一種dhcp網(wǎng)絡(luò)防護系統(tǒng)及方法
【專利摘要】本發(fā)明提供的一種DHCP網(wǎng)絡(luò)防護系統(tǒng)及方法����,通過DHCP中繼代理信息模塊對客戶終端設(shè)備的DHCP請求報文作報文處理,以將作為連接中介網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息加入到DHCP中繼代理信息字串信息中�,進而通過DHCP監(jiān)聽模塊來接收加入DHCP中繼代理信息字串信息的DHCP請求報文以生成對應(yīng)的DHCP綁定表供定位網(wǎng)絡(luò)攻擊源���,且DHCP監(jiān)聽模塊還預(yù)設(shè)速率限制,可精準(zhǔn)判定并定位網(wǎng)絡(luò)攻擊源�,提高DHCP網(wǎng)絡(luò)安全防護的準(zhǔn)確性及效率并且�,DHCP中繼代理信息模塊、DHCP監(jiān)聽模塊分離運行在不同的板卡,減少了模塊運行在同一個板卡時大量報文處理的壓力�����,且使上行的DHCP請求報文中攜帶更多信息標(biāo)識請求報文的來源���。
【專利說明】—種DHCP網(wǎng)絡(luò)防護系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)【技術(shù)領(lǐng)域】���,特別是涉及一種DHCP網(wǎng)絡(luò)防護系統(tǒng)及方法�。
【背景技術(shù)】
[0002]在數(shù)據(jù)通信網(wǎng)絡(luò)中�,DHCP作為一種獲取IP地址的重要方式�,有著非常廣泛的應(yīng)用��。但是由于DHCP運行機制的限制���,DHCP服務(wù)器和DHCP客戶端沒有認(rèn)證機制��,這樣在一個完整的DHCP請求獲取IP地址的過程中就很容易受到攻擊���。對于攻擊的方式�,一種是在上行口接入非法的DHCP服務(wù)器�,給DHCP客戶端分配非法的IP ;另一種是DHCP客戶端偽造大量的DHCP請求包發(fā)送到DHCP服務(wù)器,將DHCP服務(wù)器所能夠分配的IP地址段耗盡���,造成正常的DHCP客戶端請求不到IP地址��。
[0003]DHCP Snooping技術(shù)是為了解決DHCP安全性問題產(chǎn)生的,DHCP Snooping機制通過建立和維護正常的DHCP綁定表來過濾非正常的DHCP請求信息。現(xiàn)階段支持DHCPSnooping的網(wǎng)絡(luò)設(shè)備�,一般會設(shè)置信任端口和非信任端口�����。通過監(jiān)聽上行端口,對于接入非信任端口的DHCP服務(wù)器回應(yīng)的Reply報文一律丟棄����;對于接入信任端口的DHCP服務(wù)器回應(yīng)的DHCP ACK報文�����,通過解析這類DHCP報文的相關(guān)信息��,并記錄這些信息到DHCPSnooping綁定表項。綁定表項主要記錄的信息包括:分配給客戶端的IP地址�、客戶端的MAC地址�、VLAN信息(如VLAN標(biāo)記����,即VLAN TAG)、端口信息以及租約剩余時間信息,這些記錄信息的獲取通過一個完整的基本DHCP過程即可取得����。
[0004]雖然DHCP Snooping的出現(xiàn)能夠解決一部分DHCP攻擊的問題�,但這里也還有不完善的地方�����,處于終端的DHCP客戶端同樣可以發(fā)起偽造多個或大量的DHCP請求包去向DHCP服務(wù)器以一種看似合法的方式請求到IP。
【發(fā)明內(nèi)容】
[0005]鑒于以上所述現(xiàn)有技術(shù)的缺點��,本發(fā)明的目的在于提供一種DHCP網(wǎng)絡(luò)防護系統(tǒng)及方法�����,用于解決上述現(xiàn)有技術(shù)的DHCP網(wǎng)絡(luò)安全防護存在的缺陷不足的問題�。
