專利名稱:一種dhcp監(jiān)聽方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域,具體地涉及一種DHCP監(jiān)聽方法及其裝置��。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高�,動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHost Configuration Protocol,DHCP)得到了廣泛的應(yīng)用��。但DHCP協(xié)議在應(yīng)用的過程中遇到很多安全方面的問題,為解決這些問題��,目前通用的辦法是在接入用戶的網(wǎng)絡(luò)設(shè)備處�,如網(wǎng)關(guān)交換機(jī)上使能DHCP監(jiān)聽(Snooping)功能。
DHCP Snooping協(xié)議棧通過監(jiān)聽DHCP報(bào)文����,建立DHCP綁定表,該DHCP綁定表的表項(xiàng)包括IP地址�、MAC地址、入端口號(hào)和虛擬局域網(wǎng)(Virtual LAN����,VLAN)號(hào)。在轉(zhuǎn)發(fā)報(bào)文時(shí)����,利用DHCP綁定表對(duì)地址解析協(xié)議(AddressResolution Protocol,ARP)報(bào)文��、IP報(bào)文進(jìn)行檢查����,從而解決上述的欺騙攻擊安全問題。其基本方案示意圖如圖1所示���,用戶B的MAC地址及IP地址為B����,10.1.1.2;用戶C的MAC地址及IP地址為C��,10.1.1.3�;網(wǎng)絡(luò)設(shè)備A的MAC地址及IP地址為A,10.1.1.1�����。在接入用戶的網(wǎng)關(guān)交換機(jī)上使能DHCPSnooping功能�����,則無論是正常用戶如用戶B還是其它可能有攻擊行為的用戶如用戶C�����,首先必須進(jìn)行DHCP首次地址申請(qǐng)����。
網(wǎng)關(guān)交換機(jī)監(jiān)聽申請(qǐng)過程中的所有DHCP報(bào)文����,通過分析往來的DHCP報(bào)文����,建立如下所示的DHCP綁定表���。
表1 DHCP綁定表
當(dāng)攻擊者發(fā)起欺騙攻擊時(shí)����,比如用戶C發(fā)起一個(gè)免費(fèi)ARP報(bào)文給B��,欺騙用戶B說�����,IP地址為10.1.1.1網(wǎng)關(guān)的MAC為C����,那么在網(wǎng)關(guān)交換機(jī)處將對(duì)此ARP報(bào)文進(jìn)行檢測(cè),拿本ARP報(bào)文攜帶的信息���,包括其源MAC地址�,源IP地址(或ARP凈荷中聲明的IP地址)以及入端口信息��,本例中MAC地址為C、IP地址為10.1.1.1����、入端口號(hào)為E2、VLAN號(hào)為3����,去查找DHCP綁定表,發(fā)現(xiàn)其無法命中DHCP綁定表��,則網(wǎng)關(guān)交換機(jī)會(huì)把該報(bào)文丟棄��。所以���,此欺騙ARP報(bào)文將無法到達(dá)其它任何用戶包括用戶B�,從而制止了用戶C的攻擊行為�����。
而對(duì)于正常用戶��,比如用戶B�����,使用網(wǎng)絡(luò)則沒有任何問題�,因?yàn)槠浒l(fā)送的所有報(bào)文,都將遵循其DHCP地址申請(qǐng)時(shí)的信息�,即MAC地址為B,源IP地址為10.1.1.2���,正常情況下�,將能在網(wǎng)關(guān)交換機(jī)處正確命中DHCP綁定表����,從而正常訪問外部網(wǎng)絡(luò)。
采用DHCP Snooping方案���,一旦用戶通過DHCP動(dòng)態(tài)申請(qǐng)IP地址成功以后��,能否上網(wǎng)��,完全取決于用戶報(bào)文能否命中網(wǎng)關(guān)交換機(jī)的某一DHCP綁定表(即���,從該用戶報(bào)文中提取出的相關(guān)信息與網(wǎng)關(guān)交換機(jī)上的某一DHCP綁定表的表項(xiàng)完全一致),如果沒有任何一個(gè)DHCP綁定表與之匹配��,該用戶報(bào)文將被丟棄����。
