專(zhuān)利名稱(chēng):一種dhcp監(jiān)聽(tīng)方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域���,具體地涉及一種DHCP監(jiān)聽(tīng)方法及其裝置��。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高�,動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHost Configuration Protocol��,DHCP)得到了廣泛的應(yīng)用�����。但DHCP協(xié)議在應(yīng)用的過(guò)程中遇到很多安全方面的問(wèn)題��,攻擊者利用DHCP進(jìn)行攻擊的主要手段包括以下兩個(gè)1)IP/MAC欺騙攻擊攻擊者向網(wǎng)關(guān)路由器發(fā)送帶有自己MAC和受害者IP的報(bào)文(包括IP報(bào)文和綁定表對(duì)地址解析協(xié)議(Address Resolution Protocol�,ARP)報(bào)文等)��,讓網(wǎng)關(guān)路由器學(xué)習(xí)到受害者IP和自己的MAC地址綁定關(guān)系����,則后續(xù)所有到達(dá)受害者的報(bào)文都將轉(zhuǎn)發(fā)到攻擊者那里����。
2)中間人攻擊攻擊者向受害者發(fā)送帶有自己的MAC地址和網(wǎng)關(guān)IP地址的報(bào)文(包括IP和ARP報(bào)文��,往往是ARP報(bào)文)�����,讓受害者學(xué)習(xí)到錯(cuò)誤的ARP�����,則后續(xù)所有須發(fā)送到網(wǎng)關(guān)外部的報(bào)文都將發(fā)送給攻擊者�����,此時(shí)攻擊者可以對(duì)報(bào)文進(jìn)行分析竊取信息��,然后可以選擇丟棄還是再轉(zhuǎn)發(fā)給網(wǎng)關(guān)�。
為解決這些問(wèn)題,目前通用的辦法是在接入用戶(hù)的網(wǎng)絡(luò)設(shè)備處��,如網(wǎng)關(guān)交換機(jī)上使能DHCP監(jiān)聽(tīng)(Snooping)功能���。
DHCP Snooping協(xié)議棧通過(guò)監(jiān)聽(tīng)DHCP報(bào)文���,建立DHCP綁定表�����,該綁定表的表項(xiàng)包括IP地址��、MAC地址����、入端口號(hào)和虛擬局域網(wǎng)(Virtual LAN�����,VLAN)號(hào)�。在轉(zhuǎn)發(fā)報(bào)文時(shí),利用DHCP綁定表對(duì)地址解析協(xié)議(AddressResolution Protocol����,ARP)報(bào)文、IP報(bào)文進(jìn)行檢查���,從而解決上述的欺騙攻擊安全問(wèn)題���。其基本方案示意圖如圖1所示,用戶(hù)B的MAC地址及IP地址為B����,10.1.1.2;用戶(hù)C的MAC地址及IP地址為C�,10.1.1.3;網(wǎng)絡(luò)設(shè)備A的MAC地址及IP地址為A�,10.1.1.1。在接入用戶(hù)的網(wǎng)關(guān)交換機(jī)上使能DHCPSnooping功能���,則無(wú)論是正常用戶(hù)如用戶(hù)B還是其它可能有攻擊行為的用戶(hù)如用戶(hù)C����,首先必須進(jìn)行DHCP首次地址申請(qǐng)����。
網(wǎng)關(guān)交換機(jī)監(jiān)聽(tīng)申請(qǐng)過(guò)程中的所有DHCP報(bào)文,通過(guò)分析往來(lái)的DHCP報(bào)文���,建立如下所示的DHCP綁定表�。
表1 DHCP綁定表
當(dāng)攻擊者發(fā)起欺騙攻擊時(shí),比如用戶(hù)C發(fā)起一個(gè)免費(fèi)ARP報(bào)文給B���,欺騙用戶(hù)B說(shuō)�,IP地址為10.1.1.1網(wǎng)關(guān)的MAC為C�����,那么在網(wǎng)關(guān)交換機(jī)處將對(duì)此ARP報(bào)文進(jìn)行檢測(cè)�����,拿本ARP報(bào)文攜帶的信息�����,包括其源MAC地址����,源IP地址(或ARP凈荷中聲明的IP地址)以及入端口信息,本例中MAC地址為C���、IP地址為10.1.1.1���、入端口號(hào)為E2�、VLAN號(hào)為3���,去查找DHCP綁定表���,發(fā)現(xiàn)其無(wú)法命中DHCP綁定表���,則網(wǎng)關(guān)交換機(jī)會(huì)把該報(bào)文丟棄��。所以�����,欺騙ARP報(bào)文將無(wú)法到達(dá)其它任何用戶(hù)包括用戶(hù)B����,從而制止了用戶(hù)C的攻擊行為�。
