CN101321102A - Dhcp服务器的检测方法与接入设备 - Google Patents
Dhcp服务器的检测方法与接入设备 Download PDFInfo
- Publication number
- CN101321102A CN101321102A CNA2007101117741A CN200710111774A CN101321102A CN 101321102 A CN101321102 A CN 101321102A CN A2007101117741 A CNA2007101117741 A CN A2007101117741A CN 200710111774 A CN200710111774 A CN 200710111774A CN 101321102 A CN101321102 A CN 101321102A
- Authority
- CN
- China
- Prior art keywords
- request message
- dhcp request
- dhcp
- dynamic host
- host configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种DHCP服务器的检测方法,包括如下步骤:接入设备向用户终端侧设备发送DHCP请求报文;接入设备接收到用户终端侧设备对该DHCP请求报文的响应报文时,判断该发送响应报文的用户终端侧设备为DHCP服务器。本发明还公开了一种用于DHCP服务器检测的接入设备。通过使用本发明,实现了网络中的接入设备在不支持ACL功能的情况下,仍可以检测和防范非法DHCP服务器的欺骗攻击。同时,可以通过特定的设置,避免被非法DHCP服务器的策略过滤。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种DHCP服务器的检测方法与接入设备。
背景技术
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常会出现计算机位置变化(如便携机或无线网络)的情况,而一台计算机需要有正确的网络配置才能够访问网络。为满足这些需求,动态主机配置协议DHCP(Dynamic Host Configuration Protocol)不断发展起来。DHCP是用来自动的给连入网络的计算机进行动态网络配置的通信协议。其采用客户端/服务器(Client/Server)的方式工作,DHCP Client向DHCP Server动态地请求配置信息,DHCP Server根据策略返回相应的配置信息。
DHCP客户端首次登录网络时,与DHCP服务器进行交互的流程如图1所示,包括:
步骤s101、客户端以广播方式发送DHCP DISCOVER报文。
此步骤为DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP DISCOVER报文,寻找网络中可以使用的DHCP服务器。
步骤s102、DHCP服务器向客户端发送DHCP OFFER报文。
DHCP服务器接收到客户端的DHCP DISCOVER报文后,从IP地址池中挑选一个尚未分配的IP地址分配给客户端,向该客户端发送包括出租IP地址和其它设置的DHCP OFFER报文。
步骤s103、客户端以广播方式发送DHCP REQUEST报文。
如果客户端接收到多台DHCP服务器发送的DHCP OFFER报文,则选择其中的一个DHCP服务器作为选定的DHCP服务器,然后以广播方式向各DHCP服务器回应DHCP REQUEST报文,该报文中包括所选定的DHCP服务器的标识,以及向所选定的DHCP服务器请求IP地址的内容。
步骤s104、DHCP服务器向客户端发送DHCPACK报文。
客户端所选定的DHCP服务器接收到DHCP客户端发送的DHCPREQUEST报文后,向客户端发送包括所提供的IP地址和其它设置的DHCPACK报文。然后,DHCP客户端将其TCP/IP协议组件与网卡绑定。除客户端选中的DHCP服务器外,其它DHCP服务器本次未分配出的IP地址仍可用于其他客户端的IP地址申请。
在上图所描述的目前通用的DHCP协议运作机制中,服务器和客户端间并没有认证机制,因此客户端无法判断网络中的DHCP服务器是否为非法的仿冒DHCP服务器。例如网络中的客户端A发送DHCP DISCOVER报文时,网络中客户端B上运行的仿冒DHCP服务器会向客户端A响应DHCP OFFER报文。这些仿冒DHCP服务器可能会提供的错误信息,导致用户虽然申请到IP地址但无法正常连接网络;或仿冒DHCP服务器恶意的为用户分配一个经过修改的DNS Server,将用户引导到一个假的网站并骗取用户信息,给用户造成损失。
