本發(fā)明屬于計(jì)算機(jī)IP地址分配和管理安全防護(hù)技術(shù)領(lǐng)域,具體涉及一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法及系統(tǒng)。
背景技術(shù):
Dynamic Host Configuration Protocol,簡(jiǎn)稱(chēng)DHCP,是用UDP協(xié)議工作的局域網(wǎng)網(wǎng)絡(luò)協(xié)議。隨著無(wú)線移動(dòng)設(shè)備的大量接入,DHCP服務(wù)器的穩(wěn)定性、安全性變的更加嚴(yán)峻。
DHCP服務(wù)器會(huì)大量的收到不符合RFC2131協(xié)議的殘缺數(shù)據(jù)報(bào)文;惡意攻擊的非法DHCPDISCOVER報(bào)文;不確定因素導(dǎo)致的合法的DHCPDISCOVER報(bào)文;客戶(hù)端發(fā)送的DHCPREQUEST、DHCPINFORM查詢(xún)報(bào)文。上述各種報(bào)文如果出現(xiàn)非正常的報(bào)文,則會(huì)對(duì)DHCP服務(wù)的安全性造成巨大的威脅。
技術(shù)實(shí)現(xiàn)要素:
為解決上述DHCP安全性問(wèn)題,本發(fā)明提供一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法及系統(tǒng),其可以實(shí)現(xiàn)對(duì)局域網(wǎng)中非法報(bào)文的及時(shí)篩選和處理。
本發(fā)明提供一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,其特征在于,包括DHCP GUARD和DHCP CORE,涉及的方法如下:
所述DHCP GUARD接收局域網(wǎng)中的DHCP報(bào)文;
根據(jù)所述DHCP報(bào)文的不同類(lèi)型,選擇預(yù)設(shè)的安全防護(hù)機(jī)制對(duì)所述DHCP報(bào)文進(jìn)行篩選;
若所述DHCP報(bào)文符合所述預(yù)設(shè)的安全防護(hù)機(jī)制,則將所述DHCP報(bào)文發(fā)送至所述DHCP CORE,若否,則丟棄所述DHCP報(bào)文。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCP協(xié)議報(bào)文時(shí),
獲取RFC2131協(xié)議定義的報(bào)文數(shù)據(jù)結(jié)構(gòu);
根據(jù)所述報(bào)文數(shù)據(jù)結(jié)構(gòu)對(duì)所述DHCP協(xié)議報(bào)文進(jìn)行結(jié)構(gòu)完整性和一致性校驗(yàn)。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCPDISVOER請(qǐng)求報(bào)文時(shí),
判定接收的所述DHCP報(bào)文數(shù)量大于第一預(yù)設(shè)閾值;
分析所述DHCP報(bào)文中的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址,得到所述DHCP報(bào)文是否非法。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是合法DHCPDISCOVER請(qǐng)求報(bào)文時(shí),
判定接收的所述合法DHCPDISCOVER報(bào)文數(shù)量大于第二預(yù)設(shè)閾值;
根據(jù)所述第二預(yù)設(shè)閾值對(duì)所述合法DHCPDISCOVER報(bào)文數(shù)量進(jìn)行限速。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCPREQUEST或DHCPINFORM報(bào)文時(shí),
判定在IP地址租賃期內(nèi)收到的所述DHCP報(bào)文數(shù)量大于第三預(yù)設(shè)閾值;
根據(jù)所述第三預(yù)設(shè)閾值對(duì)所述租賃期內(nèi)的DHCP報(bào)文數(shù)量進(jìn)行限速。
本發(fā)明提供一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的系統(tǒng),其特征在于,包括DHCP GUARD模塊和DHPC COER模塊,還包括:
