專利名稱：一種動(dòng)態(tài)地址分配中防止ip地址欺騙的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通訊網(wǎng)絡(luò)的接入方法，具體涉及寬帶網(wǎng)絡(luò)中動(dòng)態(tài)地址的分配方法。


圖1為實(shí)際組網(wǎng)應(yīng)用情況，包括具有DHCP中繼功能的三層交換機(jī)，與其相連的一個(gè)網(wǎng)段中的主、備DHCP服務(wù)器，另一個(gè)網(wǎng)段中的DHCP客戶。
DHCP動(dòng)態(tài)分配是通過服務(wù)器和用戶終端之間的DHCP報(bào)文交互完成的，而DHCP報(bào)文是廣播報(bào)文，不能跨越網(wǎng)段，這樣DHCP服務(wù)器只能為本網(wǎng)段的用戶終端提供服務(wù)。但是由于資源限制，不可能為每個(gè)網(wǎng)段都配置一臺(tái)DHCP服務(wù)器，而且出于安全性考慮，DHCP服務(wù)器通常都是處于一個(gè)單獨(dú)的網(wǎng)段。這樣就需要DHCP服務(wù)器可以為不在其網(wǎng)段的用戶終端提供服務(wù)。而DHCP中繼為DHCP廣播報(bào)文提供網(wǎng)段間的轉(zhuǎn)發(fā)功能，使得DHCP服務(wù)器實(shí)現(xiàn)為不在其網(wǎng)段的用戶終端提供服務(wù)。
但在使用DHCP動(dòng)態(tài)分配方式的網(wǎng)絡(luò)中，有一些用戶終端不通過DHCP中繼正常獲取IP地址，而是非法設(shè)置分配給其他用戶的IP地址上網(wǎng)。對(duì)于這種IP地址欺騙問題，目前是通過用戶終端計(jì)算機(jī)系統(tǒng)引導(dǎo)時(shí)發(fā)出的免費(fèi)ARP報(bào)文來檢查的，如果有非法用戶終端占用了自己的IP地址，用戶終端計(jì)算機(jī)就會(huì)報(bào)告地址沖突。但是這樣通過計(jì)算機(jī)自身檢測(cè)沖突并不能從根本上解決問題，非法用戶還是可以通過IP地址欺騙上網(wǎng)。
為達(dá)到上述目的，本發(fā)明采用如下步驟(1)用戶終端向交換機(jī)發(fā)出ARP(地址解析協(xié)議)請(qǐng)求或響應(yīng)報(bào)文；(2)交換機(jī)對(duì)ARP報(bào)文中的源MAC(網(wǎng)卡硬件地址)地址和源IP地址進(jìn)行檢查，即在合法用戶地址表中查找是否存在匹配項(xiàng)，如果存在，按正常流程處理，即將用戶終端發(fā)出的ARP報(bào)文的源IP地址和源MAC地址加入ARP表，從而使用戶終端能夠上網(wǎng)通信；否則，丟棄該報(bào)文。
在合法用戶地址表中增加一個(gè)新的用戶終端的信息經(jīng)過以下步驟(21)用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)出DHCPDISCOVER報(bào)文；(22)DHCP服務(wù)器通過DHCP中繼向用戶終端發(fā)出DHCPOFFER響應(yīng)報(bào)文；(23)用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)送DHCPREQUEST報(bào)文；(24)DHCP中繼收到DHCP服務(wù)器的DHCPACK響應(yīng)報(bào)文；(25)交換機(jī)搜索已存在的合法用戶地址表，如果IP地址被設(shè)置為靜態(tài)表項(xiàng)，則進(jìn)行步驟(26)，否則，進(jìn)行步驟(27)；(26)向DHCP服務(wù)器發(fā)送DHCPDECLINE報(bào)文，標(biāo)記此IP地址為已分配，同時(shí)，向用戶終端發(fā)送DHCPNAK報(bào)文，通知其申請(qǐng)其他IP地址，然后轉(zhuǎn)入步驟(21)，繼續(xù)申請(qǐng)IP地址；(27)交換機(jī)進(jìn)行轉(zhuǎn)發(fā)處理，并把分配給用戶的IP地址和MAC地址寫入合法用戶地址表。
上述步驟中，靜態(tài)表項(xiàng)是固定IP地址的用戶終端的信息，它是根據(jù)固定IP地址的用戶終端的實(shí)際使用情況進(jìn)行添加和刪除的，可以通過命令行或網(wǎng)管手工配置，刪除時(shí)交換機(jī)的處理步驟為交換機(jī)向服務(wù)器發(fā)送DHCPREQUST請(qǐng)求報(bào)文，去掉步驟(26)中對(duì)此IP地址所做的標(biāo)記；交換機(jī)向服務(wù)器發(fā)送DHCPRELEASE報(bào)文，釋放IP地址，使其能夠被動(dòng)態(tài)分配給用戶。