目前防范上述仿冒DHCP服务器的方法主要为通过DHCP Snooping trust(DHCP窥探信任)功能。为了使用户通过合法的DHCP服务器获取IP地址,DHCP Snooping trust功能允许将接入层设备的端口设置为信任端口与非信任端口。对于经过信任端口的、从DHCP服务器接收到的报文允许通过;对于经过非信任端口的、从DHCP服务器接收到的报文则进行截获并丢弃。以上在信任端口与非信任端口进行的报文过滤设置是通过ACL(Access ControlList,访问控制列表)功能实现的。网络设备通过ACL功能在不同的端口配置不同的匹配规则,在识别出符合匹配规则的特定报文时,根据预先设定的策略允许或禁止该特定报文通过。
由以上分析可知,目前的网络设备需要使用DHCP Snooping trust功能时必须能够支持ACL功能。而在不支持ACL的交换机等接入层设备上则无法使用此种方法进行仿冒DHCP服务器的防范处理。
发明内容
本发明要解决的问题是提供一种DHCP服务器的检测方法,以实现接入设备在不支持ACL功能时,仍可以对网络中存在的非法DHCP服务器进行检测和防范。
为达到上述目的,本发明提供一种DHCP服务器的检测方法,包括如下步骤:
接入设备向用户终端侧设备发送DHCP请求报文;
所述接入设备接收到所述用户终端侧设备对所述DHCP请求报文的响应报文时,判断所述发送响应报文的用户终端侧设备为DHCP服务器。
其中,所述接入设备向用户终端侧设备发送DHCP请求报文的步骤具体为:
接入设备向自身设备中连接用户终端侧设备的至少一个端口广播DHCP请求报文。
其中,所述接入设备定时广播所述DHCP请求报文,且对于不同的端口所采用的时间间隔相同或不同。
其中,所述接入设备多次广播DHCP请求报文时,所述多次广播的DHCP请求报文中的XID字段不完全相同。
其中,所述接入设备发送DHCP请求报文时,将所述DHCP请求报文的源链路层地址设置为与自身设备的链路地址相同的地址,或将所述DHCP请求报文的源链路层地址设置为与自身设备的链路地址不同的地址。
其中,所述DHCP请求报文的源链路层地址与自身设备的链路地址不同时,所述DHCP请求报文的chaddr字段与所述修改后的源链路层地址一致。
其中,所述接入设备多次发送DHCP请求报文时,所述多次发送的DHCP请求报文中的源链路层地址不完全相同。
其中,其特征在于,所述DHCP请求报文为DHCP DISCOVER报文或DHCP REQUEST报文;所述响应报文为DHCP OFFER报文或DHCP ACK报文。
其中,所述接入设备判断DHCP服务器非法后,还包括步骤:
所述接入设备自动关闭与所述非法DHCP服务器连接的端口;
所述接入设备向网络管理设备发送告警消息。
本发明还提供一种接入设备,包括
发送单元,用于向用户终端侧设备发送DHCP请求报文;
接收单元,用于接收网络中用户终端侧设备对所述DHCP请求报文的响应报文,并将所述响应报文发送到所述判断单元;
判断单元,用于接收到所述接收单元发送的响应报文时,判断发送响应报文的用户终端侧设备为DHCP服务器。
其中,还包括:
定时单元,用于对所述发送单元发送DHCP请求报文的时间间隔进行设置;对于不同的端口,所述发送时间间隔相同或不同。
其中,还包括:
发送设置单元,用于对所述发送单元发送的DHCP请求报文进行设置,所述设置包括源链路层地址的设置、DHCP请求报文中chaddr字段的设置、以及XID字段的设置中的一种或多种;
接收设置单元,用于根据所述发送设置单元设置的DHCP请求报文中chaddr字段,设置所述接收单元发送给所述判断单元的响应报文的类型。
与现有技术相比,本发明具有以下优点:
实现了网络中的接入设备在不支持ACL功能的情况下,仍可以检测和防范非法DHCP服务器的欺骗攻击。同时,可以通过特定的设置,避免被非法DHCP服务器的策略过滤。
附图说明
图1是现有技术中客户端首次登录网络时与DHCP服务器进行交互的流程图;
图2是本发明的实施例一中DHCP服务器的检测方法的流程图;
图3是现有技术中DHCP请求报文的报文头的格式示意图;
图4是本发明的实施例三中DHCP服务器的检测方法的信令流程图;
图5是本发明的实施例四中接入设备的结构示意图。
具体实施方式
本发明的核心思想在于,由接入设备主动向用户终端侧设备发送DHCP请求报文,并根据用户终端侧设备对该DHCP请求报文的响应,检测网络中是否存在DHCP服务器。
下面结合具体实施例对本发明作详细说明。
本发明实施例一
本发明的实施例一中,以接入设备为交换机为例,一种DHCP服务器的检测方法如图2所示,包括以下步骤:
步骤s201、向用户终端侧设备发送DHCP请求报文。
此步骤中,交换机发送的请求报文包括DHCP DISCOVER报文和DHCPREQUEST报文。同时,在交换机上使用交换机本机的链路地址,如以太网的MAC(Media Access Control,介质接入控制)地址,作为源链路层地址。在向用户终端侧设备发送DHCP请求报文时,可以通过接入设备的用户终端侧端口发送,发送方式可以为广播。在向用户终端侧端口发送DHCP请求报文时,可以对需要发送的端口进行选择。只有与该被选择的端口连接的网络设备能够收到该DHCP请求报文,其他端口下的网络设备不受影响。