接收模塊,用于所述DHCP GUARD接收局域網(wǎng)中的DHCP報(bào)文;
安全防護(hù)模塊,用于根據(jù)所述DHCP報(bào)文的不同類(lèi)型,選擇預(yù)設(shè)的安全防護(hù)機(jī)制對(duì)所述DHCP報(bào)文進(jìn)行篩選;
處理模塊,用于若所述DHCP報(bào)文符合所述預(yù)設(shè)的安全防護(hù)機(jī)制,則將所述DHCP報(bào)文發(fā)送至所述DHCP CORE,若否,則丟棄所述DHCP報(bào)文。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCP協(xié)議報(bào)文時(shí),所述安全防護(hù)模塊還用于:
獲取RFC2131協(xié)議定義的報(bào)文數(shù)據(jù)結(jié)構(gòu);
根據(jù)所述報(bào)文數(shù)據(jù)結(jié)構(gòu)對(duì)所述DHCP協(xié)議報(bào)文進(jìn)行結(jié)構(gòu)完整性和一致性校驗(yàn)。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCPDISVOER請(qǐng)求報(bào)文時(shí),所述安全防護(hù)模塊還用于:
判定接收的所述DHCP報(bào)文數(shù)量大于第一預(yù)設(shè)閾值;
分析所述DHCP報(bào)文中的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址,得到所述DHCP報(bào)文是否非法。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是合法DHCPDISCOVER請(qǐng)求報(bào)文時(shí),所述安全防護(hù)模塊還用于:
判定接收的所述合法DHCPDISCOVER報(bào)文數(shù)量大于第二預(yù)設(shè)閾值;
根據(jù)所述第二預(yù)設(shè)閾值對(duì)所述合法DHCPDISCOVER報(bào)文數(shù)量進(jìn)行限速。
優(yōu)選地,當(dāng)所述DHCP報(bào)文的類(lèi)型是DHCPREQUEST或DHCPINFORM報(bào)文時(shí),所述安全防護(hù)模塊還用于:
判定在IP地址租賃期內(nèi)收到的所述DHCP報(bào)文數(shù)量大于第三預(yù)設(shè)閾值;
根據(jù)所述第三預(yù)設(shè)閾值對(duì)所述租賃期內(nèi)的DHCP報(bào)文數(shù)量進(jìn)行限速。
本發(fā)明提供的一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法及系統(tǒng),與現(xiàn)有技術(shù)相比,通過(guò)對(duì)不同的非法報(bào)文有針對(duì)性的進(jìn)行安全防護(hù),將不符合安全防護(hù)機(jī)制的報(bào)文丟棄,可以提高DHCP服務(wù)器的安全性、穩(wěn)定性,從而能夠提供更健壯的DHCP服務(wù)。
附圖說(shuō)明
圖1為本發(fā)明DHCP服務(wù)器的結(jié)構(gòu)示意圖;
圖2為本發(fā)明DHCP報(bào)文數(shù)據(jù)的流程圖;
圖3為本發(fā)明一優(yōu)選實(shí)施例的方法流程示意圖;
圖4為本發(fā)明另一優(yōu)選實(shí)施例的方法流程示意圖;
圖5為本發(fā)明另一優(yōu)選實(shí)施例的方法流程示意圖;
圖6為本發(fā)明另一優(yōu)選實(shí)施例的方法流程示意圖;
圖7為本發(fā)明另一優(yōu)選實(shí)施例的方法流程示意圖;
圖8為本發(fā)明另一優(yōu)選實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明的技術(shù)方案,下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述。
參照?qǐng)D1所示,本發(fā)明中的DHCP服務(wù)器在模塊劃分上包括DHCP GUARD(DHCP防御)和DHCP CORE(DHCP核心)兩個(gè)部分,兩個(gè)部分相互依存提供DHCP服務(wù)。
