專利名稱:一種防止dhcp服務器欺騙的方法、裝置及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機數(shù)據(jù)通信領域,尤其涉及一種防止DHCP服務器欺騙的方法、裝置及系統(tǒng)。
背景技術:
隨著網(wǎng)絡規(guī)模的擴大和網(wǎng)絡復雜程度的提高,網(wǎng)絡配置越來越復雜,經常出現(xiàn)計算機位置變化和計算機數(shù)量超過可分配的IP地址的情況。動態(tài)主機分配協(xié)議(Dynamic Host Configuration Protocol,DHCP)就是為了滿足這些需求而發(fā)展起來的,在網(wǎng)絡規(guī)模較大的情況下,通常采用DHCP服務器來完成IP的分配。動態(tài)主機分配協(xié)議是一個局域網(wǎng)的網(wǎng)絡協(xié)議,使用UDP協(xié)議(User Datagr am Protocol,用戶數(shù)據(jù)包協(xié)議)工作,主要有兩個用途給內部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址給用戶和給內部網(wǎng)絡管理員作為對所有計算機作中央管理的手段。為了防止非法設置DHCP服務器,一般在交換機中開啟DHCP偵聽(DHCP SNOOPING) 功能,DHCP SNOOPING功能指交換機監(jiān)測DHCP客戶端通過DHCP協(xié)議獲取IP的過程。它通過設置可信端口和非可信端口,來防止DHCP攻擊及私設DHCP服務器。從可信端口接收的 DHCP報文無需校驗即可轉發(fā)。典型的設置是將可信端口連接DHCP服務器或者DHCP中繼代理。非可信端口連接DHCP客戶端,交換機將轉發(fā)從非可信端口接收的DHCP請求報文,不轉發(fā)從非可信端口接收的DHCP回應報文。如果從非可信端口接收DHCP回應報文,除了發(fā)出告警信息外,并可根據(jù)設置對該端口執(zhí)行不同的動作,比如關閉該端口(Shutdown該端口),下發(fā)黑洞地址(BLACKH0LE MAC)等。但是啟用DHCP SNOOPING來防止私設DHCP服務器是一種被動的行為,而且其判斷DHCP服務器非法的條件相對簡單,不能滿足復雜網(wǎng)絡中的需求?,F(xiàn)有技術中公開號為CN 101834870A的發(fā)明專利公開了 “一種防止MAC地址欺騙攻擊的方法和裝置”,該方法包括交換設備在接收到用戶終端發(fā)送的非動態(tài)主機配置協(xié)議 DHCP報文時,基于預先配置的靜態(tài)MAC地址表,檢測所述非DHCP報文的合法性,當所述非 DHCP報文不合法時,丟棄該報文。該方法防止了接入設備的MAC地址欺騙,并有效避免了交換設備上的MAC地址協(xié)議發(fā)生遷移,造成數(shù)據(jù)轉發(fā)紊亂,使用戶遭受攻擊的情況?,F(xiàn)有技術中基于預先配置的靜態(tài)MAC地址表或MAC地址與IP地址綁定,來對用戶終端的非DHCP報文進行過濾,通過對報文的源MAC地址合法性檢查,防止接入設備的MAC 地址欺騙,也屬于一種被動的防止MAC地址欺騙的方法,而且該判斷方法較復雜,亟需一種簡單、易于實現(xiàn)、能夠主動探測發(fā)現(xiàn)非法DHCP服務器的方法,能夠有效解決網(wǎng)絡中DHCP服務器欺騙行為。
發(fā)明內容
為克服現(xiàn)有技術中存在的缺陷和不足,本發(fā)明提出一種防止DHCP服務器欺騙的方法、裝置及系統(tǒng),有效的解決了在網(wǎng)絡中私設DHCP服務器的行為,確保用戶獲取合法IP地址,保證了網(wǎng)絡的安全性。本發(fā)明公開一種防止DHCP服務器欺騙的方法,該方法包括如下步驟Sl 交換機預先配置滿足合法DHCP服務器的特征,下發(fā)DHCP報文重定向至交換機中央處理模塊的規(guī)則;S2 交換機的每個端口構建DHCP DISCOVERY報文,并將報文從構建端口發(fā)送給 DHCP服務器,服務器返回DHCP OFFER報文給交換機;S3 交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP服務器特征進行匹配;S4 根據(jù)步驟S3的匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。