对于DHCP REQUEST报文,不同的DHCP服务器的处理不尽相同。一些DHCP服务器可能会对接收到的DHCP REQUEST报文进行检查,例如检查对于该DHCP REQUEST报文的发送方,是否有过DHCP DISCOVER和DHCPOFFER阶段的申请过程,如果没有则不进行该DHCP REQUEST报文的处理,因此交换机不会接收到部分DHCP服务器返回的响应。
对于DHCP DISCOVER报文,按照RFC2131协议的规定,当DHCP服务器接收到DHCP DISCOVER报文时,必须进行处理,并向DHCP DISCOVER报文的发送方返回响应。因此如果交换机端口下配置了DHCP服务器,则交换机必然能够接收到该DHCP服务器返回的响应。
步骤s202、接收对该DHCP请求报文的响应,并判断网络中是否存在DHCP服务器。
DHCP服务器对DHCP请求报文的响应可能为DHCP OFFER报文或DHCPACK报文。因为上一步骤中交换机上使用本机的链路地址作为源链路层地址。因此,DHCP服务器响应报文的目的链路层地址即为交换机的链路层地址。根据协议标准,对于目的链路层地址是本机的报文,必须上送至处理单元进行相关处理。所以,通过这种方式,交换机可以接收到其端口下的各DHCP服务器对该DHCP请求报文的响应。
根据这些接收到的对DHCP请求报文的响应,交换机可以进行DHCP服务器的检测。具体的,对于交换机的用户终端侧的端口,该端口连接的应该是各用户终端,而不应有DHCP服务器存在。因此,交换机从下行用户终端侧的端口接收到对交换机发送的DHCP请求报文的响应时,即可以判断该端口下存在非法的DHCP服务器。
步骤s203、对非法DHCP服务器进行处理。
对非法DHCP服务器进行的处理包括关闭端口或发送告警(TRAP)消息给网络管理员。具体的,在检测到非法DHCP服务器的存在时,可以立即自动关闭(shutdown)与该非法DHCP服务器相连接的端口。同时,将该非法DHCP服务器的信息(如IP、MAC地址、端口号、VALN号等)通过告警消息通知网络管理员。网络管理员通过该信息可以定位到该非法DHCP服务器的位置并进行处理,该处理包括发送警告消息、停止该非法DHCP服务器所用的端口等。对于自动关闭的与该非法DHCP服务器相连接的端口,可以通过设置自动恢复时间实现对端口的自动恢复。在此自动恢复时间内,可以由网络管理员对该非法DHCP服务器进行处理。
上述实施例一的步骤s201中,交换机各端口发送DHCP请求报文的步骤可以为设置为定时发送。如通过设定定时器为10s,即每10s进行一次DHCP请求报文的发送,该时间间隔可以在交换机上进行设置。因为DHCP报文的处理速度很快,因此如果定时器间隔较小,基本可以认为此种检测是实时的。考虑到实际应用中,交换机的不同端口的定时器可能在同一时间到期,从而产生大量的DHCP请求报文同时发送,因此对于交换机上不同端口的定时器,可以使用不同的质数作为时间间隔,如:31s,37s,41s,43s,47s等。
通过上述实施例一描述的方法,由接入设备主动发送DHCP请求报文,实现了接入设备对网络中存在的非法DHCP服务器进行的检测。在上述实施例一中,交换机发送DHCP请求报文的步骤中,使用交换机本机的链路地址为源链路层地址。该步骤可能产生的问题在于,交换设备的链路地址一般是与厂商相关的,同一厂商生产的交换设备具有相同的链路地址特征(如MAC地址的前面几位相同)。攻击者可以通过识别该链路地址的特征进行DHCP请求报文的过滤,对交换机发送的DHCP请求报文不进行响应,从而避免被交换设备检测到,导致交换机的检测功能失效。
对于这种情况,本发明实施例二提出了通过接入设备更改DHCPDISCOVER报文的源链路层地址的方法,来避免用户终端侧的DHCP服务器通过设置策略过滤接收到的DHCP请求报文,以实现对用户终端侧DHCP服务器的检测。
本发明实施例二
本发明的实施例二中一种DHCP服务器的检测方法包括如下步骤:
步骤s301、向用户终端侧设备发送DHCP请求报文。
与上面步骤s201的区别在于,对发送的DHCP请求报文的源链路层地址预先进行修改,修改后的源链路层地址与交换机本机的链路地址不同。
进一步地,为了避免用户终端侧DHCP服务器通过一些DHCP请求报文的特征进行识别并过滤,可以设置DHCP请求报文的其他头部字段,如chaddr字段和XID字段,这样就可以进一步避免被用户终端侧的DHCP服务器过滤。
DHCP请求报文的头部字段格式如图3所示。其中的chaddr字段为DHCP请求报文的头部字段之一,长度为16bits,表示DHCP请求报文发送方的链路层地址(一般为发送方的MAC地址)。考虑到DHCP服务器可能会对DHCP请求报文的源链路层地址与DHCP请求报文的chaddr字段的一致性进行校验,该chaddr表示的地址应该与上述修改后的发送DHCP请求报文的源链路层地址一致。在DHCP服务器不进行上述一致性校验的情况下,对chaddr字段的修改没有特殊要求。