其中,DHCP GUARD監(jiān)聽(tīng)67端口,對(duì)各種接收的DHCP報(bào)文進(jìn)行篩選、拆包檢查,檢查通過(guò)后發(fā)送給DHCP CORE進(jìn)行報(bào)文處理。
DHCP CORE監(jiān)聽(tīng)3076端口,只提供核心DHCP服務(wù),分配IP地址,下發(fā)網(wǎng)絡(luò)配置。DHCP CORE監(jiān)聽(tīng)端口也可以設(shè)置為其他不被占用的服務(wù)端口,其使用的是內(nèi)部監(jiān)聽(tīng)端口,可以進(jìn)行自由設(shè)定。
參照?qǐng)D2所示,DHCP報(bào)文進(jìn)入DHCP GUARD后進(jìn)行非法與合法的判斷,若DHCP報(bào)文合法,則發(fā)送至DHCP CORE進(jìn)行處理,若DHCP報(bào)文非法,則將該DHCP報(bào)文丟棄。
參照?qǐng)D3所示,在本發(fā)明一優(yōu)選的實(shí)施例中提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,包括DHCP GUARD和DHCP CORE,涉及的方法如下:
S310、DHCP GUARD接收局域網(wǎng)中的DHCP報(bào)文。
其中,DHCP報(bào)文包括各種類(lèi)型的報(bào)文,如DHCP殘缺報(bào)文、DHCPDISCOVER非法請(qǐng)求報(bào)文、DHCP協(xié)議報(bào)文、DHCPREQUEST報(bào)文和DHCPINFORM報(bào)文等。
合法的DHCP報(bào)文是保證DHCP服務(wù)器提供給客戶(hù)端正常的DHCP服務(wù)的必要因素。非法的DHCP報(bào)文對(duì)DHCP服務(wù)的安全性造成很大的威脅。
S320、根據(jù)DHCP報(bào)文的不同類(lèi)型,選擇預(yù)設(shè)的安全防護(hù)機(jī)制對(duì)DHCP報(bào)文進(jìn)行篩選。
針對(duì)不同的DHCP報(bào)文類(lèi)型,會(huì)有不同的安全防護(hù)機(jī)制來(lái)對(duì)其進(jìn)行檢查和篩選。
S330、若DHCP報(bào)文符合預(yù)設(shè)的安全防護(hù)機(jī)制,則將DHCP報(bào)文發(fā)送至DHCP CORE,若否,則丟棄DHCP報(bào)文。
若DHCP報(bào)文符合相應(yīng)的安全防護(hù)機(jī)制,則將合法的DHCP報(bào)文發(fā)送至DHCP CORE進(jìn)行處理,DHCP CORE對(duì)DHCP報(bào)文進(jìn)行響應(yīng)回復(fù),提供基礎(chǔ)核心的DHCP功能。
若DHCP報(bào)文不符合相應(yīng)的安全防護(hù)機(jī)制,則丟棄該DHCP報(bào)文。
本發(fā)明實(shí)施例提供的一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,通過(guò)對(duì)非法的DHCP報(bào)文進(jìn)行檢查和篩選,可以增加DHCP服務(wù)器的安全性和穩(wěn)定性,進(jìn)一步提高DHCP服務(wù)器的健壯性。
參照?qǐng)D4所示,在本發(fā)明的另一優(yōu)選實(shí)施例中,提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,包括DHCP GUARD和DHCP CORE,涉及如下步驟:
S410、DHCP GUARD接收局域網(wǎng)中的DHCP協(xié)議報(bào)文。
該DHCP協(xié)議報(bào)文需要在數(shù)據(jù)結(jié)構(gòu)格式和內(nèi)容上符合RFC2131協(xié)議的定義,因此可能是正常的數(shù)據(jù)報(bào)文,也可能是殘缺的數(shù)據(jù)報(bào)文。
S420、獲取RFC2131協(xié)議定義的報(bào)文數(shù)據(jù)結(jié)構(gòu)。
RFC2131協(xié)議中定義的報(bào)文數(shù)據(jù)結(jié)構(gòu)校驗(yàn)DHCP協(xié)議報(bào)文總格式和內(nèi)容的依據(jù)。
S430、根據(jù)報(bào)文數(shù)據(jù)結(jié)構(gòu)對(duì)DHCP協(xié)議報(bào)文進(jìn)行結(jié)構(gòu)完整性和一致性校驗(yàn)。
