亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種地址的管理方法和設(shè)備的制作方法

文檔序號:7680303閱讀:158來源:國知局
專利名稱:一種地址的管理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種地址的管理方法和設(shè)備。
背景技術(shù)
DHCP (Dynamic Host Configuration Protocol,動態(tài)主機(jī)配置協(xié)議)是一種動態(tài)分配IP地址的方法,如圖1所示的DHCP組網(wǎng)示意圖,每個局域網(wǎng)中設(shè)置有一臺DHCP ServeH服務(wù)器),各DHCP Client (客戶端,即主機(jī))通過DHCP服務(wù)器申請IP地址。如圖2所示的DHCP報文交互示意圖,IP地址的申請過程由DHCP客戶端發(fā)起, 通過DHCP_DISC0VER(發(fā)現(xiàn))報文尋找合適的DHCP服務(wù)器,若DHCP服務(wù)器存在可分配的 IP地址,則會回復(fù)DHCP_0FFER(提供)報文,DHCP客戶端針對此DHCP服務(wù)器的地址發(fā)送 DHCP-REQUEST (請求)報文,由DHCP服務(wù)器回應(yīng)DHCP-ACK (確認(rèn))報文,以完成IP地址的申請過程。需要注意的是,DHCP服務(wù)器分配IP地址時,需要為每個IP地址建立地址租約,每條租約狀態(tài)遷移的情況如圖3所示,地址租約在發(fā)送DHCP-0FFER報文之后由Empty (空) 狀態(tài)變?yōu)镺ffered(提供)狀態(tài),表示提供給DHCP客戶端但未最終確認(rèn);在發(fā)送DHCP-ACK 報文之后由Offered狀態(tài)變?yōu)镃ommittecK已分配)狀態(tài),表示地址正式分配成功?,F(xiàn)有技術(shù)中,在存在攻擊者的情況下,由于DHCP服務(wù)器根據(jù)MAC(MediaAccess Control,介質(zhì)訪問控制)地址來識別不同DHCP客戶端,則攻擊者只需要知道DHCP服務(wù)器的IP地址和地址池網(wǎng)段,即可偽造出多組成對的DHCPDISC0VER報文和DHCP-REQUEST報文,并使其中的MAC地址遞增或隨機(jī)產(chǎn)生,廣播到DHCP服務(wù)器,之后DHCP服務(wù)器會給這樣的MAC地址分配IP地址,從而使攻擊者達(dá)到冒領(lǐng)IP地址,耗盡地址池的目的。

發(fā)明內(nèi)容
本發(fā)明提供一種地址的管理方法和設(shè)備,以盡快回收為攻擊者分配的IP地址。為了達(dá)到上述目的,本發(fā)明提供一種地址的管理方法,應(yīng)用于包括DHCP客戶端、 接入設(shè)備和DHCP服務(wù)器的系統(tǒng)中,所述DHCP服務(wù)器為所述DHCP客戶端分配地址,并將所述地址通過所述接入設(shè)備通知給所述DHCP客戶端,該方法包括以下步驟所述接入設(shè)備監(jiān)聽到所述DHCP服務(wù)器向DHCP客戶端發(fā)送的攜帶所述地址的第一報文時,從所述第一報文中獲取所述地址,并獲取向DHCP客戶端發(fā)送所述第一報文的端口信息,以及維護(hù)記錄有所述端口信息和所述地址的DHCP安全表;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量超過預(yù)設(shè)第一閾值時,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,所述第二報文中攜帶對應(yīng)所述端口的地址信息,由所述DHCP服務(wù)器回收對應(yīng)所述端口的地址。所述接入設(shè)備維護(hù)記錄有所述端口信息和所述地址的DHCP安全表,之后還包括當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量沒有超過預(yù)設(shè)第一閾值時,所述接入設(shè)備監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的流量;