按照正常情況���,只要用戶還能使用這個(gè)IP地址(比如申請(qǐng)的IP地址在租期內(nèi)),那么與之對(duì)應(yīng)的DHCP綁定表就應(yīng)該存在于網(wǎng)關(guān)交換機(jī)上�����,然而DHCP綁定表是有可能非正常丟失的��,比如1�����、由于一個(gè)網(wǎng)關(guān)上要接入大量的用戶��,而用于存放DHCP綁定表的空間有限�,因此,需要將長(zhǎng)期沒有命中的DHCP綁定表老化掉�����,即���,使該DHCP綁定表無效��,或新用戶的DHCP Snooping綁定表因?yàn)榭臻g不夠的原因無法正常創(chuàng)建���。
2��、由于使能DHCP Snooping功能的網(wǎng)絡(luò)設(shè)備重啟,原DHCP綁定表在保存恢復(fù)過程中部分丟失��。
3���、使能DHCP Snooping功能的網(wǎng)絡(luò)設(shè)備由于自身內(nèi)部通信原因��,也可能造成DHCP綁定表丟失��。
4�、網(wǎng)絡(luò)設(shè)備上一個(gè)端口上一旦使能DHCP Snooping功能�,那么在使能前已經(jīng)通過DHCP獲得IP地址的用戶將在該網(wǎng)絡(luò)設(shè)備上沒有對(duì)應(yīng)的DHCP綁定表,此時(shí)也可以理解為該用戶的DHCP綁定表異常丟失����。
一旦某DHCP綁定表丟失,與之對(duì)應(yīng)的用戶將無法發(fā)送任何報(bào)文通過網(wǎng)關(guān)交換機(jī)��,只能等待通過DHCP申請(qǐng)的地址過期或者手工進(jìn)行地址釋放����,并再次發(fā)起DHCP地址申請(qǐng)并成功申請(qǐng)地址后���,該用戶才能上網(wǎng)。
如圖1所示�����,假如由于某種原因�,針對(duì)用戶B的DHCP綁定表丟失了,用戶B的報(bào)文由于在網(wǎng)關(guān)交換機(jī)上沒有對(duì)應(yīng)的DHCP綁定表�����,從而導(dǎo)致網(wǎng)關(guān)交換機(jī)查找DHCP綁定表失敗而丟棄用戶B發(fā)出的除DHCP首次地址申請(qǐng)報(bào)文以外的所有報(bào)文���。此時(shí)�����,如果用戶B需要繼續(xù)上網(wǎng)���,則只能有兩種辦法1、手工觸發(fā)網(wǎng)卡重新進(jìn)行DHCP首次地址申請(qǐng),即先釋放現(xiàn)有地址�����,然后再進(jìn)行首次地址申請(qǐng)�����。通過首次地址申請(qǐng)�,用戶B重新獲得新的IP地址,同時(shí)在網(wǎng)關(guān)交換機(jī)上建立起對(duì)應(yīng)的綁定表����。
2�����、等目前申請(qǐng)的地址過期后再上網(wǎng)��,此時(shí)由于地址過期����,DHCP客戶端軟件將檢測(cè)到該事件,然后自動(dòng)進(jìn)行首次地址申請(qǐng)�。跟1一樣,用戶B重新獲得新的IP地址,同時(shí)在網(wǎng)關(guān)交換機(jī)上建立起對(duì)應(yīng)的綁定表�。
上述兩種方法都會(huì)使用戶中斷上網(wǎng),甚至丟失報(bào)文���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例所要解決的技術(shù)問題在于��,提供一種DHCP監(jiān)聽方法�,當(dāng)DHCP綁定表非正常丟失時(shí)����,在用戶幾乎不感知的情況下,快速恢復(fù)上網(wǎng)功能�。
為了解決上述技術(shù)問題,本發(fā)明實(shí)施例提出了一種DHCP監(jiān)聽方法����,包括接收用戶報(bào)文并判斷其是否命中DHCP綁定表,如果判斷結(jié)果為是�����,則轉(zhuǎn)發(fā)所述用戶報(bào)文����,否則����,執(zhí)行下一步�����;仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文�����。
