專利名稱:Dhcp服務(wù)器的檢測方法與接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種DHCP服務(wù)器的檢測方法與接 入設(shè)備。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高,網(wǎng)絡(luò)配置越來越復(fù)雜,經(jīng)常 會(huì)出現(xiàn)計(jì)算機(jī)位置變化(如便攜機(jī)或無線網(wǎng)絡(luò))的情況,而一臺(tái)計(jì)算機(jī)需要 有正確的網(wǎng)絡(luò)配置才能夠訪問網(wǎng)絡(luò)。為滿足這些需求,動(dòng)態(tài)主機(jī)配置協(xié)議 DHCP (Dynamic Host Configuration Protocol)不斷發(fā)展起來。DHCP是用來自 動(dòng)的給連入網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行動(dòng)態(tài)網(wǎng)絡(luò)配置的通信協(xié)議。其采用客戶端/服務(wù) 器(Client/Server)的方式工作,DHCP Client向DHCP Server動(dòng)態(tài)地請求配置 信息,DHCP Server根據(jù)策略返回相應(yīng)的配置信息。DHCP客戶端首次登錄網(wǎng)絡(luò)時(shí),與DHCP服務(wù)器進(jìn)行交互的流程如圖1 所示,包括步驟slOl 、客戶端以廣播方式發(fā)送DHCP DISCOVER報(bào)文。此步驟為DHCP客戶端尋找DHCP服務(wù)器的階段。客戶端以廣播方式發(fā)送DHCP DISCOVER報(bào)文,尋找網(wǎng)絡(luò)中可以使用的DHCP服務(wù)器。 步驟sl02、 DHCP服務(wù)器向客戶端發(fā)送DHCP OFFER報(bào)文。 DHCP服務(wù)器接收到客戶端的DHCP DISCOVER報(bào)文后,從IP地址池中挑選一個(gè)尚未分配的IP地址分配給客戶端,向該客戶端發(fā)送包括出租IP地址和其它設(shè)置的DHCP OFFER報(bào)文。步驟s103、客戶端以廣播方式發(fā)送DHCP REQUEST報(bào)文。如果客戶端接收到多臺(tái)DHCP服務(wù)器發(fā)送的DHCP OFFER報(bào)文,則選擇其中的一個(gè)DHCP服務(wù)器作為選定的DHCP服務(wù)器,然后以廣播方式向各DHCP服務(wù)器回應(yīng)DHCP REQUEST報(bào)文,該報(bào)文中包括所選定的DHCP服務(wù)器的標(biāo)識(shí),以及向所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。 步驟sl04、 DHCP服務(wù)器向客戶端發(fā)送DHCP ACK報(bào)文。 客戶端所選定的DHCP服務(wù)器接收到DHCP客戶端發(fā)送的DHCP REQUEST才艮文后,向客戶端發(fā)送包括所提供的IP地址和其它設(shè)置的DHCP ACK報(bào)文。然后,DHCP客戶端將其TCP/IP協(xié)議組件與網(wǎng)卡綁定。除客戶端 選中的DHCP服務(wù)器外,其它DHCP服務(wù)器本次未分配出的IP地址仍可用于 其他客戶端的IP地址申請。在上圖所描述的目前通用的DHCP協(xié)議運(yùn)作機(jī)制中,服務(wù)器和客戶端間 并沒有認(rèn)證機(jī)制,因此客戶端無法判斷網(wǎng)絡(luò)中的DHCP服務(wù)器是否為非法的 仿冒DHCP服務(wù)器。例如網(wǎng)絡(luò)中的客戶端A發(fā)送DHCPDISCOVER報(bào)文時(shí), 網(wǎng)絡(luò)中客戶端B上運(yùn)行的仿冒DHCP服務(wù)器會(huì)向客戶端A響應(yīng)DHCP OFFER 報(bào)文。這些仿冒DHCP服務(wù)器可能會(huì)提供的錯(cuò)誤信息,導(dǎo)致用戶雖然申請到 IP地址但無法正常連接網(wǎng)絡(luò);或仿冒DHCP服務(wù)器惡意的為用戶分配一個(gè)經(jīng) 過修改的DNS Server,將用戶引導(dǎo)到一個(gè)假的網(wǎng)站并騙取用戶信息,給用戶 造成損失。目前防范上述仿冒DHCP服務(wù)器的方法主要為通過DHCP Snooping trust (DHCP窺探信任)功能。為了使用戶通過合法的DHCP服務(wù)器獲取IP地址, DHCP Snooping trust功能允許將接入層設(shè)備的端口設(shè)置為信任端口與非信任 端口。