而對(duì)于正常用戶(hù),比如用戶(hù)B��,使用網(wǎng)絡(luò)則沒(méi)有任何問(wèn)題�,因?yàn)槠浒l(fā)送的所有報(bào)文,都將遵循其DHCP地址申請(qǐng)時(shí)的信息��,即MAC地址為B,源IP地址為10.1.1.2�,正常情況下,將能在網(wǎng)關(guān)交換機(jī)處正確命中DHCP綁定表��,從而正常訪(fǎng)問(wèn)外部網(wǎng)絡(luò)���。
DHCP Snooping方案解決了DHCP的安全問(wèn)題�,但該方案對(duì)攻擊者報(bào)文僅是簡(jiǎn)單丟棄�,通過(guò)該方案無(wú)法了解關(guān)于攻擊者的任何信息。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例所要解決的技術(shù)問(wèn)題在于����,提供一種DHCP監(jiān)聽(tīng)方法,當(dāng)受到攻擊時(shí)��,跟蹤記錄該攻擊行為�����。
為了解決上述技術(shù)問(wèn)題��,本發(fā)明實(shí)施例提出了一種DHCP監(jiān)聽(tīng)方法��,包括接收用戶(hù)報(bào)文并判斷其是否命中DHCP綁定表�����,如果判斷結(jié)果為是,則轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文�,否則,執(zhí)行下一步�����;提取所述報(bào)文的入端口信息����、虛擬局域網(wǎng)信息及其源MAC���、源IP地址信息創(chuàng)建DHCP黑名單綁定表���;記錄后續(xù)收到的用戶(hù)報(bào)文命中所述DHCP黑名單綁定表的頻率信息。
相應(yīng)地���,本發(fā)明實(shí)施例提供一種DHCP監(jiān)聽(tīng)裝置�����,用于監(jiān)聽(tīng)網(wǎng)絡(luò)設(shè)備收到的用戶(hù)報(bào)文���,包括有綁定表存儲(chǔ)單元���,用于存儲(chǔ)DHCP綁定表;命中判斷單元��,用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶(hù)報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元中的DHCP綁定表����,判斷所述用戶(hù)報(bào)文是否命中一DHCP綁定表,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文�;DHCP黑名單綁定表單元,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)�,提取所述報(bào)文的入端口信息、虛擬局域網(wǎng)信息及其源MAC����、源IP地址信息創(chuàng)建DHCP黑名單綁定表,并將所述DHCP黑名單綁定表存儲(chǔ)于所述綁定表存儲(chǔ)單元��;其中����,所述綁定表存儲(chǔ)單元進(jìn)一步包括有綁定表類(lèi)型存儲(chǔ)單元,用于存儲(chǔ)DHCP綁定表的類(lèi)型是否為DHCP黑名單綁定表的信息��;命中頻率存儲(chǔ)單元,用于記錄所述DHCP黑名單綁定表被用戶(hù)報(bào)文命中的頻率信息����。
綜上,本發(fā)明實(shí)施例提供的一種DHCP監(jiān)聽(tīng)方法及其裝置���,通過(guò)當(dāng)收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí)建立DHCP黑名單綁定表��,并記錄該DHCP黑名單綁定表被命中的頻率信息�,達(dá)到跟蹤攻擊者的目的��,從而獲得了攻擊者的攻擊行為信息��,便于網(wǎng)管進(jìn)行分析以采取必要的反攻擊措施����。
