Dhcp攻擊的防護(hù)方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┮环NDHCP攻擊的防護(hù)方法及裝置��,應(yīng)用于DHCP中繼設(shè)備�����,所述方法包括:監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文���,確定在預(yù)設(shè)的第一時(shí)間內(nèi),所述連接在目標(biāo)端口的客戶端所分配的IP地址中��,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)�;若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)���,限制所述目標(biāo)端口的DHCP服務(wù)����。應(yīng)用上述方法�,實(shí)現(xiàn)了有效地避免DHCP服務(wù)器遭受到攻擊,DHCP服務(wù)器的地址池中的IP地址被惡意耗盡���,導(dǎo)致正?�?蛻舳藷o法獲取IP地址��,無法接入網(wǎng)絡(luò)的問題�。
【專利說明】
DHCP攻擊的防護(hù)方法及裝置
技術(shù)領(lǐng)域
[0001]本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及DHCP攻擊的防護(hù)方法及裝置��。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)日益復(fù)雜�����,大多數(shù)客戶端都是通過DHCP(Dynamic Host Configuration Protocol���,動(dòng)態(tài)主機(jī)配置協(xié)議)動(dòng)態(tài)分配IP地址的方式接入網(wǎng)絡(luò)中��。DHCP中包括DHCP服務(wù)器 和客戶端���,當(dāng)DHCP服務(wù)器與客戶端不在同一網(wǎng)段時(shí),可以部署DHCP中繼設(shè)備(例如交換機(jī)或 路由器)來中繼客戶端的DHCP請求�����,將客戶端的DHCP請求發(fā)送至DHCP服務(wù)器����,并將DHCP月艮務(wù) 器的回復(fù)發(fā)送給客戶端��。通過使用DHCP中繼設(shè)備�,可以更集中有效地管理IP地址��。
[0003] 然而��,由于DHCP采用簡單信任模式���,即默認(rèn)發(fā)送IP地址申請請求的客戶端都是安 全的,這使得DHCP服務(wù)器很容易受到攻擊��。例如�,攻擊者控制某個(gè)客戶端,偽造大量的MAC地 址�����,發(fā)送大量的IP地址申請請求報(bào)文���,使得DHCP服務(wù)器的地址池中的IP地址很快地耗盡�。當(dāng) 正常的客戶端請求分配IP地址時(shí)���,由于DHCP服務(wù)器已無可再分配的IP地址��,導(dǎo)致正??蛻?端的IP地址申請請求被拒絕,從而該正常的客戶端無法獲取IP地址���,無法接入網(wǎng)絡(luò)�。
【發(fā)明內(nèi)容】
[0004] 有鑒于此�����,本申請?zhí)峁┮环NDHCP攻擊的防護(hù)方法及裝置�,以實(shí)現(xiàn)有效地避免DHCP 服務(wù)器遭受到攻擊,地址池中的IP地址被惡意耗盡�,導(dǎo)致正常客戶端無法獲取IP地址�,無法 接入網(wǎng)絡(luò)的問題。
[0005] 具體地��,本申請是通過如下技術(shù)方案實(shí)現(xiàn)的:
[0006] 根據(jù)本申請實(shí)施例的第一方面�����,提供一種動(dòng)態(tài)主機(jī)配置協(xié)議DHCP攻擊的防護(hù)方 法���,應(yīng)用于DHCP中繼設(shè)備�����,所述方法包括:
[0007]監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�����,確定在預(yù)設(shè)的第一時(shí)間內(nèi)�����,所述連 接在目標(biāo)端口的客戶端所分配的IP地址中����,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)����;
[0008] 若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值,則確定所述連接 在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)�,限制所述目標(biāo)端口的DHCP服務(wù)。
[0009] 在一個(gè)實(shí)施例中�,所述方法還包括:
[0010] 在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后,記錄所述目標(biāo)端口與所 述IP地址的對(duì)應(yīng)關(guān)系�����;
[0011]所述監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,確定在預(yù)設(shè)的第一時(shí)間內(nèi)����,所 述連接在目標(biāo)端口的客戶端所分配的IP地址中,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)����,包括:
[0012] 監(jiān)測所述目標(biāo)端口接收到的報(bào)文,根據(jù)所述報(bào)文的源IP地址查找所述目標(biāo)端口與 所述IP地址的對(duì)應(yīng)關(guān)系��,確定在預(yù)設(shè)的第一時(shí)間內(nèi)�,所述目標(biāo)端口對(duì)應(yīng)的IP地址中,與所述 報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)��。
[0013] 在另一個(gè)實(shí)施例中���,所述限制所述目標(biāo)端□的DHCP服務(wù)���,包括:
[0014] 停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器。
[0015] 在又一個(gè)實(shí)施例中�����,所述限制所述目標(biāo)端口的DHCP服務(wù),包括:
[0016] 向DHCP服務(wù)器發(fā)送IP地址釋放請求���,所述IP地址釋放請求用于請求DHCP服務(wù)器釋 放為所述連接在目標(biāo)端口的客戶端所分配的IP地址����。
[0017] 在又一個(gè)實(shí)施例中���,所述限制所述目標(biāo)端口的DHCP服務(wù)�����,包括:
[0018] 在預(yù)設(shè)的第二時(shí)間內(nèi)���,當(dāng)記錄的為所述連接在目標(biāo)端口的客戶端所分配的IP地址 的個(gè)數(shù)達(dá)到預(yù)設(shè)的第二閾值時(shí),停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn) 發(fā)至DHCP服務(wù)器���。
[0019] 在又一個(gè)實(shí)施例中,所述方法還包括:
[0020] 在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器的 時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后�����,重新開始將所述連接在目標(biāo)端口的客戶端的IP地址申請請求 轉(zhuǎn)發(fā)至DHCP服務(wù)器��;
