CN101150582A - 分配配置信息的方法和设备 - Google Patents
分配配置信息的方法和设备 Download PDFInfo
- Publication number
- CN101150582A CN101150582A CNA200710176164XA CN200710176164A CN101150582A CN 101150582 A CN101150582 A CN 101150582A CN A200710176164X A CNA200710176164X A CN A200710176164XA CN 200710176164 A CN200710176164 A CN 200710176164A CN 101150582 A CN101150582 A CN 101150582A
- Authority
- CN
- China
- Prior art keywords
- configuration information
- access control
- media access
- module
- preliminary treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种分配配置信息的方法和设备,属于通信领域。所述方法包括:接收用户发送的配置请求,转发所述配置请求到服务器;接收所述服务器发送的配置信息,从所述配置信息中提取用户的媒体接入控制地址;检查预处理表中是否记录所述媒体接入控制地址,如果是,转发所述配置信息;否则,将所述媒体接入控制地址记录在所述预处理表中,拒绝所述用户的配置请求。所述设备包括:存储模块、接收与转发模块、提取模块、检查模块、第一处理模块、第二处理模块。本发明通过先拒绝用户的第一次DHCP申请,当用户再次发送DHCP申请时,才转发服务器对该用户的DHCP配置信息,从而能够过滤掉恶意的DHCP攻击。
Description
技术领域
本发明涉及通信领域,特别涉及一种分配配置信息的方法和设备。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是在BOOTP(BootstrapProtocol,引导协议)的基础上提出的,其作用是在TCP(Transmission Control Protocol,传输控制协议)/IP网络中向Internet主机提供配置信息。该协议采用UDP(User DatagramProtocol,用户数据报协议)进行封装,基于Client/Server(客户端/服务器)模式进行工作,其中,DHCP Server(DHCP服务器)提供DHCP服务,根据客户端的请求,为客户端分配IP地址,DHCP服务器可以通过路由器、三层交换机或者专门的服务器实现;DHCP Client(DHCP客户端)可以是客户主机或者其他能够获取IP地址的三层设备。工作时,由客户端向服务器提出配置申请,申请的配置信息包括分配的IP地址、子网掩码、缺省网关等参数,服务器根据策略返回相应的配置信息。
DHCP存在以下缺点和漏洞:
1)DHCP Server的安全性较差,很容易遭到非法用户的恶意攻击;
2)如用户大量发送非法DHCP报文时,造成DHCP Server的IP地址的耗尽;
以上缺点在普通交换机上无法解决,会给整个网络安全带来很大的隐患。
针对上述DHCP的缺点,现有技术提供了一种基于DHCP安全特性的分配配置信息的方法,用以减少或消除DHCP协议所带来的隐患,一定程度地降低目前存在的攻击风险,参见图1,为现有技术提供的为合法用户分配配置信息的信息交互图。具体实现DHCP申请的过程如下:
用户经过传输设备广播发送请求配置的DISCOVER广播报文,请求租用IP地址。
接收到DISCOVER广播报文并能提供IP地址的服务器,通过传输设备向用户回应OFFER报文。
用户选择第一个收到的OFFER报文,并广播一个REQUEST消息报文,表示已经接受了一个服务器提供的IP地址。
当服务器收到该REQUEST消息报文后,如果拒绝该用户的配置申请,传输设备转发服务器发送的NAK报文,拒绝用户的配置请求,用户在被拒绝后,回退到初始状态。否则,传输设备根据服务器发送的ACK(Acknowledgement,确认)报文生成DHCP安全绑定关系表项,并转发ACK报文,用户通过ACK报文获取IP地址和其它配置信息(协议类型等),获取到IP地址和其它配置信息后,用户就可以发送三层报文。
同时,传输设备通过DHCP Snooping(DHCP侦听)监听DHCP协议报文,建立一个MAC(Media Access Control,媒体接入控制地址)、IP地址、VLAN(Virtual Local Area Network,虚拟局域网)标识的DHCP安全绑定关系表项。
其中,ARP(Address Resolution Protocol,地址解析协议)报文和IP报文都会先根据DHCP安全特性提供的绑定关系表项对IP地址、MAC地址和VLAN标识匹配进行合法性检查,如果根据三者对应的关系在DHCP安全绑定关系表项中找不到匹配项时,IP/ARP报文将被丢弃。
