CN100490377C - 防止非法使用ip地址的方法和装置 - Google Patents
防止非法使用ip地址的方法和装置 Download PDFInfo
- Publication number
- CN100490377C CN100490377C CNB028298543A CN02829854A CN100490377C CN 100490377 C CN100490377 C CN 100490377C CN B028298543 A CNB028298543 A CN B028298543A CN 02829854 A CN02829854 A CN 02829854A CN 100490377 C CN100490377 C CN 100490377C
- Authority
- CN
- China
- Prior art keywords
- address
- user
- network
- message
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
消除了非法使用IP地址。网络(1)包括交换机(5),交换机(5)具有对用户(6,6A)的端口(P1,P2,P3)和对具有DHCP服务器(4,4a,4b)的核心网(2)的端口(PN)。交换机包括数据库(MAC1,MAC2)、端口号(P1,P2)和用户(6,6A)的VLAN标识(VLAN1,VLAN2),过滤器具有有关可信DHCP服务器的列表。最初仅允许来自用户的DHCP消息。当用户(6)请求(M1,M3)IP地址时,检查M1、M3是否是具有有效用户值(MAC1,P1,VLAN1)的DHCP消息。检查具有分配的IP地址(IP1)和租用时间间隔(T1)的响应(M2,M4)是否来自可信DHCP服务器。如果是,则在过滤器(9)中动态生成含正确信息(MAC1,P1,VLAN1,IP1,T1)的列表。过滤器丢弃来自用户的具有错误IP地址的消息(M5)。对用户使用错误IP地址的尝试次数计数并生成告警信号。
Description
技术领域
本发明涉及IP网络中消除非法使用IP地址的方法和设备。
背景技术
IP网络用户可使用非法获取的IP地址。用户可使用别人的IP地址或当前没有使用的IP地址。用户(其可以是例如企业)连接到宽带岛,并且使用IP地址在网络上标识其自身。如果用户具有滥用企图,则使用这种非法IP地址是吸引人的。滥用追踪就是基于IP地址,滥用者会从非法地址中获益,这是由于在调查时可能更难以追踪该滥用者。
在国际专利申请WO 98/26550中公开了一种在具有用户系统的网络中分配和使用IP地址的系统。每个用户系统经由电缆调制解调器连接到DHCP服务器。DHCP服务器将IP地址租用给用户系统,并且与保密DHCP中继代理、保密IP中继代理配合工作。当用户系统发送DHCP请求消息时,DHCP中继代理将可信标识符添加到该消息中,然后将其发送到DHCP服务器。DHCP服务器使用与请求用户系统相关联的可信标识符(其)以防止用户系统访问其他用户系统的IP地址租用信息。DHCP服务器还对每可信标识符IP地址租用次数计数并其地址租用次数限制为预定数。上述系统需要非标准DHCP服务器和用户系统。
US 6061798公开了用于将网元与可被公众访问的网络相隔离的防火墙。对受保护网元的访问必须通过在独立计算机上运行的该防火墙。专门分配给输入请求的代理验证该请求访问该请求中指示的网元的权限。一旦通过验证,该代理便代表输入请求源完成到受保护网络的连接。
本技术中已知,可通过连接到用户的交换机中的过滤器来防止IP地址滥用。对用户数据帧进行过滤,以查找非法地址。上述过滤器由网络运营商建立并更新。
发明内容
本发明解决上述问题,即如何将IP网络中分配的IP地址的使用限制在合法的IP地址。
另一个问题是如何防止用户使用该用户非法获取的本身合法的IP地址。
另一个问题是如何防止用户大量尝试非法使用IP地址。
另一个问题是运营商必须为静态分配的地址建立并更新过滤器。
上述问题通过具有用户标识和对应IP地址的IP过滤设备解决。要通过过滤设备,来自用户的数据帧必须具有正确的源IP地址。当使用新的用户IP地址时,连续更新IP过滤器。在由DHCP(动态主机配置协议)服务器分配IP地址的情况下,仅允许可信服务器将用户IP地址分配给用户。
用以下方式动态更新IP过滤器。用户请求IP地址。将具有DHCP服务器分配的IP地址的地址响应分析为是DHCP帧且来自列表上记录的一个可信DHCP服务器。将分配的IP地址及其租用时间连同用户标识存储在IP过滤器中。当租用时间用完时,从过滤器中删除用户标识和IP地址。连续存储新的用户。要通过过滤器,来自用户之一的业务必须将用户的指定IP地址作为源地址。对用户使用非法IP地址的尝试次数计数,在达到预定的尝试次数时,生成告警。
本发明的目的是将IP地址的使用限制在合法IP地址。
本发明的另一个目的是防止用户使用其非法获取的本身合法的IP地址。
另一个目的是如何防止用户大量尝试非法使用IP地址。
另一个目的是所述IP地址限制在使用动态分配的IP地址的环境中自动生效。
本发明的优点在于,只有可信DHCP服务器可以分配IP地址。
另一个优点是用户只可以使用以合法方式获得的合法IP地址。
另一个优点是可以防止重复尝试获取IP地址。
另一个优点是,企图滥用网络的用户不能通过使用非法获得的IP地址来使追踪变得更困难。
同样,优点是运营商不需要建立和更新过滤器,自动化过程不受人为误差影响,并且系统的管理成本不高。
现在通过结合附图的实施例更详细地描述本发明。
附图说明
图1示出IP网络视图;
图2示出交换机框图;
图3示出交换机中的表格;
图4示出IP帧示意图;
图5示出交换机中处理程序的流程图;
图6示出列表的示意框图;
图7示出计数器的示意框图;以及
图8示出交换机中替代性处理程序的流程图。
具体实施方式
图1示出简单IP网络1的视图。网络1包括核心网2,核心网2连接到业务提供方3、DHCP服务器4、4a、4b,并且通过上行端口PN连接到交换机5。该交换机则包括交换引擎8,交换引擎8连接到数据库7和IP过滤设备9。该过滤设备连接到用户的物理交换机端口P1、P2、P3。用户设备6经由交换机5中的IP过滤器9连接到核心网2。用户设备6具有常规方式的MAC地址MAC1,并连接到物理交换机端口P1及该端口上的虚拟LAN VLAN1。同样,具有MAC地址MAC2的用户6A连接到虚拟LAN VLAN2上具有标识P2的端口,并且该交换机还具有另一个端口P3。
