CN100349409C - 一种防止地址耗尽型攻击的方法 - Google Patents
一种防止地址耗尽型攻击的方法 Download PDFInfo
- Publication number
- CN100349409C CN100349409C CNB2004100151440A CN200410015144A CN100349409C CN 100349409 C CN100349409 C CN 100349409C CN B2004100151440 A CNB2004100151440 A CN B2004100151440A CN 200410015144 A CN200410015144 A CN 200410015144A CN 100349409 C CN100349409 C CN 100349409C
- Authority
- CN
- China
- Prior art keywords
- dhcp
- circuit
- broadband access
- server
- access server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的一种防止地址耗尽型攻击的方法,所述方法结合DHCP服务器和宽带接入服务器防止受到攻击,在所述宽带接入服务器上的处理步骤包括:在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护。本发明方法有效地防止了非法用户对DHCP服务器的地址耗尽型攻击,同时该方法配置简单,实现容易,一旦实施,极大地提高了宽带接入网络的可靠性。
Description
技术领域
本发明涉及一种宽带接入网中防止DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器受攻击的方法,尤其涉及一种采用DHCP宽带接入方式中针对DHCP服务器进行地址耗尽型攻击的防范方法。
背景技术
在宽带接入技术中,采用DHCP接入方式时,DHCP服务器往往会受到非法用户大量请求分配地址,从而耗尽DHCP服务器的地址资源的攻击。DHCP协议本身并无认证授权机制,无法判别合法申请或非法申请,因此,一般来说DHCP服务器本身不能抵御非法用户的攻击。
目前,宽带接入网的组网形式一般如图1和图2所示,用户通过ATM电路或Dotlq电路连接到宽带接入服务器(宽带接入服务器BAS),通过宽带接入服务器BAS的管理和控制接入互联网。接入时,用户通过DHCP协议经二层以太网的以太网交换机或ATM交换机+数字用户线接入复用器(DSLAM),然后经宽带接入服务器BAS进行DHCP代理进而向所述DHCP服务器请求地址分配。
现有技术的简要协议交互流程如图3所示,用户发起IP地址分配请求时,经过所述宽带接入服务器BAS的代理,该请求传递给所述DHCP服务器;该DHCP服务器相应该请求并分配了IP地址后,经过所述宽带接入服务器BAS的代理返回到所述用户个人电脑PC上。当用户终止上网时,IP地址释放的请求与分配请求一样,也通过所述宽带接入服务器BAS代理传递给所述DHCP服务器。
正因为现有的DHCP协议和DHCP代理协议都认证授权机制,因此无法防止非法用户进行重复的地址申请,同时也难以区分合法请求和非法请求,目前常用的接入控制列表(ACL)技术也难以用于宽带接入服务器BAS和DHCP服务器以防止非法请求。因此一旦发生地址耗尽型的DHCP攻击,即非法用户不停的发送地址分配请求,DHCP服务器因为要对每一请求进行处理并分配地址资源,因此,当没有相应的释放请求时,地址资源很快就会被耗光,这样合法用户因为分配不到地址而不能接入,从而造成灾难性后果。
发明内容
本发明的目的在于提供一种防止地址耗尽型攻击的方法,通过宽带接入服务器BAS对用户接入电路上的用户所请求的地址数进行限制,从而达到抑制非法用户攻击所述DHCP服务器,从而克服现有宽带接入网中采用DHCP接入形式时,DHCP服务器容易遭到非法用户攻击的缺点。
本发明的技术方案如下:
一种防止地址耗尽型攻击的方法,用于宽带接入网中防止DHCP服务器受到攻击,所述方法在宽带接入服务器上的处理步骤包括:
b1)、在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;
b2)、该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护。
所述的方法,其中,所述步骤b2)还包括以下步骤:
b201)、所述DHCP在线会话数是指该电路中通过DHCP协议申请成功的IP地址数,用户申请成功一次,该计数加1,释放一次,则计数减1;
b202)、所述宽带接入服务器一旦发现某电路DHCP在线会话数到达其最大会话数时,终止该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得DHCP在线会话数小于其最大会话数。
所述的方法,其中,所述步骤b2)还包括以下步骤:
b203)、所述DHCP请求频率是指每秒从该电路收到的请求数;
b204)、所述宽带接入服务器如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。
所述的方法,其中,所述方法还包括在所述DHCP服务器的处理步骤如下:
a1)、配置其接入控制列表,使其只接受来自合法宽带接入服务器的DHCP协议包;
a2)、所述DHCP服务器在收到DHCP请求包时,匹配其接入控制列表,根据匹配结果接受来自合法宽带接入服务器的DHCP协议包,拒绝来自其他地方的DHCP协议包。
所述的方法,其中,所述步骤a2)包括以下步骤:当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
本发明所提供的一种防止地址耗尽型攻击的方法,采用本发明所述方法后,利用所述DHCP服务器的接入控制列表和所述宽带接入服务器对电路的DHCP在线会话数和DHCP请求频率的监控和维护,有效地防止了非法用户对DHCP服务器的地址耗尽型攻击,同时该方法配置简单,实现容易,一旦实施,极大地提高了宽带接入网络的可靠性。
附图说明
附图中,
图1是现有技术中的基于以太网宽带接入网的组网示意图;
图2是现有技术中的基于ATM的宽带接入网的组网示意图;
图3是现有技术的DHCP接入时的时序和流程示意图;
图4是本发明方法在所述宽带接入服务器BAS上的处理流程示意图;
图5是本发明方法在所述DHCP服务器上的处理流程示意图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述:
本发明的核心思想是:通过宽带接入服务器BAS对用户接入电路上的用户所请求的地址数进行限制,从而达到抑制非法用户攻击。在宽带接入网中,用户个人计算机PC与所述宽带接入服务器BAS之间是通过一条二层电路进行连接的,该二层电路可以是ATM电路(ATM接入),也可以是基于VLAN标记的Dotlq电路(以太网接入)。在一条电路上的用户可以接入多个会话,一个会话占用一个IP地址。根据用户类型,可以在所述宽带接入服务器上预先确定一条电路上可以接入的会话个数,比如一般家庭用户通常是一条电路一个会话,企业用户则一条电路多个会话,具体数目可由运营商与用户通过协商方式确定。具体做法如下:
在所述宽带接入服务器BAS上,对需要进行DHCP接入的用户电路设置两个参数,即最大DHCP在线会话数和最大DHCP请求频率;其中所述DHCP在线会话数是指该电路通过DHCP协议申请成功的IP地址数,如果用户申请成功一次,则该计数加1;如果释放一次,则计数减1;所述DHCP请求频率是指每秒从该电路收到的DHCP请求数;所述宽带接入服务器BAS对这两个计数器进行监控和维护。所述宽带接入服务器BAS一旦发现某电路的DHCP在线会话数到达其最大会话数时,就终止对该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得该DHCP在线会话数小于其最大会话数后才恢复对来自该电路的DHCP请求的处理。同时,如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。另外,为了防止来自其他地方的攻击,在所述DHCP服务器上配置了接入控制列表ACL,使得其只对来自合法的宽带接入服务器BAS的DHCP请求进行处理。
通过以上处理,所述DHCP服务器即可避免非法用户的地址耗尽型攻击,同时,所述宽带接入服务器BAS还能及时发现非法用户所在的电路,从而给对攻击源的排除带来便利。
本发明在所述宽带接入服务器BAS上对每条电路预先设置有一最大DHCP在线会话数和一最大DHCP请求频率两个门限参数,同时对每条电路设置DHCP在线会话数和当前DHCP请求频率两个计数变量;通过监测比较发现攻击电路,并采取停止服务、告警、关闭电路等措施来抑制攻击源的方法来防止所述DHCP服务器受到地址耗尽型攻击。
所说电路是指从用户个人计算机PC到所述宽带接入服务器BAS的ATM连接,如ATM PVC,或者是从用户PC到所述宽带接入服务器BAS的打VLAN标记的Dotlq PVC。所述DHCP请求频率是指单位时间内DHCP请求的次数。所述DHCP在线会话数是指一个电路上经DHCP协议申请成功并正在用的IP地址数,一个会话占用一个IP地址。
本发明所述防攻击方法分别在所述宽带接入服务器BAS和所述DHCP服务器上实施,其流程分别如如图4和图5所示。
如图4所示的,本发明方法在所述宽带接入服务器BAS上的处理流程如下:
步骤1:在所述宽带接入服务器BAS上对每条采用DHCP接入方式的电路配置最大DHCP在线会话数max_session和最大DHCP请求频率max_freq两个门限参数,以及对DHCP在线会话数online_session和当前DHCP请求频率cur_freq设置两个计数变量,并初始置0;
步骤2:当所述宽带接入服务器BAS收到来自用户的DHCP请求时,重新计算当前DHCP请求频率,并且判断在线会话数是否大于等于最大DHCP在线会话门限(online_session?>=max_session)以及当前DHCP请求频率是否大于等于最大DHCP请求频率门限(cur_freq?>=max_freq);如果两者都不满足,则把该DHCP请求经DHCP代理处理后送往所述DHCP服务器;否则,如果是后者,则告警并关闭电路;如果是前者,则丢弃此请求包,不做任何处理或反应;
步骤3:当所述宽带接入服务器BAS收到DHCP应答包后,建立DHCP会话,并对所述在线DHCP会话数加1,然后把包转发给用户;
步骤4:当所述宽带接入服务器BAS收到来自用户的DHCP释放请求时,释放DHCP会话,并对所述在线DHCP会话数减1,然后把包转发给DHCP服务器。
