惡意耗盡dhcp服務(wù)器地址池的防止方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及動態(tài)主機配置協(xié)議技術(shù)領(lǐng)域,尤其是涉及一種惡意耗盡DHCP服務(wù)器 地址池的防止方法��。
【背景技術(shù)】
[0002] 連接到互聯(lián)網(wǎng)(Internet)的每臺計算機需要在發(fā)送或接收數(shù)據(jù)報文前知道其IP 地址;網(wǎng)絡(luò)管理員通常配置動態(tài)主機配置協(xié)議服務(wù)器〇)HCPServer)�����,使其提供一組IP地 址(地址池)��,任何時候一旦有新的計算機連接到網(wǎng)絡(luò)上���,服務(wù)器從配置的地址池中選擇一 個地址,并將它分配給該計算機����,即使用DHCP協(xié)議。該協(xié)議采用CS模式(客戶端-服務(wù) 器)���,DHCP服務(wù)器集中管理IP地址等網(wǎng)絡(luò)配置信息�,DHCP客戶端從DHCP服務(wù)器請求各自 的配置信息�,從而實現(xiàn)網(wǎng)絡(luò)設(shè)備的自動配置。
[0003] 現(xiàn)有技術(shù)方案中的DHCP服務(wù)器在為每臺客戶機分配IP地址后���,僅在兩種情況下 會回收IP地址:1���、服務(wù)器收到來自客戶端發(fā)出的DHCP Release報文,告知server不再需 要已分配的IP地址;2����、服務(wù)器在已分配出的IP地址租約到期后也未收到來自客戶端的續(xù) 租報文。如果網(wǎng)絡(luò)存在故障導(dǎo)致release消息沒有及時傳遞到服務(wù)器�;或一些低端設(shè)備不 會主動觸發(fā)release動作;或客戶端原本申請的租期較長��,其實早已下線���;這些情況就極易 造成IP地址閑置���,尤其是在IP分配緊張的場景下,造成資源浪費���。
[0004] 如沒有采取安全措施��,只要申請IP地址的過程符合正常交互過程��,客戶端就能成 功獲取IP地址�����;攻擊者可以通過篡改數(shù)據(jù)報文的源MAC地址(SMAC)仿冒合法客戶端�����,不停 的請求獲取IP地址���,短時間內(nèi)耗盡地址池��,從而導(dǎo)致合法用戶設(shè)備不能再請求到IP����,從而 不能正常訪問網(wǎng)絡(luò)�����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷��,提供一種惡意耗盡DHCP服務(wù)器地址池 的防止方法��,DHCP服務(wù)器主動觸發(fā)檢測��,探知網(wǎng)絡(luò)中已被分配出的IP地址使用情況�����,以實 現(xiàn)高效利用IP地址池�����,同時提供一定的安全防護�,減少惡意攻擊。
[0006] 為實現(xiàn)上述目的���,本發(fā)明提出如下技術(shù)方案:一種惡意耗盡DHCP服務(wù)器地址池的 防止方法��,所述DHCP服務(wù)器在本地維護有IP地址分配表����,所述防止方法包括:DHCP服務(wù) 器定期從所述IP地址分配表中選擇進行在線驗證的用戶�����,向選擇出的用戶發(fā)送Search報 文�����,若在設(shè)定的第一超時周期內(nèi)�����,未收到相應(yīng)的DHCP客戶端回應(yīng)過來的Alive報文��,則所述 DHCP服務(wù)器發(fā)送Rejest報文給用戶所屬網(wǎng)段的網(wǎng)關(guān)路由,由所述網(wǎng)關(guān)路由通過創(chuàng)建控制 規(guī)則的方式��,拒絕所述用戶的報文傳輸�。
