專利名稱:一種防攻擊方法和一種動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,尤指一種防攻擊方法和一種動(dòng)態(tài)主機(jī)配 置協(xié)議服務(wù)器。
背景技術(shù):
動(dòng)態(tài)主才幾配置協(xié)議(DHCP, Dynamic Host Configuration Protocol)是目前 應(yīng)用非常廣泛的一種協(xié)議�����,能夠讓客戶端設(shè)備得以連接到網(wǎng)絡(luò)上�,并獲取所需
要的配置參數(shù)�。
圖1是現(xiàn)有的DHCP工作原理示意圖���。如圖l所示���,動(dòng)態(tài)主機(jī)配置過程 包括以下步驟
步驟101,客戶端設(shè)備以廣播方式發(fā)送DHCP發(fā)現(xiàn)(DHCP-Discover ) 報(bào)文。該DHCP發(fā)現(xiàn)報(bào)文中攜帶客戶端設(shè)備的媒質(zhì)訪問控制MAC地址����。
本步驟是發(fā)現(xiàn)階段,即客戶端設(shè)備尋找DHCP服務(wù)器的階段�。
步驟102,接收到DHCP發(fā)現(xiàn)報(bào)文的DHCP服務(wù)器#4居IP地址分配的 優(yōu)先次序選出 一個(gè)IP地址���,與其他參數(shù)一起通過HDCP提供(DHCP - Offer ) 報(bào)文發(fā)送給客戶端設(shè)備。
本步驟是提供階段��,即DHCP服務(wù)器提供IP地址的階段���。由于客戶端 設(shè)備是以廣播方式發(fā)送DHCP-Discover報(bào)文���,因此可能會(huì)有多個(gè)DHCP服 務(wù)器接收到DHCP-Discover報(bào)文提供IP地址。
步驟103����,客戶端設(shè)備從所接收的各DHCP Offer報(bào)文中的IP地址中選 擇一個(gè)IP地址�����,然后以廣播方式發(fā)送DHCP請求(DHCP-Request)報(bào)文�, 該報(bào)文中包含所選擇的IP地址�。
本步驟是選擇階段,即客戶端設(shè)備選擇IP地址的階段�����。步驟104�,接收到DHCP請求報(bào)文的DHCP服務(wù)器判斷其中包含的IP 地址是否是自己分配的IP地址;如果不是���,則不做處理���;如果是,則進(jìn)一 步確認(rèn)是否將該IP地址分配給客戶端�����,是則向客戶端i殳備返回DHCP確認(rèn) (DHCP-ACK)報(bào)文�,否則向客戶端設(shè)備返回DHCP拒絕(DHCP - NAK )報(bào)文����。
本步驟是確認(rèn)階段��,即DHCP服務(wù)器確認(rèn)IP地址的階段���。如果返回的 是DHCP-ACK報(bào)文則確認(rèn)將地址分配給客戶端設(shè)備��,如果返回的是 DHCP-NAK報(bào)文則表示該地址不能分配給客戶端設(shè)備�。
但是���,在上述的動(dòng)態(tài)主機(jī)配置過程中存在一個(gè)很大的缺陷如果客戶端 設(shè)備惡意地不斷地用不同的MAC地址去申請IP地址�����,則DHCP月良務(wù)器會(huì) 不斷地給它分配IP地址,這樣���,在很短的時(shí)間內(nèi)�,DHCP服務(wù)器的地址池 內(nèi)的地址就會(huì)被耗盡��,全部被這個(gè)惡意的客戶端設(shè)備所占用���,而其他合法的 客戶端設(shè)備就分配不到IP地址��,無法正常工作���。這就是DHCP地址耗盡攻 擊。
發(fā)明內(nèi)容
本發(fā)明提供了 一種防攻擊方法�,該方法能夠防御DHCP地址耗盡攻擊。 本發(fā)明還提供了 一種DHCP服務(wù)器�����,該DHCP服務(wù)器能夠防御DHCP 地址一毛盡攻擊��。
為達(dá)到上述目的���,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的 本發(fā)明公開了一種防攻擊方法��,該方法包括
動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)
文�;
DHCP服務(wù)器判斷DHCP發(fā)現(xiàn)報(bào)文中包含的媒質(zhì)訪問控制MAC地址的 合法性��;
DHCP服務(wù)器只有在所述MAC地址合法時(shí)���,為所述客戶端設(shè)備分配IP 地址����。本發(fā)明還公開了一種DHCP服務(wù)器,該DHCP服務(wù)器包括DHCP服 務(wù)模塊和認(rèn)證模塊�,其中�����,
DHCP服務(wù)模塊��,用于接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文����,將該 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊�,接收認(rèn)證模塊返回的 認(rèn)證結(jié)果��,只有在所述MAC地址合法時(shí)�,為所述客戶端設(shè)備分配IP地址;
認(rèn)證模塊�����,用于對來自DHCP服務(wù)模塊的MAC地址進(jìn)行認(rèn)證�����,并將認(rèn) 證結(jié)果返回給DHCP服務(wù)模塊�。