需要注意的是,校驗(yàn)的對(duì)象是源報(bào)文的副本,不對(duì)原報(bào)文進(jìn)行附加信息的重新封裝。
S440、若DHCP協(xié)議報(bào)文符合協(xié)議定義,則發(fā)送至DHCP CORE進(jìn)行處理,若否,則丟棄該DHCP協(xié)議報(bào)文。
若DHCP協(xié)議報(bào)文的數(shù)據(jù)結(jié)構(gòu)符合RFC2131協(xié)議的定義,則該報(bào)文的數(shù)據(jù)結(jié)構(gòu)具有完整性和一致性,可以將其發(fā)送至DHCP CORE進(jìn)行響應(yīng)處理。
若DHCP協(xié)議報(bào)文的數(shù)據(jù)結(jié)構(gòu)不滿(mǎn)足完整性或者一致性的協(xié)議定義,則丟棄該DHCP協(xié)議報(bào)文。
本發(fā)明實(shí)施例提供的一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,通過(guò)檢查DHCP協(xié)議報(bào)文的是否符合RFC2131協(xié)議的數(shù)據(jù)結(jié)構(gòu)的定義,可以將合法的報(bào)文發(fā)送至DHCP CORE響應(yīng)處理,進(jìn)一步提高DHCP服務(wù)器的健壯性。
參照?qǐng)D5所示,在本發(fā)明的另一優(yōu)選實(shí)施例中,提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,包括DHCP GUARD和DHCP CORE,涉及的步驟如下:
S510、DHCP GUARD接收局域網(wǎng)中的DHCPDISCOVER請(qǐng)求報(bào)文。
其中,DHCPDISCOVER請(qǐng)求報(bào)文是用于獲取IP地址的報(bào)文。
DHCP GUARD在短時(shí)間內(nèi)接收到大量DHCPDISCOVER請(qǐng)求報(bào)文來(lái)請(qǐng)求分配IP地址時(shí),會(huì)觸發(fā)DHCP GUARD的安全防護(hù)機(jī)制。
S520、判定接收的DHCPDISCOVER請(qǐng)求報(bào)文數(shù)量大于第一預(yù)設(shè)閾值。
具體地,第一預(yù)設(shè)閾值為每秒接收到大于1000個(gè)DHCPDISCOVER請(qǐng)求報(bào)文。
S530、分析DHCPDISCOVER請(qǐng)求報(bào)文中的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址是否一致。
當(dāng)觸發(fā)DHCP服務(wù)器判斷DHCPDISCOVER報(bào)文是否為非法攻擊報(bào)文時(shí),DHCP GUARD需要對(duì)該報(bào)文進(jìn)行深度的拆包檢查,進(jìn)一步分析DHCP協(xié)議封裝的數(shù)據(jù)報(bào)文和UDP數(shù)據(jù)報(bào)文。具體地,判斷DHCP協(xié)議封裝的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址是否一致。
S540、若上述MAC地址一致,則DHCPDISCOVER報(bào)文合法,發(fā)送至DHCP CORE核心服務(wù)進(jìn)行處理,若否,則丟棄。
若DHCP協(xié)議封裝的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址是一致的,則表明該DHCP報(bào)文不是非法攻擊報(bào)文,轉(zhuǎn)而發(fā)送至DHCP COER進(jìn)行核心服務(wù)的處理。若不一致,則判定該DHCP報(bào)文是非法的,將其丟棄。
本發(fā)明實(shí)施例提供的一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,通過(guò)對(duì)大量DHCPDISCOVER請(qǐng)求報(bào)文拆包檢測(cè),進(jìn)一步判斷是否是非法攻擊報(bào)文,從而進(jìn)一步提高DHCP服務(wù)器的健壯性。
參照?qǐng)D6所示,在本發(fā)明另一優(yōu)選的實(shí)施例中,提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,包括DHCP GUARD和DHCP CORE,涉及的步驟如下:
S610、DHCP GUARD接收局域網(wǎng)中的合法DHCPDISCOVER請(qǐng)求報(bào)文。
其中,DHCPDISCOVER報(bào)文用于獲取IP地址的分配,合法的DHCPDISCOVER報(bào)文是客戶(hù)端正常發(fā)起的用于獲取DHCP服務(wù)的請(qǐng)求報(bào)文。
S620、判定接收的合法DHCPDISCOVER報(bào)文數(shù)量大于第二預(yù)設(shè)閾值。
由于DHCP服務(wù)器的處理容量有限,如果在短時(shí)間內(nèi)接收到大量的DHCPDISCOVER報(bào)文,不管是合法還是非法的,首先會(huì)對(duì)DHCP服務(wù)器造成巨大的負(fù)荷,影響正常的服務(wù)器性能,其次還可能造成處理數(shù)據(jù)的紊亂。
基于上述情況,需要監(jiān)聽(tīng)接收的合法DHCPDISCOVER報(bào)文的數(shù)量。其中,第二預(yù)設(shè)閾值指的是每秒1500個(gè)DHCPDISCOVER報(bào)文。
S630、根據(jù)第二預(yù)設(shè)閾值對(duì)合法DHCPDISCOVER報(bào)文數(shù)量進(jìn)行限速。
根據(jù)S620中的第二預(yù)設(shè)閾值對(duì)合法DHCPDISCOVER報(bào)文數(shù)量進(jìn)行限速。當(dāng)合法DHCPDISCOVER報(bào)文數(shù)量超過(guò)每秒1500個(gè)時(shí),只接收1500個(gè)范圍內(nèi)的;當(dāng)不超過(guò)每秒1500個(gè)時(shí),則不進(jìn)行限速。
S640、第二預(yù)設(shè)閾值內(nèi)的DHCPDISCOVER報(bào)文發(fā)送至DHCP CORE進(jìn)行處理,超過(guò)第二預(yù)設(shè)閾值的DHCPDISCOVER報(bào)文丟棄。
對(duì)限速所得的DHCPDISCOVER報(bào)文按照正常的處理流程發(fā)送至DHCP COER核心服務(wù),對(duì)于其他部分則丟棄,不進(jìn)行處理。
本發(fā)明實(shí)施例提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,通過(guò)對(duì)合法DHCPDISCOVER報(bào)文進(jìn)行限速,可以保證DHCP服務(wù)器的穩(wěn)定性和數(shù)據(jù)處理的有序性,同時(shí)可以有效的避免DHCP地址耗盡,進(jìn)一步保障DHCP核心服務(wù)提供穩(wěn)定的DHCP服務(wù)。
參照?qǐng)D7所示,在本發(fā)明另一優(yōu)選的實(shí)施例中,提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的方法,包括DHCP GUARD和DHCP CORE,涉及的步驟如下:
S710、DHCP GUARD接收局域網(wǎng)中的DHCPREQUEST報(bào)文或DHCPINFORM報(bào)文。
其中,主機(jī)發(fā)送DHCPREQUEST數(shù)據(jù)包,服務(wù)器請(qǐng)求分配已提供的IP地址的配置參數(shù)。
DHCP客戶(hù)端可向DHCP服務(wù)器發(fā)送DHCPINFORM報(bào)文請(qǐng)求已有IP地址的配置參數(shù)。
S720、判定在IP地址租賃期內(nèi)收到的DHCP報(bào)文數(shù)量大于第三預(yù)設(shè)閾值。
DHCP服務(wù)器只能將IP地址分配給DHCP客戶(hù)端一定時(shí)間,在該租賃周期后,DHCP客戶(hù)端必須對(duì)該IP地址進(jìn)行更新。
其中,租賃期指的是在租賃周期中活躍狀態(tài)的那一部分,具體時(shí)間可以設(shè)定為1/2租賃周期至7/8租賃周期內(nèi)。
其中,第三預(yù)設(shè)閾值指的是每秒2000個(gè)報(bào)文。
判定在該租賃期內(nèi)收到上述DHCP報(bào)文數(shù)量是否大于第三預(yù)設(shè)閾值。
S730、根據(jù)第三預(yù)設(shè)閾值對(duì)租賃期內(nèi)的DHCP報(bào)文數(shù)量進(jìn)行限速。
DHCP服務(wù)器根據(jù)第三預(yù)設(shè)閾值的設(shè)置,對(duì)超過(guò)第三預(yù)設(shè)閾值數(shù)量的DHCP進(jìn)行限速。如果沒(méi)有超過(guò)第三預(yù)設(shè)閾值,則無(wú)須進(jìn)行限速。