其中的XID同样为DHCP请求报文的头部字段之一,长度为4bit,表示事务处理ID。正常情况下由用户端进行随机设置,通过该XID字段,客户端将与DHCP服务器进行的报文交互进行了标识。对于本实施例,接入设备需要在每次发送DHCP请求报文时,将该XID字段进行随机变化,而不能每次使用相同的字段,防止非法DHCP服务器在发现规律后根据XID字段进行DHCP请求报文的过滤。在XID字段的设置可以采取的方法很多,如建立系统时间与XID字段的对应函数,对于在不同的系统时间发送的DHCP请求报文,携带的XID字段不同。
步骤s302、接收对该DHCP请求报文的响应,并判断网络中是否存在DHCP服务器。
如果在上一步骤中修改了DHCP请求报文头部的chaddr字段,则接收到DHCP请求报文的DHCP服务器,会以chaddr标示的链路层地址作为响应报文的目的链路层地址。这时交换机在接收到该响应报文时,会认为响应报文的目的链路层地址不是本交换机的链路层地址,导致响应报文无法上送处理。为此,可以通过在交换机上设置寄存器、存储特定链路层地址等方式,使得对于以特定链路层地址为目的地址的响应报文,可以上送到交换机进行处理。
交换机的处理单元根据接收到的DHCP服务器对DHCP请求报文的响应,判断网络中是否存在非法的DHCP服务器,该判断标准与上述步骤s202所描述的相同。
步骤s303、对非法DHCP服务器进行处理。
该处理方法与上述步骤s203中描述的相同,在此不做重复描述。
通过上述实施例二描述的方法,由接入设备主动发送DHCP请求报文,实现了接入设备对网络中存在的非法DHCP服务器进行的检测。并通过发送DHCP请求报文过程中相关参数的设置,避免了非法DHCP服务器对该DHCP请求报文的过滤。
下面结合具体地应用场景,进一步说明本发明的实施方式。
本发明实施例三
在本发明的实施例三中,假设网络中与交换机端口连接的用户终端上存在非法DHCP服务器。其中,交换机的MAC地址为00-C0-9F-94-78-0E,与非法DHCP服务器连接的下行用户终端侧端口为Port 5,VLAN号为2。非法DHCP服务器的MAC地址为00-0F-E2-00-00-01,IP地址为192.168.100.28。设非法DHCP服务器已知交换机具有主动发送DHCP请求报文的功能,并设置了对源链路层地址为“00-C0-9F-**-**-**”的DHCP请求报文的过滤。这种情况下,交换机在不改变其发送的DHCP请求报文的源链路层地址的情况下,一种DHCP服务器的检测方法如图4所示,包括如下步骤:
步骤s401、交换机发送DHCP DISCOVER报文。
该步骤中,交换机的端口5在某时刻发送DHCP请求报文,该请求报文的类型为DHCP DISCOVER报文,源链路层地址为00-C0-9F-94-78-0E,DHCPDISCOVER报文的chaddr字段也为00-C0-9F-94-78-0E。
步骤s402、非法DHCP服务器接收到该DHCP DISCOVER报文并进行过滤。
该步骤中,非法DHCP服务器判断该DHCP DISCOVER报文的源链路层地址符合过滤策略,将该DHCP DISCOVER报文进行过滤,不发送响应。
至此,交换机不会接收到非法DHCP服务器的响应报文,无法检测到该非法DHCP服务器。
交换机在改变其发送的DHCP请求报文的源链路层地址的情况下,一种DHCP服务器的检测方法如图4所示,包括如下步骤:
步骤s411、交换机发送DHCP DISCOVER报文。
该步骤中,交换机的端口5在某时刻发送DHCP请求报文,该请求报文的类型为DHCP DISCOVER报文,源链路层地址与DHCP请求报文chaddr字段的内容修改为00-0E-5A-94-78-0E。
步骤s412、非法DHCP服务器接收到该DHCP DISCOVER报文并响应DHCP OFFER报文。
该步骤中,非法DHCP服务器判断该DHCP DISCOVER报文的源链路层地址不符合过滤策略,响应DHCP OFFER报文。
步骤s413、交换机检测到非法DHCP服务器的存在。
该步骤中,交换机的端口5接收到目的链路层地址为00-0E-5A-94-78-0E的DHCP OFFER报文。根据预先的设置,交换机判断出该DHCP OFFER报文的目的地址应为本交换机。交换机根据该DHCP OFFER报文,判断端口5为下行用户终端侧端口,不应该存在DHCP服务器,判断该DHCP服务器为非法。
步骤s414、交换机向网络管理员发送TRAP消息。
该步骤中,交换机向网络管理员发送的TRAP消息中包括非法DHCP服务器的信息:MAC地址为00-0F-E2-00-00-01,IP地址为192.168.100.28,连接的端口为Port 5,VLAN号为2。
步骤s415、网络管理员对该非法DHCP服务器进行处理。
该步骤中,网络管理员根据该非法DHCP服务器的信息,定位到非法DHCP服务器在网络中的位置并进行处理,该处理包括发送警告消息、关闭该端口等。
通过以上实施例一至实施例三所描述的方法,实现了网络中的接入设备在不支持ACL功能的情况下,仍可以检测和防范非法DHCP服务器的欺骗攻击。同时,可以通过特定的设置,避免被非法DHCP服务器的策略过滤。