上述方法在一定程度上降低了非法用户的仿冒问题,但是,非法用户通过恶意攻击,使用同一个MAC地址发送大量的DHCP请求报文,即REQUEST消息报文,传输设备会对每个DHCP请求报文生成一个DHCP安全绑定关系表项,从而耗尽传输设备的DHCP安全绑定关系表项资源,当DHCP安全绑定关系表项超过系统限制时,容易引发合法用户无法通过DHCP Snooping生成DHCP安全绑定关系表项,进而阻塞合法用户获取IP地址等配置信息,造成网络瘫痪。
针对上述这种DHCP攻击,现有技术提供了另一种设置MAC地址限制的方法。这种方法中的传输设备收到DHCP请求报文后,会先检查该DHCP请求报文中的MAC地址是否已经生成了DHCP安全绑定关系表项,如果已经生成了DHCP安全绑定关系表项,则丢弃该DHCP请求报文。这样,只有当不同的源MAC地址才可能从DHCP Server上申请到IP地址等配置信息。然而,攻击者会发送变化源MAC地址的DHCP请求报文,如果限制了MAC地址数目,在变化源MAC地址的DHCP请求报文达到一定数目后,将不能再生成DHCP安全绑定关系表项,后续的所有DHCP请求报文将被丢弃。直到一段时间后,传输设备的MAC地址表项老化,携带新MAC地址的DHCP请求报文才得以转发。
发明人在实现本发明的过程中,发现上述通过限制源MAC地址的方法至少存在以下问题:
对MAC地址数量进行限制,本意不是用在DHCP请求报文防攻击上,因此一般允许传输设备设置较大MAC地址数量的限制值,这样可能超出DHCP安全绑定关系表项的数量,对DHCP攻击无法起到应有的防护;
超出MAC地址数量限制后,包括合法用户在内的所有DHCP请求报文都将被丢弃,将导致合法用户无法使用网络。
发明内容
为了保护合法用户的DHCP申请,本发明实施例提供了一种分配配置信息的方法和设备。所述技术方案如下:
一种分配配置信息的方法,所述方法包括:
接收用户发送的配置请求,转发所述配置请求到服务器;
接收所述服务器发送的配置信息,从所述配置信息中提取所述用户的媒体接入控制地址;
检查预处理表中是否记录所述媒体接入控制地址,如果是,转发所述配置信息;否则,将所述媒体接入控制地址记录在所述预处理表中,拒绝所述用户的配置请求。
本发明实施例还提供了一种分配配置信息的设备,所述设备包括:
存储模块,用于存储预处理表,所述预处理表用于记录媒体接入控制地址;
接收与转发模块,用于接收用户发送的配置请求,转发所述配置请求到服务器;以及接收所述服务器发送的配置信息;
提取模块,用于从所述接收与转发模块接收的配置信息中提取用户的媒体接入控制地址;
检查模块,用于检查所述存储模块中的预处理表中是否记录所述提取模块提取的媒体接入控制地址;
第一处理模块,用于当所述检查模块的检查结果是所述预处理表中记录了所述媒体接入控制地址时,转发所述接收与转发模块接收的配置信息;
第二处理模块,用于当所述检查模块的检查结果是所述预处理表中没有记录所述媒体接入控制地址时,将所述媒体接入控制地址记录在所述预处理表中,拒绝所述用户的配置请求。
本发明实施例提供的技术方案的有益效果是:
通过在DHCP申请过程中,先拒绝用户的第一次DHCP申请,当用户再次发送DHCP申请时,才转发服务器对该用户的DHCP配置信息,从而使得用户获得相应的配置信息,从而能够过滤掉恶意的DHCP攻击,不需要限制MAC地址的数目。
附图说明
图1是现有技术提供的为合法用户分配配置信息的信息交互图;
图2是本发明实施例1提供的分配配置信息的方法流程图;
图3是本发明实施例1提供的分配配置信息的信息交互图;
图4是本发明实施例2提供的分配配置信息的设备示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例通过先拒绝用户的第一次DHCP申请,当用户再次发送DHCP申请时,才转发服务器对该用户的DHCP配置信息,从而使用户获得相应的配置信息。
实施例1
本发明实施例提供了一种分配配置信息的方法,包括:
接收用户发送的配置请求,转发配置请求到服务器;
接收服务器发送的配置信息,从配置信息中提取用户的媒体接入控制地址;
检查预处理表中是否记录媒体接入控制地址,如果是,转发配置信息;否则,将媒体接入控制地址记录在预处理表中,拒绝用户的配置请求。
参见图2和图3,其中,图2为本发明实施例提供的分配配置信息的方法流程图,图3为图2的信息交互图。本实施例中,分配配置信息的方法的具体步骤如下:
步骤101:用户广播发送DISCOVER广播报文。
其中,用户广播发送DISCOVER广播报文请求获取配置信息,获取到配置信息后用户将可以发送三层报文。本实施例的配置信息以获取IP地址为例进行说明。
步骤102:传输设备接收用户发送的DISCOVER广播报文并转发至服务器。
其中,该传输设备为使能DHCP Snooping安全特性的设备,并启动DHCP PROXY(代理)功能。
步骤103:接收到DISCOVER广播报文的服务器返回OFFER报文。
其中,服务器能够接收到DISCOVER广播报文并且能够提供IP地址。
步骤104:传输设备接收服务器返回的OFFER报文并转发至用户。
步骤105:用户选择一个收到的OFFER报文后,广播发送REQUEST消息报文。
其中,REQUEST消息报文表示用户接受了一个服务器提供的IP地址,该消息报文中携带有所接受的IP地址和服务器的IP地址信息。举例来说,用户可以在收到第一个OFFER报文后,发送REQUEST消息报文。发送REQUEST消息报文时,也可以选择采用单播方式发送。