[0021]繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,若仍然確定在預(yù)設(shè)的第一時(shí)間 內(nèi)�����,所述連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù) 達(dá)到預(yù)設(shè)的第一閾值時(shí)�,則再次停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn) 發(fā)至DHCP服務(wù)器。
[0022]根據(jù)本申請實(shí)施例的第二方面����,提供一種DHCP攻擊的防護(hù)裝置,應(yīng)用于DHCP中繼 設(shè)備���,所述裝置包括:
[0023]監(jiān)測單元�����,用于監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文���,確定在預(yù)設(shè)的第一 時(shí)間內(nèi),所述連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn)生的IP地址的 個(gè)數(shù);
[0024]第一處理單元�,用于在所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾 值時(shí),則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)���,限制所述目標(biāo)端口的DHCP服務(wù)�。 [0025] 在一個(gè)實(shí)施例中���,所述裝置還包括:
[0026] 記錄單元�����,用于在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后����,記錄所 述目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系���;
[0027] 所述監(jiān)測單元����,用于監(jiān)測所述目標(biāo)端口接收到的報(bào)文��,根據(jù)所述報(bào)文的源IP地址 查找所述目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系���,確定在預(yù)設(shè)的第一時(shí)間內(nèi)�����,所述目標(biāo)端口對(duì) 應(yīng)的IP地址中�����,與所述報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)��。
[0028]在另一個(gè)實(shí)施例中���,所述第一處理單元,用于在所述沒有報(bào)文流量產(chǎn)生的IP地址 的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)�,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn),停止 將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器��。
[0029]在又一個(gè)實(shí)施例中�,所述第一處理單元,用于在所述沒有報(bào)文流量產(chǎn)生的IP地址 的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)���,則向 DHCP服務(wù)器發(fā)送IP地址釋放請求,所述IP地址釋放請求用于請求DHCP服務(wù)器釋放為所述連 接在目標(biāo)端口的客戶端所分配的IP地址���。
[0030]在又一個(gè)實(shí)施例中���,所述第一處理單元,用于在所述沒有報(bào)文流量產(chǎn)生的IP地址 的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)���,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)��,則在 預(yù)設(shè)的第二時(shí)間內(nèi)��,當(dāng)記錄的為所述連接在目標(biāo)端口的客戶端所分配的IP地址的個(gè)數(shù)達(dá)到 預(yù)設(shè)的第二閾值時(shí)����,停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP月艮 務(wù)器���。
[0031] 在又一個(gè)實(shí)施例中���,所述裝置還包括:
[0032] 重啟單元,用于在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至 DHCP服務(wù)器的時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后,重新開始將所述連接在目標(biāo)端口的客戶端的IP 地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器���;
[0033] 第二處理單元,用于繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�,若仍然確 定在預(yù)設(shè)的第一時(shí)間內(nèi),所述連接在目標(biāo)端口的客戶端所分配的IP地址中����,沒有報(bào)文流量 產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí),則再次停止將所述連接在目標(biāo)端口的客戶端 的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。
[0034] 由上述實(shí)施例中的方法可見,通過監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�, 獲取在預(yù)設(shè)的第一時(shí)間內(nèi),連接在目標(biāo)端口的客戶端所分配的IP地址中�,沒有報(bào)文流量產(chǎn) 生的IP地址的個(gè)數(shù),根據(jù)該個(gè)數(shù)確定連接在目標(biāo)端口的客戶端是否存在攻擊風(fēng)險(xiǎn)����,并在確 定存在攻擊風(fēng)險(xiǎn)時(shí),限制該目標(biāo)端口的DHCP服務(wù)���,從而可以有效地避免存在攻擊風(fēng)險(xiǎn)的客 戶端惡意浪費(fèi)IP地址資源��,導(dǎo)致DHCP服務(wù)器的地址池中的IP地址被惡意耗盡�����,導(dǎo)致正常的 客戶端無法獲取IP地址�����,無法接入網(wǎng)絡(luò)的問題�。
【附圖說明】
[0035] 圖1示例了本申請實(shí)施例實(shí)現(xiàn)DHCP攻擊的防護(hù)方法的應(yīng)用場景示意圖。
[0036] 圖2示例了本申請DHCP攻擊的防護(hù)方法的一個(gè)實(shí)施例流程圖���。
[0037] 圖3示例了本申請DHCP攻擊的防護(hù)方法的另一個(gè)實(shí)施例流程圖�����。
[0038] 圖4示例了本申請DHCP攻擊的防護(hù)方法的又一個(gè)實(shí)施例流程圖�����。
[0039]圖5為本申請DHCP攻擊的防護(hù)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖���。
[0040]圖6示例了本申請DHCP攻擊的防護(hù)裝置的一個(gè)實(shí)施例框圖。
[0041 ]圖7示例了本申請DHCP攻擊的防護(hù)裝置的另一個(gè)實(shí)施例框圖���。