圖1是現(xiàn)有技術(shù)中DHCP監(jiān)聽(tīng)方法的應(yīng)用示意圖��;圖2是本發(fā)明中DHCP監(jiān)聽(tīng)方法實(shí)施例一的流程示意圖��;圖3是本發(fā)明中DHCP監(jiān)聽(tīng)方法實(shí)施例三的流程示意圖�����;圖4是圖3中步驟S3003的一實(shí)施方式的流程示意圖;圖5是本發(fā)明中DHCP監(jiān)聽(tīng)裝置實(shí)施例一的功能模塊組成示意圖�;圖6是本發(fā)明中DHCP監(jiān)聽(tīng)裝置實(shí)施例二的功能模塊組成示意圖;圖7是本發(fā)明中DHCP監(jiān)聽(tīng)裝置實(shí)施例三的功能模塊組成示意圖��。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)清楚的說(shuō)明�����。
圖2示出了本發(fā)明DHCP監(jiān)聽(tīng)方法實(shí)施例一的流程示意圖���,該實(shí)施例包括以下步驟步驟S2001接收用戶(hù)報(bào)文并判斷其是否命中DHCP綁定表���,如果判斷結(jié)果為是,則轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文���,否則����,執(zhí)行步驟S2002�����。
步驟S2002提取所述報(bào)文的入端口信息、虛擬局域網(wǎng)信息及其源MAC�、源IP地址信息創(chuàng)建DHCP黑名單綁定表。
步驟S2003記錄后續(xù)收到的用戶(hù)報(bào)文命中所述DHCP黑名單綁定表的頻率信息����。
當(dāng)收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí),很大的可能是因?yàn)樵搱?bào)文是攻擊者發(fā)送的攻擊報(bào)文�,在本發(fā)明的該實(shí)施例中,不再將該報(bào)文簡(jiǎn)單丟棄��,而是從該報(bào)文中提取相關(guān)信息建立一個(gè)DHCP黑名單綁定表��,以跟蹤后續(xù)的攻擊行為�,然后才丟棄該用戶(hù)報(bào)文。后續(xù)收到的用戶(hù)報(bào)文命中該黑名單綁定表時(shí)���,記錄該DHCP黑名單綁定表被命中的頻率信息���,即,在某一定時(shí)間內(nèi)該DHCP黑名單綁定表被命中了幾次��。例如��,如圖1中所示的接入設(shè)備(圖中為網(wǎng)絡(luò)交換機(jī))收到用戶(hù)C的報(bào)文���,由于入端口使能了DHCP監(jiān)聽(tīng)功能��,接入設(shè)備的DHCP監(jiān)聽(tīng)單元從該報(bào)文中提取源MAC以及源IP地址等信息����,加上入端口信息(即端口號(hào))和VLAN號(hào)����,去查找DHCP綁定表,如果查找不到對(duì)應(yīng)的DHCP綁定表(即沒(méi)有一個(gè)DHCP綁定表的表項(xiàng)內(nèi)容與從用戶(hù)C的報(bào)文中提取出的相關(guān)信息一致)�����,很大的可能是因?yàn)橛脩?hù)C發(fā)送的是攻擊報(bào)文��。這時(shí)���,接入設(shè)備不是直接丟棄該報(bào)文��,而是根據(jù)從該報(bào)文中提取的源MAC���、源IP地址、入端口及VLAN信息像建立正常的DHCP綁定表那樣建立DHCP黑名單綁定表�����。如表一所示,正常的DHCP綁定表包括MAC地址����、IP地址、入端口號(hào)�、VLAN號(hào)四個(gè)字段,本實(shí)施例中的DHCP黑名單綁定表比正常的DHCP綁定表增加了兩個(gè)字段綁定表類(lèi)型及命中頻率���。綁定表類(lèi)型字段用于標(biāo)識(shí)該綁定表是正常的DHCP綁定表還是DHCP黑名單綁定表�����。命中頻率字段用于當(dāng)該綁定表為DHCP黑名單綁定表時(shí)記錄其被命中的頻率信息�。即�,在建立DHCP黑名單綁定表之后,如果有用戶(hù)報(bào)文命中綁定表��,通過(guò)綁定表類(lèi)型字段判斷被命中的為DHCP黑名單綁定表�����,則在命中頻率字段中記錄該DHCP黑名單綁定表被命中的頻率信息����。
通過(guò)該實(shí)施例,獲得了攻擊者的攻擊行為信息�,便于網(wǎng)管進(jìn)行分析,以采取進(jìn)一步的措施���。
如上所述����,當(dāng)收到的用戶(hù)報(bào)文是攻擊報(bào)文時(shí)�,該報(bào)文不能命中DHCP綁定表。在實(shí)際應(yīng)用中���,如果某一DHCP綁定表非正常丟失��,則與之相對(duì)應(yīng)的用戶(hù)所發(fā)送的報(bào)文在接入設(shè)備上就無(wú)法命中對(duì)應(yīng)的DHCP綁定表��,但這時(shí)的用戶(hù)報(bào)文不能等同看作攻擊報(bào)文���,而必須對(duì)其采取不同于攻擊報(bào)文的措施。