本發(fā)明對(duì)用戶終端的ARP報(bào)文進(jìn)行合法地址的檢查，如果在合法用戶地址表中沒有匹配項(xiàng)即丟棄該報(bào)文，使利用IP地址欺騙的非法用戶不能進(jìn)行網(wǎng)上通信，并且合法用戶的可以繼續(xù)正常使用，不會(huì)受到影響，從而在根本上解決了問題。
對(duì)于固定IP地址的用戶終端，采用向合法用戶地址表手工配置靜態(tài)表項(xiàng)的方法。當(dāng)新的用戶終端請(qǐng)求分配IP地址時(shí)，判斷該地址是否在靜態(tài)表項(xiàng)中，如果在，則通知該用戶申請(qǐng)其他IP地址，這樣保證了已經(jīng)分配給固定用戶終端的IP地址不會(huì)再分配給其他用戶終端使用，從而避免了由于IP地址被重新分配而引起的合法固定IP用戶終端無法上網(wǎng)的問題。
下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明。
如圖3所示，在合法用戶地址表中增加一個(gè)新的用戶終端的信息經(jīng)過以下步驟步驟21用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)出DHCPDISCOVER報(bào)文，要求DHCP服務(wù)器提供服務(wù)；步驟22DHCP服務(wù)器通過DHCP中繼向用戶發(fā)出DHCPOFFER響應(yīng)報(bào)文，向用戶表明可以提供服務(wù)；步驟23用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)送DHCPREQUEST，報(bào)文申請(qǐng)IP地址；步驟24DHCP中繼收到DHCP服務(wù)器的DHCPACK響應(yīng)報(bào)文，報(bào)文中有分配給用戶的IP地址、掩碼以及一些其它配置信息如網(wǎng)關(guān)地址等；步驟25交換機(jī)搜索已存在的合法用戶地址表，如果IP地址被設(shè)置為靜態(tài)表項(xiàng)，則進(jìn)行步驟(26)，否則，進(jìn)行步驟(27)；步驟26向DHCP服務(wù)器發(fā)送DHCPDECLINE報(bào)文，標(biāo)記此IP地址為已分配，并向用戶終端發(fā)送DHCPNAK報(bào)文，通知其申請(qǐng)其他IP地址，然后轉(zhuǎn)入步驟(21)，繼續(xù)申請(qǐng)IP地址；步驟27交換機(jī)進(jìn)行轉(zhuǎn)發(fā)處理，并把分配給用戶的IP地址和MAC地址寫入合法用戶地址表。
下面詳細(xì)介紹前面所述的靜態(tài)表項(xiàng)的情況有些用戶終端需要設(shè)置固定的IP地址，而固定IP地址不是通過DHCP報(bào)文獲得IP地址的，因此合法地址表中不存在其對(duì)應(yīng)的表項(xiàng)，為了使其能夠通過地址檢查正常上網(wǎng)，采用在合法用戶地址表中設(shè)置靜態(tài)表項(xiàng)的方法，靜態(tài)表項(xiàng)為固定IP地址的用戶終端的信息，它根據(jù)固定IP地址的用戶終端的實(shí)際使用情況進(jìn)行添加和刪除，可以通過命令行或網(wǎng)管手工配置。如步驟24、25、26所述，當(dāng)DHCP中繼收到DHCP服務(wù)器的DHCPACK響應(yīng)報(bào)文時(shí)，交換機(jī)搜索合法用戶地址表，如果此IP地址被設(shè)置為靜態(tài)表項(xiàng)，則向DHCP服務(wù)器發(fā)送DHCPDECLINE報(bào)文，標(biāo)記此IP地址為已分配，使其不會(huì)再被DHCP服務(wù)器分配給其他用戶終端，同時(shí)，向用戶終端發(fā)送DHCPNAK報(bào)文，通知其申請(qǐng)其他IP地址。
當(dāng)某個(gè)固定IP用戶終端不再需要固定的IP地址時(shí)，手工刪除靜態(tài)表項(xiàng)，這時(shí)交換機(jī)會(huì)向服務(wù)器發(fā)送DHCPREQUST請(qǐng)求報(bào)文和DHCPRELEASE報(bào)文，除去此IP地址的已分配標(biāo)記，從而使其能夠繼續(xù)被DHCP服務(wù)器提供給其他用戶終端使用。
權(quán)利要求