相應(yīng)地��,本發(fā)明實(shí)施例提供一種DHCP監(jiān)聽裝置�,用于監(jiān)聽網(wǎng)絡(luò)設(shè)備收到的用戶報(bào)文,包括有綁定表存儲(chǔ)單元���,用于存儲(chǔ)DHCP綁定表;命中判斷單元��,用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元中的DHCP綁定表��,判斷所述用戶報(bào)文是否命中一DHCP綁定表��,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶報(bào)文�����;DHCP反確認(rèn)單元,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)�,仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文。
綜上�,本發(fā)明實(shí)施例提供的一種DHCP監(jiān)聽方法及其裝置,通過當(dāng)收到的用戶報(bào)文不能命中DHCP綁定表時(shí)仿照DHCP服務(wù)器向該用戶發(fā)送DHCPNAK報(bào)文��,使該用戶在收到DHCPNAK報(bào)文后發(fā)起首次地址申請(qǐng)����,從而重新建立起DHCP綁定表,在用戶覺察不到的情況下保持繼續(xù)上網(wǎng)�����。
圖1是現(xiàn)有技術(shù)中DHCP監(jiān)聽方法的應(yīng)用示意圖����;圖2是本發(fā)明中DHCP監(jiān)聽方法實(shí)施例一的流程示意圖;圖3是本發(fā)明中DHCP監(jiān)聽方法實(shí)施例三的流程示意圖�;圖4是圖3中步驟S3003的一實(shí)施方式的流程示意圖;圖5是本發(fā)明中DHCP監(jiān)聽裝置實(shí)施例一的功能模塊組成示意圖���;圖6是本發(fā)明中DHCP監(jiān)聽裝置實(shí)施例二的功能模塊組成示意圖����;圖7是本發(fā)明中DHCP監(jiān)聽裝置實(shí)施例三的功能模塊組成示意圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)清楚的說明����。
圖2示出了本發(fā)明DHCP監(jiān)聽方法實(shí)施例一的流程示意圖,該實(shí)施例包括以下步驟步驟S2001接收用戶報(bào)文并判斷其是否命中DHCP綁定表���,如果判斷結(jié)果為是���,則按照現(xiàn)有技術(shù)轉(zhuǎn)發(fā)所述用戶報(bào)文,否則�����,執(zhí)行步驟S2002��。
步驟S2002仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文��。
在該實(shí)施例中�����,當(dāng)用戶報(bào)文不能命中DHCP綁定表時(shí)�����,不再像現(xiàn)有技術(shù)那樣直接丟棄該報(bào)文�。例如,如圖1中所示的接入設(shè)備(圖中為網(wǎng)絡(luò)交換機(jī))收到的用戶B的報(bào)文�,由于入端口使能了DHCP監(jiān)聽功能,接入設(shè)備的DHCP監(jiān)聽單元從該報(bào)文中提取源MAC以及源IP地址等信息����,加上入端口信息(即端口號(hào))和VLAN號(hào),去查找DHCP綁定表�,如果查找不到對(duì)應(yīng)的DHCP綁定表(即對(duì)應(yīng)用戶B的DHCP綁定表非正常丟失),這時(shí)��,接入設(shè)備不是直接丟棄該報(bào)文����,而是將其重定向至DHCP監(jiān)聽單元,由DHCP監(jiān)聽單元向用戶B發(fā)送DHCPNAK報(bào)文�����,仿照DHCP服務(wù)器告訴用戶B其IP地址已經(jīng)不可用�����,然后才丟棄該不能命中DHCP綁定表的報(bào)文。那么����,當(dāng)用戶B接收到這個(gè)DHCPNAK報(bào)文后,按照DHCP協(xié)議����,將自動(dòng)重新發(fā)起首次地址申請(qǐng),DHCP監(jiān)聽單元通過監(jiān)聽首次地址申請(qǐng)過程中的DHCP報(bào)文�,重新建立起對(duì)應(yīng)用戶B的DHCP綁定表,則用戶B在申請(qǐng)地址成功之后就可以照常上網(wǎng)了��。整個(gè)過程中無需用戶手動(dòng)操作�,可以在用戶不覺察的情況下重新建立起DHCP綁定表,使用戶照常上網(wǎng)�。