為此�,本發(fā)明提供DHCP監(jiān)聽(tīng)方法的另一實(shí)施例,該實(shí)施例與實(shí)施例一的不同在于���,在步驟S2002中還包括步驟仿照DHCP服務(wù)器向該用戶(hù)發(fā)送DHCPNAK報(bào)文���。即�����,當(dāng)收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí)�,除按照實(shí)施例一的步驟建立DHCP黑名單綁定表對(duì)該用戶(hù)進(jìn)行跟蹤外��,還仿照DHCP服務(wù)器向該用戶(hù)發(fā)送DHCPNAK報(bào)文�����。當(dāng)用戶(hù)接收到這個(gè)DHCPNAK報(bào)文后����,按照DHCP協(xié)議,將自動(dòng)重新發(fā)起首次地址申請(qǐng)��,DHCP監(jiān)聽(tīng)單元通過(guò)監(jiān)聽(tīng)首次地址申請(qǐng)過(guò)程中的DHCP報(bào)文����,重新建立起對(duì)應(yīng)用戶(hù)的DHCP綁定表,則用戶(hù)在申請(qǐng)地址成功之后就可以照常上網(wǎng)了�。整個(gè)過(guò)程中無(wú)需用戶(hù)手動(dòng)操作���,可以在用戶(hù)不覺(jué)察的情況下重新建立起DHCP綁定表,使用戶(hù)照常上網(wǎng)�。
通過(guò)本實(shí)施例�,當(dāng)用戶(hù)對(duì)應(yīng)的DHCP綁定表非正常丟失時(shí),可以在用戶(hù)不覺(jué)察的情況下重新建立起對(duì)應(yīng)的DHCP綁定表���,使用戶(hù)照常上網(wǎng)�����。
在實(shí)施例一或?qū)嵤├幕A(chǔ)上��,在建立了DHCP黑名單綁定表并記錄其被命中的頻率信息后�����,本發(fā)明的監(jiān)聽(tīng)方法還可以作進(jìn)一步的改進(jìn)���,如圖3示出了本發(fā)明監(jiān)聽(tīng)方法的實(shí)施例三,包括以下步驟步驟S3001接收后續(xù)用戶(hù)報(bào)文并判斷其是否命中DHCP綁定表��,如果判斷結(jié)果為否�,則仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文����,否則��,執(zhí)行步驟S3002�。
步驟S3002判斷所述用戶(hù)報(bào)文命中的DHCP綁定表是否為DHCP黑名單綁定表,如果判斷結(jié)果為否��,則按照現(xiàn)有技術(shù)轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文�����,否則����,執(zhí)行步驟S3003。
步驟S3003按照預(yù)定的配置策略處理所述用戶(hù)報(bào)文��。
當(dāng)收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí)����,在本實(shí)施例中和實(shí)施例二一樣,仿照DHCP服務(wù)器向該用戶(hù)發(fā)送DHCPNAK報(bào)文��,使用戶(hù)發(fā)起首次地址申請(qǐng)�,從而重新建立對(duì)應(yīng)的DHCP綁定表���。當(dāng)收到的用戶(hù)報(bào)文命中了綁定表,這時(shí)�,不是直接將報(bào)文按現(xiàn)有技術(shù)轉(zhuǎn)發(fā),而是要進(jìn)一步判斷該DHCP綁定表的類(lèi)型����,即��,根據(jù)綁定表中的綁定表類(lèi)型字段判斷其是正常的DHCP綁定表還是DHCP黑名單綁定表�����。如果被命中的是正常的DHCP綁定表�����,則說(shuō)明該報(bào)文不是欺騙攻擊報(bào)文���,則按現(xiàn)有技術(shù)轉(zhuǎn)發(fā)�����。如果判斷命中的綁定表類(lèi)型為DHCP黑名單綁定表����,則說(shuō)明該報(bào)文有可能是攻擊報(bào)文,則記錄該DHCP黑名單綁定表被命中的頻率信息�,即在某一時(shí)間段內(nèi)被命中了多少次,同時(shí)按照預(yù)定的配置策略對(duì)該報(bào)文進(jìn)行處理���。
通過(guò)本實(shí)施例���,可以根據(jù)被命中的綁定表的類(lèi)型對(duì)報(bào)文分別進(jìn)行處理,增強(qiáng)了設(shè)備對(duì)攻擊的識(shí)別能力����。