步骤106:传输设备接收用户发送的REQUEST消息报文并转发至服务器。
步骤107:传输设备接收服务器返回的ACK报文。
其中,该ACK报文中携带有IP地址和用户的MAC地址信息。
步骤108:传输设备提取ACK报文中携带的用户的MAC地址,判断该MAC地址是否在预处理表中存在记录,如果是,执行步骤109;否则,执行步骤111。
步骤109:传输设备向用户转发ACK报文,删除预处理表中记录的MAC地址。
传输设备转发ACK报文时,也可以根据ACK报文生成有效的DHCP安全绑定关系表项,将IP地址和MAC地址记录到DHCP安全绑定关系表项中。
步骤110:用户通过接收的ACK报文获取IP配置,发送三层报文。
步骤111:传输设备将该用户的MAC地址记录在预处理表中,向用户发送NAK报文,并向服务器发送RELEASE报文。
其中,通过向用户发送NAK报文来拒绝用户的DHCP请求,向服务器发送RELEASE报文来释放服务器的配置信息。合法用户在收到NAK报文后,回到初始状态,重起DHCP申请过程。
进一步,为了节约占用的内存资源,还可以包括:传输设备记录当前系统时间,如果在预设时间内没有收到携带该用户的MAC地址的配置信息,则删除记录的MAC地址信息和系统时间。例如,考虑到网络延迟和启用重传配置时间的的个体差异,预设时间可以为30秒,与传输设备的定时周期一致。
采用上述方法时,一般来说,合法用户对于不成功的DHCP请求会再次发起携带同一用户的MAC地址的配置请求,而攻击者对于不成功的DHCP请求不会再次发起携带同一个MAC地址的配置请求,而是继续下一个MAC地址的申请配置请求。
本实施例通过先拒绝用户的第一次DHCP申请,当用户再次发送DHCP申请时,才转发服务器对该用户的DHCP配置信息,从而使得用户获得相应的配置信息,从而能够过滤掉恶意的DHCP攻击,不需要限制MAC地址的数目。
实施例2
参见图4,为本发明实施例提供的分配配置信息的设备的示意图。本发明实施例提供了一种分配配置信息的设备,包括:
存储模块201,用于存储预处理表,预处理表用于记录媒体接入控制地址;
接收与转发模块202,用于接收用户发送的配置请求,转发配置请求到服务器;以及接收服务器发送的配置信息;
提取模块203,用于从接收与转发模块202接收的配置信息中提取用户的媒体接入控制地址;
检查模块204,用于检查存储模块201中的预处理表中是否记录提取模块203提取的媒体接入控制地址;
第一处理模块205,用于当检查模块204的检查结果是预处理表中记录了媒体接入控制地址时,转发接收与转发模块202接收的配置信息;
第二处理模块206,用于当检查模块204的检查结果是预处理表中没有记录媒体接入控制地址时,将媒体接入控制地址记录在预处理表中,拒绝用户的配置请求。
进一步,上述设备还包括:
记录模块,用于当检查模块204的检查结果是预处理表中记录了媒体接入控制地址时,生成安全绑定关系表项,记录接收与转发模块202接收的配置信息和对应的媒体接入控制地址。
为了避免占用服务器资源造成资源浪费,上述设备还包括:
通知模块,用于当检查模块204的检查结果是预处理表中没有记录媒体接入控制地址时,通知服务器释放配置信息。
为了节约分配配置信息的设备的内存资源,该设备还包括:
时间记录模块,用于在预处理表中记录当前系统时间;
预处理表更新模块,用于如果预设时间内没有收到媒体接入控制地址的配置信息,删除预处理表中记录的媒体接入控制地址和系统时间。
删除模块,用于当第一处理模块205转发接收与转发模块202接收的配置信息时,删除预处理表中的媒体接入控制地址。
本发明实施例中的设备通过先拒绝用户的第一次DHCP申请,当用户再次发送DHCP申请时,才转发服务器对该用户的DHCP配置信息,从而使得用户获得相应的配置信息,并且,能够主动过滤掉恶意的DHCP攻击,不需要限制MAC地址的数目。
以上实施例提供的技术方案中部分步骤可以通过软件实现,软件存储在可读取的存储介质上,如计算机的软盘,硬盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种分配配置信息的方法,其特征在于,所述方法包括:
接收用户发送的配置请求,转发所述配置请求到服务器;
接收所述服务器发送的配置信息,从所述配置信息中提取所述用户的媒体接入控制地址;
检查预处理表中是否记录所述媒体接入控制地址,如果是,转发所述配置信息;否则,将所述媒体接入控制地址记录在所述预处理表中,拒绝所述用户的配置请求。
2.如权利要求1所述的分配配置信息的方法,其特征在于,所述方法还包括:
当检查到所述预处理表中记录有所述媒体接入控制地址时,生成安全绑定关系表项,记录所述配置信息和对应的媒体接入控制地址。
3.如权利要求1所述的分配配置信息的方法,其特征在于,所述方法还包括:
当检查到所述预处理表中没有记录所述媒体接入控制地址时,通知所述服务器释放所述配置信息。
4.如权利要求1所述的分配配置信息的方法,其特征在于,所述方法还包括:
记录当前系统时间,如果预设时间内没有收到携带所述媒体接入控制地址的配置信息,删除记录的所述媒体接入控制地址和系统时间。
5.如权利要求4所述的分配配置信息的方法,其特征在于,所述预设时间为30秒。