由上述技術(shù)方案可見,本發(fā)明這種DHCP服務(wù)器接收來自客戶端設(shè)備 的DHCP發(fā)現(xiàn)報(bào)文后��,先判斷DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性���, 并只有在所述MAC地址合法時(shí)���,為所述客戶端設(shè)備分配IP地址的技術(shù)方案, 由于對MAC地址的合法性進(jìn)行認(rèn)證�����,因此可以防雄卩地址耗盡攻擊����。
圖1是現(xiàn)有的DHCP工作原理示意圖2是本發(fā)明實(shí)施例中的一種防攻擊方法的流程圖3是本發(fā)明實(shí)施例中的DHCP工作流程示意圖4是本發(fā)明實(shí)施例中的另一種DHCP工作流程示意圖5是本發(fā)明實(shí)施例中的又一種DHCP工作流程示意圖6是本發(fā)明實(shí)施例一種DHCP服務(wù)器的組成結(jié)構(gòu)框圖。
具體實(shí)施例方式
圖2是本發(fā)明實(shí)施例中的一種防攻擊方法的流程圖����。如圖2所示����,該方法 包括
步驟201,動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器接收來自客戶端設(shè)備的 DHCP發(fā)現(xiàn)報(bào)文�。
步驟202�����, DHCP服務(wù)器判斷DHCP發(fā)現(xiàn)報(bào)文中包含的媒質(zhì)訪問控制 MAC地址的合法性��;
8步驟203, DHCP服務(wù)器只有在所述MAC地址合法時(shí)�����,為所述客戶端 設(shè)備分配IP地址����。
圖2所示的方法,由于對MAC地址的合法性進(jìn)行認(rèn)證���,因此可以防雄卩 地址耗盡攻擊�。
為使本發(fā)明的技術(shù)方案更加清除明白�,以下進(jìn)一步進(jìn)行說明��。 圖3是本發(fā)明實(shí)施例中的DHCP工作流程示意圖。如圖3所示���,包括以 下步驟
步驟301, DHCP服務(wù)器接收客戶端設(shè)備以廣播方式發(fā)送的DHCP發(fā)現(xiàn) (DHCP-Discover )報(bào)文���。該DHCP發(fā)現(xiàn)報(bào)文中攜帶客戶端設(shè)備的MAC地 址。
步驟302, DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證 請求報(bào)文��。
本步驟中�,認(rèn)證服務(wù)器按照現(xiàn)有方式對所接收的認(rèn)證請求報(bào)文中MAC 地址進(jìn)行認(rèn)證。具體為認(rèn)證服務(wù)器根據(jù)預(yù)先保存的合法MAC地址列表對 MAC地址進(jìn)行認(rèn)證�����,如果所述請求4艮文中的MAC地址存在于合法地址表 中���,則該MAC地址合法�,否則不合法��。
這里認(rèn)證服務(wù)器可以是現(xiàn)有技術(shù)中的AAA服務(wù)器(如RADIUS服務(wù)器 等)����,只要能夠支持MAC地址認(rèn)證即可。至于認(rèn)證服務(wù)器采用何種方式對 于MAC地址進(jìn)行認(rèn)證與現(xiàn)有技術(shù)相同,這里不再復(fù)迷�����。
步驟303���, DHCP服務(wù)器接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文����。如果認(rèn) 證應(yīng)答報(bào)文中的信息表示認(rèn)證成功��,則DHCP服務(wù)器確定所述MAC地址合 法���,并執(zhí)行后續(xù)的步驟��;如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗�,則DHCP 服務(wù)器確定所述MAC地址非法�,不對客戶端設(shè)備做出任何應(yīng)答。
本步驟中��,如杲DHCP服務(wù)器確定所述MAC地址非法�,則不對客戶端 設(shè)備做出任何應(yīng)答,這樣就不會(huì)給客戶端設(shè)備分配IP地址����,防止了客戶端 設(shè)備進(jìn)行地址耗盡攻擊���。
步驟304, DHCP服務(wù)器從地址池中選出一個(gè)IP地址����,與其他參數(shù)一起通過HDCP提供(DHCP - Offer )報(bào)文發(fā)送給客戶端設(shè)備����。
步驟305, DHCP服務(wù)器接收客戶端設(shè)備發(fā)送的DHCP請求 (DHCP-R叫uest)報(bào)文����,該DHCP請求報(bào)文中包含本DHCP服務(wù)器所選擇 的IP ;也址。
步驟306���, DHCP服務(wù)器向客戶端設(shè)備發(fā)送DHCP確認(rèn)(DHCP-ACK ) 報(bào)文��,確認(rèn)將所選擇的IP地址分配給客戶端設(shè)備����。
圖3所示的流程與圖1所示的流程相比����,多了 DHCP服務(wù)器與認(rèn)證服務(wù) 器交互的步驟302和步驟303����。即在本實(shí)施例中����,DHCP服務(wù)器通過與認(rèn)證 服務(wù)器交互,確定客戶端設(shè)備的MAC地址的合法性��。
圖4是本發(fā)明實(shí)施例中的另一種DHCP工作流程示意圖�����。如圖4所示�, 包括以下步驟