這里及下文所提到的網(wǎng)關(guān)交換機(jī)只是一個(gè)特例,所述接入設(shè)備實(shí)際上包括所有支持DHCP Snooping功能的網(wǎng)絡(luò)設(shè)備���。
本發(fā)明還提供DHCP監(jiān)聽方法的另一實(shí)施例�����,該實(shí)施例(實(shí)施例二)與上一實(shí)施例的不同之處在于,在步驟S2002中還包括下列步驟從不能命中DHCP綁定表的報(bào)文中提取入端口信息���、VLAN信息及其源MAC��、源IP地址信息創(chuàng)建DHCP黑名單綁定表���。之所以叫作黑名單綁定表���,是因?yàn)椴荒苊蠨HCP綁定表還可能由于下列原因DHCP綁定表并沒有丟失,該報(bào)文只是黑客發(fā)送的攻擊報(bào)文����,這時(shí),為便于跟蹤攻擊者的攻擊行為���,建立起對(duì)應(yīng)的DHCP黑名單綁定表?�,F(xiàn)有技術(shù)的DHCP綁定表包括有4個(gè)字段MAC地址���、IP地址、端口號(hào)及VLAN號(hào)����,如表1所示。在本實(shí)施例中,對(duì)DHCP綁定表增加了2個(gè)字段綁定表類型字段和命中頻率字段����。綁定表類型字段用于標(biāo)識(shí)該DHCP綁定表是正常的DHCP綁定表,還是黑名單綁定表��。命中頻率字段用于當(dāng)DHCP綁定表為DHCP黑名單綁定表時(shí)記錄該綁定表被報(bào)文命中的頻率信息���。
在創(chuàng)建DHCP黑名單綁定表后��,本發(fā)明DHCP監(jiān)聽方法的實(shí)施例一也會(huì)發(fā)生改進(jìn)��,改進(jìn)后的DHCP監(jiān)聽方法實(shí)施例(即實(shí)施例三)的流程圖如圖3所示����,包括以下步驟步驟S3001接收后續(xù)用戶報(bào)文并判斷其是否命中DHCP綁定表��,如果判斷結(jié)果為否�����,則仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文��,否則����,執(zhí)行步驟S3002�。
步驟S3002判斷所述用戶報(bào)文命中的DHCP綁定表是否為DHCP黑名單綁定表��,如果判斷結(jié)果為否��,則按照現(xiàn)有技術(shù)轉(zhuǎn)發(fā)所述用戶報(bào)文���,否則,執(zhí)行步驟S3003���。
步驟S3003按照預(yù)定的配置策略處理所述用戶報(bào)文��。
當(dāng)收到的用戶報(bào)文不能命中DHCP綁定表時(shí)����,在本實(shí)施例中和實(shí)施例一一樣�����,仿照DHCP服務(wù)器向該用戶發(fā)送DHCPNAK報(bào)文��,使用戶發(fā)起首次地址申請(qǐng)��,從而重新建立對(duì)應(yīng)的DHCP綁定表。當(dāng)收到的用戶報(bào)文命中了綁定表��,這時(shí)�,不是像實(shí)施例一那樣直接將報(bào)文按現(xiàn)有技術(shù)轉(zhuǎn)發(fā),而是要根據(jù)綁定表中的綁定表類型字段進(jìn)一步判斷該DHCP綁定表的類型���。如果被命中的是正常的DHCP綁定表��,則說明該報(bào)文不是欺騙攻擊報(bào)文��,則按現(xiàn)有技術(shù)轉(zhuǎn)發(fā)�。如果判斷命中的綁定表類型為DHCP黑名單綁定表�����,則說明該報(bào)文有可能是攻擊報(bào)文�����,則記錄該DHCP黑名單綁定表被命中的頻率信息����,即在某一時(shí)間段內(nèi)被命中了多少次,同時(shí)按照預(yù)定的配置策略對(duì)該報(bào)文進(jìn)行處理����。通過本實(shí)施例���,可以根據(jù)被命中的綁定表的類型對(duì)報(bào)文分別進(jìn)行處理,增強(qiáng)了設(shè)備對(duì)攻擊的識(shí)別能力����。