6.如权利要求1所述的分配配置信息的方法,其特征在于,所述转发所述配置信息的步骤之后,还包括:
删除所述预处理表中记录的所述媒体接入控制地址。
7.一种分配配置信息的设备,其特征在于,所述设备包括:
存储模块,用于存储预处理表,所述预处理表用于记录媒体接入控制地址;
接收与转发模块,用于接收用户发送的配置请求,转发所述配置请求到服务器;以及接收所述服务器发送的配置信息;
提取模块,用于从所述接收与转发模块接收的配置信息中提取用户的媒体接入控制地址;
检查模块,用于检查所述存储模块中的预处理表中是否记录所述提取模块提取的媒体接入控制地址;
第一处理模块,用于当所述检查模块的检查结果是所述预处理表中记录了所述媒体接入控制地址时,转发所述接收与转发模块接收的配置信息;
第二处理模块,用于当所述检查模块的检查结果是所述预处理表中没有记录所述媒体接入控制地址时,将所述媒体接入控制地址记录在所述预处理表中,拒绝所述用户的配置请求。
8.如权利要求7所述的分配配置信息的设备,其特征在于,所述设备还包括:
记录模块,用于当所述检查模块的检查结果是所述预处理表中记录了所述媒体接入控制地址时,生成安全绑定关系表项,记录所述接收与转发模块接收的配置信息和对应的媒体接入控制地址。
9.如权利要求7所述的分配配置信息的设备,其特征在于,所述设备还包括:
通知模块,用于当所述检查模块的检查结果是所述预处理表中没有记录所述媒体接入控制地址时,通知所述服务器释放所述配置信息。
10.如权利要求7所述的分配配置信息的设备,其特征在于,所述设备还包括:
时间记录模块,用于在所述预处理表中记录当前系统时间;
预处理表更新模块,用于如果预设时间内没有收到所述媒体接入控制地址的配置信息,删除所述预处理表中记录的所述媒体接入控制地址和系统时间。
11.如权利要求7所述的分配配置信息的设备,其特征在于,所述设备还包括:
删除模块,用于当所述第一处理模块转发所述接收与转发模块接收的配置信息时,删除所述预处理表中的所述媒体接入控制地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200710176164XA CN101150582A (zh) | 2007-10-22 | 2007-10-22 | 分配配置信息的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200710176164XA CN101150582A (zh) | 2007-10-22 | 2007-10-22 | 分配配置信息的方法和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101150582A true CN101150582A (zh) | 2008-03-26 |
Family
ID=39250920
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200710176164XA Pending CN101150582A (zh) | 2007-10-22 | 2007-10-22 | 分配配置信息的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101150582A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
CN102638390A (zh) * | 2012-01-18 | 2012-08-15 | 神州数码网络(北京)有限公司 | 基于dhcp snooping的三层交换装置及方法 |
CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
CN106899456A (zh) * | 2017-03-14 | 2017-06-27 | 深圳市友华通信技术有限公司 | 一种链路检测与修复的实现方法 |
CN107888713A (zh) * | 2016-09-30 | 2018-04-06 | 中兴通讯股份有限公司 | 一种动态分配mac地址的方法、装置以及接入设备 |
CN108270615A (zh) * | 2017-12-25 | 2018-07-10 | 深圳市泰信通信息技术有限公司 | 基于sdn网络控制器的网络设备开局方法、装置及设备 |
-
2007
- 2007-10-22 CN CNA200710176164XA patent/CN101150582A/zh active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
WO2012163215A1 (zh) * | 2011-11-16 | 2012-12-06 | 华为技术有限公司 | 一种DHCPSnooping绑定表生成的方法、装置、设备及系统 |
CN102413044B (zh) * | 2011-11-16 | 2015-02-25 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
