統，有效的解決了在網絡中私設DHCP伺服器的行為，確保用戶獲取合法IP位址，保證了網絡的安全性。本發明公開一種防止DHCP伺服器欺騙的方法，該方法包括如下步驟Sl 交換機預先配置滿足合法DHCP伺服器的特徵，下發DHCP報文重定向至交換機中央處理模塊的規則；S2 交換機的每個埠構建DHCP DISCOVERY報文，並將報文從構建埠發送給 DHCP伺服器，伺服器返回DHCP OFFER報文給交換機；S3 交換機接收到DHCP OFFER報文，與預先配置好的合法DHCP伺服器特徵進行匹配；S4 根據步驟S3的匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。進一步地，所述合法DHCP伺服器的特徵包括DHCP伺服器連接埠、所屬虛擬區域網號、IP位址或MAC地址。進一步地，所述步驟Sl中交換機接收到DHCP報文後，將DHCP報文重定向至交換機的中央處理模塊，由中央處理模塊進行解析和轉發。進一步地，步驟S2中對交換機的每一個物理埠，構建DHCP DISCOVERY報文，將報文從構建埠發送給DHCP伺服器，並記錄DHCP請求對話。進一步地，步驟S3中交換機接收到DHCP OFFER報文，中央處理模塊對該報文進行解析，記錄接收報文的埠，根據解析結果與合法DHCP伺服器的特徵進行匹配。進一步地，步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應， 並且與合法DHCP伺服器的特徵匹配，則不再發送DHCP REQUEST，並且丟棄該DHCP OFFER報文。進一步地，步驟S4中如DHCP OFFER報文解析結果與合法DHCP伺服器的特徵不匹配，通過在交換機中設置的防護動作，將非法DHCP伺服器的所有報文全部丟棄。進一步地，交換機中設置的防護動作包括Shutdown該埠、下發該DHCP伺服器的黑洞MAC表項或將該埠設置到黑名單。本發明公開一種防止DHCP伺服器欺騙的裝置，該裝置用於DHCP客戶端向DHCP伺服器申請IP位址時進行信息交換，包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊，設置模塊預先配置合法DHCP伺服器的特徵，下發DHCP報文重定向至中央處理模塊的規則，該裝置埠接收到DHCP報文，重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發，自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文，從構建埠將報文發送給DHCP伺服器，DHCP伺服器返回DHCP OFFER報文給交換設備，匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配，根據匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。本發明還公開一種防止DHCP伺服器欺騙的系統，一種由DHCP客戶端、DHCP伺服器和上面所述防止DHCP伺服器欺騙的裝置組成的系統。本發明的一種防止DHCP伺服器欺騙的方法、裝置及系統，能夠實現交換裝置主動探測發現非法DHCP伺服器，確保用戶獲取合法IP位址，該方法簡單，易於實現，保證了網絡的安全性。


圖1為本發明防止DHCP伺服器欺騙的系統原理框圖；圖2為本發明防止DHCP伺服器欺騙的系統示意圖；圖3為本發明防止DHCP伺服器欺騙的方法流程圖；圖4為本發明一具體實施的防止DHCP伺服器欺騙的方法的流程圖。
具體實施例方式為詳細說明本發明的技術內容、所實現目的及效果，以下結合實施方式並配合附圖予以詳細說明。參見圖1，為本發明防止DHCP伺服器欺騙的系統原理框圖，該系統包括DHCP客戶端、交換裝置和DHCP伺服器，其中，交換裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊；設置模塊用於配置合法DHCP伺服器的特徵，該合法DHCP伺服器的特徵指管理員搭建的DHCP伺服器具有的特徵，包括DHCP伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等；重定向模塊用於將交換裝置埠收到的DHCP網絡報文重定向到中央處理模塊進行解析和轉發，自定義模塊為交換設備在每一個物理埠構建DHCP DISCOVERY報文，從構建埠將DHCP DISCOVERY報文發送到DHCP伺服器，DHCP伺服器收到DISCOVERY報文，返回一個DHCP OFFER給交換設備；交換設備接收到DHCP OFFER報文，由中央處理模塊對報文進行解析，匹配模塊對解析結果與合法DHCP伺服器的特徵進行匹配，根據匹配結果，採取不同的防護措施如匹配成功，則停止發送DHCP REQUEST報文， 並且丟棄DHCP OFFER報文；如果匹配失敗，則根據防護措施採取不同動作，禁止非法DHCP 伺服器接入網絡，採用主動方式解決了網絡中私設DHCP伺服器的行為。其中，所述交換裝置為一種防止DHCP伺服器欺騙的裝置，該裝置用於DHCP客戶端向DHCP伺服器申請IP位址時進行信息交換，包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊。設置模塊由管理員預先配置合法DHCP伺服器的特徵，該裝置下發 DHCP報文重定向至交換機中央處理模塊的規則，DHCP客戶端與DHCP伺服器發送DHCP報文時，該規則將埠收到的DHCP報文通過重定向模塊重定向到中央處理模塊進行解析和轉發，自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文，從構建埠將報文發送給DHCP伺服器，DHCP伺服器返回DHCP OFFER報文給交換設備，匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配，根據匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。參見圖2，為本發明防止DHCP伺服器欺騙的系統示意圖。用戶終端通過交換機連入網絡，交換機將用戶的DHCP報文向DHCP伺服器轉發。整個系統的具體工作過程如下 交換機啟用主動探測非法DHCP伺服器功能；交換機預先配置合法DHCP伺服器的特徵。交換機下發DHCP報文重定向至交換機中央處理模塊的規則，DHCP客戶端向DHCP伺服器發送DHCP網絡報文，交換機埠收到DHCP報文，通過重定向模塊將DHCP報文重定向到中央處理模塊，中央處理模塊對DHCP報文進行解析；自定義模塊為交換機每個埠構造DHCP DISCOVERY報文，將DHCP DISCOVERY報文由構造埠發送到DHCP伺服器，DHCP伺服器接收到DHCP DISCOVERY報文並進行響應，返回DHCP OFFER報文給交換機，交換機接收到DHCP OFFER報文並由中央處理模塊進行解析；匹配模塊根據解析結果與合法DHCP伺服器的特徵進行匹配，如果DHCP OFFER報文為本機的DHCP請求對話的回應，並且滿足合法DHCP伺服器的特徵，則刪除DHCP請求對話，不再發送DHCP REQUEST請求報文，並且丟棄該DHCP OFFER 報文；如果不滿足合法DHCP伺服器特徵，根據防護措施採取不同動作，禁止非法DHCP伺服器接入網絡。其中，防護動作由管理員在交換機中設置，比如Shutdown該埠，下發該DHCP 伺服器的黑洞MAC表項，或者設置黑名單等，交換機將非法DHCP伺服器的所有報文全部丟棄。參見圖3，為本發明防止DHCP伺服器欺騙的方法流程圖。該方法具體步驟如下Sl 交換機預先配置滿足合法DHCP伺服器的特徵，下發DHCP報文重定向至交換機中央處理模塊的規則。其中，合法DHCP伺服器的特徵指管理員搭建的DHCP伺服器具有的特徵，如DHCP 伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等。交換機下發 DHCP報文重定向至交換機CPU的規則，根據該規則交換機的交換晶片接收到DHCP報文後， 不執行硬體轉發行為，而是將報文重定向至交換機的CPU，由CPU進行軟體的解析和轉發。S2 交換機的每個埠構建DHCP DISCOVERY報文，並將報文從構建埠發送給 DHCP伺服器，伺服器返回DHCP OFFER報文給交換機。交換機上包括多個物理埠，交換晶片接收到DHCP報文後，為每一個埠構造 DHCP DISCOVERY報文，並將DHCP DISCOVERY報文從構建埠發送給DHCP伺服器，DHCP伺服器接收到報文並進行響應，返回DHCP OFFER報文給交換機；同時記錄此次DHCP請求對話，S3 交換機接收到DHCP OFFER報文，與預先配置好的合法DHCP伺服器特徵進行匹配。交換機接收到DHCP OFFER報文後，由中央處理模塊進行解析，解析得到DHCP伺服器的連接埠、所屬虛擬區域網號、IP位址或者MAC地址等信息，然後與預先配置好的合法 DHCP伺服器的特徵進行匹配。S4 根據步驟S3的匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。如果DHCP伺服器報文為本次的DHCP請求對話的回應，解析後的信息與合法DHCP 伺服器的特徵匹配成功，就不再發送DHCP REQUEST報文，並且將接收到的DHCP OFFER丟棄。如解析後的信息與合法DHCP伺服器的特徵匹配不成功，則根據防護措施採取不同動作，禁止非法DHCP伺服器接入網絡。具體的防護動作由管理員在交換機中設置，比如 Shutdown該埠，下發該DHCP伺服器的黑洞MAC表項，或者設置黑名單等，此種情況下，交換機將非法DHCP伺服器的所有報文全部丟棄。本發明的技術方案採用主動探測並發現非法DHCP伺服器，確保客戶端獲得合法的IP位址，保證了網絡安全。參見圖4，為本發明一具體實施的防止DHCP伺服器欺騙的方法的具體流程1)在交換機上配置滿足合法DHCP伺服器的特徵，合法DHCP伺服器的特徵指由管理員搭建的DHCP伺服器具有的特徵，包括DHCP伺服器的連接埠、所屬VLAN ID (虛擬區域網號)、IP位址或者MAC地址等。啟用主動探測非法DHCP伺服器功能；