[0007] 本發(fā)明還提出另外一種技術(shù)方案,一種惡意耗盡DHCP服務(wù)器地址池的防止方 法�,所述DHCP服務(wù)器在本地維護有IP地址分配表,所述防止方法包括:DHCP服務(wù)器發(fā)送 Detect報文給本地網(wǎng)絡(luò)內(nèi)所有在線的DHCP客戶端���,在設(shè)定的第二超時周期內(nèi)等待接收所 述DHCP客戶端回應(yīng)過來的Alive報文��,然后篩選出未回應(yīng)Alive報文的用戶���,并對所述未 回應(yīng)Alive報文的用戶發(fā)送Search報文進行二次在線驗證�,若在設(shè)定的第一超時周期內(nèi), 未收到相應(yīng)的DHCP客戶端回應(yīng)過來的Alive報文��,則所述DHCP服務(wù)器發(fā)送Rejest報文給 用戶所屬網(wǎng)段的網(wǎng)關(guān)路由����,由所述網(wǎng)關(guān)路由通過創(chuàng)建控制規(guī)則的方式,拒絕所述用戶的報 文傳輸�����。
[0008] 優(yōu)選地,通過定時器或管理員觸發(fā)所述DHCP服務(wù)器發(fā)送出所述Detect報文���。
[0009] 優(yōu)選地�,所述DHCP服務(wù)器發(fā)送出所述Detect報文后以及發(fā)送出所述Search報文 后分別啟動各自對應(yīng)的定時器����,兩個定時器分別設(shè)定所述第二超時周期和第一超時周期。
[0010] 優(yōu)選地����,所述第一超時周期至少為所述第二超時周期的三倍。
[0011] 優(yōu)選地����,所述Detect報文由所述DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)以廣播的方式發(fā)送。
[0012] 優(yōu)選地����,所述Search報文由所述DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)以單播的方式發(fā)送,或 通過特定事件觸發(fā)所述Search報文的發(fā)送�����。特定事件是指除根據(jù)Detect報文后的二次驗 證��,還可以由管理員通過命令行的手段主動發(fā)出Search報文,或者配置定時器隨機抽查�����。
[0013] 優(yōu)選地���,所述Rejest報文由所述DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)以單播的方式發(fā)送�����。
[0014] 優(yōu)選地�����,所述控制規(guī)則包括黑洞MAC或訪問控制列表(ACL)��。
[0015] 優(yōu)選地,所述Detect報文�、Search報文、Alive報文和Rejest報文均為DHCP報 文���,報文主體格式與所述DHCP報文格式相同�。
[0016] 本發(fā)明的有益效果是:
[0017] 1�����、本發(fā)明中的DHCP服務(wù)器主動觸發(fā)檢測,探知網(wǎng)絡(luò)中已被分配出的IP地址使用 情況��,與現(xiàn)有僅根據(jù)客戶端的需求被動地提供IP相比���,本發(fā)明可以高效的利用IP地址池��, 及更好的管理IP的分配���。
[0018] 2、管理員可通過本發(fā)明定義的Detect報文及時獲取用戶活躍信息�,根據(jù)收集的 信息進行網(wǎng)絡(luò)大小評估,合理分配有限的IP地址資源�,便于更好的維護網(wǎng)絡(luò)。
[0019] 3����、DHCP服務(wù)器定期的主動檢測,可以有效的防止攻擊者惡意消耗IP地址資源���,及 時發(fā)現(xiàn)并處理����,減少對正常用戶的影響。
【附圖說明】
[0020] 圖1是本發(fā)明惡意耗盡DHCP服務(wù)器地址池的防止方法的流程示意圖����;
[0021] 圖2是本發(fā)明惡意耗盡DHCP服務(wù)器地址池的防止方法的另一實施例的流程示意 圖。
【具體實施方式】
[0022] 下面將結(jié)合本發(fā)明的附圖��,對本發(fā)明實施例的技術(shù)方案進行清楚�����、完整的描述��。