進一步地,所述合法DHCP服務器的特征包括DHCP服務器連接端口、所屬虛擬局域網(wǎng)號、IP地址或MAC地址。進一步地,所述步驟Sl中交換機接收到DHCP報文后,將DHCP報文重定向至交換機的中央處理模塊,由中央處理模塊進行解析和轉發(fā)。進一步地,步驟S2中對交換機的每一個物理端口,構建DHCP DISCOVERY報文,將報文從構建端口發(fā)送給DHCP服務器,并記錄DHCP請求對話。進一步地,步驟S3中交換機接收到DHCP OFFER報文,中央處理模塊對該報文進行解析,記錄接收報文的端口,根據(jù)解析結果與合法DHCP服務器的特征進行匹配。進一步地,步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應, 并且與合法DHCP服務器的特征匹配,則不再發(fā)送DHCP REQUEST,并且丟棄該DHCP OFFER報文。進一步地,步驟S4中如DHCP OFFER報文解析結果與合法DHCP服務器的特征不匹配,通過在交換機中設置的防護動作,將非法DHCP服務器的所有報文全部丟棄。進一步地,交換機中設置的防護動作包括Shutdown該端口、下發(fā)該DHCP服務器的黑洞MAC表項或將該端口設置到黑名單。本發(fā)明公開一種防止DHCP服務器欺騙的裝置,該裝置用于DHCP客戶端向DHCP服務器申請IP地址時進行信息交換,包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊,設置模塊預先配置合法DHCP服務器的特征,下發(fā)DHCP報文重定向至中央處理模塊的規(guī)則,該裝置端口接收到DHCP報文,重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發(fā),自定義模塊為交換設備的每個端口構建DHCP DISCOVERY報文,從構建端口將報文發(fā)送給DHCP服務器,DHCP服務器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP服務器的特征進行匹配,根據(jù)匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。本發(fā)明還公開一種防止DHCP服務器欺騙的系統(tǒng),一種由DHCP客戶端、DHCP服務器和上面所述防止DHCP服務器欺騙的裝置組成的系統(tǒng)。本發(fā)明的一種防止DHCP服務器欺騙的方法、裝置及系統(tǒng),能夠實現(xiàn)交換裝置主動探測發(fā)現(xiàn)非法DHCP服務器,確保用戶獲取合法IP地址,該方法簡單,易于實現(xiàn),保證了網(wǎng)絡的安全性。
圖1為本發(fā)明防止DHCP服務器欺騙的系統(tǒng)原理框圖;圖2為本發(fā)明防止DHCP服務器欺騙的系統(tǒng)示意圖;圖3為本發(fā)明防止DHCP服務器欺騙的方法流程圖;圖4為本發(fā)明一具體實施的防止DHCP服務器欺騙的方法的流程圖。
具體實施例方式為詳細說明本發(fā)明的技術內容、所實現(xiàn)目的及效果,以下結合實施方式并配合附圖予以詳細說明。參見圖1,為本發(fā)明防止DHCP服務器欺騙的系統(tǒng)原理框圖,該系統(tǒng)包括DHCP客戶端、交換裝置和DHCP服務器,其中,交換裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊;設置模塊用于配置合法DHCP服務器的特征,該合法DHCP服務器的特征指管理員搭建的DHCP服務器具有的特征,包括DHCP服務器的連接端口、所屬VLAN ID (虛擬局域網(wǎng)號)、IP地址或者MAC地址等;重定向模塊用于將交換裝置端口收到的DHCP網(wǎng)絡報文重定向到中央處理模塊進行解析和轉發(fā),自定義模塊為交換設備在每一個物理端口構建DHCP