作為一種實(shí)施方式,所謂配置策略可以為如果該用戶(hù)發(fā)送報(bào)文的速度值超過(guò)了預(yù)設(shè)的某一限速值����,則丟棄該報(bào)文,如果沒(méi)有超過(guò)�,則向該用戶(hù)發(fā)送DHCPNAK報(bào)文。用戶(hù)發(fā)送報(bào)文的速度可以由DHCP黑名單綁定表的命中頻率字段中所記錄的頻率信息計(jì)算得出�。如,所記錄的頻率信息為該黑名單綁定表2分鐘內(nèi)被命中了4次���,則可以計(jì)算出對(duì)應(yīng)的發(fā)送速度為30s/次�����。
對(duì)應(yīng)上述配置策略����,步驟S3003的一種實(shí)施方式流程圖如圖4所示,包括以下步驟步驟S4001根據(jù)所述頻率信息計(jì)算所述用戶(hù)報(bào)文的發(fā)送速度值�,并將所述計(jì)算的發(fā)送速度值與一限速值進(jìn)行比較,如果所述發(fā)送速度值大于所述限速值�,則丟棄所述用戶(hù)報(bào)文,否則�����,執(zhí)行步驟S4002����。
所述頻率信息為步驟S2003中記錄的該DHCP黑名單綁定表被命中的頻率信息����,按照前述方法將該頻率信息換算成用戶(hù)報(bào)文的發(fā)送速度。所述限速值可以根據(jù)需要預(yù)先設(shè)定����。
步驟S4002仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文�。
通過(guò)上述配置策略����,可以有效防止惡意用戶(hù)的拒絕服務(wù)攻擊。
相應(yīng)地����,本發(fā)明還提供DHCP監(jiān)聽(tīng)裝置的實(shí)施例,其實(shí)施例一的功能模塊組成示意圖如圖5所示�����。該DHCP監(jiān)聽(tīng)裝置實(shí)施例用于監(jiān)聽(tīng)網(wǎng)絡(luò)設(shè)備收到的用戶(hù)報(bào)文��,包括有綁定表存儲(chǔ)單元3�、命中判斷單元8、DHCP黑名單綁定表單元1�。
綁定表存儲(chǔ)單元3用于存儲(chǔ)DHCP綁定表;命中判斷單元8用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶(hù)報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元3中的DHCP綁定表����,判斷所述用戶(hù)報(bào)文是否命中一DHCP綁定表,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文�����;DHCP黑名單綁定表單元1用于當(dāng)所述命中判斷單元8的判斷結(jié)果為否時(shí),提取所述報(bào)文的入端口信息�����、虛擬局域網(wǎng)信息及其源MAC�����、源IP地址信息創(chuàng)建DHCP黑名單綁定表��,并將所述DHCP黑名單綁定表存儲(chǔ)于綁定表存儲(chǔ)單元3���。即���,當(dāng)收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí)�����,提取所述報(bào)文的入端口信息及其源MAC��、源IP地址信息創(chuàng)建DHCP黑名單綁定表����。之所以叫作黑名單綁定表��,是因?yàn)閳?bào)文不能命中DHCP綁定表還可能由于以下原因?qū)?yīng)的DHCP綁定表并不是丟失���,而是由于該報(bào)文只是黑客發(fā)送的攻擊報(bào)文,網(wǎng)絡(luò)設(shè)備處原來(lái)并沒(méi)有建立對(duì)應(yīng)的DHCP綁定表��,所以無(wú)法命中�。這時(shí),為便于跟蹤攻擊者的攻擊行為���,DHCP黑名單綁定表單元1建立起對(duì)應(yīng)的DHCP黑名單綁定表�。
為區(qū)別正常的DHCP綁定表和DHCP黑名單綁定表�,綁定表存儲(chǔ)單元3還包括綁定表類(lèi)型存儲(chǔ)單元31,用于存儲(chǔ)DHCP綁定表的類(lèi)型是否為DHCP黑名單綁定表的信息�。為跟蹤了解攻擊者的行為信息,綁定表存儲(chǔ)單元3還包括命中頻率存儲(chǔ)單元32�����,用于當(dāng)DHCP綁定表的類(lèi)型為DHCP黑名單綁定表時(shí)����,記錄其被命中的頻率信息���,即在某一時(shí)間段內(nèi)該DHCP黑名單綁定表被命中的次數(shù)。
通過(guò)本實(shí)施例�,可以有效跟蹤攻擊者的行為信息,便于網(wǎng)管進(jìn)行分析����。