[0006]為實現(xiàn)上述目的及其他相關(guān)目的�,本發(fā)明提供一種DHCP網(wǎng)絡(luò)防護系統(tǒng)���,通過至少一個網(wǎng)絡(luò)節(jié)點設(shè)備連接于至少一個客戶終端設(shè)備�,所述DHCP網(wǎng)絡(luò)防護系統(tǒng)包括:DHCP中繼代理信息模塊����,用于對所述客戶終端設(shè)備的DHCP請求報文作報文處理�,所述報文處理包括:獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息����,將添加有所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息的DHCP中繼代理信息字串信息加入所述DHCP請求報文����;DHCP監(jiān)聽模塊�,用于接收經(jīng)所述報文處理的DHCP請求報文����,據(jù)以生成對應(yīng)的DHCP綁定表以供定位網(wǎng)絡(luò)攻擊源����。
[0007]優(yōu)選的�,所述DHCP中繼代理信息模塊是DHCP option82模塊��,所述DHCP監(jiān)聽模塊是 DHCP snooping 模塊����。
[0008]優(yōu)選的,所述DHCP網(wǎng)絡(luò)防護系統(tǒng)包括:主控板卡單元和至少一個線卡單元����,所述主控板卡單元與所述線卡單元分離�,其中,所述線卡單元通過至少一個所述網(wǎng)絡(luò)節(jié)點設(shè)備連接于至少一個所述客戶終端設(shè)備�����;所述DHCP監(jiān)聽模塊,設(shè)置并運行于所述主控板卡單元�;所述DHCP中繼代理信息模塊�����,設(shè)置并運行于所述線卡單元����。
[0009]優(yōu)選的�����,所述DHCP網(wǎng)絡(luò)防護系統(tǒng)包括:0LT設(shè)備���,所述OLT設(shè)備包括所述主控板卡單元和線卡單元,所述線卡單元通過PON 口連接于多個所述網(wǎng)絡(luò)節(jié)點設(shè)備�,所述網(wǎng)絡(luò)節(jié)點設(shè)備是ONU�。
[0010]優(yōu)選的��,所述DHCP監(jiān)聽模塊,還用于檢查所述DHCP請求報文的發(fā)送速率是否超過預(yù)設(shè)限制速率����;若是����,則認(rèn)定所述超過預(yù)設(shè)限制速率的DHCP請求報文來自于網(wǎng)絡(luò)攻擊源���,通過所述DHCP綁定表定位所述網(wǎng)絡(luò)攻擊源。
[0011]優(yōu)選的�,所述DHCP請求報文包括:所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息�、所述客戶終端設(shè)備的位置信息和客戶終端類型信息。
[0012]優(yōu)選的,所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息為所述網(wǎng)絡(luò)節(jié)點設(shè)備的MAC地址�,所述客戶終端設(shè)備的位置信息為所述客戶終端設(shè)備的MAC地址���。
[0013]為實現(xiàn)上述目的及其他相關(guān)目的,一種DHCP網(wǎng)絡(luò)防護方法�,包括:接收連接于網(wǎng)絡(luò)節(jié)點設(shè)備的至少一個客戶終端設(shè)備的報文��;獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息���;對所述客戶終端設(shè)備的DHCP請求報文作報文處理,所述報文處理包括:獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息��,將添加有所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息的DHCP中繼代理信息字串信息加入所述DHCP請求報文��;接收經(jīng)所述報文處理的DHCP請求報文,據(jù)以生成對應(yīng)的DHCP綁定表以供定位網(wǎng)絡(luò)攻擊源。
[0014]優(yōu)選的,所述DHCP中繼代理信息字串是DHCP option82字串。
[0015]優(yōu)選的��,所述DHCP網(wǎng)絡(luò)防護方法還包括:檢查所述DHCP請求報文的發(fā)送速率是否超過預(yù)設(shè)限制速率;若是���,則認(rèn)定所述超過預(yù)設(shè)限制速率的DHCP請求報文來自于網(wǎng)絡(luò)攻擊源,通過所述DHCP綁定表定位所述網(wǎng)絡(luò)攻擊源。