简而言之,常规动态地址分配以如下方式工作。采用动态地址分配的常规IP网络中的用户希望拥有已为之付费的IP地址。该用户然后广播DHCP(动态主机配置协议)请求。DHCP服务器注意到该请求,以IP地址和该地址的租用时间间隔来响应。用户现在可以经由网络与其他用户或业务提供方通信。具有滥用意图的用户可以非法方式获得IP地址,这使得在网络上追踪该用户变得更困难。用户例如可以从伪DHCP服务器获取地址,或者他自己可以写入属于其他人或当前没有使用的地址。用户还可以以其他不可接受的方式行动,例如,请求并获取大量IP地址,从而使其他用户获取IP地址变得困难。
简而言之,交换机5以如下方式工作。为了防止滥用分配的IP地址,为本发明的交换机5配备了过滤器5,用于IP地址欺骗保护,每个虚拟LAN可启动或禁止该过滤器5。交换机5还具有有关可信DHCP服务器列表L1,在实施例中可信服务器为服务器4、4a和4b。配置交换机,以便在启动欺骗保护时,在用户交换机端口上封锁所有IP地址。唯一允许的业务是到可信DHCP服务器的DHCP业务、DHCP广播和ARP(地址解析协议)发送。当用户6需要IP地址时,他广播DHCP请求。DHCP服务器4、4a和4b读取该请求并用一个帧予以响应,该帧指示指定的用户IP地址IP1和该地址的租用时间间隔T1。该帧还具有定义各DHCP服务器的源IP地址。交换机5通过该源IP地址检查上述帧是否是由列表上的可信DHCP服务器4、4a和4b发送的。还检查该帧确实是接收的DHCP帧。交换机5将用户6的MAC地址MAC1、用户物理端口P1的标识及用户的虚拟LAN标识VLAN1存储在数据库7中。现在交换机动态配置过滤器9,每个用户的过滤器包括以下值:用户MAC地址MAC1、用户的端口标识P1、用户的虚拟LAN VLAN1、接收的用户IP地址IP1和该IP地址的租用时间间隔T1。当用户6发送消息时,交换机基于用户的端口标识P1和虚拟LAN VLAN1将发送帧中的用户源IP地址与过滤器9中指定的IP地址IP1作比较。如果具有正确的IP地址,则该帧通过过滤器,否则丢弃该帧。当超过租用时间间隔T1时,将用户标识和指定的用户IP地址IP1从过滤器(9)中删除。下面结合图5介绍上述过程的更多细节。
以如上所述的对应方式,利用用户6A的如下用户值动态配置IP过滤器9:端口标识P2、虚拟LAN VLAN2、分配的用户IP地址IP2和对应的租用时间间隔T2。
在一种选择中,可将静态分配的IP地址直接写入IP过滤器9。在另一种选择中,DHCP服务器具有为用户静态指定的IP地址。后一种情况,用户可发常规DHCP请求以获取静态IP地址。DHCP服务器记下该请求中用户的MAC地址,并且总是分配为用户静态指定的IP地址。当计算机上的应用不能利用DHCP请求获取IP地址时,可使用第一类型的静态指定的IP地址。
图2更详细地示出交换机5。IP过滤器9连接到交换机端口P1、P2、P3以及数据库7。IP过滤器9还连接到交换引擎8和分类器10。将用户的MAC地址MAC1、用户端口标识P1及虚拟LAN VLAN1存储在数据库7中。IP过滤器9具有有关可信DHCP服务器的列表以及用户表格,该列表和表格将结合图3来说明。分类器10检查发送的数据帧是来自用户还是去往用户,以及DHCP消息是DHCPACK消息还是一些其他DHCP消息。下面结合图5更详细地描述当用户6发出DHCP请求或者与网络2、业务提供方3交换消息时,各交换机部分7、8、9和10执行的操作。
如上所述,用用户值配置过滤器9。这些值存储在图3所示的过滤器表格TAB1中。在字段31中,存储不同用户6、6A的相应MAC地址MAC1和MAC2。字段32给出用户的端口号P1和P2,字段33给出用户虚拟LAN的标识VLAN1和VLAN2。字段34中写入了用户IP地址IP1和IP2,字段35中写入了地址租用时间间隔T1和T2。图6中示出了具有字段61、62、63的列表L1,这些字段用于各可信DHCP服务器4、4a、4b及其IP地址IP4、IP4a、IP4b。
网络1中的通信根据TCP/IP七层协议栈进行。图4示出根据IEEE802.1q标准的以太网帧FR1。该帧具有用于目的MAC地址的字段D1和用于源MAC地址的后一字段S1。该帧还具有指示该VLAN在用的字段TY2。字段VL1指出虚拟LAN标记涉及哪一个虚拟LAN。在本示例中,该标记是虚拟LAN标识,例如VLAN1和VLAN2。上述帧包括定义以太网帧类型的字段TY1。字段EPL1包含以太网净荷(其包括具有源IP地址和目的IP地址的IP首部IPH)、租用时间间隔和要发送的消息。
图5是描述交换机5执行的不同任务的实施例的流程图。在块501中,交换机接收输入帧,该任务由该块中的(1)表示。在块502中,执行任务(2),包括检查帧来自哪里。交换机具有用户端口P1、P2、P3和网络端口PN,并且检查在哪种类型的端口上收到上述帧。
在选择503中,输入帧从用户端口P1、P2或P3之一输入。然后在块504中执行任务(3),包括检查帧是否是DHCP消息。这是通过检查UDP消息中的源端口号和目的端口号来检查的(假设系统受限,使得仅DHCP消息可使用端口67和68)。如果DHCP消息检查失败,意味着有人正在使用端口67和68,则丢弃该消息。如果发现上述帧是DHCP消息,则根据选择YES1,由块505接受该帧。块505执行任务(6),任务(6)包括转发该帧,在本例中,将该帧转发到核心网2。如果帧不是DHCP消息,则根据选择NO1,在块506中执行任务(4)。任务(4)包括检查帧源信息是否有效。检查第二层源MAC地址、第三层IP地址、租用时间间隔以及实际情况中虚拟LAN的标识是否在实际端口上均有效。换句话说,在本实施例中,在表格TAB1中通过检查发现MAC地址MAC1、IP地址IP1、租用时间间隔T1和LAN标识VLAN1在端口P1上有效。在选择NO2中,检查任务(4)表示源信息无效,于是在块507中执行任务(5),任务(5)指丢弃帧。在对应于块506的选择YES2中,源信息有效,于是通过执行任务(6)在块505中接收帧。
块502具有任务(2),通过该任务(2),通过该任务可以在选择508中检测出帧从核心网2经端口PN输入。在块509中,执行任务(7),该任务(7)包括检查帧是否是DHCP消息。在选择NO3中,当帧不是DHCP消息时,在执行任务(6)的块505中接受该帧。在选择YES3中,当帧是DHCP消息时,在执行任务(8)的块510中检查该帧。该任务(8)包括判断DHCP消息是否来自有效的DHCP服务器(即存储在列表L1中的服务器)。在选择NO4中,服务器不是有效的,在执行任务(5)的块511中丢弃该帧。在另一种选择YES4中,服务器是有效的,在执行任务(9)的块512中执行检查。该检查包括判断该帧是否是DHCP确认消息。在选择NO5中,当帧不是确认消息时,在块505中接受该帧。在相反的选择YES5中,帧是确认帧。然后在执行任务(10)的块513中处理该帧。任务(10)包括将第三层IP地址和租用时间间隔添加到数据库7中。然后将有关用户的第二层源MAC地址、第三层IP地址、端口标识、租用时间间隔和虚拟LAN标识的信息插入表格TAB1中。然后接受所述帧(块505中的任务(6))。