步驟401, DHCP服務(wù)器接收客戶端設(shè)備以廣播方式發(fā)送的DHCP發(fā)現(xiàn) (DHCP-Discover )報(bào)文。該DHCP發(fā)現(xiàn)報(bào)文中攜帶客戶端設(shè)備的MAC地 址��。
步驟402, DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證 請求纟艮文��。
步驟403��, DHCP服務(wù)器從地址池中選出一個(gè)IP地址����,與其他參數(shù)一起 通過HDCP提供(DHCP-Offer)報(bào)文發(fā)送給客戶端設(shè)備��。
本發(fā)明實(shí)中���,對上述步驟402和步驟403中所執(zhí)行的動(dòng)作不做時(shí)間順序 上的限制。即在本發(fā)明的其他實(shí)施例中��,DHCP服務(wù)器可以從地址池中選出 一個(gè)IP地址�,與其他參數(shù)一起通過HDCP提供報(bào)文發(fā)送給客戶端設(shè)備,然 后再向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文����?�;蛘逥HCP月l 務(wù)器也可以同時(shí)執(zhí)行步驟402和步驟403中所述的動(dòng)作��。
在向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文以及向客戶端設(shè)備發(fā)送DHCP提供 報(bào)文之后�����,DHCP服務(wù)器等待認(rèn)證服務(wù)器和客戶端設(shè)備的應(yīng)答�。
步驟404, DHCP服務(wù)器接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文���,以及接 收客戶端設(shè)備發(fā)送的DHCP請求(DHCP-R叫uest)報(bào)文���,該DHCP請求報(bào)文中包含本DHCP服務(wù)器所選擇的IP地址����。
本步驟中����,DHCP服務(wù)器可能會(huì)先收到認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào) 文,后收到客戶端設(shè)備發(fā)送的DHCP請求報(bào)文����,也可能先收到客戶端設(shè)備發(fā) 送的DHCP請求報(bào)文,后收到認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答才艮文���,或者也有可 能同時(shí)收到認(rèn)證應(yīng)答報(bào)文和DHCP請求才艮文���。
步驟405,如果所述認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功,則DHCP月良 務(wù)器確定所述MAC地址合法�,向客戶端設(shè)備返回DHCP確認(rèn)(DHCP-ACK) 報(bào)文;如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗����,則DHCP服務(wù)器確定所述 MAC地址非法,向客戶端設(shè)備返回DHCP拒絕(DHCP-NAK)報(bào)文。
本步驟中��,如果MAC地址非法���,則DHCP服務(wù)器向客戶端設(shè)備返回 DHCP-NAK報(bào)文�,并不真正給客戶端設(shè)備分配所選擇的地址���。
圖4所示的流程與圖3所示的流程相比�,區(qū)別在于DHCP服務(wù)器發(fā)送 認(rèn)證請求報(bào)文后并不等待認(rèn)證應(yīng)答報(bào)文����,而是直接執(zhí)行步驟403向客戶端設(shè) 備發(fā)送DHCP-Offer報(bào)文,然后再等待認(rèn)證應(yīng)答報(bào)文�;并且�����,在步驟404中�����, 只有在接收DHCP-R叫uest報(bào)文后以及認(rèn)證應(yīng)答報(bào)文后��,再執(zhí)行步驟405回 應(yīng)DHCP-ACK或DHCP-NAK報(bào)文���。
圖4的這樣方法與圖3所示的方法相比����,可以提升動(dòng)態(tài)主機(jī)配置過程的 速度,尤其在訪問認(rèn)證服務(wù)器的延時(shí)較大時(shí)���,效果顯著�。
在圖3和圖4所示的實(shí)施例中����,DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)
(DHCP-Discover )報(bào)文后就會(huì)向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文。由于客戶
端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文是以廣播方式發(fā)送的�����,因此可能會(huì)有多個(gè)DCHP
服務(wù)器收到同一客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文�����。則在圖3和圖4所示的方案
下���,會(huì)有多個(gè)DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求報(bào)文��。如果認(rèn)證服務(wù)