2)交換裝置下發DHCP報文重定向至交換機CPU的規則到交換晶片，交換晶片收到 DHCP報文後，不執行硬體轉發行為，而是將報文重定向至交換機的CPU，由CPU進行軟體的解析和轉發；3)交換裝置的自定義模塊為交換機的每一個物理埠構造DHCP DISCOVERY報文，將DHCP DISCOVERY報文以廣播的方式從構造埠發送給DHCP伺服器，DHCP伺服器根據DHCP DISCOVERY報文信息，以廣播的形式返回DHCP OFFER報文給交換機，同時記錄此次 DHCP請求對話；4)交換機埠收到DHCP OFFER報文，解析該報文，記錄接收報文的埠，判斷 DHCP OFFER報文解析結果與步驟1)中配置的合法DHCP伺服器特徵是否匹配，如是，執行步驟5)；如否，則執行步驟6)；5)如果DHCP伺服器報文為本次的DHCP請求對話的回應，解析後的信息與合法 DHCP伺服器的特徵匹配成功，就不再發送DHCP REQUEST報文，並且將接收到的DHCP OFFER 報文丟棄；6)如解析後的信息與合法DHCP伺服器的特徵匹配不成功，交換機將非法DHCP伺服器的所有報文全部丟棄。實施本發明的一種防止DHCP伺服器欺騙的方法、裝置及系統，通過主動探測發現非法DHCP伺服器，確保用戶獲取合法IP位址，該方案簡單，易於實現，保證了網絡的安全性。
權利要求
1.一種防止DHCP伺服器欺騙的方法，其特徵在於，包括如下步驟51交換機預先配置滿足合法DHCP伺服器的特徵，下發DHCP報文重定向至交換機中央處理模塊的規則；52交換機的每個埠構建DHCP DISCOVERY報文，並將報文從構建埠發送給DHCP伺服器，伺服器返回DHCP OFFER報文給交換機；53交換機接收到DHCP OFFER報文，與預先配置好的合法DHCP伺服器特徵進行匹配；54根據步驟S3的匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。
2.根據權利要求1所述的防止DHCP伺服器欺騙的方法，其特徵在於，所述合法DHCP伺服器的特徵包括DHCP伺服器連接埠、所屬虛擬區域網號、IP位址或MAC地址。
3.根據權利要求1所述的防止DHCP伺服器欺騙的方法，其特徵在於，所述步驟Sl中交換機接收到DHCP報文後，將DHCP報文重定向至交換機的中央處理模塊，由中央處理模塊進行解析和轉發。
4.根據權利要求1所述的防止DHCP伺服器欺騙的方法，其特徵在於，步驟S2中對交換機的每一個物理埠構建DHCP DISCOVERY報文，將報文從構建埠發送給DHCP伺服器，並記錄DHCP請求對話。
5.根據權利要求1所述的防止DHCP伺服器欺騙的方法，其特徵在於，步驟S3中交換機接收到DHCP OFFER報文，中央處理模塊對該報文進行解析，記錄接收報文的埠，根據解析結果與合法DHCP伺服器的特徵進行匹配。
6.根據權利要求1所述的防止DHCP伺服器欺騙的方法，其特徵在於，步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應，並且與合法DHCP伺服器的特徵匹配，則不再發送DHCP REQUEST，並且丟棄該DHCP OFFER報文。
7.根據權利要求1或6所述的防止DHCP伺服器欺騙的方法，其特徵在於，步驟S4中如DHCP OFFER報文解析結果與合法DHCP伺服器的特徵不匹配，通過在交換機中設置的防護動作，將非法DHCP伺服器的所有報文全部丟棄。
8.根據權利要求7所述的防止DHCP伺服器欺騙的方法，其特徵在於，交換機中設置的防護動作包括Shutdown該埠、下發該DHCP伺服器的黑洞MAC表項或將該埠設置到黑名單。
9.一種防止DHCP伺服器欺騙的裝置，該裝置用於DHCP客戶端向DHCP伺服器申請IP 地址時進行信息交換，該裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊，設置模塊預先配置合法DHCP伺服器的特徵，下發DHCP報文重定向至中央處理模塊的規則，該裝置埠接收到DHCP報文，重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發，自定義模塊為交換設備的每個埠構建DHCP DISCOVERY報文，從構建埠將報文發送給DHCP伺服器，DHCP伺服器返回DHCP OFFER報文給交換設備，匹配模塊將DHCP OFFER報文與合法DHCP伺服器的特徵進行匹配，根據匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。
10.一種防止DHCP伺服器欺騙的系統，其特徵在於，一種由DHCP客戶端、DHCP伺服器和如權利要求9所述防止DHCP伺服器欺騙的裝置組成的系統。
全文摘要
本發明公開一種防止DHCP伺服器欺騙的方法、裝置及系統，步驟如下S1交換機預先配置滿足合法DHCP伺服器的特徵，下發DHCP報文重定向至交換機中央處理模塊的規則；S2交換機的每個埠構建DHCP DISCOVERY報文，並將報文從構建埠發送給DHCP伺服器，伺服器返回DHCP OFFER報文給交換機；S3交換機接收到DHCP OFFER報文，與預先配置好的合法DHCP伺服器特徵進行匹配；S4根據步驟S3的匹配結果，採取不同的防護措施，從而主動防止DHCP伺服器欺騙。本發明通過主動探測發現非法DHCP伺服器，確保用戶獲取合法IP位址，該方案簡單，易於實現，保證了網絡的安全性。
文檔編號H04L29/12GK102438028SQ20121001802
公開日2012年5月2日 申請日期2012年1月19日 優先權日2012年1月19日
發明者梁小冰 申請人:神州數碼網絡(北京)有限公司