作為一種實(shí)施方式����,所謂配置策略可以為如果該用戶發(fā)送報(bào)文的速度值超過了預(yù)設(shè)的某一限速值,則丟棄該報(bào)文�,如果沒有超過,則向該用戶發(fā)送DHCPNAK報(bào)文��。用戶發(fā)送報(bào)文的速度值可以由DHCP黑名單綁定表的命中頻率字段中所記錄的頻率信息計(jì)算得出�。如,所記錄的頻率信息為該黑名單綁定表2分鐘內(nèi)被命中了4次���,則可以計(jì)算出對(duì)應(yīng)的發(fā)送速度為30s/次����。
對(duì)應(yīng)上述配置策略���,步驟S3003的一種實(shí)施方式流程圖如圖4所示��,包括以下步驟步驟S4001記錄所述DHCP黑名單綁定表被命中的頻率信息�����。
步驟S4002根據(jù)所述頻率信息計(jì)算所述用戶報(bào)文的發(fā)送速度值����,并比較所述發(fā)送速度值與預(yù)設(shè)限速值的大小,如果所述發(fā)送速度值大于所述限速值�����,則丟棄所述用戶報(bào)文��,否則��,執(zhí)行步驟S4003�����。
步驟S4003仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文���。
通過上述配置策略�����,可以有效防止惡意用戶的拒絕服務(wù)攻擊�����。
相應(yīng)地�����,本發(fā)明還提供DHCP監(jiān)聽裝置的實(shí)施例����,其實(shí)施例一的功能模塊組成示意圖如圖5所示����。該DHCP監(jiān)聽裝置用于監(jiān)聽網(wǎng)絡(luò)設(shè)備收到的用戶報(bào)文,包括有綁定表存儲(chǔ)單元4��、命中判斷單元8及DHCP反確認(rèn)單元1��。
綁定表存儲(chǔ)單元4用于存儲(chǔ)DHCP綁定表�����。
命中判斷單元8用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元中的DHCP綁定表,判斷所述用戶報(bào)文是否命中一DHCP綁定表�����,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶報(bào)文��。
DHCP反確認(rèn)單元1用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)��,仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文���。即�,當(dāng)收到的用戶報(bào)文不能命中DHCP綁定表時(shí)(即對(duì)應(yīng)的DHCP綁定表丟失)����,DHCP反確認(rèn)單元1仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文,告訴用戶該IP地址已不可以����,請(qǐng)重新申請(qǐng)。則用戶收到該DHCPNAK報(bào)文后發(fā)起首次地址申請(qǐng)�,DHCP監(jiān)聽裝置監(jiān)聽首次地址申請(qǐng)流程中往來的DHCP報(bào)文,重新建立起對(duì)應(yīng)的DHCP綁定表��。用戶申請(qǐng)地址成功后即可照常上網(wǎng)�。
通過本實(shí)施例��,當(dāng)DHCP綁定表丟失時(shí)��,可以在用戶不覺察的情況下自動(dòng)重新建立起DHCP綁定表����,使用戶照常上網(wǎng)���。