图2显示了执行不同任务的交换机的各部分。IP过滤器9执行接收输入帧的步骤(1)、关注帧源信息的任务(4)、处理帧的丢弃的任务(5)、接受帧的任务(6)、判断DHCP服务器是否有效的任务(8)以及将值插入过滤器表格TAB1中的任务(10)。分类器10执行下列任务:检查帧来自哪里的任务(2)、检查帧是否是来自用户的DHCP消息的任务(3)、检查帧是否是来自核心网的DHCP消息的任务(7)以及检查帧是否是确认消息的任务(9)。
已经结合图1简要描述了当用户6获得IP地址IP1然后发送消息时的处理过程。下面结合图5首先更详细地描述获取所述地址的处理过程。
用户6发送DHCP发现消息M1,此消息由交换机5根据块501、任务(1)接收。在块502、任务(2)中,检查消息M1的来源并根据选择503确定端口P1。根据块504、任务(3)和选择YES1,消息M1是DHCP消息,在框505、任务(6)接受此消息并将其转发到核心网2。
DHCP服务器4、4a、4b中的一个或多个DHCP服务器返回带有所提供的IP地址的DHCP提供消息M2。根据块502、任务(1),接收消息M2,并在块502、任务(2)中检查该消息M2的来源。根据选择508确定端口PN,并在块509、任务(7)和选择YES3中指明消息M2是DHCP消息。根据块510、任务(8)和选择YES4,DHCP服务器4是有效的。在块512、任务(9)和选择NO5中,指出消息M2不是DHCP确认消息,在块506、任务(6)中,将DHCP提供消息M2转发给用户6。
现在用户6选择一个提供的IP地址,在本实施例中为来自服务器4的地址IP1。用户通过DHCP请求M3请求地址IP1,请求M3由交换机5根据块501、任务(1)接收。在块502、任务(2)中,检查消息M3的来源,并根据选择503确定端口P1。根据块504、任务(3)和选择YES1,消息M3是DHCP消息,在块505、任务(6)中接受此消息并将其转发到核心网2。
选择的一个DHCP服务器即服务器4返回DHCP确认消息M4,以确认提供的IP地址IP1。根据块501、任务(1),接收消息M4,并在块502、任务(2)中检查消息M4的来源。根据选择508确定端口PN,然后在块509、任务(7)和选择YES3中,指明消息M4是DHCP消息。根据块510、任务(8)和选择YES4,已发送消息M4的DHCP服务器4是有效的。在块512、任务(9)和选择YES5中,指出消息M4是DHCP确认消息(DHCPACK)。然后在块513、任务(10)中处理该消息M4,由此将有关用户的第二层源MAC地址MAC1、接收的第三层IP地址IP1、端口标识P1、虚拟LAN标识VLAN1和租用时间间隔T1插入表格TAB1中。由此接收了消息M4,并在块505、任务(6)中将确认消息M4转发给用户6。用户现在具有了有效的IP地址。
应该注意的是,用户(例如用户6)可合法地使用一个以上的IP地址。用户和运营商达成协议并以这种合法的方式得到对IP地址的其他预订。数据库7中记录了合法IP地址的数量。IP地址其本身是以与地址IP1相同的方式从可信服务器获得的,并记录在过滤器表格TAB1中。
用户6现在想要利用来自业务提供方3的业务,并发送图1中的消息M5。根据块501、任务(1),交换机5接收消息M5。在块502、任务(2)中,检查消息M5来自哪里。在选择503中,消息M5经用户端口P1输入。在块504、任务(3)中,检查消息M5是否是DHCP消息。当消息M5不是DHCP消息时,根据选择NO1,在表格TAB1中检查该消息M5,根据块506、任务(4),检查第二层源MAC地址MAC1、第三层IP地址IP1、租用时间间隔T1和虚拟LAN标识VLAN1在实际端口P1上是否全部有效。在选择YES2中,所述信息是有效的,于是在块505、任务(6)中接受消息M5。然后将消息M5转发到业务提供方3。
如果用户尝试发送作为消息的帧(类似图4中的帧FR1)并使用IP首部IPH中的无效IP地址IPX,这会在检查表格TAB1时揭示出来。根据选择NO2,随后在块507、任务(5)中丢弃帧FR1。上面提到的一个问题是如何防止用户6、6A大量尝试非法使用IP地址。此问题通过在IP过滤器9的任务(5)中包括计数器来解决。在图7中,示出了这种计数器C1的示意框图。该计数器具有字段71、72、73,这些字段中写入各用户端口P1、P2、P3及对应的错误尝试(即使用无效IP地址的尝试)的次数n。该计数器还具有比较元素79,其中写有允许的错误尝试次数N。在本示例中,端口P1上的用户6已经过一次错误的尝试。当丢弃具有无效地址的帧时,将消息F1发送到计数器C1中用于端口P1的字段71。在该字段中设置n=1,将其与N=10作比较,结果是不采取行动。端口P2上的用户6A已进行过n=11次错误尝试。由于该次数超过允许的次数N=10,因此生成告警消息W1。
图8中示出了交换机5中处理程序的备选实施例的流程图。在块801中,交换机接收输入帧,此任务由该块中的(1)表示。在块802中,执行任务(7b),包括检查该帧是否是DHCP帧,如果根据选择NO6该帧不是DHCP帧,则在块803中执行任务(4)。此任务包括检查帧源信息是否有效,它借助过滤器9中的表格TAB1来执行。如果根据选择NO7帧源信息无效,则在执行任务(5)的块804中丢弃该帧。相反,如果根据选择YES7帧源信息有效,则由块805中执行的任务(6)接受该帧。如果在块802中发现输入帧是DHCP帧(选择YES6),则任务(7b)包括检查帧来自哪一种类型的端口。在选择806中,DHCP帧通过用户端口P1、P2、P3之一输入,接着在块805中被接受。而在选择807中,DHCP帧通过上行端口PN输入。随后在块808中由任务(8)借助列表L1来检查该DHCP帧是否源自有效的DHCP服务器。在选择NO8中,服务器不是有效的,因此在执行任务(5)的块809中丢弃该帧。在选择YES8中,发现服务器有效,于是由块810中的任务(9)执行检查。该检查包括判断该帧是否是DHCP确认帧。如果根据选择NO9该帧不是DHCP确认帧,则在执行任务(6)的块811中接受该帧。在相反的选择YES9中,帧是DHCP确认帧,于是在执行任务(10)的块812中处理该帧。任务(10)包括将第三层IP地址和租用时间间隔添加到数据库7中。于是,有关第二层源MAC地址、第三层IP地址、端口标识、租用时间间隔和用户的虚拟LAN标识的信息被插入到表格TAB1中。该帧随后被接受(块811中的任务(6))。