DISCOVERY報文,從構建端口將DHCP DISCOVERY報文發(fā)送到DHCP服務器,DHCP服務器收到DISCOVERY報文,返回一個DHCP OFFER給交換設備;交換設備接收到DHCP OFFER報文,由中央處理模塊對報文進行解析,匹配模塊對解析結果與合法DHCP服務器的特征進行匹配,根據(jù)匹配結果,采取不同的防護措施如匹配成功,則停止發(fā)送DHCP REQUEST報文, 并且丟棄DHCP OFFER報文;如果匹配失敗,則根據(jù)防護措施采取不同動作,禁止非法DHCP 服務器接入網(wǎng)絡,采用主動方式解決了網(wǎng)絡中私設DHCP服務器的行為。其中,所述交換裝置為一種防止DHCP服務器欺騙的裝置,該裝置用于DHCP客戶端向DHCP服務器申請IP地址時進行信息交換,包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊。設置模塊由管理員預先配置合法DHCP服務器的特征,該裝置下發(fā) DHCP報文重定向至交換機中央處理模塊的規(guī)則,DHCP客戶端與DHCP服務器發(fā)送DHCP報文時,該規(guī)則將端口收到的DHCP報文通過重定向模塊重定向到中央處理模塊進行解析和轉發(fā),自定義模塊為交換設備的每個端口構建DHCP DISCOVERY報文,從構建端口將報文發(fā)送給DHCP服務器,DHCP服務器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP服務器的特征進行匹配,根據(jù)匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。參見圖2,為本發(fā)明防止DHCP服務器欺騙的系統(tǒng)示意圖。用戶終端通過交換機連入網(wǎng)絡,交換機將用戶的DHCP報文向DHCP服務器轉發(fā)。整個系統(tǒng)的具體工作過程如下 交換機啟用主動探測非法DHCP服務器功能;交換機預先配置合法DHCP服務器的特征。交換機下發(fā)DHCP報文重定向至交換機中央處理模塊的規(guī)則,DHCP客戶端向DHCP服務器發(fā)送DHCP網(wǎng)絡報文,交換機端口收到DHCP報文,通過重定向模塊將DHCP報文重定向到中央處理模塊,中央處理模塊對DHCP報文進行解析;自定義模塊為交換機每個端口構造DHCP DISCOVERY報文,將DHCP DISCOVERY報文由構造端口發(fā)送到DHCP服務器,DHCP服務器接收到DHCP DISCOVERY報文并進行響應,返回DHCP OFFER報文給交換機,交換機接收到DHCP OFFER報文并由中央處理模塊進行解析;匹配模塊根據(jù)解析結果與合法DHCP服務器的特征進行匹配,如果DHCP OFFER報文為本機的DHCP請求對話的回應,并且滿足合法DHCP服務器的特征,則刪除DHCP請求對話,不再發(fā)送DHCP REQUEST請求報文,并且丟棄該DHCP OFFER 報文;如果不滿足合法DHCP服務器特征,根據(jù)防護措施采取不同動作,禁止非法DHCP服務器接入網(wǎng)絡。其中,防護動作由管理員在交換機中設置,比如Shutdown該端口,下發(fā)該DHCP 服務器的黑洞MAC表項,或者設置黑名單等,交換機將非法DHCP服務器的所有報文全部丟棄。參見圖3,為本發(fā)明防止DHCP服務器欺騙的方法流程圖。該方法具體步驟如下Sl 交換機預先配置滿足合法DHCP服務器的特征,下發(fā)DHCP報文重定向至交換機中央處理模塊的規(guī)則。其中,合法DHCP服務器的特征指管理員搭建的DHCP服務器具有的特征,如DHCP 服務器的連接端口、所屬VLAN ID (虛擬局域網(wǎng)號)、IP地址或者MAC地址等。交換機下發(fā) DHCP報文重定向至交換機CPU的規(guī)則,根據(jù)該規(guī)則交換機的交換芯片接收到DHCP報文后, 不執(zhí)行硬件轉發(fā)行為,而是將報文重定向至交換機的CPU,由CPU進行軟件的解析和轉發(fā)。