本發(fā)明DHCP監(jiān)聽裝置實(shí)施例二的功能模塊組成示意圖如圖6所示����,它與實(shí)施例一的不同在于還包括有DHCP黑名單綁定表單元2�����,用于當(dāng)命中判斷單元8的判斷結(jié)果為否時(shí)��,即當(dāng)收到的用戶報(bào)文不能命中DHCP綁定表時(shí)����,提取所述用戶報(bào)文的入端口信息及其源MAC����、源IP地址信息創(chuàng)建DHCP黑名單綁定表����,并將所述DHCP黑名單綁定表存儲(chǔ)到綁定表存儲(chǔ)單元4中��。之所以叫作黑名單綁定表�,是因?yàn)閳?bào)文不能命中DHCP綁定表還可能由于下列原因DHCP綁定表不存在丟失,該報(bào)文只是黑客發(fā)送的攻擊報(bào)文���,這時(shí)�����,為便于跟蹤攻擊者的攻擊行為�,DHCP黑名單綁定表單元2建立起對(duì)應(yīng)的DHCP黑名單綁定表��。為區(qū)別正常的DHCP綁定表和DHCP黑名單綁定表�,綁定表存儲(chǔ)單元4還可以包括綁定表類型存儲(chǔ)單元41,用于存儲(chǔ)DHCP綁定表的類型是否為DHCP黑名單綁定表的信息���。為進(jìn)一步了解攻擊者的行為信息�����,綁定表存儲(chǔ)單元4還可以包括命中頻率存儲(chǔ)單元42�,用于當(dāng)DHCP綁定表的類型為DHCP黑名單綁定表時(shí),記錄其被命中的頻率信息���,即在某一時(shí)間段內(nèi)該DHCP黑名單綁定表被命中的次數(shù)�����。
通過本實(shí)施例�����,除了可以達(dá)到和實(shí)施例一相同的功能外�,還可以有效跟蹤攻擊者的行為信息��,便于網(wǎng)管進(jìn)行分析���。
在實(shí)施例二的基礎(chǔ)上還可以對(duì)DHCP監(jiān)聽裝置作進(jìn)一步的改進(jìn)�,以充分利用DHCP黑名單綁定表單元2��、綁定表類型存儲(chǔ)單元41及命中頻率存儲(chǔ)單元42的功能���。圖7示出了改進(jìn)后的DHCP監(jiān)聽裝置,即實(shí)施例三的功能模塊組成示意圖,除包括實(shí)施例二的所有功能單元外���,它還包括有類型判斷單元5�����、控制單元6���、黑名單綁定表處理單元7。
類型判斷單元5用于當(dāng)所述命中判斷單元8的判斷結(jié)果為是時(shí)�����,即當(dāng)收到的用戶報(bào)文命中DHCP綁定表時(shí)�����,讀取所述綁定表類型存儲(chǔ)單元41中該DHCP綁定表的類型信息���,判斷其是否為DHCP黑名單綁定表�����,并將判斷結(jié)果發(fā)送給所述控制單元6�����?��?刂茊卧?接收所述類型判斷單元5的判斷結(jié)果���,當(dāng)所述判斷結(jié)果為是時(shí),對(duì)所述黑名單綁定表處理單元7下發(fā)分析命令��,并根據(jù)所述黑名單綁定表處理單元7返回的分析結(jié)果按照預(yù)定的配置策略處理所述用戶報(bào)文���;當(dāng)所述類型判斷單元5的判斷結(jié)果為否時(shí)��,將該用戶報(bào)文按照現(xiàn)有技術(shù)轉(zhuǎn)發(fā)����。黑名單綁定表處理單元7用于根據(jù)所述控制單元6的分析命令對(duì)所述黑名單綁定表進(jìn)行分析��,并將分析結(jié)果發(fā)送給所述控制單元6����。
作為一種實(shí)施方式,黑名單綁定表處理單元7進(jìn)一步包括有速度計(jì)算單元71��、限速預(yù)設(shè)單元72及比較單元73�����。速度計(jì)算單元71用于根據(jù)所述命中頻率存儲(chǔ)單元42中存儲(chǔ)的命中頻率信息計(jì)算所述用戶報(bào)文的發(fā)送速度值�����。如���,所記錄的頻率信息為該黑名單綁定表2分鐘內(nèi)被命中了4次��,則可以計(jì)算出對(duì)應(yīng)的發(fā)送速度為30s/次�����。限速預(yù)設(shè)單元72用于預(yù)先設(shè)置用戶報(bào)文所被允許的最大發(fā)送限速值����。比較單元73用于根據(jù)所述分析命令讀取所述發(fā)送速度值及所述限速值��,比較它們的大小�����,并將比較結(jié)果發(fā)送給所述控制單元6。