下面将结合图8非常简要地描述用户6获取IP地址的过程。在发现阶段中,在块801中接收发现消息M1,并在块802中发现发现消息M1是DHCP消息。根据选择806,发现发现消息M1来自用户,于是在块805中接收消息M1。在块801中接收来自DHCP服务器的DHCP提供消息M2,在块802中发现该提供消息M2是DHCP消息,并且根据选择807发现该提供消息M2是响应消息。根据块808,该DHCP服务器是有效的服务器,根据块810,消息M2不是确认消息,在块811中将其接受,并转发给用户6。用户6选择地址IP1并通过在块801中接收的消息M3请求该地址IP1。在块802中,指明消息M3是来自用户的DHCP消息(对应于选择806),并在块805中接受消息M3。服务器获取消息M3并返回确认消息M4。在块801中,接收消息M4,在块802中,发现消息M4是DHCP消息,并且发现它是响应消息(对应于选择807)。在块808中发现消息源是有效的,并且发现消息M4是确认消息(对应于块810选择YES9)。在块812中,将地址IP1及其租用时间间隔T1添加到数据库7中,并填充IP过滤器中的表格TAB1。在块811接受消息M4,且用户6获得地址及其租用时间间隔T1。用户6拥有了有效的IP地址。
当用户6将消息M5发送到业务提供方3时,该消息在块801中被接收,并被发现不是DHCP消息(对应于块802选择NO6)。于是在块803中借助过滤器9中的表格TAB1检查帧源信息。如果有效(对应于选择YES7),则接受消息M5并将其发送给收件人。
Claims (10)
1.一种IP网络中的方法,所述网络包括交换节点(5)、至少一个DHCP服务器(4、4a、4b)以及与所述节点相关联的至少一个用户(6),所述方法包括以下步骤:
-创建所述DHCP服务器中的可信DHCP服务器的列表(L1);
-由所述用户(6)发送对IP地址的DHCP请求消息(M3);
-接收应答消息(M4),其携带指定的用户IP地址(IP1);
-分析(510,808,(8))所述应答消息为来自所述可信DHCP服务器(4)之一具有源地址(IP4)的DHCP消息;
-动态地更新(513,812,(10))所述节点(5)中的过滤器(9,TAB1),所述过滤器存储所述用户(6)的标识(MAC1,P1,VLAN1)和所述指定的用户IP地址(IP1);
-使用源IP地址(IPX)发送来自所述用户(6)的帧(FR1);
-在所述过滤器(9,TAB1)中将所述源IP地址与所述存储的用户IP地址(IP1)作比较;
-当所述源IP地址(IPX)与所述存储的用户IP地址(IP1)不同时,丢弃所述帧。
2.如权利要求1所述的IP网络中的方法,其特征在于:所述方法包括将用户MAC地址(MAC1)、用户物理端口号(P1)、用户虚拟LAN标识(VLAN1)和用于所述指定的用户IP地址(IP1)的租用时间间隔(T1)存储在所述过滤器(9,TAB1)中。
3.如权利要求1所述的IP网络中的方法,其特征在于:由所述DHCP服务器(4、4a、4b)静态分配并处理所述用户IP地址。
4.如权利要求2所述的IP网络中的方法,其特征在于:所述方法包括当超过所述租用时间间隔(T1)时,从所述过滤器(9,TAB1)中删除所述用户(6)的标识(MAC1,P1,VLAN1)和对应的指定的用户IP地址(IP1)。
5.如权利要求1、2、3或4所述的IP网络中的方法,其特征在于:所述方法包括:
-对所述用户(6A)尝试使用非法IP地址的次数(n)计数;
-将所述尝试次数(n)与阈值数(N)作比较(9,C1);
-当所述尝试次数超过阈值标准时,发送告警信号(W1)。
6.一种IP网络中的装置,所述IP网络中的装置(5)包括:
-用于用户(6,6A)的至少一个端口(P1,P2,P3);
-用于所述网络(1)中DHCP服务器的上行端口(PN);
-具有有关所述DHCP服务器(4,4a,4b)中的可信DHCP服务器的列表(L1)的过滤器(9),所述过滤器(9)与所述用于用户的至少一个端口(P1,P2,P3)和所述上行端口(PN)相关联;
-所述IP网络中的装置(5)配置为:
在所述用于用户的至少一个端口之一(P1)上接收用户IP地址请求消息(M3);将该消息(M3)分析为DHCP消息;以及在所述上行端口(PN)上发送该消息(M3);
在所述上行端口(PN)上接收应答消息(M4);将所述应答消息(M4)分析为具有来自所述列表(L1)上所述可信DHCP服务器之一的源IP地址(IP4)的DHCP消息;用所述用户(6)的标识和所述应答消息(M4)中对应的指定的用户IP地址(IP1)动态更新所述过滤器(9,TAB1);
在所述用于用户的至少一个端口之一(P2)上接收具有源IP地址(IPX)的帧(FR1);
在所述过滤器(9,TAB1)中将所述源IP地址(IPX)与所述对应的指定的用户IP地址(IP1)作比较;以及
在所述源IP地址(IPX)与所述对应的指定的用户IP地址(IP1)不同时丢弃所述帧(FR1)。
7.如权利要求6所述的IP网络中的装置,其特征在于:所述IP网络中的装置配置为:将用户MAC地址(MAC1)、用户物理端口号(P1)、用户虚拟LAN标识(VLAN1)和所述指定的用户IP地址(IP1)的租用时间间隔(T1)存储在所述过滤器(9,TAB1)中。
8.如权利要求6所述的IP网络中的装置,其特征在于:所述用户IP地址是由所述DHCP服务器(4,4a,4b)处理的静态分配的地址。
9.如权利要求7所述的IP网络中的装置,其特征在于:所述IP网络中的装置(5)配置为:当超过所述租用时间间隔(T1)时,从所述过滤器(9,TAB1)中删除所述用户MAC地址(MAC1)、用户物理端口号(P1)、用户虚拟LAN标识(VLAN1)和对应的指定的用户IP地址(IP1)。
10.如权利要求6、7、8或9所述的IP网络中的装置,其特征在于:所述过滤器(9)具有计数器(C1),所述计数器(C1)用于:对所述用于用户的至少一个端口之一(P2)上丢弃的帧(FR1)的数量(n)计数;将所述丢弃帧数量(n)与阈值数(N)作比较;并在所述丢弃帧数量超过阈值标准时发送告警信号(W1)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2002/002021 WO2004042999A1 (en) | 2002-11-06 | 2002-11-06 | Method and arrangement for preventing illegitimate use of ip addresses |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1695341A CN1695341A (zh) | 2005-11-09 |