需要说明的是,在本发明的具体实现方式上并不限定在上面实施例所描述的范围。如交换设备的各个端口可以使用相同的定时器,也可以使用不同的定时器;交换设备的各个端口在发送DHCP请求报文时可以都对源链路层地址进行改变,或进行不同的改变。基于这些变化的实施流程与上面各实施例所描述的流程相似,都属于本发明的保护范围,在此不做重复描述。
本发明的实施例四中提供了一种接入设备,如图5所示,包括:
发送单元10,用于向用户终端侧设备发送DHCP请求报文,具体的,该DHCP请求报文为DHCP DISCOVER报文或DHCP REQUEST报文。该请求报文的发送可以通过接入设备上的指定端口进行。与这些指定端口连接的用户终端侧设备都可以接收到该DHCP请求报文。另外,在接收到判断单元30发送的TRAP消息时,向网络管理员转发。
接收单元20,用于接收网络中DHCP服务器的响应报文,具体的,该响应报文接入设备的不同端口接收到的为DHCP OFFER报文或DHCP ACK报文,并将该接收到的报文发送到判断单元。
判断单元30,用于接收到接收单元20发送的响应报文时,判断发送该响应报文的用户终端侧设备为DHCP服务器。该DHCP服务器是非法DHCP服务器时,通过发送单元10向网络管理员发送TRAP消息,该TRAP中包括非法DHCP服务器的链路层地址以及IP等信息。
另外,该接入设备还包括发送设置单元40,用于对发送单元10发送的DHCP请求报文进行设置。该设置包括源链路层地址的设置、DHCP请求报文中chaddr字段的设置、以及XID字段的设置。
该接入设备还包括发送定时单元50,用于对发送单元10发送的DHCP请求报文的时间间隔进行设置。对于不同的端口,发送间隔可以相同或不同。
该接入设备还包括接收设置单元60,用于设置接收单元20发送给判断单元30的响应报文的特征。一般情况下,该发送给判断单元30的响应报文的目的地址应为本接入设备的地址;在发送设置单元40对DHCP请求报文的源链路层地址以及chaddr字段进行修改时,将目的地址与发送设置单元40修改后的chaddr字段表示的地址一致的响应报文,发送给判断单元30。
在实际应用中,该接入设备可以为二层网络的接入交换机。其中的发送单元可为一个,也可以在不同的端口设置不同的发送单元。对于不同的发送单元,与之配和的发送设置单元以及定时单元也可以不同,即对于不同的发送单元,采取不同的DHCP请求报文发送策略。
通过使用上述实施例四所提供的接入设备,实现了网络中的接入设备在不支持ACL功能的情况下,仍可以检测和防范非法DHCP服务器的欺骗攻击。同时,可以通过特定的设置,避免被非法DHCP服务器的策略过滤。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1、一种DHCP服务器的检测方法,其特征在于,包括如下步骤:
接入设备向用户终端侧设备发送DHCP请求报文;
所述接入设备接收到所述用户终端侧设备对所述DHCP请求报文的响应报文时,判断所述发送响应报文的用户终端侧设备为DHCP服务器。
2、如权利要求1所述DHCP服务器的检测方法,其特征在于,所述接入设备向用户终端侧设备发送DHCP请求报文的步骤具体为:
接入设备向自身设备中连接用户终端侧设备的至少一个端口广播DHCP请求报文。
3、如权利要求2所述DHCP服务器的检测方法,其特征在于,所述接入设备定时广播所述DHCP请求报文,且对于不同的端口所采用的时间间隔相同或不同。
4、如权利要求3所述DHCP服务器的检测方法,其特征在于,所述接入设备多次广播DHCP请求报文时,所述多次广播的DHCP请求报文中的XID字段不完全相同。
5、如权利要求1所述DHCP服务器的检测方法,其特征在于,所述接入设备发送DHCP请求报文时,将所述DHCP请求报文的源链路层地址设置为与自身设备的链路地址相同的地址,或将所述DHCP请求报文的源链路层地址设置为与自身设备的链路地址不同的地址。
6、如权利要求5所述DHCP服务器的检测方法,其特征在于,所述DHCP请求报文的源链路层地址与自身设备的链路地址不同时,所述DHCP请求报文的chaddr字段与所述修改后的源链路层地址一致。
7、如权利要求5所述DHCP服务器的检测方法,其特征在于,所述接入设备多次发送DHCP请求报文时,所述多次发送的DHCP请求报文中的源链路层地址不完全相同。
8、如权利要求1至7中任一项所述DHCP服务器的检测方法,其特征在于,所述DHCP请求报文为DHCP DISCOVER报文或DHCP REQUEST报文;所述响应报文为DHCP OFFER报文或DHCP ACK报文。
9、如权利要求1所述DHCP服务器的检测方法,其特征在于,所述接入设备判断DHCP服务器非法后,还包括步骤:
所述接入设备自动关闭与所述DHCP服务器连接的端口;
所述接入设备向网络管理设备发送告警消息。
10、一种接入设备,其特征在于,包括:
发送单元,用于向用户终端侧设备发送DHCP请求报文;