器允許對同一 M A C地址的重復(fù)認(rèn)證���,或者客戶端設(shè)備的廣播范圍內(nèi)只有一
個(gè)DHCP服務(wù)器���,則圖3和圖4所示的方案執(zhí)行起來完全沒有問題。但是����,
如果認(rèn)證服務(wù)器不允許對同一 MAC地址進(jìn)行重復(fù)認(rèn)證,且廣播域內(nèi)有多個(gè)
DHCP服務(wù)器則會(huì)出現(xiàn)問題���。針對這種情況本發(fā)明中給出了如圖5所示的解決方案�����。
圖5是本發(fā)明實(shí)施例中的又一種DHCP工作流程示意圖���。如圖5所示��,包括以下步驟
步驟501���,客戶端設(shè)備以廣播方式發(fā)送DHCP發(fā)現(xiàn)(DHCP-Discover )報(bào)文��。該DHCP發(fā)現(xiàn)報(bào)文中攜帶客戶端設(shè)備的MAC地址�����。
步驟502�����,接收到DHCP發(fā)現(xiàn)報(bào)文的DHCP服務(wù)器根據(jù)IP地址分配的優(yōu)先次序選出 一個(gè)IP地址�,與其他參數(shù)一起通過HDCP提供(DHCP - Offer )報(bào)文發(fā)送給客戶端設(shè)備。
步驟503���,客戶端設(shè)備從所接收的各DHCP Offer報(bào)文中的IP地址中選擇一個(gè)IP地址���,然后以廣播方式發(fā)送DHCP請求(DHCP-R叫uest)報(bào)文,該才艮文中包含所選4奪的IP地址�����。
步驟504�,接收到DHCP請求報(bào)文的DHCP服務(wù)器判斷其中包含的IP地址是否是自己分配的IP地址;如果不是��,則不做處理�;如果是���,則向認(rèn)證服務(wù)器發(fā)送攜帶客戶端設(shè)備MAC地址的認(rèn)證請求報(bào)文。
步驟505, DHCP服務(wù)器接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文�。
步驟506,如果所述認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功,則DHCP月良務(wù)器確定所述MAC地址合法�����,向客戶端設(shè)備返回DHCP確認(rèn)(DHCP-ACK)報(bào)文�;如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗,則DHCP服務(wù)器確定所述MAC地址非法����,向客戶端設(shè)備返回DHCP拒絕(DHCP-NAK )報(bào)文。
在圖5所示的方案中����,即使有多個(gè)DHCP服務(wù)器收到DHCP發(fā)現(xiàn)報(bào)文,最終也只有客戶端設(shè)備所選擇的一個(gè)DHCP服務(wù)器向認(rèn)證服務(wù)器進(jìn)行MAC地址認(rèn)證�,從而避免了多個(gè)DHCP服務(wù)器的對客戶端設(shè)備的MAC地址進(jìn)行重復(fù)認(rèn)證。
在本發(fā)明的另一個(gè)實(shí)施例中����,還可以在DHCP服務(wù)器上直接配置受信的MAC地址列表��,即合法MAC地址列表,則DHCP服務(wù)器根據(jù)本地的合法MAC地址列表判斷MAC地址的合法性����,如果MAC地址存在于所述合法MAC地址列表中,則該MAC地址合法���,否則不合法�����。這種方式下不需
12要增加認(rèn)證服務(wù)器��,DHCP服務(wù)器可以直接做MAC地址過濾�。
圖6是本發(fā)明實(shí)施例一種DHCP服務(wù)器的組成結(jié)構(gòu)框圖��。如圖6所示�,
該DHCP服務(wù)器包括DHCP服務(wù)模塊601和認(rèn)證模塊602,其中���,
DHCP服務(wù)模塊601,用于接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文�����,將
該DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊602�,接收認(rèn)證才莫塊
602返回的認(rèn)證結(jié)果,只有在所述MAC地址合法時(shí)�����,為所述客戶端設(shè)備分
配IP地址���;
認(rèn)證模塊602��,用于對來自DHCP服務(wù)模塊601的MAC地址進(jìn)行認(rèn)證��,并將認(rèn)證結(jié)果返回給DHCP服務(wù)模塊���。
在圖6中,認(rèn)證模塊602���,用于根據(jù)DHCP服務(wù)器中的合法MAC地址列表判斷所述MAC地址的合法性��,如果所述MAC地址存在于所述合法MAC地址列表中�,則所述MAC地址合法����,否則不合法。
或者���,在圖6中����,認(rèn)證模塊602����,向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文,接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文�����,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功�,則確定所述MAC地址合法,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗��,則確定所述MAC地址非法�����。