對于經(jīng)過信任端口的、從DHCP服務(wù)器接收到的報(bào)文允許通過;對于 經(jīng)過非信任端口的、從DHCP服務(wù)器接收到的報(bào)文則進(jìn)行截獲并丟棄。以上 在信任端口與非信任端口進(jìn)行的報(bào)文過濾設(shè)置是通過ACL (Access Control List,訪問控制列表)功能實(shí)現(xiàn)的。網(wǎng)絡(luò)設(shè)備通過ACL功能在不同的端口配 置不同的匹配規(guī)則,在識(shí)別出符合匹配規(guī)則的特定報(bào)文時(shí),根據(jù)預(yù)先設(shè)定的 策略允許或禁止該特定報(bào)文通過。由以上分析可知,目前的網(wǎng)絡(luò)設(shè)備需要使用DHCP Snooping trust功能時(shí) 必須能夠支持ACL功能。而在不支持ACL的交換機(jī)等接入層設(shè)備上則無法 使用此種方法進(jìn)行仿冒DHCP服務(wù)器的防范處理。發(fā)明內(nèi)容本發(fā)明要解決的問題是提供一種DHCP服務(wù)器的檢測方法,以實(shí)現(xiàn)接入 設(shè)備在不支持ACL功能時(shí),仍可以對網(wǎng)絡(luò)中存在的非法DHCP服務(wù)器進(jìn)行檢 測和防范。為達(dá)到上述目的,本發(fā)明提供一種DHCP服務(wù)器的檢測方法,包括如下 步驟接入設(shè)備向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文;所述接入設(shè)備接收到所述用戶終端側(cè)設(shè)備對所述DHCP請求報(bào)文的響應(yīng) 報(bào)文時(shí),判斷所述發(fā)送響應(yīng)報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。其中,所述接入設(shè)備向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文的步驟具體為接入設(shè)備向自身設(shè)備中連接用戶終端側(cè)設(shè)備的至少一個(gè)端口廣播DHCP 請求報(bào)文。其中,所述接入設(shè)備定時(shí)廣播所述DHCP請求報(bào)文,且對于不同的端口 所采用的時(shí)間間隔相同或不同。其中,所述接入設(shè)備多次廣播DHCP請求4艮文時(shí),所述多次廣播的DHCP 請求報(bào)文中的XID字段不完全相同。其中,所述接入設(shè)備發(fā)送DHCP請求報(bào)文時(shí),將所述DHCP請求報(bào)文的 源鏈路層地址設(shè)置為與自身設(shè)備的鏈路地址相同的地址,或?qū)⑺鯠HCP請 求報(bào)文的源鏈路層地址設(shè)置為與自身設(shè)備的鏈路地址不同的地址。其中,所述DHCP請求報(bào)文的源鏈路層地址與自身設(shè)備的鏈路地址不同 時(shí),所述DHCP請求報(bào)文的chaddr字段與所述^f奮改后的源鏈路層地址一致。其中,所述接入設(shè)備多次發(fā)送DHCP請求凈良文時(shí),所述多次發(fā)送的DHCP 請求^R文中的源鏈路層地址不完全相同。其中,其特征在于,所述DHCP請求報(bào)文為DHCP DISCOVER報(bào)文或 DHCP REQUEST報(bào)文;所述響應(yīng)報(bào)文為DHCP OFFER報(bào)文或DHCP ACK報(bào) 文。其中,所述接入設(shè)備判斷DHCP服務(wù)器非法后,還包括步驟所述接入設(shè)備自動(dòng)關(guān)閉與所述非法DHCP服務(wù)器連接的端口 ;所述接入設(shè)備向網(wǎng)絡(luò)管理設(shè)備發(fā)送告警消息。本發(fā)明還提供一種接入設(shè)備,包括發(fā)送單元,用于向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文;接收單元,用于接收網(wǎng)絡(luò)中用戶終端側(cè)設(shè)備對所述DHCP請求報(bào)文的響應(yīng) 報(bào)文,并將所述響應(yīng)報(bào)文發(fā)送到所述判斷單元;判斷單元,用于接收到所述接收單元發(fā)送的響應(yīng)報(bào)文時(shí),判斷發(fā)送響應(yīng) 報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。其中,還包括定時(shí)單元,用于對所述發(fā)送單元發(fā)送DHCP請求才艮文的時(shí)間間隔進(jìn)行設(shè) 置;對于不同的端口,所述發(fā)送時(shí)間間隔相同或不同。 