需要注意的是,所述接入設(shè)備及網(wǎng)絡(luò)設(shè)備實(shí)際上包括所有支持DHCPSnooping功能的網(wǎng)絡(luò)設(shè)備�。上文中提到的網(wǎng)關(guān)交換機(jī)只是所述網(wǎng)絡(luò)設(shè)備的一個(gè)特例,并不限于此����。
本發(fā)明DHCP監(jiān)聽(tīng)裝置實(shí)施例二的功能模塊組成示意圖如圖6所示,它與實(shí)施例一的不同在于還包括有DHCP反確認(rèn)單元4����,用于當(dāng)所述命中判斷單元8的判斷結(jié)果為否時(shí)(即對(duì)應(yīng)的DHCP綁定表非正常丟失時(shí)),仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文���,告訴用戶(hù)該IP地址已不可以,請(qǐng)重新申請(qǐng)����。則用戶(hù)收到該DHCPNAK報(bào)文后發(fā)起首次地址申請(qǐng)����,DHCP監(jiān)聽(tīng)裝置監(jiān)聽(tīng)首次地址申請(qǐng)流程中往來(lái)的DHCP報(bào)文�,重新建立起對(duì)應(yīng)的DHCP綁定表。用戶(hù)申請(qǐng)地址成功后即可照常上網(wǎng)�����。
通過(guò)本實(shí)施例�,除能實(shí)現(xiàn)實(shí)施例一的功能外,還可以實(shí)現(xiàn)當(dāng)DHCP綁定表非正常丟失時(shí)���,在用戶(hù)不覺(jué)察的情況下自動(dòng)重新建立起DHCP綁定表���,使用戶(hù)照常上網(wǎng)。
在實(shí)施例一或二的基礎(chǔ)上還可以對(duì)DHCP監(jiān)聽(tīng)裝置作進(jìn)一步的改進(jìn)�����,以充分利用DHCP黑名單綁定表單元1����、綁定表類(lèi)型存儲(chǔ)單元31及命中頻率存儲(chǔ)單元32的功能。圖7示出了改進(jìn)后的DHCP監(jiān)聽(tīng)裝置�����,即實(shí)施例三的功能模塊組成示意圖,除包括實(shí)施例二的所有功能單元外����,它還包括有類(lèi)型判斷單元5、控制單元6�����、黑名單綁定表處理單元7���。
類(lèi)型判斷單元5用于當(dāng)所述命中判斷單元8的判斷結(jié)果為是時(shí)��,即當(dāng)收到的用戶(hù)報(bào)文命中DHCP綁定表時(shí)�����,根據(jù)所述綁定表類(lèi)型存儲(chǔ)單元31中存儲(chǔ)的該DHCP綁定表的類(lèi)型信息���,判斷其是否為DHCP黑名單綁定表,即�����,判斷其是DHCP黑名單綁定表還是正常的DHCP綁定表�����,并將判斷結(jié)果發(fā)送給所述控制單元6�����。
控制單元6接收所述類(lèi)型判斷單元5的判斷結(jié)果�,當(dāng)所述類(lèi)型判斷單元5的判斷結(jié)果為是時(shí),對(duì)所述黑名單綁定表處理單元7下發(fā)分析命令����,并根據(jù)所述黑名單綁定表處理單元7返回的分析結(jié)果按照預(yù)定的配置策略處理所述用戶(hù)報(bào)文;當(dāng)所述類(lèi)型判斷單元5的判斷結(jié)果為否時(shí)��,命令網(wǎng)絡(luò)設(shè)備將該用戶(hù)報(bào)文按照現(xiàn)有技術(shù)轉(zhuǎn)發(fā)���。黑名單綁定表處理單元7用于根據(jù)所述控制單元6的分析命令對(duì)所述黑名單綁定表進(jìn)行分析���,并將分析結(jié)果發(fā)送給所述控制單元6。
作為一種實(shí)施方式�,黑名單綁定表處理單元7進(jìn)一步包括有速度計(jì)算單元71、限速預(yù)設(shè)單元72及比較單元73����。速度計(jì)算單元71用于根據(jù)所述命中頻率存儲(chǔ)單元32中存儲(chǔ)的命中頻率信息計(jì)算所述用戶(hù)報(bào)文的發(fā)送速度值��。如��,所記錄的頻率信息為該黑名單綁定表2分鐘內(nèi)被命中了4次����,則可以計(jì)算出對(duì)應(yīng)的發(fā)送速度值為30s/次���。限速預(yù)設(shè)單元72用于預(yù)先設(shè)置用戶(hù)報(bào)文所被允許的最大發(fā)送限速值��。比較單元73用于根據(jù)所述分析命令讀取所述發(fā)送速度值及所述限速值�����,比較它們的大小����,并將比較結(jié)果發(fā)送給所述控制單元6����。