作為一種實(shí)施方式�����,控制單元6中存儲(chǔ)的預(yù)定的配置策略可以為如果該用戶發(fā)送報(bào)文的速度值超過了預(yù)設(shè)的某一限速值����,則丟棄該報(bào)文,如果沒有超過�,則向該用戶發(fā)送DHCPNAK報(bào)文。則���,控制單元6收到比較單元73發(fā)送過來的比較結(jié)果后����,如果發(fā)送速度值超過了限速值����,則通知網(wǎng)絡(luò)設(shè)備丟棄該報(bào)文,否則�,命令DHCP反確認(rèn)單元1向所述用戶發(fā)送DHCPNAK報(bào)文,使該用戶發(fā)起首次地址申請(qǐng)�����。
通過本實(shí)施例,可以跟蹤攻擊者的行為信息�,并增強(qiáng)設(shè)備的攻擊識(shí)別能力,有效防止惡意用戶的拒絕服務(wù)攻擊�。
以上所揭露的僅為本發(fā)明的較佳實(shí)施例而已�,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化����,仍屬本發(fā)明所涵蓋的范圍。
權(quán)利要求
1.一種DHCP監(jiān)聽方法����,其特征在于,包括接收用戶報(bào)文并判斷其是否命中DHCP綁定表�����,如果判斷結(jié)果為是���,則轉(zhuǎn)發(fā)所述用戶報(bào)文�,否則��,執(zhí)行下一步����;仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文�。
2.如權(quán)利要求1所述的DHCP監(jiān)聽方法���,其特征在于�,所述發(fā)送DHCPNAK報(bào)文的步驟還包括提取所述用戶報(bào)文的入端口信息及其源MAC���、源IP地址信息創(chuàng)建DHCP黑名單綁定表��。
3.如權(quán)利要求2所述的DHCP監(jiān)聽方法�����,其特征在于����,所述創(chuàng)建DHCP黑名單綁定表步驟之后還包括接收后續(xù)用戶報(bào)文并判斷其是否命中DHCP綁定表��,如果判斷結(jié)果為否���,則仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文���,否則��,執(zhí)行下一步���;判斷所述用戶報(bào)文命中的DHCP綁定表是否為DHCP黑名單綁定表,如果判斷結(jié)果為否�����,則轉(zhuǎn)發(fā)所述用戶報(bào)文��,否則���,執(zhí)行下一步;記錄所述DHCP黑名單綁定表被命中的頻率信息��,并按照預(yù)定的配置策略處理所述用戶報(bào)文����。
4.如權(quán)利要求3所述的DHCP監(jiān)聽方法,其特征在于����,所述記錄命中頻率信息并處理所述用戶報(bào)文的步驟具體包括記錄所述DHCP黑名單綁定表被命中的頻率信息;根據(jù)所述頻率信息計(jì)算所述用戶報(bào)文的發(fā)送速度值�,并比較所述發(fā)送速度值與預(yù)設(shè)限速值的大小�,如果所述發(fā)送速度值大于所述限速值�,則丟棄所述用戶報(bào)文,否則�����,執(zhí)行下一步�;仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文。
5.一種DHCP監(jiān)聽裝置�,用于監(jiān)聽網(wǎng)絡(luò)設(shè)備收到的用戶報(bào)文,其特征在于���,包括有綁定表存儲(chǔ)單元��,用于存儲(chǔ)DHCP綁定表����;命中判斷單元���,用于根據(jù)所述網(wǎng)絡(luò)設(shè)備接收的用戶報(bào)文中的信息查找存儲(chǔ)于所述綁定表存儲(chǔ)單元中的DHCP綁定表��,判斷所述用戶報(bào)文是否命中一DHCP綁定表�,并在判斷結(jié)果為是時(shí)命令所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述用戶報(bào)文;DHCP反確認(rèn)單元��,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)���,仿照DHCP服務(wù)器向所述用戶發(fā)送DHCPNAK報(bào)文���。