其中,還包括發(fā)送設(shè)置單元,用于對所述發(fā)送單元發(fā)送的DHCP請求報(bào)文進(jìn)行設(shè)置,所 述設(shè)置包括源鏈路層地址的設(shè)置、DHCP請求報(bào)文中chaddr字段的設(shè)置、以及 XID字段的設(shè)置中的 一種或多種;接收設(shè)置單元,用于根據(jù)所述發(fā)送設(shè)置單元設(shè)置的DHCP請求才良文中 chaddr字段,設(shè)置所述接收單元發(fā)送給所述判斷單元的響應(yīng)報(bào)文的類型。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)實(shí)現(xiàn)了網(wǎng)絡(luò)中的接入設(shè)備在不支持ACL功能的情況下,仍可以;險(xiǎn)測和防 范非法DHCP服務(wù)器的欺騙攻擊。同時(shí),可以通過特定的設(shè)置,避免被非法 DHCP服務(wù)器的策略過濾。
圖1是現(xiàn)有技術(shù)中客戶端首次登錄網(wǎng)絡(luò)時(shí)與DHCP服務(wù)器進(jìn)行交互的流程圖;圖2是本發(fā)明的實(shí)施例一中DHCP服務(wù)器的檢測方法的流程圖;圖3是現(xiàn)有技術(shù)中DHCP請求報(bào)文的報(bào)文頭的格式示意圖;圖4是本發(fā)明的實(shí)施例三中DHCP服務(wù)器的檢測方法的信令流程圖;圖5是本發(fā)明的實(shí)施例四中接入設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明的核心思想在于,由接入設(shè)備主動(dòng)向用戶終端側(cè)設(shè)備發(fā)送DHCP請 求報(bào)文,并根據(jù)用戶終端側(cè)設(shè)備對該DHCP請求報(bào)文的響應(yīng),檢測網(wǎng)絡(luò)中是否 存在DHCP服務(wù)器。
下面結(jié)合具體實(shí)施例對本發(fā)明作詳細(xì)說明。
本發(fā)明實(shí)施例一
本發(fā)明的實(shí)施例一中,以接入設(shè)備為交換機(jī)為例, 一種DHCP服務(wù)器的檢 測方法如圖2所示,包括以下步驟
步驟s201、向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文。
此步驟中,交換機(jī)發(fā)送的請求報(bào)文包括DHCP DISCOVER報(bào)文和DHCP REQUEST報(bào)文。同時(shí),在交換機(jī)上使用交換機(jī)本機(jī)的鏈路地址,如以太網(wǎng)的 MAC (Media Access Control,介質(zhì)接入控制)地址,作為源鏈路層地址。在 向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文時(shí),可以通過接入設(shè)備的用戶終端側(cè)端 口發(fā)送,發(fā)送方式可以為廣播。在向用戶終端側(cè)端口發(fā)送DHCP請求報(bào)文時(shí), 可以對需要發(fā)送的端口進(jìn)行選擇。只有與該被選擇的端口連接的網(wǎng)絡(luò)設(shè)備能 夠收到該DHCP請求報(bào)文,其他端口下的網(wǎng)絡(luò)設(shè)備不受影響。
對于DHCP REQUEST報(bào)文,不同的DHCP服務(wù)器的處理不盡相同。 一些 DHCP服務(wù)器可能會(huì)對接收到的DHCP REQUEST報(bào)文進(jìn)行檢查,例如4全查對 于該DHCP REQUEST報(bào)文的發(fā)送方,是否有過DHCP DISCOVER和DHCP OFFER階段的申請過程,如果沒有則不進(jìn)行該DHCP REQUEST報(bào)文的處理, 因此交換機(jī)不會(huì)接收到部分DHCP服務(wù)器返回的響應(yīng)。
對于DHCPDISCOVER報(bào)文,按照RFC2131協(xié)議的規(guī)定,當(dāng)DHCP服務(wù)器 接收到DHCPDISCOVER報(bào)文時(shí),必須進(jìn)行處理,并向DHCPDISCOVER報(bào)文 的發(fā)送方返回響應(yīng)。因此如果交換機(jī)端口下配置了DHCP服務(wù)器,則交換機(jī)必 然能夠接收到該DHCP服務(wù)器返回的響應(yīng)。
步驟s202、接收對該DHCP請求報(bào)文的響應(yīng),并判斷網(wǎng)絡(luò)中是否存在DHCP服務(wù)器。
DHCP服務(wù)器對DHCP請求報(bào)文的響應(yīng)可能為DHCP OFFER報(bào)文或DHCP ACK報(bào)文。因?yàn)樯弦徊襟E中交換機(jī)上使用本機(jī)的鏈路地址作為源鏈路層地址。