如果在預(yù)設(shè)第二周期內(nèi)沒有接收到對應(yīng)所述端口的各地址的流量,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送所述第二報文。所述接入設(shè)備監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的流量,之后還包括如果在預(yù)設(shè)第二周期內(nèi)接收到對應(yīng)所述端口的各地址的流量,所述接入設(shè)備在所述DHCP安全表中刪除所述端口與對應(yīng)所述端口的各地址的記錄。所述接入設(shè)備維護(hù)記錄有所述端口信息和所述地址的DHCP安全表,之后還包括當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量小于預(yù)設(shè)第二閾值時,所述接入設(shè)備確定對應(yīng)所述端口的地址為合法地址;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量大于預(yù)設(shè)第二閾值且小于預(yù)設(shè)第一閾值時,所述接入設(shè)備向?qū)?yīng)所述端口的地址發(fā)起探測;如果接收到探測響應(yīng),則確定對應(yīng)所述端口的地址為合法地址;其中,預(yù)設(shè)第二閾值小于預(yù)設(shè)第一閾值。所述接入設(shè)備向?qū)?yīng)所述端口的地址發(fā)起探測,之后還包括如果沒有接收到探測響應(yīng),則所述接入設(shè)備監(jiān)聽對應(yīng)所述端口的地址的流量;如果在預(yù)設(shè)第三周期內(nèi)接收到對應(yīng)所述端口的地址的流量,則確定對應(yīng)所述端口的地址為合法地址;否則,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送所述第二報文。所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,之后還包括
所述接入設(shè)備阻塞所述端口,并通過網(wǎng)管系統(tǒng)或日志系統(tǒng)記錄所述端口下存在攻擊者的信息。一種接入設(shè)備,應(yīng)用于包括DHCP客戶端、所述接入設(shè)備和DHCP服務(wù)器的系統(tǒng)中, 所述DHCP服務(wù)器為所述DHCP客戶端分配地址,并將所述地址通過所述接入設(shè)備通知給所述DHCP客戶端,所述接入設(shè)備包括監(jiān)聽模塊,用于監(jiān)聽所述DHCP服務(wù)器向DHCP客戶端發(fā)送的攜帶所述地址的第一報文;獲取模塊,用于從所述第一報文中獲取所述地址,并獲取向DHCP客戶端發(fā)送所述第一報文的端口信息;維護(hù)模塊,用于維護(hù)記錄有所述端口信息和所述地址的DHCP安全表;發(fā)送模塊,用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量超過預(yù)設(shè)第一閾值時,向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,所述第二報文中攜帶對應(yīng)所述端口的地址信息。所述監(jiān)聽模塊,還用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量沒有超過預(yù)設(shè)第一閾值時,監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的
流量;所述發(fā)送模塊,還用于如果在預(yù)設(shè)第二周期內(nèi)沒有接收到對應(yīng)所述端口的各地址的流量,則向所述DHCP服務(wù)器發(fā)送所述第二報文。所述維護(hù)模塊,還用于如果在預(yù)設(shè)第二周期內(nèi)接收到對應(yīng)所述端口的各地址的流量,則在所述DHCP安全表中刪除所述端口與對應(yīng)所述端口的各地址的記錄。還包括確定模塊,用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量小于預(yù)設(shè)第二閾值時,確定對應(yīng)所述端口的地址為合法地址;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量大于預(yù)設(shè)第二閾值且小于預(yù)設(shè)第一閾值時,向?qū)?yīng)所述端口的地址發(fā)起探測;如果接收到探測響應(yīng),則確定對應(yīng)所述端口的地址為合法地址;其中,預(yù)設(shè)第二閾值小于預(yù)設(shè)第一閾值。