S2 交換機的每個端口構建DHCP DISCOVERY報文,并將報文從構建端口發(fā)送給 DHCP服務器,服務器返回DHCP OFFER報文給交換機。交換機上包括多個物理端口,交換芯片接收到DHCP報文后,為每一個端口構造 DHCP DISCOVERY報文,并將DHCP DISCOVERY報文從構建端口發(fā)送給DHCP服務器,DHCP服務器接收到報文并進行響應,返回DHCP OFFER報文給交換機;同時記錄此次DHCP請求對話,S3 交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP服務器特征進行匹配。交換機接收到DHCP OFFER報文后,由中央處理模塊進行解析,解析得到DHCP服務器的連接端口、所屬虛擬局域網(wǎng)號、IP地址或者MAC地址等信息,然后與預先配置好的合法 DHCP服務器的特征進行匹配。S4 根據(jù)步驟S3的匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。如果DHCP服務器報文為本次的DHCP請求對話的回應,解析后的信息與合法DHCP 服務器的特征匹配成功,就不再發(fā)送DHCP REQUEST報文,并且將接收到的DHCP OFFER丟棄。如解析后的信息與合法DHCP服務器的特征匹配不成功,則根據(jù)防護措施采取不同動作,禁止非法DHCP服務器接入網(wǎng)絡。具體的防護動作由管理員在交換機中設置,比如 Shutdown該端口,下發(fā)該DHCP服務器的黑洞MAC表項,或者設置黑名單等,此種情況下,交換機將非法DHCP服務器的所有報文全部丟棄。本發(fā)明的技術方案采用主動探測并發(fā)現(xiàn)非法DHCP服務器,確保客戶端獲得合法的IP地址,保證了網(wǎng)絡安全。參見圖4,為本發(fā)明一具體實施的防止DHCP服務器欺騙的方法的具體流程1)在交換機上配置滿足合法DHCP服務器的特征,合法DHCP服務器的特征指由管理員搭建的DHCP服務器具有的特征,包括DHCP服務器的連接端口、所屬VLAN ID (虛擬局域網(wǎng)號)、IP地址或者MAC地址等。啟用主動探測非法DHCP服務器功能;
2)交換裝置下發(fā)DHCP報文重定向至交換機CPU的規(guī)則到交換芯片,交換芯片收到 DHCP報文后,不執(zhí)行硬件轉發(fā)行為,而是將報文重定向至交換機的CPU,由CPU進行軟件的解析和轉發(fā);3)交換裝置的自定義模塊為交換機的每一個物理端口構造DHCP DISCOVERY報文,將DHCP DISCOVERY報文以廣播的方式從構造端口發(fā)送給DHCP服務器,DHCP服務器根據(jù)DHCP DISCOVERY報文信息,以廣播的形式返回DHCP OFFER報文給交換機,同時記錄此次 DHCP請求對話;4)交換機端口收到DHCP OFFER報文,解析該報文,記錄接收報文的端口,判斷 DHCP OFFER報文解析結果與步驟1)中配置的合法DHCP服務器特征是否匹配,如是,執(zhí)行步驟5);如否,則執(zhí)行步驟6);5)如果DHCP服務器報文為本次的DHCP請求對話的回應,解析后的信息與合法 DHCP服務器的特征匹配成功,就不再發(fā)送DHCP REQUEST報文,并且將接收到的DHCP OFFER 報文丟棄;6)如解析后的信息與合法DHCP服務器的特征匹配不成功,交換機將非法DHCP服務器的所有報文全部丟棄。實施本發(fā)明的一種防止DHCP服務器欺騙的方法、裝置及系統(tǒng),通過主動探測發(fā)現(xiàn)非法DHCP服務器,確保用戶獲取合法IP地址,該方案簡單,易于實現(xiàn),保證了網(wǎng)絡的安全性。
權利要求
1.一種防止DHCP服務器欺騙的方法,其特征在于,包括如下步驟51交換機預先配置滿足合法DHCP服務器的特征,下發(fā)DHCP報文重定向至交換機中央處理模塊的規(guī)則;52交換機的每個端口構建DHCP DISCOVERY報文,并將報文從構建端口發(fā)送給DHCP服務器,服務器返回DHCP OFFER報文給交換機;53交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP服務器特征進行匹配;54根據(jù)步驟S3的匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。