據(jù)協(xié)議標(biāo)準(zhǔn),對于目的鏈路層地址是本機(jī)的"^艮文,必須上送至處理單元進(jìn)行 相關(guān)處理。所以,通過這種方式,交換機(jī)可以接收到其端口下的各DHCP服務(wù) 器對該DHCP請求I艮文的響應(yīng)。
根據(jù)這些接收到的對DHCP請求報(bào)文的響應(yīng),交換機(jī)可以進(jìn)行DHCP服務(wù) 器的檢測。具體的,對于交換機(jī)的用戶終端側(cè)的端口,該端口連接的應(yīng)該是 各用戶終端,而不應(yīng)有DHCP服務(wù)器存在。因此,交換機(jī)乂人下行用戶終端側(cè)的 端口接收到對交換機(jī)發(fā)送的DHCP請求報(bào)文的響應(yīng)時(shí),即可以判斷該端口下存 在非法的DHCP服務(wù)器。
步驟s203、對非法DHCP服務(wù)器進(jìn)行處理。
對非法DHCP服務(wù)器進(jìn)行的處理包括關(guān)閉端口或發(fā)送告警(TRAP )消息 給網(wǎng)絡(luò)管理員。具體的,在檢測到非法DHCP服務(wù)器的存在時(shí),可以立即自動(dòng) 關(guān)閉(shutdown)與該非法DHCP服務(wù)器相連接的端口。同時(shí),將該非法DHCP 服務(wù)器的信息(如IP、 MAC地址、端口號、VALN號等)通過告警消息通知 網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員通過該信息可以定位到該非法DHCP服務(wù)器的位置并 進(jìn)行處理,該處理包括發(fā)送警告消息、停止該非法DHCP服務(wù)器所用的端口等。 對于自動(dòng)關(guān)閉的與該非法DHCP服務(wù)器相連接的端口 ,可以通過設(shè)置自動(dòng)恢復(fù) 時(shí)間實(shí)現(xiàn)對端口的自動(dòng)恢復(fù)。在此自動(dòng)恢復(fù)時(shí)間內(nèi),可以由網(wǎng)絡(luò)管理員對該 非法DHCP服務(wù)器進(jìn)行處理。
上述實(shí)施例一的步驟s201中,交換機(jī)各端口發(fā)送DHCP請求報(bào)文的步驟可 以為設(shè)置為定時(shí)發(fā)送。如通過設(shè)定定時(shí)器為10s,即每10s進(jìn)行一次DHCP請求 報(bào)文的發(fā)送,該時(shí)間間隔可以在交換機(jī)上進(jìn)行設(shè)置。因?yàn)镈HCP報(bào)文的處理速 度很快,因此如果定時(shí)器間隔較小,基本可以認(rèn)為此種檢測是實(shí)時(shí)的。考慮 到實(shí)際應(yīng)用中,交換機(jī)的不同端口的定時(shí)器可能在同一時(shí)間到期,從而產(chǎn)生 大量的DHCP請求報(bào)文同時(shí)發(fā)送,因此對于交換機(jī)上不同端口的定時(shí)器,可以使用不同的質(zhì)數(shù)作為時(shí)間間隔,如31s, 37s, 41s, 43s, 47s等。
通過上述實(shí)施例一描述的方法,由接入設(shè)備主動(dòng)發(fā)送DHCP請求報(bào)文,實(shí) 現(xiàn)了接入設(shè)備對網(wǎng)絡(luò)中存在的非法DHCP服務(wù)器進(jìn)行的檢測。在上述實(shí)施例一 中,交換機(jī)發(fā)送DHCP請求報(bào)文的步驟中,使用交換機(jī)本才幾的鏈路地址為源鏈 路層地址。該步驟可能產(chǎn)生的問題在于,交換設(shè)備的鏈路地址一般是與廠商 相關(guān)的,同一廠商生產(chǎn)的交換設(shè)備具有相同的《連路地址特征(如MAC地址的 前面幾位相同)。攻擊者可以通過識(shí)別該鏈路地址的特征進(jìn)行DHCP請求報(bào)文 的過濾,對交換機(jī)發(fā)送的DHCP請求報(bào)文不進(jìn)行響應(yīng),從而避免被交換設(shè)備檢 測到,導(dǎo)致交換機(jī)的檢測功能失效。
對于這種情況,本發(fā)明實(shí)施例二提出了通過接入設(shè)備更改DHCP DISCOVER報(bào)文的源鏈路層地址的方法,來避免用戶終端側(cè)的DHCP服務(wù)器通 過設(shè)置策略過濾接收到的DHCP請求報(bào)文,以實(shí)現(xiàn)對用戶終端側(cè)DHCP服務(wù)器 的4企測。
本發(fā)明實(shí)施例二
本發(fā)明的實(shí)施例二中 一種DHCP服務(wù)器的檢測方法包括如下步驟
步驟s301 、向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文。
與上面步驟s201的區(qū)別在于,對發(fā)送的DHCP請求I艮文的源鏈路層地址預(yù) 先進(jìn)行修改,修改后的源鏈路層地址與交換機(jī)本機(jī)的鏈路地址不同。