作為一種實(shí)施方式,控制單元6中存儲(chǔ)的預(yù)定的配置策略可以為如果該用戶(hù)發(fā)送報(bào)文的速度值超過(guò)了預(yù)設(shè)的某一限速值,則丟棄該報(bào)文��,如果沒(méi)有超過(guò)��,則向該用戶(hù)發(fā)送DHCPNAK報(bào)文��。則�,控制單元6收到比較單元73發(fā)送過(guò)來(lái)的比較結(jié)果后����,如果發(fā)送速度值超過(guò)了限速值,則通知所述網(wǎng)絡(luò)設(shè)備丟棄該報(bào)文����,否則,命令DHCP反確認(rèn)單元4向所述用戶(hù)發(fā)送DHCPNAK報(bào)文��,使該用戶(hù)發(fā)起首次地址申請(qǐng)���。
通過(guò)本實(shí)施例��,可以跟蹤攻擊者的行為信息�,并增強(qiáng)設(shè)備的攻擊識(shí)別能力�,有效防止惡意用戶(hù)的拒絕服務(wù)攻擊。
以上所揭露的僅為本發(fā)明的較佳實(shí)施例而已,當(dāng)然不能以此來(lái)限定本發(fā)明之權(quán)利范圍�����,因此依本發(fā)明權(quán)利要求所作的等同變化�,仍屬本發(fā)明所涵蓋的范圍。
權(quán)利要求
1.一種DHCP監(jiān)聽(tīng)方法����,其特征在于,包括接收用戶(hù)報(bào)文并判斷其是否命中DHCP綁定表�����,如果判斷結(jié)果為是�����,則轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文���,否則����,執(zhí)行下一步����;提取所述報(bào)文的入端口信息���、虛擬局域網(wǎng)信息及其源MAC、源IP地址信息創(chuàng)建DHCP黑名單綁定表��;記錄后續(xù)收到的用戶(hù)報(bào)文命中所述DHCP黑名單綁定表的頻率信息���。
2.如權(quán)利要求1所述的DHCP監(jiān)聽(tīng)方法,其特征在于�,步驟B還包括有仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文。
3.如權(quán)利要求1或2所述的DHCP監(jiān)聽(tīng)方法����,其特征在于,所述記錄所述頻率信息之后還包括接收后續(xù)用戶(hù)報(bào)文并判斷其是否命中DHCP綁定表�����,如果判斷結(jié)果為否��,則仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文��,否則����,執(zhí)行下一步��;判斷所述用戶(hù)報(bào)文命中的DHCP綁定表是否為DHCP黑名單綁定表����,如果判斷結(jié)果為否���,則轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文��,否則��,執(zhí)行下一步�����;按照預(yù)定的配置策略處理所述用戶(hù)報(bào)文����。
4.如權(quán)利要求3所述的DHCP監(jiān)聽(tīng)方法��,其特征在于����,所述按照預(yù)定的配置策略處理所述用戶(hù)報(bào)文的步驟具體包括根據(jù)所述頻率信息計(jì)算所述用戶(hù)報(bào)文的發(fā)送速度值���,并將所述計(jì)算的發(fā)送速度值與一限速值進(jìn)行比較,如果所述發(fā)送速度值大于所述限速值�,則丟棄所述用戶(hù)報(bào)文,否則����,執(zhí)行下一步;仿照DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文���。
5.一種DHCP監(jiān)聽(tīng)裝置�����,用于監(jiān)聽(tīng)網(wǎng)絡(luò)設(shè)備收到的用戶(hù)報(bào)文,其特征在于�,包括有綁定表存儲(chǔ)單元,用于存儲(chǔ)DHCP綁定表�;命中判斷單元,用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶(hù)報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元中的DHCP綁定表��,判斷所述用戶(hù)報(bào)文是否命中一DHCP綁定表�,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶(hù)報(bào)文;DHCP黑名單綁定表單元��,