| CN100490377C true CN100490377C (zh) | 2009-05-20 |
Family
ID=32310983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB028298543A Expired - Lifetime CN100490377C (zh) | 2002-11-06 | 2002-11-06 | 防止非法使用ip地址的方法和装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US7996537B2 (zh) |
| EP (3) | EP1559237B1 (zh) |
| CN (1) | CN100490377C (zh) |
| AT (1) | ATE552692T1 (zh) |
| AU (1) | AU2002347725A1 (zh) |
| DK (1) | DK2472823T3 (zh) |
| ES (2) | ES2433272T3 (zh) |
| WO (1) | WO2004042999A1 (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| USRE47253E1 (en) * | 2002-11-06 | 2019-02-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for preventing illegitimate use of IP addresses |
| US7577735B1 (en) * | 2002-11-27 | 2009-08-18 | Cisco Technology, Inc. | Transparent mode |
| CN1277373C (zh) * | 2003-05-07 | 2006-09-27 | 华为技术有限公司 | 网络通信系统中用户位置信息的传递方法 |
| US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
| US7876772B2 (en) | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
| US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
| US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
| EP1558002B1 (de) * | 2004-01-23 | 2008-10-08 | Siemens Aktiengesellschaft | Verfahren zur Zuordnung einer IP-Adresse zu einem Gerät |
| US20050262218A1 (en) * | 2004-04-30 | 2005-11-24 | Cox Gabriel C | System and method for DHCP-based assignment of IP addresses to servers based on geographic identifiers |
| CN101023647A (zh) * | 2004-09-20 | 2007-08-22 | 松下电器产业株式会社 | 返回路由的优化 |
| FR2881592A1 (fr) * | 2005-02-02 | 2006-08-04 | France Telecom | Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique |
| US7756976B2 (en) * | 2005-03-18 | 2010-07-13 | Hewlett-Packard Development Company, L.P. | Systems and methods for denying rogue DHCP services |
| US20060225128A1 (en) * | 2005-04-04 | 2006-10-05 | Nokia Corporation | Measures for enhancing security in communication systems |
| CN100442706C (zh) * | 2005-04-19 | 2008-12-10 | 华为技术有限公司 | 一种使维护节点标识与媒体访问控制地址对应的方法 |
| GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| JP4161981B2 (ja) * | 2005-05-31 | 2008-10-08 | ブラザー工業株式会社 | 通信装置、及び、プログラム |
| EP1739929B1 (en) * | 2005-06-29 | 2012-05-30 | Alcatel Lucent | Method to forward downstream message and network unit realizing said method |
| US7778250B2 (en) * | 2005-08-11 | 2010-08-17 | Ericsson Ab | Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation |
| CN101022472B (zh) * | 2006-02-13 | 2010-06-09 | 中兴通讯股份有限公司 | 一种对消息接口异常的预防保护方法 |
| CN1835514B (zh) * | 2006-03-31 | 2010-05-12 | 北京润汇科技有限公司 | Dhcp+客户端模式的宽带接入的管理方法 |
| CN101083670B (zh) * | 2006-06-02 | 2010-09-29 | 鸿富锦精密工业(深圳)有限公司 | 地址分配系统及方法 |
| JP4825724B2 (ja) * | 2006-06-09 | 2011-11-30 | 株式会社リコー | ネットワーク機器 |