進(jìn)一步地,為了避免用戶終端側(cè)DHCP服務(wù)器通過一些DHCP請求報(bào)文的 特征進(jìn)行識(shí)別并過濾,可以設(shè)置DHCP請求報(bào)文的其他頭部字段,如chaddr字 段和XID字段,這樣就可以進(jìn)一步避免被用戶終端側(cè)的DHCP服務(wù)器過濾。
DHCP請求報(bào)文的頭部字段格式如圖3所示。其中的chaddr字段為DHCP請 求報(bào)文的頭部字段之一,長度為16bits,表示DHCP請求報(bào)文發(fā)送方的鏈路層 地址(一般為發(fā)送方的MAC地址)。考慮到DHCP服務(wù)器可能會(huì)對DHCP請求 報(bào)文的源鏈路層地址與DHCP請求報(bào)文的chaddr字段的一致性進(jìn)行校驗(yàn),該 chaddr表示的地址應(yīng)該與上述修改后的發(fā)送DHCP請求報(bào)文的源鏈路層地址一 致。在DHCP服務(wù)器不進(jìn)行上述一致性校驗(yàn)的情況下,對chaddr字段的修改沒 有特殊要求。其中的XID同樣為DHCP請求報(bào)文的頭部字段之一,長度為4bit,表示事 務(wù)處理ID。正常情況下由用戶端進(jìn)行隨機(jī)設(shè)置,通過該XID字段,客戶端將與 DHCP服務(wù)器進(jìn)行的報(bào)文交互進(jìn)行了標(biāo)識(shí)。對于本實(shí)施例,接入設(shè)備需要在每 次發(fā)送DHCP請求報(bào)文時(shí),將該XID字段進(jìn)行隨機(jī)變化,而不能每次使用相同 的字段,防止非法DHCP服務(wù)器在發(fā)現(xiàn)規(guī)律后根據(jù)XID字段進(jìn)行DHCP請求報(bào) 文的過濾。在XID字段的設(shè)置可以采取的方法很多,如建立系統(tǒng)時(shí)間與XID字 段的對應(yīng)函數(shù),對于在不同的系統(tǒng)時(shí)間發(fā)送的DHCP請求報(bào)文,攜帶的XID字 段不同。
步驟s302、接收對該DHCP請求報(bào)文的響應(yīng),并判斷網(wǎng)絡(luò)中是否存在DHCP 服務(wù)器。
如果在上一步驟中修改了 DHCP請求報(bào)文頭部的chaddr字段,則接收到 DHCP請求報(bào)文的DHCP服務(wù)器,會(huì)以chaddr標(biāo)示的鏈路層地址作為響應(yīng)報(bào)文 的目的鏈路層地址。這時(shí)交換機(jī)在接收到該響應(yīng)報(bào)文時(shí),會(huì)認(rèn)為響應(yīng)凈艮文的 目的鏈路層地址不是本交換機(jī)的鏈路層地址,導(dǎo)致響應(yīng)才艮文無法上送處理。 為此,可以通過在交換機(jī)上設(shè)置寄存器、存儲(chǔ)特定鏈路層地址等方式,使得 對于以特定鏈路層地址為目的地址的響應(yīng)報(bào)文,可以上送到交換機(jī)進(jìn)行處理。
交換機(jī)的處理單元根據(jù)接收到的DHCP服務(wù)器對DHCP請求報(bào)文的響應(yīng), 判斷網(wǎng)絡(luò)中是否存在非法的DHCP服務(wù)器,該判斷標(biāo)準(zhǔn)與上述步驟s202所描述 的相同。
步驟s303、對非法DHCP服務(wù)器進(jìn)行處理。
該處理方法與上述步驟s203中描述的相同,在此不做重復(fù)描述。
通過上述實(shí)施例二描述的方法,由接入設(shè)備主動(dòng)發(fā)送DHCP請求報(bào)文,實(shí) 現(xiàn)了接入設(shè)備對網(wǎng)絡(luò)中存在的非法DHCP服務(wù)器進(jìn)行的檢測。并通過發(fā)送 DHCP請求報(bào)文過程中相關(guān)參數(shù)的設(shè)置,避免了非法DHCP服務(wù)器對該DHCP 請求^^文的過濾。
下面結(jié)合具體地應(yīng)用場景,進(jìn)一步說明本發(fā)明的實(shí)施方式。
本發(fā)明實(shí)施例三
在本發(fā)明的實(shí)施例三中,假設(shè)網(wǎng)絡(luò)中與交換機(jī)端口連接的用戶終端上存在非法DHCP服務(wù)器。其中,交換機(jī)的MAC地址為00-C0-9F-94-78-0E,與非 法DHCP服務(wù)器連接的下行用戶終端側(cè)端口為Port5, VLAN號為2。非法DHCP 服務(wù)器的MAC地址為00-0F-E2-00-00-01, IP地址為192.168.100.28。設(shè)非法 DHCP服務(wù)器已知交換機(jī)具有主動(dòng)發(fā)送DHCP請求報(bào)文的功能,并設(shè)置了對源 鏈路層地址為"00-C0-9F-**-**-**"的DHCP請求報(bào)文的過濾。這種情況下, 交換機(jī)在不改變其發(fā)送的DHCP請求報(bào)文的源鏈路層地址的情況下, 一種 DHCP服務(wù)器的^r測方法如圖4所示,包括如下步驟 步驟s401 、交換機(jī)發(fā)送DHCP DISCOVER報(bào)文。