所述監(jiān)聽模塊,還用于如果沒有接收到探測響應(yīng),則監(jiān)聽對應(yīng)所述端口的地址的流量;所述確定模塊,還用于如果在預(yù)設(shè)第三周期內(nèi)接收到對應(yīng)所述端口的地址的流量,則確定對應(yīng)所述端口的地址為合法地址;所述發(fā)送模塊,還用于如果在預(yù)設(shè)第三周期內(nèi)沒有接收到對應(yīng)所述端口的地址的流量,則向所述DHCP服務(wù)器發(fā)送所述第二報文。還包括處理模塊,用于阻塞所述端口,并通過網(wǎng)管系統(tǒng)或日志系統(tǒng)記錄所述端口下存在攻擊者的信息。與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下優(yōu)點(diǎn)在DHCP服務(wù)器分配IP地址后,通過監(jiān)聽對應(yīng)同一個端口的IP地址的數(shù)量,從而可確定該端口下的DHCP客戶端是否為攻擊者,如果是攻擊者,則回收為DHCP客戶端分配的 IP地址,否則,允許DHCP客戶端繼續(xù)使用分配的IP地址;從而能夠有效識別出偽造的DHCP 客戶端,找出攻擊DHCP地址池資源的攻擊者,并回收為攻擊者分發(fā)的IP地址,有效的阻止了對DHCP地址池資源的攻擊,并避免DHCP服務(wù)器上IP地址的耗盡。


圖1是現(xiàn)有技術(shù)中的DHCP組網(wǎng)示意圖;圖2是現(xiàn)有技術(shù)中的DHCP報文交互示意圖;圖3是現(xiàn)有技術(shù)中的租約狀態(tài)遷移的情況示意圖;圖4是本發(fā)明所采用的應(yīng)用場景示意圖;圖5是本發(fā)明基于圖4所示的應(yīng)用場景所提供的一種地址的分配方法流程圖;圖6是本發(fā)明提出的一種接入設(shè)備結(jié)構(gòu)圖。
具體實(shí)施例方式本發(fā)明提出一種地址的管理方法,應(yīng)用于包括DHCP客戶端、接入設(shè)備和DHCP服務(wù)器的系統(tǒng)中,下面結(jié)合附圖,對本發(fā)明具體實(shí)施方式
進(jìn)行詳細(xì)說明。以圖4為參考網(wǎng)絡(luò)模型圖,接入設(shè)備的端口 Pl下為攻擊者(將自身偽造為DHCP客戶端申請IP地址),接入設(shè)備的端口 P2下為DHCP客戶端。DHCP服務(wù)器用于為DHCP客戶端分配地址,并將該地址通過接入設(shè)備通知給DHCP 客戶端,針對地址的分配過程,可采用圖2所示的地址分配流程,即通過DHCP-0FFER報文攜帶該地址,并通知給DHCP客戶端。需要注意的是,在DHCP客戶端發(fā)送DHCP-DISC0VER報文時,為廣播報文,目的MAC 地址填充ffff. ffff. fffT,DHCP服務(wù)器回應(yīng)DHCP-0FFER報文時,可采用單播或廣播方式來回應(yīng),如果DHCP-DISC0VER報文中的flags字段(即廣播響應(yīng)標(biāo)識位)為1,則以廣播方式回應(yīng)DHCP-0FFER報文,如果為0,則以單播方式回應(yīng)DHCP-0FFER報文。
本發(fā)明中,通過將DHCP-DISC0VER報文中的flags字段設(shè)置為0,使得以單播方式回應(yīng)DHCP-0FFER報文,目的MAC地址為DHCP-DISC0VER報文中的源MAC地址。因此,當(dāng)接收到DHCP-0FFER報文后,接入設(shè)備將采用單播方式將DHCP-0FFER報文發(fā)送給對應(yīng)的DHCP 客戶端。例如,通過端口 Pl接收到來自DHCP客戶端的DHCP-DISC0VER報文時,可維護(hù)DHCP 客戶端的MAC地址及端口 Pl的對應(yīng)關(guān)系,在接收到來自DHCP服務(wù)器的DHCP-0FFER報文后, 以單播方式通過端口 Pl將DHCP-0FFER報文發(fā)送給DHCP客戶端。本發(fā)明中,通過部署DHCP安全代理可找到DHCP攻擊者,該DHCP安全代理可部署在最接近DHCP客戶端的網(wǎng)絡(luò)設(shè)備上。為了方便描述,以網(wǎng)絡(luò)設(shè)備為圖4中的接入設(shè)備(如接入層交換機(jī))為例,則接入設(shè)備的端口 Pl和端口 P2下直接連接有DHCP客戶端。當(dāng)在接入設(shè)備上啟動DHCP安全代理特性后,如圖5所示,該方法包括以下步驟步驟501,在DHCP服務(wù)器為DHCP客戶端分配了地址后,接入設(shè)備監(jiān)聽攜帶該地址的第一報文(即DHCP-0FFER報文)。步驟502,當(dāng)監(jiān)聽到DHCP-0FFER報文時,接入設(shè)備從該DHCP-0FFER報文中獲取為 DHCP客戶端所分配的地址,以及向DHCP客戶端發(fā)送該DHCP-0FFER報文的端口信息(如端