6.如權(quán)利要求5所述的DHCP監(jiān)聽裝置,其特征在于���,還包括有DHCP黑名單綁定表單元��,用于當(dāng)所述命中判斷單元的判斷結(jié)果為否時(shí)�,提取所述報(bào)文的入端口信息及其源MAC����、源IP地址信息創(chuàng)建DHCP黑名單綁定表�,并將所述DHCP黑名單綁定表存儲(chǔ)于所述綁定表存儲(chǔ)單元。
7.如權(quán)利要求6所述的DHCP監(jiān)聽裝置��,其特征在于���,所述綁定表存儲(chǔ)單元還包括有綁定表類型存儲(chǔ)單元���,用于存儲(chǔ)DHCP綁定表的類型是否為DHCP黑名單綁定表的信息�����;命中頻率存儲(chǔ)單元�,用于當(dāng)DHCP綁定表的類型為DHCP黑名單綁定表時(shí)�,記錄其被命中的頻率信息。
8.如權(quán)利要求7所述的DHCP監(jiān)聽裝置���,其特征在于��,還包括有類型判斷單元��、控制單元�、黑名單綁定表處理單元�����,其中所述類型判斷單元�����,用于當(dāng)所述命中判斷單元的判斷結(jié)果為是時(shí)��,讀取所述綁定表類型存儲(chǔ)單元中該被命中的DHCP綁定表的類型信息,判斷其是否為DHCP黑名單綁定表�,并將判斷結(jié)果發(fā)送給所述控制單元;所述控制單元�,用于當(dāng)所述類型判斷單元的判斷結(jié)果為是時(shí),對(duì)所述黑名單綁定表處理單元下發(fā)分析命令��,并根據(jù)所述黑名單綁定表處理單元返回的分析結(jié)果按照預(yù)定的配置策略處理所述用戶報(bào)文����;同時(shí)用于當(dāng)所述類型判斷單元的判斷結(jié)果為否時(shí),控制所述網(wǎng)絡(luò)設(shè)備將該用戶報(bào)文轉(zhuǎn)發(fā)�����;所述黑名單綁定表處理單元�����,用于根據(jù)所述控制單元的分析命令對(duì)所述黑名單綁定表進(jìn)行分析�����,并將分析結(jié)果發(fā)送給所述控制單元��。
9.如權(quán)利要求8所述的DHCP監(jiān)聽裝置���,其特征在于�,所述黑名單綁定表處理單元進(jìn)一步包括有速度計(jì)算單元�、限速預(yù)設(shè)單元及比較單元,其中所述速度計(jì)算單元��,用于根據(jù)所述命中頻率存儲(chǔ)單元中存儲(chǔ)的命中頻率信息計(jì)算所述用戶報(bào)文的發(fā)送速度�����;所述限速預(yù)設(shè)單元�����,用于預(yù)先設(shè)置用戶報(bào)文所被允許的最大發(fā)送限速��;所述比較單元�,用于根據(jù)所述分析命令讀取所述發(fā)送速度值及所述限速值,比較它們的大小�,并將比較結(jié)果發(fā)送給所述控制單元。
10.如權(quán)利要求8或9所述的DHCP監(jiān)聽裝置���,其特征在于�����,所述預(yù)定的配置策略為如果所述用戶報(bào)文的發(fā)送速度大于所述限速�����,則命令所述網(wǎng)絡(luò)設(shè)備丟棄所述用戶報(bào)文��,否則�����,命令所述DHCP反確認(rèn)單元向所述用戶發(fā)送DHCPNAK報(bào)文��。
全文摘要
本發(fā)明公開了一種DHCP監(jiān)聽方法���,當(dāng)由于DHCP綁定表非正常丟失而使收到的用戶報(bào)文不能命中DHCP綁定表時(shí)���,仿照DHCP服務(wù)器向該用戶發(fā)送DHCPNAK報(bào)文,使該用戶在收到DHCPNAK報(bào)文后發(fā)起首次地址申請(qǐng)�����。本發(fā)明還公開了一種DHCP監(jiān)聽裝置����。通過本發(fā)明,可以在用戶覺察不到的情況下自動(dòng)重新建立起DHCP綁定表��,保持用戶照常上網(wǎng)�����。
文檔編號(hào)H04L29/06GK101039223SQ200710027710
公開日2007年9月19日 申請(qǐng)日期2007年4月25日 優(yōu)先權(quán)日2007年4月25日
發(fā)明者譚學(xué)飛 申請(qǐng)人:華為技術(shù)有限公司