[0023] 本發(fā)明新定義四種DHCP報文���,分別是Detect報文��、Search報文�����、Alive報文和 Rejest報文,DHCP服務(wù)器主動先發(fā)送Detect報文后發(fā)送Search報文或者僅發(fā)送Search 報文給DHCP客戶端����,對本地在線用戶進行驗證��,等待DHCP客戶端回應(yīng)相應(yīng)的Alive報文���, 最后通過發(fā)送Rejest報文給指定用戶所屬網(wǎng)段的網(wǎng)關(guān)路由,拒絕這些用戶的報文傳輸����。
[0024] 具體地,DHCPDetect報文由DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)以廣播的方式發(fā)送�,目的 是探測本地網(wǎng)絡(luò)內(nèi)所有在線的DHCP客戶端;因為所有收到Detect報文的用戶(使用DHCP 服務(wù)的用戶)都需要答復(fù)一個回應(yīng)報文�,服務(wù)器據(jù)此可以知道自己分配出的IP是否被正常 使用。
[0025] DHCP Search報文由DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)以單播的方式發(fā)送����,目的是探測本 地網(wǎng)絡(luò)內(nèi)指定DHCP客戶端是否在線。Detect報文發(fā)出后DHCP服務(wù)器可根據(jù)本地地址池分 配表找出未答復(fù)的客戶端����,通過再次發(fā)送Search報文進行二次驗證。
[0026] Search報文也可通過特定事件觸發(fā)�,即Search報文的發(fā)送也可脫離Detect報文 來工作。特定事件指除根據(jù)Detect報文后的二次驗證���,還可以:第一�,由管理員通過命令行 的手段主動發(fā)出Search報文;第二�,配置定時器隨機抽查。
[0027] DHCP客戶端收到Detect或Search報文后��,會回應(yīng)一個DHCP Alive報文給服務(wù)器 用來告知其正在正常使用獲得的IP地址�。
[0028] DHCPRejest報文由服務(wù)器單播發(fā)送至本地網(wǎng)絡(luò)內(nèi)的各網(wǎng)關(guān)路由器,目的是當服 務(wù)器發(fā)出Detect���、Search報文都未收到回復(fù)后�,可通過此報文讓網(wǎng)關(guān)路由器設(shè)定相應(yīng)控制 規(guī)則來拒絕對應(yīng)的用戶訪問網(wǎng)絡(luò)資源�����。
[0029] 上述四種DHCP報文主體均采用通用的DHCP報文格式�����,這樣可以很好的兼容現(xiàn)有 技術(shù)�。如下表1所示,為通用的DHCP報文格式:
【主權(quán)項】
1. 一種惡意耗盡D肥P服務(wù)器地址池的防止方法����,其特征在于�,所述D肥P服務(wù)器在本地 維護有IP地址分配表�,所述防止方法包括�;DHCP服務(wù)器定期從所述IP地址分配表中選擇 進行在線驗證的用戶,向選擇出的用戶發(fā)送Search報文��,若在設(shè)定的第一超時周期內(nèi)����,未 收到相應(yīng)的DHCP客戶端回應(yīng)過來的Alive報文,則所述DHCP服務(wù)器發(fā)送Re jest報文給用 戶所屬網(wǎng)段的網(wǎng)關(guān)路由�����,由所述網(wǎng)關(guān)路由通過創(chuàng)建控制規(guī)則的方式����,拒絕所述用戶的報文 傳輸。