S740、第三預(yù)設(shè)閾值內(nèi)的DHCP報(bào)文發(fā)送至DHCP CORE進(jìn)行處理,超過(guò)第三預(yù)設(shè)閾值的DHCP報(bào)文丟棄。
DHCP服務(wù)器將限速所得的2000個(gè)DHCP報(bào)文發(fā)送至DHCP CORE進(jìn)行處理,多余的部分則丟棄。
本發(fā)明實(shí)施例提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的系統(tǒng),通過(guò)對(duì)大量的DHCPREQUEST或DHCPINFORM在租賃期內(nèi)進(jìn)行限速,可以保障DHCP核心服務(wù)提供穩(wěn)定的DHCP服務(wù)。
參照?qǐng)D8所示,在本發(fā)明另一優(yōu)選的實(shí)施例中,提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的系統(tǒng),包括DHCP GUARD模塊和DHPC COER模塊,還包括:
接收模塊810,用于DHCP GUARD接收局域網(wǎng)中的DHCP報(bào)文;
安全防護(hù)模塊820,用于根據(jù)DHCP報(bào)文的不同類(lèi)型,選擇預(yù)設(shè)的安全防護(hù)機(jī)制對(duì)DHCP報(bào)文進(jìn)行篩選;
處理模塊830,用于若DHCP報(bào)文符合預(yù)設(shè)的安全防護(hù)機(jī)制,則將DHCP報(bào)文發(fā)送至DHCP CORE,若否,則丟棄DHCP報(bào)文。
可選的,當(dāng)DHCP報(bào)文的類(lèi)型是DHCP協(xié)議報(bào)文時(shí),安全防護(hù)模塊820還用于:
獲取RFC2131協(xié)議定義的報(bào)文數(shù)據(jù)結(jié)構(gòu);
根據(jù)報(bào)文數(shù)據(jù)結(jié)構(gòu)對(duì)DHCP協(xié)議報(bào)文進(jìn)行結(jié)構(gòu)完整性和一致性校驗(yàn)。
可選的,當(dāng)DHCP報(bào)文的類(lèi)型是DHCPDISVOER請(qǐng)求報(bào)文時(shí),安全防護(hù)模塊820還用于:
判定接收的DHCP報(bào)文數(shù)量大于第一預(yù)設(shè)閾值;
分析DHCP報(bào)文中的MAC地址與IP/TCP二層數(shù)據(jù)幀中的源MAC地址,得到DHCP報(bào)文是否非法。
可選的,當(dāng)DHCP報(bào)文的類(lèi)型是合法DHCPDISCOVER請(qǐng)求報(bào)文時(shí),安全防護(hù)模塊820還用于:
判定接收的合法DHCPDISCOVER報(bào)文數(shù)量大于第二預(yù)設(shè)閾值;
根據(jù)第二預(yù)設(shè)閾值對(duì)合法DHCPDISCOVER報(bào)文數(shù)量進(jìn)行限速。
可選的,當(dāng)DHCP報(bào)文的類(lèi)型是DHCPREQUEST或DHCPINFORM報(bào)文時(shí),安全防護(hù)模塊820還用于:
判定在IP地址租賃期內(nèi)收到的DHCP報(bào)文數(shù)量大于第三預(yù)設(shè)閾值;
根據(jù)第三預(yù)設(shè)閾值對(duì)租賃期內(nèi)的DHCP報(bào)文數(shù)量進(jìn)行限速。
本發(fā)明實(shí)施例提供了一種基于DHCP服務(wù)器非法報(bào)文安全防護(hù)的系統(tǒng),通過(guò)安全防護(hù)模塊820對(duì)非法報(bào)文的防護(hù),可以使得DHCP服務(wù)器更健壯的提供DHCP服務(wù),減少因?yàn)榉?wù)器失效而產(chǎn)生無(wú)法提供服務(wù)的可能性。
可以理解的是,以上實(shí)施方式僅僅是為了說(shuō)明本發(fā)明的原理而采用的示例性實(shí)施方式,然而本發(fā)明并不局限于此。對(duì)于本領(lǐng)域內(nèi)的普通技術(shù)人員而言,在不脫離本發(fā)明的精神和實(shí)質(zhì)的情況下,可以做出各種變型和改進(jìn),這些變型和改進(jìn)也視為本發(fā)明的保護(hù)范圍。