US9883010B2 (en) | 2011-11-16 | 2018-01-30 | Huawei Technologies Co., Ltd. | Method, apparatus, device and system for generating DHCP snooping binding table |
CN102638390A (zh) * | 2012-01-18 | 2012-08-15 | 神州数码网络(北京)有限公司 | 基于dhcp snooping的三层交换装置及方法 |
CN106487742A (zh) * | 2015-08-24 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
CN106487742B (zh) * | 2015-08-24 | 2020-01-03 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
CN107888713A (zh) * | 2016-09-30 | 2018-04-06 | 中兴通讯股份有限公司 | 一种动态分配mac地址的方法、装置以及接入设备 |
CN107888713B (zh) * | 2016-09-30 | 2021-10-01 | 中兴通讯股份有限公司 | 一种动态分配mac地址的方法、装置以及接入设备 |
CN106899456A (zh) * | 2017-03-14 | 2017-06-27 | 深圳市友华通信技术有限公司 | 一种链路检测与修复的实现方法 |
CN108270615A (zh) * | 2017-12-25 | 2018-07-10 | 深圳市泰信通信息技术有限公司 | 基于sdn网络控制器的网络设备开局方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102316101B (zh) | 一种基于dhcp snooping的安全接入方法 | |
US7263559B2 (en) | Method for preventing IP address cheating in dynamic address allocation | |
CN100546304C (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
WO2004032421A1 (fr) | Procede d'adjonction de dispositifs a un systeme de gestion | |
CN101741702B (zh) | 实现arp请求广播限制的方法和装置 | |
CN101471966B (zh) | 一种防止ip地址泄露的系统和设备 | |
CN101150582A (zh) | 分配配置信息的方法和设备 | |
WO2009030173A1 (fr) | Procédé de traitement et dispositif pour la configuration de raccordement qinq | |
WO2011140795A1 (zh) | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 | |
WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
WO2007093100A1 (en) | A method for binding the address of the user terminal in the access equipment | |
CN101453495A (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
US20130290561A1 (en) | Method and device for providing user information to cgn device | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
CN102325202A (zh) | 一种用户地址表管理方法和设备 | |
CN102546429B (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
CN101098290B (zh) | 一种在an上实现ip地址防欺骗的装置及其方法 | |
CN100362800C (zh) | 一种通过数据报文触发用户终端上线的方法 | |
JP2001326696A (ja) | アクセス制御方法 | |
CN100525179C (zh) | 一种防止ip地址泄露的方法 | |
CN101146103A (zh) | 一种可实现宽带接入设备安全防护稳定性的方法 | |
WO2012088934A1 (zh) | 一种报文过滤方法和交换设备 | |
CN101945053B (zh) | 一种报文的发送方法和装置 | |
CN101094235A (zh) | 一种防止地址解析协议攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080326 |