接收单元,用于接收网络中用户终端侧设备对所述DHCP请求报文的响应报文,并将所述响应报文发送到所述判断单元;
判断单元,用于接收到所述接收单元发送的响应报文时,判断发送响应报文的用户终端侧设备为DHCP服务器。
11、如权利要求10所述接入设备,其特征在于,还包括:
定时单元,用于对所述发送单元发送DHCP请求报文的时间间隔进行设置;对于不同的端口,所述发送时间间隔相同或不同。
12、如权利要求10所述接入设备,其特征在于,还包括:
发送设置单元,用于对所述发送单元发送的DHCP请求报文进行设置,所述设置包括源链路层地址的设置、DHCP请求报文中chaddr字段的设置、以及XID字段的设置中的一种或多种;
接收设置单元,用于根据所述发送设置单元设置的DHCP请求报文中chaddr字段,设置所述接收单元发送给所述判断单元的响应报文的类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101117741A CN101321102A (zh) | 2007-06-07 | 2007-06-07 | Dhcp服务器的检测方法与接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101117741A CN101321102A (zh) | 2007-06-07 | 2007-06-07 | Dhcp服务器的检测方法与接入设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101321102A true CN101321102A (zh) | 2008-12-10 |
Family
ID=40180946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101117741A Pending CN101321102A (zh) | 2007-06-07 | 2007-06-07 | Dhcp服务器的检测方法与接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101321102A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011000258A1 (zh) * | 2009-06-29 | 2011-01-06 | 中兴通讯股份有限公司 | 基于动态主机分配协议的配置信息的获取方法和装置 |
| CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| CN102594808A (zh) * | 2012-02-06 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102801716A (zh) * | 2012-08-01 | 2012-11-28 | 杭州迪普科技有限公司 | 一种dhcp防攻击方法及装置 |
| CN101778373B (zh) * | 2009-01-13 | 2013-06-05 | 华为技术有限公司 | 一种选择分组数据网络的方法、装置与系统 |
| CN104009967A (zh) * | 2013-02-27 | 2014-08-27 | 上海斐讯数据通信技术有限公司 | 防止非信任服务器攻击的方法 |
| CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
| CN106254569A (zh) * | 2016-07-28 | 2016-12-21 | 上海斐讯数据通信技术有限公司 | 一种基于sdn网络的ip分配方法 |
| CN107809498A (zh) * | 2017-10-26 | 2018-03-16 | 迈普通信技术股份有限公司 | 通信方法及通信装置 |
| CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
-
2007
- 2007-06-07 CN CNA2007101117741A patent/CN101321102A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778373B (zh) * | 2009-01-13 | 2013-06-05 | 华为技术有限公司 | 一种选择分组数据网络的方法、装置与系统 |
| WO2011000258A1 (zh) * | 2009-06-29 | 2011-01-06 | 中兴通讯股份有限公司 | 基于动态主机分配协议的配置信息的获取方法和装置 |
| CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
| CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