[0016]優(yōu)選的��,所述DHCP請求報文包括:所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息�、所述客戶終端設(shè)備的位置信息和客戶終端類型信息�。
[0017]優(yōu)選的�,所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息為所述網(wǎng)絡(luò)節(jié)點設(shè)備的MAC地址,所述客戶終端設(shè)備的位置信息為所述客戶終端設(shè)備的MAC地址����。
[0018]如上所述�����,本發(fā)明提供的一種DHCP網(wǎng)絡(luò)防護系統(tǒng)及方法��,通過DHCP中繼代理信息模塊對客戶終端設(shè)備的DHCP請求報文作報文處理,以將作為連接中介網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息加入到DHCP中繼代理信息字串信息中���,進而通過DHCP監(jiān)聽模塊來接收加入DHCP中繼代理信息字串信息的DHCP請求報文以生成對應(yīng)的DHCP綁定表供定位網(wǎng)絡(luò)攻擊源��,且DHCP監(jiān)聽模塊還預(yù)設(shè)速率限制,可精準(zhǔn)判定并定位網(wǎng)絡(luò)攻擊源��,提高DHCP網(wǎng)絡(luò)安全防護的準(zhǔn)確性及效率�;并且�����,DHCP中繼代理信息模塊�����、DHCP監(jiān)聽模塊分離運行在不同的板卡,減少了模塊運行在同一個板卡時大量報文處理的壓力��,且使上行的DHCP請求報文中攜帶更多信息標(biāo)識請求報文的來源。
【專利附圖】
【附圖說明】
[0019]圖1顯示為本發(fā)明的DHCP網(wǎng)絡(luò)防護系統(tǒng)的一實施例的結(jié)構(gòu)示意圖��。
[0020]圖2顯示為本發(fā)明的DHCP網(wǎng)絡(luò)防護方法的一實施例的步驟流程示意圖����。
[0021]圖3及圖4顯示為結(jié)合本發(fā)明的DHCP網(wǎng)絡(luò)防護系統(tǒng)的DHCP網(wǎng)絡(luò)防護方法的一實施例的步驟流程示意圖。[
【權(quán)利要求】
1.一種DHCP網(wǎng)絡(luò)防護系統(tǒng)�,通過至少一個網(wǎng)絡(luò)節(jié)點設(shè)備連接于至少一個客戶終端設(shè)備���,其特征在于,所述DHCP網(wǎng)絡(luò)防護系統(tǒng)包括: DHCP中繼代理信息模塊,用于對所述客戶終端設(shè)備的DHCP請求報文作報文處理,所述報文處理包括:獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息��,將添加有所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息的DHCP中繼代理信息字串信息加入所述DHCP請求報文; DHCP監(jiān)聽模塊��,用于接收經(jīng)所述報文處理的DHCP請求報文,據(jù)以生成對應(yīng)的DHCP綁定表以供定位網(wǎng)絡(luò)攻擊源�。
2.根據(jù)權(quán)利要求1所述的DHCP網(wǎng)絡(luò)防護系統(tǒng)�,其特征在于��,所述DHCP中繼代理信息模塊是DHCP option82模塊��,所述DHCP監(jiān)聽模塊是DHCP snooping模塊����。
3.根據(jù)權(quán)利要求1或2所述的DHCP網(wǎng)絡(luò)防護系統(tǒng),其特征在于���,包括:主控板卡單元和至少一個線卡單元����,所述主控板卡單元與所述線卡單元分離,其中��,所述線卡單元通過至少一個所述網(wǎng)絡(luò)節(jié)點設(shè)備連接于至少一個所述客戶終端設(shè)備; 所述DHCP監(jiān)聽模塊����,設(shè)置并運行于所述主控板卡單元; 所述DHCP中繼代理信息模塊���,設(shè)置并運行于所述線卡單元。
4.根據(jù)權(quán)利要求3所述的DHCP網(wǎng)絡(luò)防護系統(tǒng)����,其特征在于��,包括:0LT設(shè)備�,所述OLT設(shè)備包括所述主控板卡單元和線卡單元,所述線卡單元通過PON 口連接于多個所述網(wǎng)絡(luò)節(jié)點設(shè)備���,所述網(wǎng)絡(luò)節(jié)點設(shè)備是0NU����。