如图5所示的,本发明方法在所述DHCP服务器上的处理流程如下:
步骤1:在所述DHCP服务器配置所述接入控制列表ACL,只允许来自合
法宽带接入服务器BAS的DHCP协议包得到服务;
步骤2:当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
通过以上步骤,所述DHCP服务器即可有效防止了非法用户的地址耗尽型攻击,保证DHCP服务器地址资源的安全和有效使用,提高宽带接入网络的可靠性和稳定性。
应当理解的是,本发明的上述对具体实施例的详细描述不能作为本发明的专利保护范围请求依据,而应以本发明所附权利要求书为准。
Claims (3)
1、一种防止地址耗尽型攻击的方法,用于宽带接入网中防止DHCP服务器受到攻击,所述方法在宽带接入服务器上的处理步骤包括:
b1)、在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;
b2)、该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护;
其中,所述步骤b2)进行监控包括以下步骤:
b201)、所述DHCP在线会话数是指该电路中通过DHCP协议申请成功的IP地址数,用户申请成功一次,该计数加1,释放一次,则计数减1;
b202)、所述宽带接入服务器一旦发现某电路DHCP在线会话数到达其最大会话数时,终止该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得DHCP在线会话数小于其最大会话数;
所述步骤b2)进行维护包括以下步骤:
b203)、所述DHCP请求频率是指每秒从该电路收到的请求数;
b204)、所述宽带接入服务器如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。
2、根据权利要求1所述的方法,其特征在于,所述方法还包括在所述DHCP服务器的处理步骤如下:
a1)、配置其接入控制列表,使其只接受来自合法宽带接入服务器的DHCP协议包;
a2)、所述DHCP服务器在收到DHCP请求包时,匹配其接入控制列表,根据匹配结果接受来自合法宽带接入服务器的DHCP协议包,拒绝来自其他地方的DHCP协议包。
3、根据权利要求2所述的方法,其特征在于,所述步骤a2)包括以下步骤:当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100151440A CN100349409C (zh) | 2004-01-15 | 2004-01-15 | 一种防止地址耗尽型攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100151440A CN100349409C (zh) | 2004-01-15 | 2004-01-15 | 一种防止地址耗尽型攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1642107A CN1642107A (zh) | 2005-07-20 |
| CN100349409C true CN100349409C (zh) | 2007-11-14 |
Family
ID=34867940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100151440A Expired - Fee Related CN100349409C (zh) | 2004-01-15 | 2004-01-15 | 一种防止地址耗尽型攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100349409C (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047509B (zh) * | 2006-05-31 | 2010-05-12 | 华为技术有限公司 | 会话攻击检测系统及检测方法 |
| CN1968147B (zh) * | 2006-11-27 | 2010-04-14 | 华为技术有限公司 | 业务处理方法、网络设备及业务处理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1073244A1 (en) * | 1999-07-29 | 2001-01-31 | International Business Machines Corporation | Method and system for monitoring dynamic host configuration protocol (DHCP) service in an internet protocol network |
| KR20020036973A (ko) * | 2002-02-18 | 2002-05-17 | (주)테라정보시스템 | 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법 |
| CN1430383A (zh) * | 2001-12-27 | 2003-07-16 | 富士施乐株式会社 | 用于外部网络连接的设定信息分配方法 |