1.一種動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于包括(1)用戶終端向交換機(jī)發(fā)出ARP報(bào)文；(2)交換機(jī)對(duì)ARP報(bào)文中的源MAC地址和源IP地址進(jìn)行檢查，即在合法用戶地址表中查找是否存在匹配項(xiàng)，如果存在，將用戶終端發(fā)出的ARP報(bào)文的源IP地址和源MAC地址加入ARP表，從而使用戶終端能夠上網(wǎng)通信；否則，丟棄該報(bào)文。
2.根據(jù)權(quán)利要求1所述的動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于，還包括在所述的合法用戶地址表中增加一個(gè)新的用戶終端的信息，具體經(jīng)過以下步驟(21)用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)出DHCPDISCOVER報(bào)文；(22)DHCP服務(wù)器通過DHCP中繼向用戶終端發(fā)出DHCPOFFER響應(yīng)報(bào)文；(23)用戶終端通過DHCP中繼向DHCP服務(wù)器發(fā)送DHCPREQUEST報(bào)文；(24)DHCP中繼收到DHCP服務(wù)器的DHCPACK響應(yīng)報(bào)文；(25)交換機(jī)搜索已存在的合法用戶地址表，如果IP地址被設(shè)置為靜態(tài)表項(xiàng)，則進(jìn)行步驟(26)，否則，進(jìn)行步驟(27)；(26)向DHCP服務(wù)器發(fā)送DHCPDECLINE報(bào)文，標(biāo)記此IP地址為已分配，同時(shí)，向用戶終端發(fā)送DHCPNAK報(bào)文，通知其申請(qǐng)其他IP地址，然后轉(zhuǎn)入步驟(21)，繼續(xù)申請(qǐng)IP地址；(27)交換機(jī)進(jìn)行轉(zhuǎn)發(fā)處理，并把分配給用戶的IP地址和MAC地址寫入合法用戶地址表。
3.根據(jù)權(quán)利要求2所述的動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于，所述靜態(tài)表項(xiàng)是固定IP地址的用戶終端的信息。
4.根據(jù)權(quán)利要求3所述的動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于，所述靜態(tài)表項(xiàng)根據(jù)固定IP地址的用戶終端的實(shí)際使用情況進(jìn)行添加和刪除。
5.根據(jù)權(quán)利要求4所述的動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于，所述靜態(tài)表項(xiàng)的添加和刪除是通過命令行或網(wǎng)管手工配置的。
6.根據(jù)權(quán)利要求4或5所述的動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，其特征在于，所述靜態(tài)表項(xiàng)的信息刪除時(shí)，交換機(jī)的處理步驟為(61)交換機(jī)向服務(wù)器發(fā)送DHCPREQUST請(qǐng)求報(bào)文，去掉步驟(26)中對(duì)此IP地址所做的標(biāo)記；(62)交換機(jī)向服務(wù)器發(fā)送DHCPRELEASE報(bào)文，釋放IP地址，使其能夠被動(dòng)態(tài)分配給用戶。
全文摘要
本發(fā)明提供了一種在動(dòng)態(tài)地址分配中防止IP地址欺騙的方法，對(duì)用戶終端發(fā)出的ARP報(bào)文中的源MAC地址和源IP地址進(jìn)行檢查，在合法用戶地址表中查找是否存在匹配項(xiàng)，如果存在，按正常流程處理，否則，丟棄該報(bào)文。這樣使利用IP地址欺騙的非法用戶不能進(jìn)行網(wǎng)上通信，并且合法用戶不會(huì)受到影響。對(duì)于固定IP地址的用戶終端，采用向合法用戶地址表手工配置靜態(tài)表項(xiàng)的方法，當(dāng)新的用戶終端請(qǐng)求分配IP地址時(shí)，判斷該地址是否在靜態(tài)表項(xiàng)中，如果在則通知其申請(qǐng)其他IP地址，這樣保證了已經(jīng)分配給固定用戶終端的IP地址不會(huì)再分配給其他用戶終端使用，從而避免了由于IP地址被重新分配而引起的合法固定IP用戶終端無法上網(wǎng)的問題。
文檔編號(hào)H04L29/06GK1466341SQ0212500
公開日2004年1月7日 申請(qǐng)日期2002年6月22日 優(yōu)先權(quán)日2002年6月22日
發(fā)明者析 姚, 姚析, 修亦宏, 潘凝 申請(qǐng)人:華為技術(shù)有限公司