[0042] 圖8示例了本申請DHCP攻擊的防護(hù)裝置的又一個(gè)實(shí)施例框圖�。
【具體實(shí)施方式】
[0043] 這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明,其示例表示在附圖中���。下面的描述涉及 附圖時(shí)�,除非另有表示����,不同附圖中的相同數(shù)字表示相同或相似的要素�。以下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本申請相一致的所有實(shí)施方式。相反�����,它們僅是與如所附 權(quán)利要求書中所詳述的��、本申請的一些方面相一致的裝置和方法的例子��。
[0044] 在本申請使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的��,而非旨在限制本申請����。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"、"所述"和"該"也旨在包括多數(shù) 形式���,除非上下文清楚地表示其他含義���。還應(yīng)當(dāng)理解����,本文中使用的術(shù)語"和/或"是指并包 含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合��。
[0045]應(yīng)當(dāng)理解��,盡管在本申請可能采用術(shù)語第一�����、第二���、第三等來描述各種信息�����,但這 些信息不應(yīng)限于這些術(shù)語�����。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開�����。例如���,在不脫離 本申請范圍的情況下��,第一信息也可以被稱為第二信息�,類似地�����,第二信息也可以被稱為第 一信息��。取決于語境�����,如在此所使用的詞語"如果"可以被解釋成為"在……時(shí)"或"當(dāng)…… 時(shí)"或"響應(yīng)于確定"��。
[0046]客戶端若想連接到互聯(lián)網(wǎng)����,并與其它客戶端相互通信����,則必須有自己的IP地址��,由 于IP地址資源有限�����,則可以采用DHCP方式���,對(duì)上網(wǎng)的客戶端進(jìn)行臨時(shí)的地址分配。具體地����, 客戶端在上網(wǎng)時(shí),可以向DHCP服務(wù)器發(fā)送IP地址申請請求����,DHCP服務(wù)器從地址池中臨時(shí)分 配一個(gè)IP地址給客戶端,當(dāng)客戶端下線后��,DHCP服務(wù)器可以將該IP地址再分配給其他在線 的客戶端�����,這樣可以有效地節(jié)約IP地址�����,提高了 IP地址的資源利用率。
[0047]網(wǎng)絡(luò)架構(gòu)日益復(fù)雜���,客戶端與DHCP服務(wù)器很可能并不位于同一網(wǎng)段中���,為了更集 中有效地管理IP地址,通常不會(huì)采用每個(gè)網(wǎng)段部署一個(gè)DHCP服務(wù)器的方式�����,而是部署DHCP 中繼設(shè)備來中繼客戶端的IP地址申請請求與DHCP服務(wù)器分配的IP地址�。通常情況下,可以 由具有數(shù)據(jù)流量轉(zhuǎn)發(fā)功能的設(shè)備����,例如����,交換機(jī)來擔(dān)當(dāng)DHCP中繼設(shè)備,具體地����,可以在交換 機(jī)上進(jìn)行配置��,使得交換機(jī)具備DHCP中繼服務(wù)功能��,具體配置過程��,本申請中不作詳細(xì)贅 述����。
[0048] 然而���,DHCP采用簡單信任模式����,當(dāng)接收到客戶端發(fā)送的IP地址申請請求時(shí)���,并不去 認(rèn)證該客戶端是否安全���,則為該客戶端分配IP地址,從而�,惡意攻擊者可以通過控制一臺(tái)或 多臺(tái)客戶端,偽造大量的MAC地址�����,以請求分配大量的IP地址,使得DHCP服務(wù)器的地址池中 的IP地址資源耗盡�����,DHCP服務(wù)器再無可分配的IP地址分配給正常的客戶端����,導(dǎo)致正常的客 戶端無法獲取IP地址,無法接入互聯(lián)網(wǎng)����。為了有效地避免該種情況的發(fā)生,本申請?zhí)岢鲆环N DHCP攻擊的防護(hù)方法及裝置��,下面將詳細(xì)介紹本申請?zhí)岢龅姆椒ㄅc裝置�����。
[0049] 如下的圖1�,示例了本申請實(shí)施例實(shí)現(xiàn)DHCP攻擊的防護(hù)方法的應(yīng)用場景示意圖���。圖 1中可以包括:客戶端11�、客戶端12���、交換機(jī)13、DHCP服務(wù)器14�、攻擊者15。其中���,假設(shè)客戶端 11是由攻擊者15所控制的不安全的客戶端,客戶端12是正常的客戶端;交換機(jī)13上已預(yù)先 配置了DHCP中繼服務(wù)功能���,則交換機(jī)13也可以作為DHCP中繼設(shè)備,客戶端11連接在交換機(jī) 13的端口 131上����,客戶端12連接在交換機(jī)13的端口 132上���,并假設(shè)端口 131與端口 132已開啟 了DHCP服務(wù)功能;DHCP服務(wù)器14與客戶端11�,客戶端12并不在同一網(wǎng)段中��。
[0050] 客戶端11與客戶端12均可以向DHCP服務(wù)器發(fā)送IP地址申請請求�,該IP地址申請請 求通過客戶端與交換機(jī)13所連接的端口,先轉(zhuǎn)發(fā)至交換機(jī)13,再由交換機(jī)13將該IP地址申 請請求發(fā)送至DHCP服務(wù)器1LDHCP服務(wù)器14根據(jù)IP地址申請請求返回的IP地址��,也可以先 發(fā)送至交換機(jī)13,再由交換機(jī)13轉(zhuǎn)發(fā)至客戶端。當(dāng)交換機(jī)13監(jiān)測到為連接其端口的客戶端 分配IP地址之后�,可以執(zhí)行本申請?zhí)峁┑腄HCP攻擊的防護(hù)方法,識(shí)別出不安全的客戶端����,并 采取相應(yīng)措施�,以實(shí)現(xiàn)有效地避免DHCP服務(wù)器的地址池中的IP地址資源被不安全的客戶端 耗盡���,導(dǎo)致正常的客戶端無法獲取IP地址�����,無法接入網(wǎng)絡(luò)的問題����??梢岳斫獾氖?,圖1中僅以 存在兩臺(tái)客戶端為例進(jìn)行說明�����,實(shí)際應(yīng)用中���,可以存在多臺(tái)不安全的客戶端與多臺(tái)正常的 客戶端���,且交換機(jī)13的一個(gè)端口可以連接一臺(tái)或多臺(tái)客戶端�,本申請對(duì)此不作限制。
[0051] 如下的圖2,示例了本申請DHCP攻擊的防護(hù)方法的一個(gè)實(shí)施例流程圖����,在上述圖1 所示應(yīng)用場景示意圖的基礎(chǔ)上��,以交換機(jī)13執(zhí)行本實(shí)施例的方法為例進(jìn)行說明�����,可以包括 以下步驟:
[0052]步驟S201:監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,確定在預(yù)設(shè)的第一時(shí)間 內(nèi)����,所述連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)��。 [0053]當(dāng)客戶端11與客戶端12獲取IP地址后,則可以實(shí)現(xiàn)與其他互聯(lián)網(wǎng)中的設(shè)備通信 了�����。通常情況下�����,正常的客戶端�,例如客戶端12,獲取IP地址是為了接入網(wǎng)絡(luò)�,實(shí)現(xiàn)通信����,則 正常的客戶端會(huì)使用獲取到的IP地址發(fā)送報(bào)文,例如IP報(bào)文或ARP(Address Resolution Protocol�����,地址解析協(xié)議)報(bào)文�,該報(bào)文可以通過交換機(jī)13上的端口 132進(jìn)入交換機(jī)13,再由 交換機(jī)13轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)的其他設(shè)備上;而不安全的客戶端���,例如,被攻擊者15所控制的客戶 端11,其獲取IP地址�����,是為了占用IP地址資源,以使得正常的客戶端無法獲取到IP地址�����,其 很可能不會(huì)使用獲取到的IP地址發(fā)送報(bào)文��。
[0054]基于此���,本實(shí)施例中����,假設(shè)將端口 131作為目標(biāo)端口,交換機(jī)13可以監(jiān)測端口 131上 所經(jīng)過的報(bào)文���,以監(jiān)測連接在目標(biāo)端口上的客戶端所分配IP地址是否有報(bào)文流量產(chǎn)生����,還 可以通過所監(jiān)測到的報(bào)文確定在預(yù)設(shè)的第一時(shí)間(例如,5分鐘)內(nèi)�����,沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)。
[0055]步驟S202:若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值����,則確 定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn),限制所述目標(biāo)端口的DHCP服務(wù)�。
[0056]本實(shí)施例中,可以預(yù)先設(shè)置第一閾值����,假設(shè)為10。當(dāng)執(zhí)行完步驟S201�����,確定了為客 戶端11所分配的IP地址中,一直沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)�����,假設(shè)為15。通過比較����, 該個(gè)數(shù)已超過第一閾值�,則可以確定連接在目標(biāo)端口(例如端口 131)上的客戶端存在攻擊 風(fēng)險(xiǎn)��,則可以限制端口 131的DHCP服務(wù)��,以避免客戶端11繼續(xù)通過端口 131獲取IP地址���,浪費(fèi) DHCP服務(wù)器14的地址池中的IP地址資源。
[0057]由上述實(shí)施例中的方法可見���,通過監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�����, 獲取在預(yù)設(shè)的第一時(shí)間內(nèi),連接在目標(biāo)端口的客戶端所分配的IP地址中��,沒有報(bào)文流量產(chǎn) 生的IP地址的個(gè)數(shù)�����,根據(jù)該個(gè)數(shù)確定連接在目標(biāo)端口的客戶端是否存在攻擊風(fēng)險(xiǎn),并在確 定存在攻擊風(fēng)險(xiǎn)時(shí)����,限制該目標(biāo)端口的DHCP服務(wù),從而可以有效地避免存在攻擊風(fēng)險(xiǎn)的客 戶端惡意浪費(fèi)IP地址資源���,導(dǎo)致DHCP服務(wù)器的地址池中的IP地址被惡意耗盡,導(dǎo)致正常的 客戶端無法獲取IP地址�����,無法接入網(wǎng)絡(luò)的問題�。
[0058]如下的圖3,示例了本申請DHCP攻擊的防護(hù)方法的另一個(gè)實(shí)施例流程圖,在上述圖 1所示應(yīng)用場景示意圖與上述圖2所示流程圖的基礎(chǔ)上,仍以交換機(jī)13執(zhí)行本實(shí)施例的方法 為例進(jìn)行說明��,可以包括以下步驟:
[0059] 步驟S301:在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后�����,記錄所述目 標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系��。
[0060] 本實(shí)施例中����,由上述描述可知,交換機(jī)13可以承擔(dān)DHCP中繼設(shè)備的功能��,將連接在 目標(biāo)端口(例如端口 131)的客戶端(例如客戶端11)發(fā)送的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù) 器���,并將DHCP服務(wù)器為客戶端11分配的IP地址,通過端口 131轉(zhuǎn)發(fā)至客戶端11���。那么��,交換機(jī) 13則可以在監(jiān)測到為連接在目標(biāo)端口的客戶端分配IP地址后��,記錄目標(biāo)端口與為連接在該 目標(biāo)端口的客戶端所分配的IP地址的對(duì)應(yīng)關(guān)系�����。如下的表1���,示例了端口 131與為連接在該 目標(biāo)端口的客戶端所分配的IP地址的對(duì)應(yīng)關(guān)系:
[0061] 表 1
[0062]
[0063]如表1中所示�����,該對(duì)應(yīng)關(guān)系可以為一對(duì)多的關(guān)系�,例如,多臺(tái)客戶端通過端口 131連 接交換機(jī)13�,那么交換機(jī)13則可以記錄端口 131對(duì)應(yīng)的多個(gè)IP地址;又例如���,攻擊者控制客 戶端11�,在客戶端11上偽造多個(gè)MAC地址���,并分別請求為每個(gè)MAC地址分配一個(gè)IP地址����,那么 交換機(jī)13則也可以記錄端口 131對(duì)應(yīng)的多個(gè)IP地址。
[0064]步驟S302:監(jiān)測所述目標(biāo)端口接收到的報(bào)文����,根據(jù)所述報(bào)文的源IP地址查找所述 目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系��,確定在預(yù)設(shè)的第一時(shí)間內(nèi),所述目標(biāo)端口對(duì)應(yīng)的IP地 址中����,與所述報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)�。
[0065] 本步驟中����,交換機(jī)13是如何監(jiān)測目標(biāo)端口接收到的報(bào)文的,可以參見上述步驟 S201中的相關(guān)描述��,在此不再詳細(xì)贅述。
[0066] 本實(shí)施例中�����,交換機(jī)13在預(yù)設(shè)的第一時(shí)間內(nèi),例如5分鐘內(nèi)����,監(jiān)測到目標(biāo)端口,例如 端口 131接收到的報(bào)文時(shí)���,可以根據(jù)該報(bào)文的源IP地址查找上述表1所示的對(duì)應(yīng)關(guān)系�����,確定 在該第一時(shí)間內(nèi)���,在表1中存在的,未在端口 131接收到的報(bào)文中檢測到的IP地址的個(gè)數(shù)��,即 確定在該第一時(shí)間內(nèi)�,為端口 131所連接的客戶端分配的IP地址中,一直沒有報(bào)文流量產(chǎn)生 的IP地址的個(gè)數(shù)。
