防止非信任服務(wù)器攻擊的方法
【專利摘要】本發(fā)明提供了一種防止非信任服務(wù)器攻擊的方法，其包括：在啟動DHCPSnooping的交換設(shè)備上針對進(jìn)行DHCP?Snooping的局域網(wǎng)添加信任服務(wù)器IP地址列表；當(dāng)交換設(shè)備收到DHCP回應(yīng)包的時候，提取出DHCP回應(yīng)包的源地址，與信任服務(wù)器IP地址列表中的IP地址進(jìn)行驗證；經(jīng)過上面的驗證，交換設(shè)備只轉(zhuǎn)發(fā)源地址在信任服務(wù)器IP地址列表中存在的DHCP回應(yīng)包。本發(fā)明可以有效的防止非信任服務(wù)器的欺騙攻擊，與現(xiàn)有技術(shù)相比，還能避免非信任服務(wù)器在非直接相連的狀態(tài)下從信任端口過來的欺騙攻擊。更進(jìn)一步的是，在服務(wù)器切換端口的情況下，可以不用修改交換設(shè)備的配置，繼續(xù)有效地轉(zhuǎn)發(fā)信任服務(wù)器的數(shù)據(jù)包和防止非信任服務(wù)器欺騙攻擊。
【專利說明】防止非信任服務(wù)器攻擊的方法
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域，尤其涉及一種防止非信任服務(wù)欺騙攻擊的方法。
【【背景技術(shù)】】
[0002]目前，在運(yùn)行DHCP SnoopingCDynamic Host Configuration Protocol Snooping,動態(tài)主機(jī)配置協(xié)議窺探)交換設(shè)備中，DHCP Snooping技術(shù)通過配置信任端口來實現(xiàn)防止非信任服務(wù)器的欺騙攻擊。例如，配置交換設(shè)備的端口 I為信任端口，與信任端口 I相連的服務(wù)器發(fā)送的DHCP應(yīng)答包則進(jìn)行轉(zhuǎn)發(fā)，而未與信任端口相連的其他服務(wù)器發(fā)送的DHCP應(yīng)答包則不進(jìn)行轉(zhuǎn)發(fā)，如圖1所示，以過濾掉非信任的DHCP服務(wù)器的欺騙攻擊。但是，這種方法只能針對服務(wù)器與DHCP Snooping交換設(shè)備必須是直接相連的，才能過濾掉非信任的服務(wù)器的欺騙攻擊。如果，在交換設(shè)備信任端口與服務(wù)器之間還繼續(xù)掛接多個接入設(shè)備或者在信任端口下面存在除服務(wù)器外的多臺主機(jī)(就是說當(dāng)服務(wù)器與DHCP Snooping交換設(shè)備不是直接相連)的情況下，如圖2所示。如果在信任端口下面的主機(jī)或服務(wù)器發(fā)起欺騙攻擊的話，DHCP Snooping交換設(shè)備防止服務(wù)器欺騙失敗。因而，通過配置信任端口的方法只能在服務(wù)器與交換設(shè)備是直接相連的拓?fù)湎虏庞行А?br> 【
【發(fā)明內(nèi)容】
】
[0003]本發(fā)明需解決的技術(shù)問題是克服上述的不足，提供一種防止非信任服務(wù)器攻擊的方法，可以有效地防止非信任服務(wù)器欺騙攻擊。 [0004]為解決上述的技術(shù)問題，本發(fā)明設(shè)計了一種防止非信任服務(wù)器攻擊的方法，其包括:
[0005]Stepl:在啟動DHCP Snooping的交換設(shè)備上針對進(jìn)行DHCP Snooping的局域網(wǎng)添加信任服務(wù)器IP地址列表；
[0006]Step2:當(dāng)交換設(shè)備收到DHCP回應(yīng)包的時候，提取出DHCP回應(yīng)包的源地址，與信任服務(wù)器IP地址列表中的IP地址進(jìn)行驗證；
[0007]Step3:經(jīng)過上面的驗證，交換設(shè)備只轉(zhuǎn)發(fā)源地址在信任服務(wù)器IP地址列表中存在的DHCP回應(yīng)包。
[0008]本發(fā)明可以有效地防止非信任服務(wù)器的欺騙攻擊，與現(xiàn)有技術(shù)相比，還能避免非信任服務(wù)器在非直接相連的狀態(tài)下從信任端口過來的欺騙攻擊。
[0009]更進(jìn)一步的是，在服務(wù)器切換端口的情況下，可以不用修改交換設(shè)備的配置，繼續(xù)有效地轉(zhuǎn)發(fā)信任服務(wù)器的數(shù)據(jù)包和防止非信任服務(wù)器欺騙攻擊。
【【專利附圖】

【附圖說明】】