口號)。步驟503,接入設(shè)備維護(hù)記錄有端口信息和地址的DHCP安全表,如表1和表2所示的DHCP安全表的示意情況。表 權(quán)利要求
1.一種地址的管理方法,應(yīng)用于包括DHCP客戶端、接入設(shè)備和DHCP服務(wù)器的系統(tǒng)中, 所述DHCP服務(wù)器為所述DHCP客戶端分配地址,并將所述地址通過所述接入設(shè)備通知給所述DHCP客戶端,其特征在于,該方法包括以下步驟所述接入設(shè)備監(jiān)聽到所述DHCP服務(wù)器向DHCP客戶端發(fā)送的攜帶所述地址的第一報文時,從所述第一報文中獲取所述地址,并獲取向DHCP客戶端發(fā)送所述第一報文的端口信息,以及維護(hù)記錄有所述端口信息和所述地址的DHCP安全表;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量超過預(yù)設(shè)第一閾值時,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,所述第二報文中攜帶對應(yīng)所述端口的地址信息,由所述DHCP服務(wù)器回收對應(yīng)所述端口的地址。
2.如權(quán)利要求1所述的方法,其特征在于,所述接入設(shè)備維護(hù)記錄有所述端口信息和所述地址的DHCP安全表,之后還包括當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量沒有超過預(yù)設(shè)第一閾值時,所述接入設(shè)備監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的流量;如果在預(yù)設(shè)第二周期內(nèi)沒有接收到對應(yīng)所述端口的各地址的流量,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送所述第二報文。
3.如權(quán)利要求2所述的方法,其特征在于,所述接入設(shè)備監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的流量,之后還包括如果在預(yù)設(shè)第二周期內(nèi)接收到對應(yīng)所述端口的各地址的流量,所述接入設(shè)備在所述 DHCP安全表中刪除所述端口與對應(yīng)所述端口的各地址的記錄。
4.如權(quán)利要求1所述的方法,其特征在于,所述接入設(shè)備維護(hù)記錄有所述端口信息和所述地址的DHCP安全表,之后還包括當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量小于預(yù)設(shè)第二閾值時,所述接入設(shè)備確定對應(yīng)所述端口的地址為合法地址;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量大于預(yù)設(shè)第二閾值且小于預(yù)設(shè)第一閾值時,所述接入設(shè)備向?qū)?yīng)所述端口的地址發(fā)起探測;如果接收到探測響應(yīng),則確定對應(yīng)所述端口的地址為合法地址;其中,預(yù)設(shè)第二閾值小于預(yù)設(shè)第一閾值。
5.如權(quán)利要求4所述的方法,其特征在于,所述接入設(shè)備向?qū)?yīng)所述端口的地址發(fā)起探測,之后還包括如果沒有接收到探測響應(yīng),則所述接入設(shè)備監(jiān)聽對應(yīng)所述端口的地址的流量;如果在預(yù)設(shè)第三周期內(nèi)接收到對應(yīng)所述端口的地址的流量,則確定對應(yīng)所述端口的地址為合法地址;否則,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送所述第二報文。
6.如權(quán)利要求1-5任一項所述的方法,其特征在于,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,之后還包括所述接入設(shè)備阻塞所述端口,并通過網(wǎng)管系統(tǒng)或日志系統(tǒng)記錄所述端口下存在攻擊者的信息。