[0067]步驟S303:若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值��,則確 定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)�����,停止將所述連接在目標(biāo)端口的客戶端的IP 地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。
[0068]本步驟中�,是如何確定連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)的,可以參見上述 步驟S202中的相關(guān)描述�,在此不再詳細(xì)贅述。
[0069]本實(shí)施例中����,當(dāng)確定連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)時(shí),為了避免DHCP服 務(wù)器繼續(xù)遭受攻擊���,DHCP服務(wù)器的地址池中的IP地址繼續(xù)被惡意請求分配�����,可以通過更改 配置���,停止該目標(biāo)端口的DHCP服務(wù),例如����,交換機(jī)通過該目的端口接收到IP地址申請請求 時(shí)��,不再將接收到的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器��。
[0070] 此外�����,在本申請實(shí)施例中�,當(dāng)確定連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)時(shí)��,交換 機(jī)13還可以向DHCP服務(wù)器發(fā)送IP地址釋放請求����,該IP地址釋放請求用于請求DHCP服務(wù)器釋 放為所述連接在目標(biāo)端口的客戶端所分配的IP地址,例如��,請求DHCP服務(wù)器釋放表1中所示 的端口 131對(duì)應(yīng)的IP地址�����,從而使得DHCP服務(wù)器的地址池中的IP地址資源進(jìn)行恢復(fù)�����,有效地 避免了地址池中的IP地址資源被惡意耗盡。
[0071] 步驟S304:在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP 服務(wù)器的時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后����,重新開始將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器。
[0072] 為了有效地避免影響正常的客戶端接入網(wǎng)絡(luò)�����,例如����,端口 131所連接的還有其他客 戶端�����,該其他客戶端未被攻擊者15所控制��,為正常的客戶端���。在執(zhí)行完步驟S303�����,停止端口 131的DHCP服務(wù)后���,該其他客戶端也將無法獲取IP地址����,無法接入網(wǎng)絡(luò)�。在本實(shí)施例中,可以 預(yù)設(shè)第三時(shí)間(例如�,10分鐘),當(dāng)停止目標(biāo)端口的DHCP服務(wù)的時(shí)間達(dá)到10分鐘后���,則可以重 啟端口 131的DHCP服務(wù)����,從而交換機(jī)13通過該端口 131接收到IP地址申請請求時(shí)�����,繼續(xù)將該 IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。
[0073] 步驟S305:繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,若仍然確定在預(yù)設(shè) 的第一時(shí)間內(nèi)��,所述連接在目標(biāo)端口的客戶端所分配的IP地址中����,沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則再次停止將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�����。
[0074] 本實(shí)施例中����,通過執(zhí)行步驟S304,再次開啟目標(biāo)端口的DHCP服務(wù)后,還可以繼續(xù)通 過執(zhí)行步驟S302和步驟S303所述的方法���,監(jiān)測連接在目標(biāo)端口的客戶端發(fā)送的報(bào)文,以確 定是否仍存在攻擊風(fēng)險(xiǎn)���。在確定仍存在攻擊風(fēng)險(xiǎn)時(shí)��,可以再次停止該目標(biāo)端口的DHCP服務(wù)�, 例如����,再次停止將連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器���。
[0075]可以理解的是,在實(shí)際應(yīng)用中�,當(dāng)執(zhí)行完步驟S305,交換機(jī)13可以再次執(zhí)行步驟 S304,繼而執(zhí)行步驟S305,如此進(jìn)行反復(fù)��。上述實(shí)施例中���,僅以執(zhí)行一次步驟S304和步驟 S305為例進(jìn)行說明�����,旨在說明本申請?zhí)峁┑姆椒ㄊ侨绾螌?shí)現(xiàn)DHCP攻擊的防護(hù)的�����,本申請對(duì) 交換機(jī)13具體執(zhí)行步驟S304和步驟S305的次數(shù)并不作限制���。
[0076]由上述實(shí)施例中的方法可見,通過監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文����, 獲取在預(yù)設(shè)的第一時(shí)間內(nèi),連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn) 生的IP地址的個(gè)數(shù),根據(jù)該個(gè)數(shù)確定連接在目標(biāo)端口的客戶端是否存在攻擊風(fēng)險(xiǎn)���,并在確 定存在攻擊風(fēng)險(xiǎn)時(shí)����,停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP月艮 務(wù)器�,從而可以有效地避免存在攻擊風(fēng)險(xiǎn)的客戶端惡意浪費(fèi)IP地址資源,導(dǎo)致DHCP服務(wù)器 的地址池中的IP地址被惡意耗盡��,導(dǎo)致正常的客戶端無法獲取IP地址����,無法接入網(wǎng)絡(luò)的問 題。
[0077]如下的圖4,示例了本申請DHCP攻擊的防護(hù)方法的又一個(gè)實(shí)施例流程圖���,在上述圖 1所示應(yīng)用場景示意圖與上述圖2所示流程圖的基礎(chǔ)上,仍以交換機(jī)13執(zhí)行本實(shí)施例的方法 為例進(jìn)行說明�,可以包括以下步驟:
[0078]步驟S401:在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后,記錄所述目 標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系�����。
[0079] 本步驟的描述可以參見上述步驟S301中的相關(guān)描述,在此不再詳細(xì)贅述�。
[0080] 步驟S402:監(jiān)測所述目標(biāo)端口接收到的報(bào)文,根據(jù)所述報(bào)文的源IP地址查找所述 目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系���,確定在預(yù)設(shè)的第一時(shí)間內(nèi)�����,所述目標(biāo)端口對(duì)應(yīng)的IP地 址中�,與所述報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)����。