| CN1458760A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的安全接入方法 |
-
2004
- 2004-01-15 CN CNB2004100151440A patent/CN100349409C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1073244A1 (en) * | 1999-07-29 | 2001-01-31 | International Business Machines Corporation | Method and system for monitoring dynamic host configuration protocol (DHCP) service in an internet protocol network |
| CN1430383A (zh) * | 2001-12-27 | 2003-07-16 | 富士施乐株式会社 | 用于外部网络连接的设定信息分配方法 |
| KR20020036973A (ko) * | 2002-02-18 | 2002-05-17 | (주)테라정보시스템 | 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법 |
| CN1458760A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络的安全接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1642107A (zh) | 2005-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104137513B (zh) | 攻击防范方法和设备 | |
| CN110113435B (zh) | 一种流量清洗的方法和设备 | |
| Wang et al. | Mitigating bandwidth-exhaustion attacks using congestion puzzles | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN101179583B (zh) | 一种防止用户假冒上网的方法及设备 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| JP2004302956A (ja) | 不正アクセス対処システム、及び不正アクセス対処処理プログラム | |
| Smits et al. | BridgeSPA: Improving Tor bridges with single packet authorization | |
| CN102932380A (zh) | 基于内容分发网络的分布式防恶意攻击方法和系统 | |
| CN101483515A (zh) | Dhcp攻击防护方法和客户端设备 | |
| CN108270600A (zh) | 一种对恶意攻击流量的处理方法及相关服务器 | |
| CN101022458A (zh) | 会话的控制方法及控制装置 | |
| WO2012131364A1 (en) | Telephone call processing method and apparatus | |
| CN100349409C (zh) | 一种防止地址耗尽型攻击的方法 | |
| Kumar et al. | Denial of Service due to direct and indirect ARP storm attacks in LAN environment | |
| CN100493009C (zh) | 防范网际协议以太网中假冒主机的方法 | |
| CN110309645A (zh) | 一种对api进行安全防护的方法、设备和系统 | |
| Kwon et al. | Network security management using ARP spoofing | |
| CN109005164A (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| CN101014026A (zh) | 动态自适应Radius系统通用软网关的实现方法 | |
| Gill et al. | A scheme for preventing denial of service attacks on wireless sensor networks | |
| KR101069341B1 (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
| KR101092090B1 (ko) | DDoS 공격의 대응 시스템 및 방법 | |
| CN108737445A (zh) | 安全策略共享方法和安全策略共享系统 | |
| CN114338218A (zh) | PPPoE拨号的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071114 Termination date: 20140115 |