該步驟中,交換機(jī)的端口5在某時(shí)刻發(fā)送DHCP請求報(bào)文,該請求報(bào)文的 類型為DHCP DISCOVER報(bào)文,源鏈路層地址為00-C0-9F-94-78-0E, DHCP DISCOVER報(bào)文的chaddr字段也為00-C0-9F-94-78-0E。
步驟s402、非法DHCP服務(wù)器接收到該DHCP DISCOVER報(bào)文并進(jìn)行過濾。
該步驟中,非法DHCP服務(wù)器判斷該DHCP DISCOVER報(bào)文的源鏈路層地 址符合過濾策略,將該DHCPDISCOVER報(bào)文進(jìn)行過濾,不發(fā)送響應(yīng)。
至此,交換機(jī)不會(huì)接收到非法DHCP服務(wù)器的響應(yīng)報(bào)文,無法檢測到該非 法DHCP服務(wù)器。
交換機(jī)在改變其發(fā)送的DHCP請求報(bào)文的源鏈路層地址的情況下, 一種 DHCP服務(wù)器的檢測方法如圖4所示,包括如下步驟 步驟s411 、交換才幾發(fā)送DHCP DISCOVER報(bào)文。
該步驟中,交換機(jī)的端口5在某時(shí)刻發(fā)送DHCP請求報(bào)文,該請求報(bào)文的 類型為DHCP DISCOVER報(bào)文,源鏈路層地址與DHCP請求報(bào)文chaddr字段的 內(nèi)容修改為00-0E-5A-94-78-0E。
步驟s412、非法DHCP服務(wù)器接收到該DHCP DISCOVER報(bào)文并響應(yīng) DHCP OFFER報(bào)文。
該步驟中,非法DHCP服務(wù)器判斷該DHCP DISCOVER報(bào)文的源鏈路層地 址不符合過濾策略,響應(yīng)DHCP OFFER報(bào)文。
步驟s413 、交換積4全測到非法DHCP服務(wù)器的存在。該步驟中,交換機(jī)的端口 5接收到目的鏈i 各層地址為00-0E-5A-94-78-0E的 DHCP OFFER報(bào)文。根據(jù)預(yù)先的設(shè)置,交換機(jī)判斷出該DHCP OFFER報(bào)文的 目的地址應(yīng)為本交換機(jī)。交換機(jī)根據(jù)該DHCP OFFER報(bào)文,判斷端口 5為下行 用戶終端側(cè)端口,不應(yīng)該存在DHCP服務(wù)器,判斷該DHCP服務(wù)器為非法。
步驟s414、交換機(jī)向網(wǎng)絡(luò)管理員發(fā)送TRAP消息。
該步驟中,交換機(jī)向網(wǎng)絡(luò)管理員發(fā)送的TRAP消息中包括非法DHCP服務(wù)
器的信息MAC地址為00-0F-E2-00-00-01, IP地址為192.168.100.28,連接的
端口為Port5, VLAN號為2。
步驟s415、網(wǎng)絡(luò)管理員對該非法DHCP服務(wù)器進(jìn)行處理。
該步驟中,網(wǎng)絡(luò)管理員根據(jù)該非法DHCP服務(wù)器的信息,定位到非法DHCP
服務(wù)器在網(wǎng)絡(luò)中的位置并進(jìn)行處理,該處理包括發(fā)送警告消息、關(guān)閉該端口等。
通過以上實(shí)施例一至實(shí)施例三所描述的方法,實(shí)現(xiàn)了網(wǎng)絡(luò)中的接入設(shè)備 在不支持ACL功能的情況下,仍可以檢測和防范非法DHCP服務(wù)器的欺騙攻 擊。同時(shí),可以通過特定的設(shè)置,避免被非法DHCP服務(wù)器的策略過濾。
需要說明的是,在本發(fā)明的具體實(shí)現(xiàn)方式上并不限定在上面實(shí)施例所描 述的范圍。如交換設(shè)備的各個(gè)端口可以使用相同的定時(shí)器,也可以使用不同 的定時(shí)器;交換設(shè)備的各個(gè)端口在發(fā)送DHCP請求報(bào)文時(shí)可以都對源鏈路層地 址進(jìn)行改變,或進(jìn)行不同的改變。基于這些變化的實(shí)施流程與上面各實(shí)施例 所描述的流程相似,都屬于本發(fā)明的保護(hù)范圍,在此不做重復(fù)描述。
本發(fā)明的實(shí)施例四中提供了一種接入設(shè)備,如圖5所示,包括
發(fā)送單元IO,用于向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文,具體的,該 DHCP請求報(bào)文為DHCP DISCOVER報(bào)文或DHCP REQUEST報(bào)文。該請求報(bào) 文的發(fā)送可以通過接入設(shè)備上的指定端口進(jìn)行。與這些指定端口連接的用戶 終端側(cè)設(shè)備都可以接收到該DHCP請求報(bào)文。另外,在接收到判斷單元30發(fā)送 的TRAP消息時(shí),向網(wǎng)絡(luò)管理員轉(zhuǎn)發(fā)。