[0081] 本步驟的描述可以參見上述步驟S302中的相關(guān)描述,在此不再詳細(xì)贅述����。
[0082]步驟S403:若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值,則確 定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)��,在預(yù)設(shè)的第二時(shí)間內(nèi)�,當(dāng)記錄的為所述連 接在目標(biāo)端口的客戶端所分配的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第二閾值時(shí),停止將所述連接在 目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器���。
[0083] 本步驟中�,是如何確定連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)的,可以參見上述 步驟S202中的相關(guān)描述�����,在此不再詳細(xì)贅述�。
[0084] 本實(shí)施例中,當(dāng)確定連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)時(shí)�����,可以限制為連接 在目標(biāo)端口的客戶端分配IP地址的個(gè)數(shù)��。具體地�,如上述步驟S301中所述,交換機(jī)13可以記 錄目標(biāo)端口與為連接在該目標(biāo)端口的客戶端分配的IP地址的對(duì)應(yīng)關(guān)系����,那么,交換機(jī)13也 可以記錄為連接在該目標(biāo)端口的客戶端分配的IP地址的個(gè)數(shù)��。
[0085] 預(yù)設(shè)第二時(shí)間���,例如,2分鐘���,若2分鐘內(nèi)�����,交換機(jī)13所記錄的為連接在目標(biāo)端口的 客戶端分配的IP地址的個(gè)數(shù)達(dá)到了預(yù)設(shè)的第二閾值�,例如,10個(gè)�����,則交換機(jī)13不再向DHCP月艮 務(wù)器轉(zhuǎn)發(fā)通過該目標(biāo)端口接收到的DHCP報(bào)文����,從而可以使得DHCP服務(wù)器的地址池中的IP地 址資源不會(huì)被較快地耗盡。
[0086]步驟S404:在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP 服務(wù)器的時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后�����,重新開始將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。
[0087]步驟S405:繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,若仍然確定在預(yù)設(shè) 的第一時(shí)間內(nèi)�����,所述連接在目標(biāo)端口的客戶端所分配的IP地址中,沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則再次停止將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器。
[0088] 步驟S404與步驟S405的詳細(xì)描述可以參見上述步驟S304和步驟S305中的相關(guān)描 述��,在此不再詳細(xì)贅述���。
[0089] 由上述實(shí)施例中的方法可見�,通過監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文���, 獲取在預(yù)設(shè)的第一時(shí)間內(nèi)����,連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn) 生的IP地址的個(gè)數(shù)����,根據(jù)該個(gè)數(shù)確定連接在目標(biāo)端口的客戶端是否存在攻擊風(fēng)險(xiǎn),并在確 定存在攻擊風(fēng)險(xiǎn)時(shí)��,限制為所述連接在目標(biāo)端口的客戶端分配的IP地址的個(gè)數(shù),從而可以 有效地避免DHCP服務(wù)器的地址池中的IP地址被很快地耗盡����,導(dǎo)致正常的客戶端無法獲取IP 地址��,無法接入網(wǎng)絡(luò)的問題�����。
[0090] 與前述DHCP攻擊的防護(hù)方法的實(shí)施例相對(duì)應(yīng)�,本申請還提供了DHCP攻擊的防護(hù)裝 置的實(shí)施例。
[0091] 本申請DHCP攻擊的防護(hù)裝置的實(shí)施例可以應(yīng)用在DHCP中繼設(shè)備���,例如�����,交換機(jī)上�。 裝置實(shí)施例可以通過軟件實(shí)現(xiàn)�,也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn) 為例�����,作為一個(gè)邏輯意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng) 的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的����。從硬件層面而言,如圖5所示����,為本申請DHCP 攻擊的防護(hù)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖5所示的處理器51�、內(nèi)存52、網(wǎng)絡(luò)接口 53����、以及非易失性存儲(chǔ)器54之外,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實(shí)際功能�����,還 可以包括其他硬件���,對(duì)此不再贅述��。
[0092]請參考圖6,示例了本申請DHCP攻擊的防護(hù)裝置的一個(gè)實(shí)施例框圖�,該圖6所示的 裝置應(yīng)用于DHCP中繼設(shè)備���,可以包括監(jiān)測單元61�����、第一處理單元62�����。
[0093]其中,該監(jiān)測單元61����,可以用于監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,確定 在預(yù)設(shè)的第一時(shí)間內(nèi)��,所述連接在目標(biāo)端口的客戶端所分配的IP地址中�����,沒有報(bào)文流量產(chǎn) 生的IP地址的個(gè)數(shù)���;
[0094] 該第一處理單元62,可以用于在所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè) 的第一閾值時(shí)�����,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)���,限制所述目標(biāo)端口的 DHCP服務(wù)��。
[0095] 請參考圖7,示例了本申請DHCP攻擊的防護(hù)裝置的另一個(gè)實(shí)施例框圖�����,該圖7所示 的裝置在上述圖6所示裝置的基礎(chǔ)上��,該裝置還可以包括:記錄單元63�����。
[0096] 該記錄單元63,可以用于在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址 后���,記錄所述目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系;