| US8331266B2 (en) * | 2006-06-14 | 2012-12-11 | Nokia Siemens Networks Oy | LAN topology detection and assignment of addresses |
| CN101098290B (zh) * | 2006-06-29 | 2011-04-06 | 中兴通讯股份有限公司 | 一种在an上实现ip地址防欺骗的装置及其方法 |
| CN101471966B (zh) * | 2006-07-06 | 2011-07-20 | 华为技术有限公司 | 一种防止ip地址泄露的系统和设备 |
| US8625456B1 (en) * | 2006-09-21 | 2014-01-07 | World Wide Packets, Inc. | Withholding a data packet from a switch port despite its destination address |
| WO2008039148A1 (en) * | 2006-09-28 | 2008-04-03 | Packetfront Sweden Ab | Method for automatically providing a customer equipment with the correct service |
| US20080089323A1 (en) * | 2006-10-13 | 2008-04-17 | At&T Knowledge Ventures, L.P. | System and method for assigning virtual local area networks |
| EP2103075A1 (en) * | 2006-12-22 | 2009-09-23 | Telefonaktiebolaget LM Ericsson (PUBL) | Preventing spoofing |
| CN100563149C (zh) * | 2007-04-25 | 2009-11-25 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN100586106C (zh) * | 2007-05-22 | 2010-01-27 | 华为技术有限公司 | 报文处理方法、系统和设备 |
| JP5164450B2 (ja) * | 2007-06-28 | 2013-03-21 | キヤノン株式会社 | 通信装置及びその制御方法とプログラム |
| CN101115063B (zh) * | 2007-08-30 | 2011-11-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
| US20090086639A1 (en) * | 2007-09-27 | 2009-04-02 | Verizon Services Corp. | Testing dynamically addressed network devices |
| JP5104426B2 (ja) * | 2008-03-13 | 2012-12-19 | パナソニック株式会社 | 画像表示装置 |
| WO2011153679A1 (zh) * | 2010-06-07 | 2011-12-15 | 华为技术有限公司 | 业务配置方法、设备和系统 |
| JP5385872B2 (ja) | 2010-07-27 | 2014-01-08 | パナソニック株式会社 | 通信制御装置、通信システム及びプログラム |
| CN101984693A (zh) * | 2010-11-16 | 2011-03-09 | 中兴通讯股份有限公司 | 终端接入局域网的监控方法和监控装置 |
| CN103889345B (zh) | 2011-04-15 | 2016-10-19 | 心脏缝合有限公司 | 用于缝合解剖学瓣的缝合装置和方法 |
| US9819611B2 (en) * | 2012-03-12 | 2017-11-14 | Boobera Lagoon Technology, Llc | Network device and a method for networking |
| US8855117B2 (en) * | 2012-08-08 | 2014-10-07 | Cisco Technology, Inc. | Scalable media access control protocol synchronization techniques for fabric extender based emulated switch deployments |
| US8869275B2 (en) * | 2012-11-28 | 2014-10-21 | Verisign, Inc. | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks |
| US10277555B2 (en) * | 2014-07-18 | 2019-04-30 | Mitsubishi Electric Corporation | IP address distribution system, switch device, and IP address distribution method |
| WO2016148676A1 (en) | 2015-03-13 | 2016-09-22 | Hewlett Packard Enterprise Development Lp | Determine anomalous behavior based on dynamic device configuration address range |
| CN107046585A (zh) * | 2017-03-30 | 2017-08-15 | 百富计算机技术(深圳)有限公司 | Dhcp服务器选择方法和装置 |
| CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
| EP3713165B1 (en) * | 2017-12-11 | 2023-05-31 | Huawei Cloud Computing Technologies Co., Ltd. | Network and network management method |