接收單元20,用于接收網(wǎng)絡(luò)中DHCP服務(wù)器的響應(yīng)報(bào)文,具體的,該響應(yīng) 報(bào)文接入設(shè)備的不同端口接收到的為DHCP OFFER報(bào)文或DHCP ACK報(bào)文,并將該接收到的報(bào)文發(fā)送到判斷單元。
判斷單元30,用于接收到接收單元20發(fā)送的響應(yīng)報(bào)文時(shí),判斷發(fā)送該響 應(yīng)報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。該DHCP服務(wù)器是非法DHCP服務(wù) 器時(shí),通過發(fā)送單元10向網(wǎng)絡(luò)管理員發(fā)送TRAP消息,該TRAP中包括非法 DHCP服務(wù)器的鏈路層地址以及IP等信息。
另外,該接入設(shè)備還包括發(fā)送設(shè)置單元40,用于對發(fā)送單元10發(fā)送的 DHCP請求報(bào)文進(jìn)行設(shè)置。該設(shè)置包括源鏈路層地址的設(shè)置、DHCP請求報(bào)文 中chaddr字段的設(shè)置、以及XID字段的設(shè)置。
該接入設(shè)備還包括發(fā)送定時(shí)單元50,用于對發(fā)送單元10發(fā)送的DHCP請求 "t艮文的時(shí)間間隔進(jìn)行設(shè)置。對于不同的端口,發(fā)送間隔可以相同或不同。
該接入設(shè)備還包括接收設(shè)置單元60,用于設(shè)置接收單元20發(fā)送給判斷單 元30的響應(yīng)報(bào)文的特征。 一般情況下,該發(fā)送給判斷單元30的響應(yīng)報(bào)文的目 的地址應(yīng)為本接入設(shè)備的地址;在發(fā)送設(shè)置單元40對DHCP請求報(bào)文的源鏈路 層地址以及chaddr字段進(jìn)行修改時(shí),將目的地址與發(fā)送設(shè)置單元40修改后的 chaddr字段表示的地址一致的響應(yīng)報(bào)文,發(fā)送給判斷單元30。
在實(shí)際應(yīng)用中,該接入設(shè)備可以為二層網(wǎng)絡(luò)的接入交換機(jī)。其中的發(fā)送 單元可為一個(gè),也可以在不同的端口設(shè)置不同的發(fā)送單元。對于不同的發(fā)送 單元,與之配和的發(fā)送設(shè)置單元以及定時(shí)單元也可以不同,即對于不同的發(fā) 送單元,采取不同的DHCP請求報(bào)文發(fā)送策略。
通過使用上述實(shí)施例四所提供的接入設(shè)備,實(shí)現(xiàn)了網(wǎng)絡(luò)中的接入設(shè)備在 不支持ACL功能的情況下,仍可以檢測和防范非法DHCP服務(wù)器的欺騙攻擊。 同時(shí),可以通過特定的設(shè)置,避免被非法DHCP服務(wù)器的策略過濾。
以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1、一種DHCP服務(wù)器的檢測方法,其特征在于,包括如下步驟接入設(shè)備向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文;所述接入設(shè)備接收到所述用戶終端側(cè)設(shè)備對所述DHCP請求報(bào)文的響應(yīng)報(bào)文時(shí),判斷所述發(fā)送響應(yīng)報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。
2、 如權(quán)利要求1所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入 設(shè)備向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文的步驟具體為接入設(shè)備向自身設(shè)備中連接用戶終端側(cè)設(shè)備的至少一個(gè)端口廣播DHCP 請求報(bào)文。
3、 如權(quán)利要求2所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入 設(shè)備定時(shí)廣播所述DHCP請求報(bào)文,且對于不同的端口所采用的時(shí)間間隔相 同或不同。
4、 如權(quán)利要求3所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入 設(shè)備多次廣播DHCP請求報(bào)文時(shí),所述多次廣播的DHCP請求報(bào)文中的XID 字^R不完全相同。