在圖6中����,DHCP服務(wù)模塊601,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后����,將該DHCP報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊�����,然后接收認(rèn)證模塊返回的認(rèn)證結(jié)果���;如果認(rèn)證結(jié)果表示認(rèn)證失敗,則不做應(yīng)答�,如果認(rèn)證結(jié)果表示認(rèn)證成功,則選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備��;在發(fā)送DHCP提供報(bào)文后���,接收客戶端設(shè)備發(fā)送的攜帶所選擇的IP地址的DHCP請求報(bào)文�,然后向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文��;
或者��,在圖6中���,DHCP服務(wù)模塊601,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后����,將該DHCP報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊,并選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備�����;接收客戶端設(shè)備發(fā)送的攜帶所選擇的IP地址的DHCP請求報(bào)文和認(rèn)證模塊返回的認(rèn)證結(jié)果���;如果認(rèn)證結(jié)果表示認(rèn)證成功,則向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文�����,如果認(rèn)證結(jié)果表示認(rèn)證失敗�����,則向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文��。
再或者�����,在圖6中�,所述DHCP服務(wù)模塊601,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后,選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備;用于接收客戶端設(shè)備發(fā)送的攜帶客戶端設(shè)備所選擇的IP地址的DHCP請求報(bào)文��;如果DHCP請求才艮文中攜帶的IP地址正是DHCP服務(wù)模塊自身通過DHCP提供報(bào)文發(fā)送給客戶端的IP地址�,則將DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊602,接收認(rèn)證模塊602返回的認(rèn)證結(jié)果��;如果認(rèn)證結(jié)果表示認(rèn)證成功����,則向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文,如果認(rèn)證結(jié)果表示認(rèn)證失敗�����,則向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文�����。
綜上所述�����,本發(fā)明這種DHCP服務(wù)器接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后�,先判斷DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性,并只有在所述MAC地址合法時(shí)��,為所述客戶端設(shè)備分配IP地址的技術(shù)方案,由于對MAC地址的合法性進(jìn)行認(rèn)證�����,因此可以防御地址耗盡攻擊��。
以上所述���,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改����、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1��、一種防攻擊方法��,其特征在于,該方法包括動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文��;DHCP服務(wù)器判斷DHCP發(fā)現(xiàn)報(bào)文中包含的媒質(zhì)訪問控制MAC地址的合法性���;DHCP服務(wù)器只有在所述MAC地址合法時(shí)�,為所述客戶端設(shè)備分配IP地址��。
2�、 如權(quán)利要求1所述的方法,其特征在于�,所述DHCP服務(wù)器判斷 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性包括DHCP服務(wù)器根據(jù)本地的合法MAC地址列表判斷所述MAC地址的合 法性,如果所述MAC地址存在于所述合法MAC地址列表中��,則所述MAC 地址合法����,否則不合法。