2. -種惡意耗盡D肥P服務(wù)器地址池的防止方法��,其特征在于����,所述D肥P服務(wù)器在本 地維護有IP地址分配表,所述防止方法包括����;DHCP服務(wù)器發(fā)送Detect報文給本地網(wǎng)絡(luò)內(nèi) 所有在線的DHCP客戶端�����,在設(shè)定的第二超時周期內(nèi)等待接收所述DHCP客戶端回應(yīng)過來的 Alive報文����,然后篩選出未回應(yīng)Alive報文的用戶�,并對所述未回應(yīng)Alive報文的用戶發(fā)送 Search報文進行二次在線驗證,若在設(shè)定的第一超時周期內(nèi)��,未收到相應(yīng)的DHCP客戶端回 應(yīng)過來的Alive報文�,則所述DHCP服務(wù)器發(fā)送Re jest報文給用戶所屬網(wǎng)段的網(wǎng)關(guān)路由,由 所述網(wǎng)關(guān)路由通過創(chuàng)建控制規(guī)則的方式��,拒絕所述用戶的報文傳輸��。
3. 根據(jù)權(quán)利要求2所述的防止方法�,其特征在于,通過定時器或管理員觸發(fā)所述DHCP 服務(wù)器發(fā)送出所述Detect報文���。
4. 根據(jù)權(quán)利要求2所述的防止方法����,其特征在于,所述DHCP服務(wù)器發(fā)送出所述Detect 報文后W及發(fā)送出所述Search報文后分別啟動各自對應(yīng)的定時器���,兩個定時器分別設(shè)定 所述第二超時周期和第一超時周期�����。
5. 根據(jù)權(quán)利要求2或4所述的防止方法,其特征在于���,所述第一超時周期至少為所述第 二超時周期的S倍�����。
6. 根據(jù)權(quán)利要求2所述的防止方法�����,其特征在于�,所述Detect報文由所 述DHCP服務(wù)器在本地網(wǎng)絡(luò)內(nèi)W廣播的方式發(fā)送��。
7. 根據(jù)權(quán)利要求1或2所述的防止方法���,其特征在于����,所述Search報文由所述DHCP服 務(wù)器在本地網(wǎng)絡(luò)內(nèi)W單播的方式發(fā)送,或通過特定事件觸發(fā)所述Search報文的發(fā)送���,所述 特定事件包括通過定時器或管理員主動觸發(fā)所述Search報文的發(fā)送����。
8. 根據(jù)權(quán)利要求1或2所述的防止方法����,其特征在于,所述Re jest報文由所述DHCP服 務(wù)器在本地網(wǎng)絡(luò)內(nèi)W單播的方式發(fā)送�。
9. 根據(jù)權(quán)利要求1或2所述的防止方法,其特征在于�����,所述控制規(guī)則包括黑洞MAC或 ACL��。
10. 根據(jù)權(quán)利要求2所述的防止方法���,其特征在于����,所述Detect報文、Search報文���、 Alive報文和Rejest報文均為DHCP報文����,報文主體格式與所述DHCP報文格式相同�����。
【專利摘要】本發(fā)明揭示了一種惡意耗盡DHCP服務(wù)器地址池的防止方法��,DHCP服務(wù)器主動先發(fā)送Detect報文給本地網(wǎng)絡(luò)內(nèi)所有在線的DHCP客戶端��,篩選出未回應(yīng)Alive報文的用戶���,向這些用戶發(fā)送Search報文進行二次在線驗證,若還未收到回應(yīng)�����,則發(fā)送Rejest報文給用戶所屬網(wǎng)段的網(wǎng)關(guān)路由����,通過網(wǎng)關(guān)路由拒絕這些用戶的網(wǎng)絡(luò)訪問�����。Search報文的發(fā)送也可脫離Detect報文來工作�,即服務(wù)器可以定期從IP地址分配表中選擇一些用戶����,發(fā)送Search報文進行在線確認。本發(fā)明提供一種機制讓服務(wù)器主動觸發(fā)檢測���,高效的利用IP地址池����,保證合法用戶能夠上線�,同時也能夠提供一定的安全防護,減少惡意攻擊����。
【IPC分類】H04L29-12, H04L29-06
【公開號】CN104683326
【申請?zhí)枴緾N201410841939
【發(fā)明人】曹亮
【申請人】盛科網(wǎng)絡(luò)(蘇州)有限公司
【公開日】2015年6月3日
【申請日】2014年12月30日