5.根據(jù)權(quán)利要 求1所述的DHCP網(wǎng)絡(luò)防護系統(tǒng)���,其特征在于,所述DHCP監(jiān)聽模塊����,還用于檢查所述DHCP請求報文的發(fā)送速率是否超過預(yù)設(shè)限制速率;若是����,則認(rèn)定所述超過預(yù)設(shè)限制速率的DHCP請求報文來自于網(wǎng)絡(luò)攻擊源���,通過所述DHCP綁定表定位所述網(wǎng)絡(luò)攻擊源��。
6.根據(jù)權(quán)利要求1所述的DHCP網(wǎng)絡(luò)防護系統(tǒng)��,其特征在于��,所述DHCP請求報文包括:所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息�、所述客戶終端設(shè)備的位置信息和客戶終端類型信息����。
7.根據(jù)權(quán)利要求6所述的DHCP網(wǎng)絡(luò)防護系統(tǒng)�����,其特征在于��,所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息為所述網(wǎng)絡(luò)節(jié)點設(shè)備的MAC地址��,所述客戶終端設(shè)備的位置信息為所述客戶終端設(shè)備的MAC地址��。
8.—種DHCP網(wǎng)絡(luò)防護方法���,其特征在于���,包括: 接收連接于網(wǎng)絡(luò)節(jié)點設(shè)備的至少一個客戶終端設(shè)備的報文���; 獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息; 對所述客戶終端設(shè)備的DHCP請求報文作報文處理��,所述報文處理包括:獲取所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息��,將添加有所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息的DHCP中繼代理信息字串信息加入所述DHCP請求報文����; 接收經(jīng)所述報文處理的DHCP請求報文,據(jù)以生成對應(yīng)的DHCP綁定表以供定位網(wǎng)絡(luò)攻擊源�����。
9.根據(jù)權(quán)利要求8所述的DHCP網(wǎng)絡(luò)防護方法��,其特征在于,所述DHCP中繼代理信息字串是 DHCP option82 字串�。
10.根據(jù)權(quán)利要求8所述的DHCP網(wǎng)絡(luò)防護方法��,其特征在于��,還包括: 檢查所述DHCP請求報文的發(fā)送速率是否超過預(yù)設(shè)限制速率�����; 若是�,則認(rèn)定所述超過預(yù)設(shè)限制速率的DHCP請求報文來自于網(wǎng)絡(luò)攻擊源,通過所述DHCP綁定表定位所述網(wǎng)絡(luò)攻擊源��。
11.根據(jù)權(quán)利要求8所述的DHCP網(wǎng)絡(luò)防護方法�����,其特征在于,所述DHCP請求報文包括:所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息�、所述客戶終端設(shè)備的位置信息和客戶終端類型信息�����。
12.根據(jù)權(quán)利要求11所述的DHCP網(wǎng)絡(luò)防護方法����,其特征在于����,所述網(wǎng)絡(luò)節(jié)點設(shè)備的位置信息為所述網(wǎng)絡(luò)節(jié)點設(shè)備的MAC地址��,所述客戶終端設(shè)備的位置信息為所述客戶終端設(shè)備的MAC地 址。
【文檔編號】H04L29/12GK103685257SQ201310658724
【公開日】2014年3月26日 申請日期:2013年12月6日 優(yōu)先權(quán)日:2013年12月6日
【發(fā)明者】蔡偉 申請人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司