3�、 如權(quán)利要求1所述的方法,其特征在于��,所述DHCP服務(wù)器判斷 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性包括DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文�; DHCP服務(wù)器接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功��,則確定所述MAC地址合法,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗�����,則確定所述MAC地址非法�����。
4���、 如權(quán)利要求3所述的方法�,其特征在于��,所述DHCP服務(wù)器判斷 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性�,只有在所述MAC地址合法 時(shí)����,為所述客戶端設(shè)備分配IP地址包括然后接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文;如果認(rèn)證應(yīng)答報(bào)文中的信息表示 認(rèn)證失敗���,則不做應(yīng)答���,如果認(rèn)i正應(yīng)答才艮文中的信息表示認(rèn)證成功��,則DHCP 服務(wù)器選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備���;當(dāng)發(fā)送DHCP提供報(bào)文后,DHCP服務(wù)器接收客戶端設(shè)備發(fā)送的攜帶所選擇的IP 地址的DHCP請求報(bào)文����,然后DHCP服務(wù)器向客戶端設(shè)備發(fā)送DHCP確認(rèn) 報(bào)文。
5��、 如權(quán)利要求3所述的方法���,其特征在于�����,所述DHCP服務(wù)器判斷 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址的合法性���,只有在所迷MAC地址合法 時(shí),為所述客戶端設(shè)備分配IP地址包括DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文�����, 并選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備���;DHCP服務(wù)器接收客戶端設(shè)備發(fā)送的攜帶所選擇的IP地址的DHCP請 求報(bào)文和認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文����;如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功,則DHCP服務(wù)器向客戶端 設(shè)備發(fā)送DHCP確認(rèn)報(bào)文���,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗��,則 DHCP服務(wù)器向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文����。
6����、 如權(quán)利要求3所述的方法,其特征在于�,所述DHCP服務(wù)器判斷 DHCP發(fā)現(xiàn)才艮文中包含的MAC地址的合法性,只有在所述MAC地址合法 時(shí)�,為所述客戶端i殳備分配IP地址包括DHCP服務(wù)器選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備���; DHCP服務(wù)器接收客戶端設(shè)備發(fā)送的攜帶客戶端設(shè)備所選擇的IP地址的DHCP請求報(bào)文�;如果DHCP請求報(bào)文中攜帶的IP地址正是本DHCP服務(wù)器通過DHCP提供報(bào)文發(fā)送給客戶端的IP地址����,則DHCP服務(wù)器向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文�����;DHCP服務(wù)器接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文���;如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證成功,則DHCP服務(wù)器向客戶端 設(shè)備發(fā)送DHCP確認(rèn)報(bào)文���,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失敗�,則 DHCP服務(wù)器向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文���。
7�、 一種DHCP服務(wù)器��,其特征在于��,該DHCP服務(wù)器包括DHCP月良務(wù)模塊和認(rèn)證模塊��,其中��,DHCP服務(wù)模塊����,用于接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文�����,將該 DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊����,接收認(rèn)證模塊返回的 認(rèn)證結(jié)果����,只有在所述MAC地址合法時(shí),為所述客戶端設(shè)備分配IP地址�;認(rèn)證模塊,用于對來自DHCP服務(wù)模塊的MAC地址進(jìn)行認(rèn)證��,并將認(rèn) 證結(jié)果返回給DHCP服務(wù)模塊����。