| US11831420B2 (en) | 2019-11-18 | 2023-11-28 | F5, Inc. | Network application firewall |
| US20230412594A1 (en) * | 2022-06-20 | 2023-12-21 | Micro Focus Llc | Tying addresses to authentication processes |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0520709A3 (en) * | 1991-06-28 | 1994-08-24 | Digital Equipment Corp | A method for providing a security facility for remote systems management |
| US5826014A (en) | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
| US5884024A (en) | 1996-12-09 | 1999-03-16 | Sun Microsystems, Inc. | Secure DHCP server |
| US6374295B2 (en) * | 1998-10-29 | 2002-04-16 | Nortel Networks Limited | Active server management |
| US6839759B2 (en) * | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
| US6427170B1 (en) * | 1998-12-08 | 2002-07-30 | Cisco Technology, Inc. | Integrated IP address management |
| US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
| US7281036B1 (en) * | 1999-04-19 | 2007-10-09 | Cisco Technology, Inc. | Method and apparatus for automatic network address assignment |
| US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
| AU2001287257A1 (en) | 2000-03-20 | 2001-10-03 | At & T Corp. | Service selection in a shared access network using dynamic host configuration protocol |
| US20020065919A1 (en) * | 2000-11-30 | 2002-05-30 | Taylor Ian Lance | Peer-to-peer caching network for user data |
| US7127524B1 (en) * | 2000-12-29 | 2006-10-24 | Vernier Networks, Inc. | System and method for providing access to a network with selective network address translation |
| US7139818B1 (en) * | 2001-10-04 | 2006-11-21 | Cisco Technology, Inc. | Techniques for dynamic host configuration without direct communications between client and server |
| US7191331B2 (en) * | 2002-06-13 | 2007-03-13 | Nvidia Corporation | Detection of support for security protocol and address translation integration |
| US7139828B2 (en) * | 2002-08-30 | 2006-11-21 | Ip Dynamics, Inc. | Accessing an entity inside a private network |
| US7412515B2 (en) * | 2002-09-26 | 2008-08-12 | Lockheed Martin Corporation | Method and apparatus for dynamic assignment of network protocol addresses |
-
2002
- 2002-11-06 ES ES12162215T patent/ES2433272T3/es not_active Expired - Lifetime
- 2002-11-06 CN CNB028298543A patent/CN100490377C/zh not_active Expired - Lifetime
- 2002-11-06 AU AU2002347725A patent/AU2002347725A1/en not_active Abandoned
- 2002-11-06 EP EP02783924A patent/EP1559237B1/en not_active Expired - Lifetime
- 2002-11-06 EP EP12162215.3A patent/EP2472824B1/en not_active Expired - Lifetime
- 2002-11-06 US US10/531,753 patent/US7996537B2/en not_active Ceased
- 2002-11-06 WO PCT/SE2002/002021 patent/WO2004042999A1/en not_active Application Discontinuation
- 2002-11-06 EP EP12162190.8A patent/EP2472823B1/en not_active Expired - Lifetime