| CN102438028B (zh) * | 2012-01-19 | 2016-06-15 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
| CN102594808A (zh) * | 2012-02-06 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102594808B (zh) * | 2012-02-06 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| CN102801716B (zh) * | 2012-08-01 | 2015-04-08 | 杭州迪普科技有限公司 | 一种dhcp防攻击方法及装置 |
| CN102801716A (zh) * | 2012-08-01 | 2012-11-28 | 杭州迪普科技有限公司 | 一种dhcp防攻击方法及装置 |
| CN104009967A (zh) * | 2013-02-27 | 2014-08-27 | 上海斐讯数据通信技术有限公司 | 防止非信任服务器攻击的方法 |
| CN106254569A (zh) * | 2016-07-28 | 2016-12-21 | 上海斐讯数据通信技术有限公司 | 一种基于sdn网络的ip分配方法 |
| CN107809498A (zh) * | 2017-10-26 | 2018-03-16 | 迈普通信技术股份有限公司 | 通信方法及通信装置 |
| CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| US20150180823A1 (en) | System and data card for stateless automatic configuration of IPv6 address and method for implementing the same | |
| CN106559292A (zh) | 一种宽带接入方法和装置 | |
| CA2666486A1 (en) | Network device location and configuration | |
| CN101552783B (zh) | 一种防止伪造报文攻击的方法和装置 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN110493366B (zh) | 一种接入点加入网络管理的方法及装置 | |
| EP2127309A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
| CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
| CN101309197B (zh) | 网络系统及接入节点设备、ip边缘设备和接入控制方法 | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| CN101888329A (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN112714027B (zh) | 物联网终端设备接入网关的方法和系统 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN101098288A (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| JP2001326696A (ja) | アクセス制御方法 | |
| US20120054865A1 (en) | Device and Method for Preventing Internet Protocol Version 6 (IPv6) Address Being Fraudulently Attacked | |
| US9686311B2 (en) | Interdicting undesired service | |
| Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
| US20080201477A1 (en) | Client side replacement of DNS addresses | |
| TW201727529A (zh) | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 | |
| Bagnulo et al. | SAVI: The IETF standard in address validation | |
| JP2007221395A (ja) | ネットワーク端末装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081210 |