[0097] 在一個(gè)實(shí)施例中��,該監(jiān)測單元61�����,可以用于監(jiān)測所述目標(biāo)端口接收到的報(bào)文�����,根據(jù) 所述報(bào)文的源IP地址查找所述目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系,確定在預(yù)設(shè)的第一時(shí)間 內(nèi)�,所述目標(biāo)端口對(duì)應(yīng)的IP地址中,與所述報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)����。
[0098] 在另一個(gè)實(shí)施例中,該第一處理單元62���,可以用于在所述沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí),則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)��, 停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器����。
[0099] 在又一個(gè)實(shí)施例中,該第一處理單元62�����,可以用于在所述沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)��, 則向DHCP服務(wù)器發(fā)送IP地址釋放請求�,所述IP地址釋放請求用于請求DHCP服務(wù)器釋放為所 述連接在目標(biāo)端口的客戶端所分配的IP地址��。
[0100] 在又一個(gè)實(shí)施例中�����,該第一處理單元62�,可以用于在所述沒有報(bào)文流量產(chǎn)生的IP 地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí),則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)��, 則在預(yù)設(shè)的第二時(shí)間內(nèi)����,當(dāng)記錄的為所述連接在目標(biāo)端口的客戶端所分配的IP地址的個(gè)數(shù) 達(dá)到預(yù)設(shè)的第二閾值時(shí),停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至 DHCP服務(wù)器��。
[0101]請參考圖8,示例了本申請DHCP攻擊的防護(hù)裝置的又一個(gè)實(shí)施例框圖����,該圖8所示 的裝置在上述圖7所示裝置的基礎(chǔ)上,該裝置還可以包括:重啟單元64�、第二處理單元65。 [0102]其中�,該重啟單元64��,可以用于在停止將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器的時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后��,重新開始將所述連接在目標(biāo)端 口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器���;
[0103]該第二處理單元65,可以用于繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文, 若仍然確定在預(yù)設(shè)的第一時(shí)間內(nèi)�����,所述連接在目標(biāo)端口的客戶端所分配的IP地址中�,沒有 報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí),則再次停止將所述連接在目標(biāo)端口 的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器��。
[0104] 上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的 實(shí)現(xiàn)過程��,在此不再贅述�。
[0105] 對(duì)于裝置實(shí)施例而言����,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見方法實(shí) 施例的部分說明即可�����。以上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件 說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以 不是物理單元��,即可以位于一個(gè)地方��,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�����?���?梢愿鶕?jù)實(shí)際的 需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動(dòng)的情況下����,即可以理解并實(shí)施。
[0106]以上所述僅為本申請的較佳實(shí)施例而已��,并不用以限制本申請����,凡在本申請的精 神和原則之內(nèi),所做的任何修改、等同替換���、改進(jìn)等�,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)��。
【主權(quán)項(xiàng)】
1. 一種動(dòng)態(tài)主機(jī)配置協(xié)議DHCP攻擊的防護(hù)方法�,應(yīng)用于DHCP中繼設(shè)備,其特征在于�,所 述方法包括: 監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文,確定在預(yù)設(shè)的第一時(shí)間內(nèi)�,所述連接在 目標(biāo)端口的客戶端所分配的IP地址中,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)�; 若所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值,則確定所述連接在目 標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn)�����,限制所述目標(biāo)端口的DHCP服務(wù)���。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述方法還包括: 在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后���,記錄所述目標(biāo)端口與所述IP 地址的對(duì)應(yīng)關(guān)系�����; 所述監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文����,確定在預(yù)設(shè)的第一時(shí)間內(nèi)���,所述連 接在目標(biāo)端口的客戶端所分配的IP地址中���,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù),包括: 監(jiān)測所述目標(biāo)端口接收到的報(bào)文��,根據(jù)所述報(bào)文的源IP地址查找所述目標(biāo)端口與所述 IP地址的對(duì)應(yīng)關(guān)系����,確定在預(yù)設(shè)的第一時(shí)間內(nèi),所述目標(biāo)端口對(duì)應(yīng)的IP地址中�,與所述報(bào)文 的源IP地址不相同的IP地址的個(gè)數(shù)。3. 