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí),提取所述報(bào)文的入端口信息���、虛擬局域網(wǎng)信息及其源MAC�����、源IP地址信息創(chuàng)建DHCP黑名單綁定表��,并將所述DHCP黑名單綁定表存儲(chǔ)于所述綁定表存儲(chǔ)單元����;其中�����,所述綁定表存儲(chǔ)單元進(jìn)一步包括有綁定表類(lèi)型存儲(chǔ)單元��,用于存儲(chǔ)DHCP綁定表的類(lèi)型是否為DHCP黑名單綁定表的信息�;命中頻率存儲(chǔ)單元,用于記錄所述DHCP黑名單綁定表被用戶(hù)報(bào)文命中的頻率信息����。
6.如權(quán)利要求5所述的DHCP監(jiān)聽(tīng)裝置,其特征在于�����,還包括有DHCP反確認(rèn)單元,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)�,仿冒DHCP服務(wù)器向所述用戶(hù)發(fā)送DHCPNAK報(bào)文。
7.如權(quán)利要求5或6所述的DHCP監(jiān)聽(tīng)裝置�����,其特征在于�����,還包括有類(lèi)型判斷單元����、控制單元、黑名單綁定表處理單元���,其中所述類(lèi)型判斷單元,用于當(dāng)所述命中判斷單元的判斷結(jié)果為是時(shí)����,根據(jù)綁定表類(lèi)型存儲(chǔ)單元中信息判斷所述被命中DHCP綁定表是否為DHCP黑名單綁定表,并將判斷結(jié)果發(fā)送給所述控制單元�;所述控制單元����,用于當(dāng)所述類(lèi)型判斷單元的判斷結(jié)果為是時(shí)�,對(duì)所述黑名單綁定表處理單元下發(fā)分析命令,并根據(jù)所述黑名單綁定表處理單元返回的分析結(jié)果按照預(yù)定的配置策略處理所述用戶(hù)報(bào)文����;或者當(dāng)所述類(lèi)型判斷單元的判斷結(jié)果為否時(shí),命令所述網(wǎng)絡(luò)設(shè)備將所述用戶(hù)報(bào)文轉(zhuǎn)發(fā)����;所述黑名單綁定表處理單元,用于根據(jù)所述控制單元的分析命令對(duì)所述黑名單綁定表進(jìn)行分析���,并將分析結(jié)果發(fā)送給所述控制單元�。
8.如權(quán)利要求7所述的DHCP監(jiān)聽(tīng)裝置�,其特征在于,所述黑名單綁定表處理單元進(jìn)一步包括有速度計(jì)算單元�����、限速預(yù)設(shè)單元及比較單元���,其中所述速度計(jì)算單元��,用于根據(jù)所述命中頻率存儲(chǔ)單元中存儲(chǔ)的命中頻率信息計(jì)算所述用戶(hù)報(bào)文的發(fā)送速度值���;所述限速預(yù)設(shè)單元��,用于預(yù)先設(shè)置用戶(hù)報(bào)文所被允許的最大發(fā)送限速值�����;所述比較單元�,用于根據(jù)所述分析命令讀取所述計(jì)算的發(fā)送速度值及所述預(yù)設(shè)置的最大發(fā)送限速值�����,并進(jìn)行比較��,并將比較結(jié)果發(fā)送給所述控制單元�����。
9.如權(quán)利要求8所述的DHCP監(jiān)聽(tīng)裝置�����,其特征在于�����,所述預(yù)定的配置策略為如果所述用戶(hù)報(bào)文的發(fā)送速度值大于所述限速值���,則所述控制單元命令所述網(wǎng)絡(luò)設(shè)備丟棄所述用戶(hù)報(bào)文���,否則,命令所述DHCP反確認(rèn)單元向所述用戶(hù)發(fā)送DHCPNAK報(bào)文����。
全文摘要
本發(fā)明公開(kāi)了一種DHCP監(jiān)聽(tīng)方法,通過(guò)在收到的用戶(hù)報(bào)文不能命中DHCP綁定表時(shí)建立DHCP黑名單綁定表���,并記錄該DHCP黑名單綁定表被命中的頻率信息����,達(dá)到跟蹤攻擊者的目的�。本發(fā)明還公開(kāi)了一種DHCP監(jiān)聽(tīng)裝置。通過(guò)本發(fā)明��,可以跟蹤攻擊者的攻擊行為并獲得必要的信息��,便于網(wǎng)管進(jìn)行分析。
文檔編號(hào)H04L12/56GK101039176SQ20071002770
公開(kāi)日2007年9月19日 申請(qǐng)日期2007年4月25日 優(yōu)先權(quán)日2007年4月25日
發(fā)明者譚學(xué)飛 申請(qǐng)人:華為技術(shù)有限公司