5、 如權(quán)利要求1所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入 設(shè)備發(fā)送DHCP請求報(bào)文時(shí),將所述DHCP請求報(bào)文的源鏈路層地址設(shè)置為 與自身設(shè)備的鏈路地址相同的地址,或?qū)⑺鯠HCP請求報(bào)文的源鏈路層地 址設(shè)置為與自身設(shè)備的鏈路地址不同的地址。
6、 如權(quán)利要求5所述DHCP服務(wù)器的^r測方法,其特征在于,所述DHCP 請求報(bào)文的源鏈路層地址與自身設(shè)備的鏈路地址不同時(shí),所述DHCP請求報(bào) 文的chaddr字段與所述修改后的源鏈路層地址一致。
7、 如權(quán)利要求5所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入 設(shè)備多次發(fā)送DHCP請求報(bào)文時(shí),所述多次發(fā)送的DHCP請求報(bào)文中的源鏈 路層地址不完全相同。
8、 如權(quán)利要求1至7中任一項(xiàng)所述DHCP服務(wù)器的檢測方法,其特征在 于,所述DHCP請求報(bào)文為DHCP DISCOVER報(bào)文或DHCP REQUEST報(bào)文; 所述響應(yīng)報(bào)文為DHCP OFFER報(bào)文或DHCP ACK報(bào)文。
9、 如權(quán)利要求1所述DHCP服務(wù)器的檢測方法,其特征在于,所述接入設(shè)備判斷DHCP服務(wù)器非法后,還包括步驟所述接入設(shè)備自動(dòng)關(guān)閉與所述DHCP服務(wù)器連接的端口 ; 所述接入設(shè)備向網(wǎng)絡(luò)管理設(shè)備發(fā)送告警消息。
10、 一種接入設(shè)備,其特征在于,包括發(fā)送單元,用于向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文;接收單元,用于接收網(wǎng)絡(luò)中用戶終端側(cè)設(shè)備對所述DHCP請求報(bào)文的響應(yīng)報(bào)文,并將所述響應(yīng)報(bào)文發(fā)送到所述判斷單元;判斷單元,用于接收到所述接收單元發(fā)送的響應(yīng)報(bào)文時(shí),判斷發(fā)送響應(yīng)報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。
11、 如權(quán)利要求10所述接入設(shè)備,其特征在于,還包括定時(shí)單元,用于對所述發(fā)送單元發(fā)送DHCP請求報(bào)文的時(shí)間間隔進(jìn)行設(shè) 置;對于不同的端口,所述發(fā)送時(shí)間間隔相同或不同。
12、 如權(quán)利要求10所述接入設(shè)備,其特征在于,還包括 發(fā)送設(shè)置單元,用于對所述發(fā)送單元發(fā)送的DHCP請求報(bào)文進(jìn)行設(shè)置,所述設(shè)置包括源鏈路層地址的設(shè)置、DHCP請求報(bào)文中chaddr字段的設(shè)置、以及 XID字段的設(shè)置中的 一種或多種;接收設(shè)置單元,用于根據(jù)所述發(fā)送設(shè)置單元設(shè)置的DHCP請求報(bào)文中 chaddr字段,設(shè)置所述接收單元發(fā)送給所述判斷單元的響應(yīng)報(bào)文的類型。
全文摘要
本發(fā)明公開了一種DHCP服務(wù)器的檢測方法,包括如下步驟接入設(shè)備向用戶終端側(cè)設(shè)備發(fā)送DHCP請求報(bào)文;接入設(shè)備接收到用戶終端側(cè)設(shè)備對該DHCP請求報(bào)文的響應(yīng)報(bào)文時(shí),判斷該發(fā)送響應(yīng)報(bào)文的用戶終端側(cè)設(shè)備為DHCP服務(wù)器。本發(fā)明還公開了一種用于DHCP服務(wù)器檢測的接入設(shè)備。通過使用本發(fā)明,實(shí)現(xiàn)了網(wǎng)絡(luò)中的接入設(shè)備在不支持ACL功能的情況下,仍可以檢測和防范非法DHCP服務(wù)器的欺騙攻擊。同時(shí),可以通過特定的設(shè)置,避免被非法DHCP服務(wù)器的策略過濾。
文檔編號H04L12/28GK101321102SQ20071011177
公開日2008年12月10日 申請日期2007年6月7日 優(yōu)先權(quán)日2007年6月7日
發(fā)明者劉克彬, 劉刀桂, 祁正林 申請人:杭州華三通信技術(shù)有限公司