7.一種接入設(shè)備,應(yīng)用于包括DHCP客戶端、所述接入設(shè)備和DHCP服務(wù)器的系統(tǒng)中,所述DHCP服務(wù)器為所述DHCP客戶端分配地址,并將所述地址通過所述接入設(shè)備通知給所述 DHCP客戶端,其特征在于,所述接入設(shè)備包括監(jiān)聽模塊,用于監(jiān)聽所述DHCP服務(wù)器向DHCP客戶端發(fā)送的攜帶所述地址的第一報文;獲取模塊,用于從所述第一報文中獲取所述地址,并獲取向DHCP客戶端發(fā)送所述第一報文的端口信息;維護(hù)模塊,用于維護(hù)記錄有所述端口信息和所述地址的DHCP安全表;發(fā)送模塊,用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量超過預(yù)設(shè)第一閾值時,向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,所述第二報文中攜帶對應(yīng)所述端口的地址信息。
8.如權(quán)利要求7所述的接入設(shè)備,其特征在于,所述監(jiān)聽模塊,還用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量沒有超過預(yù)設(shè)第一閾值時,監(jiān)聽所述DHCP安全表中對應(yīng)所述端口的各地址的流量;所述發(fā)送模塊,還用于如果在預(yù)設(shè)第二周期內(nèi)沒有接收到對應(yīng)所述端口的各地址的流量,則向所述DHCP服務(wù)器發(fā)送所述第二報文。
9.如權(quán)利要求8所述的接入設(shè)備,其特征在于,所述維護(hù)模塊,還用于如果在預(yù)設(shè)第二周期內(nèi)接收到對應(yīng)所述端口的各地址的流量, 則在所述DHCP安全表中刪除所述端口與對應(yīng)所述端口的各地址的記錄。
10.如權(quán)利要求7所述的接入設(shè)備,其特征在于,還包括確定模塊,用于當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量小于預(yù)設(shè)第二閾值時,確定對應(yīng)所述端口的地址為合法地址;當(dāng)在預(yù)設(shè)第一周期內(nèi)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量大于預(yù)設(shè)第二閾值且小于預(yù)設(shè)第一閾值時,向?qū)?yīng)所述端口的地址發(fā)起探測;如果接收到探測響應(yīng),則確定對應(yīng)所述端口的地址為合法地址;其中,預(yù)設(shè)第二閾值小于預(yù)設(shè)第一閾值。
11.如權(quán)利要求10所述的接入設(shè)備,其特征在于,所述監(jiān)聽模塊,還用于如果沒有接收到探測響應(yīng),則監(jiān)聽對應(yīng)所述端口的地址的流量;所述確定模塊,還用于如果在預(yù)設(shè)第三周期內(nèi)接收到對應(yīng)所述端口的地址的流量,則確定對應(yīng)所述端口的地址為合法地址;所述發(fā)送模塊,還用于如果在預(yù)設(shè)第三周期內(nèi)沒有接收到對應(yīng)所述端口的地址的流量,則向所述DHCP服務(wù)器發(fā)送所述第二報文。
12.如權(quán)利要求7-11任一項所述的接入設(shè)備,其特征在于,還包括處理模塊,用于阻塞所述端口,并通過網(wǎng)管系統(tǒng)或日志系統(tǒng)記錄所述端口下存在攻擊者的信息。
全文摘要
本發(fā)明公開了一種地址的管理方法和設(shè)備,該方法包括接入設(shè)備從第一報文中獲取地址,并獲取向DHCP客戶端發(fā)送所述第一報文的端口信息,以及維護(hù)記錄有所述端口信息和所述地址的DHCP安全表;當(dāng)所述DHCP安全表中對應(yīng)同一個端口的地址數(shù)量超過預(yù)設(shè)第一閾值時,所述接入設(shè)備向所述DHCP服務(wù)器發(fā)送請求回收地址的第二報文,所述第二報文中攜帶對應(yīng)所述端口的地址信息。本發(fā)明中,能夠有效識別出偽造的DHCP客戶端,避免DHCP服務(wù)器上IP地址的耗盡。
文檔編號H04L29/12GK102185724SQ20111014210
公開日2011年9月14日 申請日期2011年5月30日 優(yōu)先權(quán)日2011年5月30日
發(fā)明者周迪, 顧雷雷 申請人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1