[0010]圖1是現(xiàn)有技術(shù)交換設(shè)備與服務(wù)器直接相連的拓?fù)鋱D；
[0011]圖2是現(xiàn)有技術(shù)交換設(shè)備與服務(wù)器非直接相連的拓?fù)鋱D；
[0012]圖3是本發(fā)明交換設(shè)備與服務(wù)器非直接相連的拓?fù)鋱D?！尽揪唧w實施方式】】
[0013]下面結(jié)合附圖和實施方式對本發(fā)明作進(jìn)一步說明。
[0014]本發(fā)明提供了一種防止非信任服務(wù)器攻擊的方法，可以有效地防止非信任服務(wù)器欺騙攻擊。
[0015]在實施方式中，本發(fā)明在啟用DHCP Snooping功能的交換設(shè)備中，通過添加信任服務(wù)器IP地址列表的方式來達(dá)到防止非信任服務(wù)器欺騙的目的。當(dāng)交換設(shè)備收到DHCPSnooping應(yīng)答包的時候，需要對DHCP應(yīng)答包的源地址進(jìn)行驗證，DHCP應(yīng)答包的源地址即是發(fā)送DHCP應(yīng)答包的服務(wù)器的IP地址，只有源地址在信任服務(wù)器IP地址列表中的DHCP應(yīng)答包才進(jìn)行轉(zhuǎn)發(fā)，這樣，可以保證交換設(shè)備下的主機(jī)不會收到非信任服務(wù)器的欺騙攻擊。并且，在服務(wù)器的IP地址沒有改變的情況下，服務(wù)器發(fā)生位置移動，也不需要更改交換設(shè)備的配置。由于本發(fā)明方法是通過驗證IP地址的方式來防止非信任服務(wù)器欺騙攻擊，因而，服務(wù)器在與交換設(shè)備不直接相連的情況下，本發(fā)明方法也能有效應(yīng)用，如圖3所示。
[0016]本發(fā)明的實施方式具體步驟包括:
[0017]Stepl:在啟動DHCP Snooping的交換設(shè)備上針對進(jìn)行DHCP Snooping的局域網(wǎng)添加信任服務(wù)器IP地址列表；
[0018]Step2:當(dāng)交換設(shè)備收到DHCP回應(yīng)包的時候，提取出DHCP回應(yīng)包的源地址，與信任服務(wù)器IP地址列表中的IP地址進(jìn)行驗證；
[0019]Step3:經(jīng)過上面的驗證，交換設(shè)備只轉(zhuǎn)發(fā)源地址在信任服務(wù)器IP地址列表中存在的DHCP回應(yīng)包。當(dāng)然，如果源地址不在信任服務(wù)器IP地址列表中，則不轉(zhuǎn)發(fā)DHCP回應(yīng)包，從而過濾掉非信任DHCP服務(wù)器的欺騙攻擊。
[0020]本發(fā)明可以有效的防止非信任服務(wù)器的欺騙攻擊，還能避免非信任服務(wù)器在非直接相連的狀態(tài)下從信任端口過來的欺騙攻擊。
[0021]更進(jìn)一步的是，在服務(wù)器切換端口的情況下，可以不用修改交換設(shè)備的配置，繼續(xù)有效地轉(zhuǎn)發(fā)信任服務(wù)器的數(shù)據(jù)包和防止非信任服務(wù)器欺騙攻擊。 [0022]以上所述的僅是本發(fā)明的實施方式，在此應(yīng)當(dāng)指出，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明創(chuàng)造構(gòu)思的前提下，還可以做出改進(jìn)，但這些均屬于本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種防止非信任服務(wù)器攻擊的方法，其特征在于:所述防止非信任服務(wù)器攻擊的方法包括: Stepl:在啟動DHCP Snooping的交換設(shè)備上針對進(jìn)行DHCP Snooping的局域網(wǎng)添加信任服務(wù)器IP地址列表； Step2:當(dāng)交換設(shè)備收到DHCP回應(yīng)包的時候，提取出DHCP回應(yīng)包的源地址，與信任服務(wù)器IP地址列表中的IP地址進(jìn)行驗證； Step3:經(jīng)過上面的驗證，交換設(shè)備只轉(zhuǎn)發(fā)源地址在信任服務(wù)器IP地址列表中存在的DHCP回應(yīng)包。
【文檔編號】H04L29/06GK104009967SQ201310062185
【公開日】2014年8月27日 申請日期:2013年2月27日 優(yōu)先權(quán)日:2013年2月27日
【發(fā)明者】梁劍華, 車任秋 申請人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司