- 2002-11-06 AT AT02783924T patent/ATE552692T1/de active
- 2002-11-06 US US13/962,787 patent/USRE45445E1/en active Active
- 2002-11-06 ES ES02783924T patent/ES2384377T3/es not_active Expired - Lifetime
- 2002-11-06 DK DK12162190.8T patent/DK2472823T3/da active
Non-Patent Citations (2)
| Title |
|---|
| Authentication for DHCP Messages. R. Droms, W. Arbaugh,1-17,Network Working Group. 2001 |
| Authentication for DHCP Messages. R. Droms,W. Arbaugh,1-17,Network Working Group. 2001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2472823A1 (en) | 2012-07-04 |
| AU2002347725A1 (en) | 2004-06-07 |
| ATE552692T1 (de) | 2012-04-15 |
| ES2433272T3 (es) | 2013-12-10 |
| EP1559237A1 (en) | 2005-08-03 |
| WO2004042999A1 (en) | 2004-05-21 |
| DK2472823T3 (da) | 2013-12-16 |
| USRE45445E1 (en) | 2015-03-31 |
| EP2472824A1 (en) | 2012-07-04 |
| EP2472824B1 (en) | 2013-09-18 |
| CN1695341A (zh) | 2005-11-09 |
| US7996537B2 (en) | 2011-08-09 |
| US20060155853A1 (en) | 2006-07-13 |
| EP1559237B1 (en) | 2012-04-04 |
| ES2384377T3 (es) | 2012-07-04 |
| EP2472823B1 (en) | 2013-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100490377C (zh) | 防止非法使用ip地址的方法和装置 | |
| US7139818B1 (en) | Techniques for dynamic host configuration without direct communications between client and server | |
| CN101827134B (zh) | 自动释放为宽带接入网内的用户设备保留的资源 | |
| US7320070B2 (en) | Methods and apparatus for protecting against IP address assignments based on a false MAC address | |
| US5884024A (en) | Secure DHCP server | |
| EP1986386B1 (en) | A method for binding the address of the user terminal in the access equipment | |
| US20090172156A1 (en) | Address security in a routed access network | |
| KR100859712B1 (ko) | 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 | |
| US20040003292A1 (en) | User identifying technique on networks having different address systems | |
| CN100546304C (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
| CN110493366B (zh) | 一种接入点加入网络管理的方法及装置 | |
| CN101421999A (zh) | 网络设备、网络系统、IPv6地址分配方法及网络设备管理方法 | |
| KR100807933B1 (ko) | 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체 | |
| US20070014301A1 (en) | Method and apparatus for providing static addressing | |
| CN101771614A (zh) | 一种dhcp路径追踪方法及一种dhcp中继设备 | |
| JPH10136006A (ja) | 大都市圏ネットワーク、ネットワーク・ヘッドエンド、ネットワークに加入者端末を加える方法及び装置 | |
| CN111107171A (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
| JP3483782B2 (ja) | 電子データの追跡システム及びデータ中継装置 | |
| KR100591554B1 (ko) | 네트워크 자원 관리 정책에 따른 통신 제어 방법 | |
| US20070133529A1 (en) | Method of providing multicast services in virtual private LAN | |
| CN108093091A (zh) | 一种获取主机附加信息的方法和代理设备 | |
| JP2002064525A (ja) | スイッチングハブ及びネットワーク管理装置 | |
| CN112583627A (zh) | 一种组网拓扑结构展示方法及装置 | |
| WO2001075626A9 (en) | Bridge configuration over ip/web | |
| JP2004240819A (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090520 |