CN101415002B - 防止报文攻击的方法、数据通信设备及通信系统 - Google Patents
防止报文攻击的方法、数据通信设备及通信系统 Download PDFInfo
- Publication number
- CN101415002B CN101415002B CN2008101727342A CN200810172734A CN101415002B CN 101415002 B CN101415002 B CN 101415002B CN 2008101727342 A CN2008101727342 A CN 2008101727342A CN 200810172734 A CN200810172734 A CN 200810172734A CN 101415002 B CN101415002 B CN 101415002B
- Authority
- CN
- China
- Prior art keywords
- message
- preliminary treatment
- treatment table
- client identification
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种防止报文攻击的方法、数据通信设备及通信系统,该方法包括:获取动态主机配置协议拒绝报文中的客户端标识;判断预置的预处理表中是否包含客户端标识;如果预置的预处理表中包含客户端标识,将预置的预处理表中与客户端标识对应的发送拒绝报文总次数增1;判断发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数,如果大于,将该报文丢弃。本发明实施例由于在判断发送拒绝报文总次数大于允许发送拒绝报文的最大次数时,将报文丢弃,能够防止动态主机配置协议拒绝报文耗尽网际协议地址池的攻击。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防止报文攻击的方法、数据通信设备及通信系统。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)是在传输控制协议(Transfer Control Protocol,TCP)/网际协议(Internet Protocol,IP)网络中向因特网主机提供配置信息。服务器根据客户端提出的配置请求,为客户端分配IP地址,并返回相应的配置信息,客户端在收到服务器分配的IP地址后,发送地址解析协议(Address Resolution Protocol,ARP)来检测IP地址是否冲突,当检测到冲突后会向服务器发送DHCP拒绝(DECLINE)报文,服务器会把这个IP地址标记为冲突,在较长一段时间以内不会将该IP地址再分配给其他用户,并重新分配一个新的IP地址给请求的客户端。
DHCP服务器的安全性较差,很容易遭到非法用户的恶意攻击,例如,发送大量源媒体接入控制(Media Access Control,MAC)地址变换的非法DHCP请求报文或发送大量DHCP DECLINE报文时,都会造成DHCP服务器IP地址的耗尽,导致正常用户无法申请IP地址。
DHCP监听(Snooping)协议栈通过监听DHCP中继(Relay)报文建立绑定表并发送给转发引擎,转发引擎利用绑定表对报文进行有效性检查,如果报文在表中找不到匹配项时,该报文将被丢弃,可在一定程度上解决仿冒攻击。但是对于恶意DHCP攻击,绑定表数量超过限制时,将很容易引发正常用户无法生成绑定表,导致用户无法获取到IP地址,造成网络瘫痪。
现有技术中,采用设置端口或端口和虚拟局域网下的MAC学习限制,或IP和MAC绑定表数量限制防止攻击,源MAC地址变换的报文达到限制规格后,携带新源MAC地址的报文将被丢弃,这样后续的DHCP请求将不会处理,因此,对于源MAC地址变换的攻击报文可达到一定的防攻击效果。
在实现本发明的过程中,发明人发现上述技术方案至少存在如下缺陷:
现有技术采用的防止源MAC地址变换的攻击报文的方法都无法解决源MAC地址不变的DHCP DECLINE报文攻击。
发明内容
本发明实施例提供了一种防止报文攻击的方法、数据通信设备及通信系统,使用本发明实施例提供的技术方案,能够防止源MAC地址不变的DHCPDECLINE报文攻击。
本发明实施例的目的是通过以下技术方案实现的:
一种防止报文攻击的方法,包括:
获取动态主机配置协议拒绝报文中的客户端标识;
判断预置的预处理表中是否包含所述客户端标识;
如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送拒绝报文总次数增1;