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述限制所述目標(biāo)端□的DHCP服務(wù)�����,包括: 停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。4. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述限制所述目標(biāo)端□的DHCP服務(wù)����,包括: 向DHCP服務(wù)器發(fā)送IP地址釋放請求,所述IP地址釋放請求用于請求DHCP服務(wù)器釋放為 所述連接在目標(biāo)端口的客戶端所分配的IP地址�����。5. 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述限制所述目標(biāo)端□的DHCP服務(wù)����,包括: 在預(yù)設(shè)的第二時(shí)間內(nèi)�����,當(dāng)記錄的為所述連接在目標(biāo)端口的客戶端所分配的IP地址的個(gè) 數(shù)達(dá)到預(yù)設(shè)的第二閾值時(shí)��,停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至 DHCP服務(wù)器���。6. 根據(jù)權(quán)利要求3或5所述的方法����,其特征在于�,所述方法還包括: 在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器的時(shí)間 達(dá)到預(yù)設(shè)的第三時(shí)間后,重新開始將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā) 至DHCP服務(wù)器��; 繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文���,若仍然確定在預(yù)設(shè)的第一時(shí)間內(nèi)���, 所述連接在目標(biāo)端口的客戶端所分配的IP地址中,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到 預(yù)設(shè)的第一閾值時(shí)�,則再次停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至 DHCP服務(wù)器。7. -種DHCP攻擊的防護(hù)裝置�,應(yīng)用于DHCP中繼設(shè)備��,其特征在于����,所述裝置包括: 監(jiān)測單元��,用于監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�,確定在預(yù)設(shè)的第一時(shí)間 內(nèi),所述連接在目標(biāo)端口的客戶端所分配的IP地址中��,沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)�; 第一處理單元,用于在所述沒有報(bào)文流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值 時(shí)����,則確定所述連接在目標(biāo)端口的客戶端存在攻擊風(fēng)險(xiǎn),限制所述目標(biāo)端口的DHCP服務(wù)�。8. 根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述裝置還包括: 記錄單元�,用于在監(jiān)測到為所述連接在目標(biāo)端口的客戶端分配IP地址后,記錄所述目 標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系��; 所述監(jiān)測單元,用于監(jiān)測所述目標(biāo)端口接收到的報(bào)文��,根據(jù)所述報(bào)文的源IP地址查找 所述目標(biāo)端口與所述IP地址的對(duì)應(yīng)關(guān)系���,確定在預(yù)設(shè)的第一時(shí)間內(nèi),所述目標(biāo)端口對(duì)應(yīng)的 IP地址中��,與所述報(bào)文的源IP地址不相同的IP地址的個(gè)數(shù)���。9. 根據(jù)權(quán)利要求7所述的裝置�����,其特征在于�����,所述第一處理單元����,用于在所述沒有報(bào)文 流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)���,則確定所述連接在目標(biāo)端口的客戶端存 在攻擊風(fēng)險(xiǎn)�����,停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器�。10. 根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述第一處理單元����,用于在所述沒有報(bào)文 流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則確定所述連接在目標(biāo)端口的客戶端存 在攻擊風(fēng)險(xiǎn),則向DHCP服務(wù)器發(fā)送IP地址釋放請求�,所述IP地址釋放請求用于請求DHCP服 務(wù)器釋放為所述連接在目標(biāo)端口的客戶端所分配的IP地址。11. 根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述第一處理單元��,用于在所述沒有報(bào)文 流量產(chǎn)生的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)�����,則確定所述連接在目標(biāo)端口的客戶端存 在攻擊風(fēng)險(xiǎn)����,則在預(yù)設(shè)的第二時(shí)間內(nèi)��,當(dāng)記錄的為所述連接在目標(biāo)端口的客戶端所分配的 IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第二閾值時(shí)����,停止將所述連接在目標(biāo)端口的客戶端的IP地址申請 請求轉(zhuǎn)發(fā)至DHCP服務(wù)器��。12. 根據(jù)權(quán)利要求9或11所述的裝置����,其特征在于�����,所述裝置還包括: 重啟單元��,用于在停止將所述連接在目標(biāo)端口的客戶端的IP地址申請請求轉(zhuǎn)發(fā)至DHCP 服務(wù)器的時(shí)間達(dá)到預(yù)設(shè)的第三時(shí)間后�,重新開始將所述連接在目標(biāo)端口的客戶端的IP地址 申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器; 第二處理單元���,用于繼續(xù)監(jiān)測連接在目標(biāo)端口的客戶端所發(fā)送的報(bào)文�,若仍然確定在 預(yù)設(shè)的第一時(shí)間內(nèi)��,所述連接在目標(biāo)端口的客戶端所分配的IP地址中,沒有報(bào)文流量產(chǎn)生 的IP地址的個(gè)數(shù)達(dá)到預(yù)設(shè)的第一閾值時(shí)����,則再次停止將所述連接在目標(biāo)端口的客戶端的IP 地址申請請求轉(zhuǎn)發(fā)至DHCP服務(wù)器。
【文檔編號(hào)】H04L29/06GK105959282SQ201610281948
【公開日】2016年9月21日
【申請日】2016年4月28日
【發(fā)明人】王學(xué)聰, 余剛
【申請人】杭州迪普科技有限公司