8、 如權(quán)利要求7所述的DHCP服務(wù)器�,其特征在于, 所述認(rèn)證模塊�,用于根據(jù)DHCP服務(wù)器中的合法MAC地址列表判斷所述MAC地址的合法性,如果所述MAC地址存在于所述合法MAC地址列 表中�����,則所述MAC地址合法�,否則不合法。
9��、 如權(quán)利要求7所述的DHCP服務(wù)器����,其特征在于, 所述認(rèn)證模塊����,向認(rèn)證服務(wù)器發(fā)送攜帶所述MAC地址的認(rèn)證請求報(bào)文,接收認(rèn)證服務(wù)器返回的認(rèn)證應(yīng)答報(bào)文��,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證 成功��,則確定所述MAC地址合法���,如果認(rèn)證應(yīng)答報(bào)文中的信息表示認(rèn)證失 敗�,則確定所述MAC地址非法���。
10��、 如權(quán)利要求9所述的DHCP服務(wù)器���,其特征在于�����, DHCP服務(wù)模塊�����,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后����,將該DHCP報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊�,然后接收認(rèn)證模塊返 回的認(rèn)證結(jié)果;如果認(rèn)證結(jié)果表示認(rèn)證失敗�,則不做應(yīng)答,如果認(rèn)證結(jié)果表 示認(rèn)證成功���,則選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備��; 在發(fā)送DHCP提供報(bào)文后���,接收客戶端設(shè)備發(fā)送的攜帶所選擇的IP地址的 DHCP請求報(bào)文���,然后向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文���。
11�����、 如;f又利要求9所述的方法��,其特征在于��,所述DHCP服務(wù)模塊��,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào) 文后���,將該DHCP報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊,并選擇一個(gè)IP 地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備���;接收客戶端設(shè)備發(fā)送的攜帶所 選擇的IP地址的DHCP請求報(bào)文和認(rèn)證模塊返回的認(rèn)證結(jié)果���;如果認(rèn)證結(jié)果表示認(rèn)證成功,則向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文,如果認(rèn)證結(jié)果表示認(rèn)證失敗�����,則向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文���。
12�、如權(quán)利要求9所述的DHCP服務(wù)器��,其特征在于��,所述DHCP服務(wù)模塊��,用于在接收到來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文后�����,選擇一個(gè)IP地址通過DHCP提供報(bào)文發(fā)送給客戶端設(shè)備�;用于接收客戶端設(shè)備發(fā)送的攜帶客戶端設(shè)備所選擇的IP地址的DHCP請求報(bào)文;如果DHCP請求報(bào)文中攜帶的IP地址正是DHCP服務(wù)模塊自身通過DHCP提供報(bào)文發(fā)送給客戶端的IP地址��,則將DHCP發(fā)現(xiàn)報(bào)文中包含的MAC地址發(fā)送給認(rèn)證模塊�,接收認(rèn)證模塊返回的認(rèn)證結(jié)果;如果認(rèn)證結(jié)果表示認(rèn)證成功���,則向客戶端設(shè)備發(fā)送DHCP確認(rèn)報(bào)文�����,如果認(rèn)證結(jié)果表示認(rèn)證失敗�����,則向客戶端設(shè)備發(fā)送DHCP拒絕報(bào)文�。
全文摘要
本發(fā)明公開了一種防攻擊方法����,包括動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器接收來自客戶端設(shè)備的DHCP發(fā)現(xiàn)報(bào)文;DHCP服務(wù)器判斷DHCP發(fā)現(xiàn)報(bào)文中包含的媒質(zhì)訪問控制MAC地址的合法性����;DHCP服務(wù)器只有在所述MAC地址合法時(shí),為所述客戶端設(shè)備分配IP地址�����。本發(fā)明還公開了一種DHCP服務(wù)器��。本發(fā)明的技術(shù)方案能夠防御地址耗盡攻擊�����。
文檔編號H04L29/06GK101656724SQ20091009350
公開日2010年2月24日 申請日期2009年9月24日 優(yōu)先權(quán)日2009年9月24日
發(fā)明者颶 王 申請人:杭州華三通信技術(shù)有限公司