2.根據(jù)權利要求1所述的防止DHCP服務器欺騙的方法,其特征在于,所述合法DHCP服務器的特征包括DHCP服務器連接端口、所屬虛擬局域網(wǎng)號、IP地址或MAC地址。
3.根據(jù)權利要求1所述的防止DHCP服務器欺騙的方法,其特征在于,所述步驟Sl中交換機接收到DHCP報文后,將DHCP報文重定向至交換機的中央處理模塊,由中央處理模塊進行解析和轉發(fā)。
4.根據(jù)權利要求1所述的防止DHCP服務器欺騙的方法,其特征在于,步驟S2中對交換機的每一個物理端口構建DHCP DISCOVERY報文,將報文從構建端口發(fā)送給DHCP服務器,并記錄DHCP請求對話。
5.根據(jù)權利要求1所述的防止DHCP服務器欺騙的方法,其特征在于,步驟S3中交換機接收到DHCP OFFER報文,中央處理模塊對該報文進行解析,記錄接收報文的端口,根據(jù)解析結果與合法DHCP服務器的特征進行匹配。
6.根據(jù)權利要求1所述的防止DHCP服務器欺騙的方法,其特征在于,步驟S4中如DHCP OFFER報文解析結果為本次DHCP請求對話的回應,并且與合法DHCP服務器的特征匹配,則不再發(fā)送DHCP REQUEST,并且丟棄該DHCP OFFER報文。
7.根據(jù)權利要求1或6所述的防止DHCP服務器欺騙的方法,其特征在于,步驟S4中如DHCP OFFER報文解析結果與合法DHCP服務器的特征不匹配,通過在交換機中設置的防護動作,將非法DHCP服務器的所有報文全部丟棄。
8.根據(jù)權利要求7所述的防止DHCP服務器欺騙的方法,其特征在于,交換機中設置的防護動作包括Shutdown該端口、下發(fā)該DHCP服務器的黑洞MAC表項或將該端口設置到黑名單。
9.一種防止DHCP服務器欺騙的裝置,該裝置用于DHCP客戶端向DHCP服務器申請IP 地址時進行信息交換,該裝置包括設置模塊、匹配模塊、自定義模塊、重定向模塊和中央處理模塊,設置模塊預先配置合法DHCP服務器的特征,下發(fā)DHCP報文重定向至中央處理模塊的規(guī)則,該裝置端口接收到DHCP報文,重定向模塊將DHCP報文重定向到中央處理模塊進行解析和轉發(fā),自定義模塊為交換設備的每個端口構建DHCP DISCOVERY報文,從構建端口將報文發(fā)送給DHCP服務器,DHCP服務器返回DHCP OFFER報文給交換設備,匹配模塊將DHCP OFFER報文與合法DHCP服務器的特征進行匹配,根據(jù)匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。
10.一種防止DHCP服務器欺騙的系統(tǒng),其特征在于,一種由DHCP客戶端、DHCP服務器和如權利要求9所述防止DHCP服務器欺騙的裝置組成的系統(tǒng)。
全文摘要
本發(fā)明公開一種防止DHCP服務器欺騙的方法、裝置及系統(tǒng),步驟如下S1交換機預先配置滿足合法DHCP服務器的特征,下發(fā)DHCP報文重定向至交換機中央處理模塊的規(guī)則;S2交換機的每個端口構建DHCP DISCOVERY報文,并將報文從構建端口發(fā)送給DHCP服務器,服務器返回DHCP OFFER報文給交換機;S3交換機接收到DHCP OFFER報文,與預先配置好的合法DHCP服務器特征進行匹配;S4根據(jù)步驟S3的匹配結果,采取不同的防護措施,從而主動防止DHCP服務器欺騙。本發(fā)明通過主動探測發(fā)現(xiàn)非法DHCP服務器,確保用戶獲取合法IP地址,該方案簡單,易于實現(xiàn),保證了網(wǎng)絡的安全性。
文檔編號H04L29/12GK102438028SQ20121001802
公開日2012年5月2日 申請日期2012年1月19日 優(yōu)先權日2012年1月19日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(北京)有限公司