判断所述发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数,如果所述发送拒绝报文总次数大于预置的允许发送拒绝报文的最大次数,将所述动态主机配置协议拒绝报文丢弃。
一种数据通信设备,包括:
获取单元,用于获取动态主机配置协议拒绝报文中的客户端标识;
标识判断单元,用于判断预置的预处理表中是否包含所述获取单元获取到的所述客户端标识;
设置单元,用于在所述标识判断单元判断预置的预处理表中包含所述客户端标识时,将预置的预处理表中与所述客户端标识对应的发送拒绝报文总次数增1;
次数判断单元,用于判断所述设置单元得到的所述发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数;
处理单元,用于在所述次数判断单元判断所述发送拒绝报文总次数大于预置的允许发送拒绝报文的最大次数时,将所述动态主机配置协议拒绝报文丢弃。
一种通信系统,包括:
客户端,用于向数据通信设备发送动态主机配置协议拒绝报文;
数据通信设备,用于获取所述客户端发送的动态主机配置协议拒绝报文中的客户端标识;判断预置的预处理表中是否包含所述客户端标识;如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送拒绝报文总次数增1;判断所述发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数,如果所述发送拒绝报文总次数大于预置的允许发送拒绝报文的最大次数,将所述动态主机配置协议拒绝报文丢弃。
从本发明实施例提供的以上技术方案可以看出,由于在判断发送DECLINE报文总次数大于预置的允许发送DECLINE报文的最大次数时,将动态主机配置协议DECLINE报文丢弃,能够防止动态主机配置协议DECLINE报文耗尽网际协议地址池的攻击,也节省了网络资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一阐述的一种防止报文攻击的方法流程图;
图2是本发明实施例阐述的一种预处理表定时处理流程图;
图3是本发明实施例二阐述的一种防止报文攻击的方法流程图;
图4是本发明实施例阐述的一种数据通信设备的组成示意图;
图5是本发明实施例阐述的一种通信系统的组成框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种防止报文攻击的方法、数据通信设备及通信系统,使用本发明实施例提供的技术方案,能够防止源MAC地址不变的DHCPDECLINE报文攻击。
由于现有技术中采用的设置端口或端口与虚拟专用网络下的MAC学习限制或者采用IP与MAC绑定表数量限制的方法防止攻击报文,而MAC学习是根据源MAC地址学习的,源MAC地址不同的报文才能学习到新的MAC绑定表项。这种方法只能阻止源MAC地址变换的报文攻击。而对于源MAC地址不变的攻击报文,上述方法并不能起作用。为了防止源MAC地址不变的DHCP DECLINE报文攻击,本发明实施例提出了一种防止该报文攻击的方法。
本发明实施例提及的方法中所有步骤的执行主体可以是用户接入设备或传输设备,上述用户接入设备或传输设备可以是交换机或路由器等,其在网络中的位置是作为接入用户节点或中间传输节点。
实施例一
本实施例阐述了一种防止报文攻击的方法,采用该方法,可以有效防止源MAC地址不变的DHCP DECLINE报文攻击,不会使DHCP服务器的IP地址耗尽,从而不会使得正常用户无法申请IP地址,另外,也可以节省网络资源。下面结合附图进行详细说明。
参见图1,该方法可以包括以下步骤:
步骤101:获取动态主机配置协议DECLINE报文中的客户端标识;
步骤101之前还可以包括一个步骤:接收动态主机配置协议DECLINE报文。
接收到上述动态主机配置协议DECLINE报文之后,根据所述动态主机配置协议DECLINE报文,建立预处理表,所述预处理表包含客户端标识、与客户端标识对应的客户端发送拒绝报文总次数和最近一次收到DHCP DECLINE报文的时间。
还可以预先设置上述预处理表的处理周期,例如可以设置为10秒。
还可以预先设置每个用户在处理周期内允许发送动态主机配置协议DECLINE报文的最大次数,例如可以设置为2次。
步骤102:判断预置的预处理表中是否包含所述客户端标识;如果预处理表中包含所述客户端标识,执行步骤103;
如果预处理表中没有包含动态主机配置协议DECLINE报文中携带的客户端标识时,则需要创建与上述客户端标识对应的预处理表项。
步骤103:如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送动态主机配置协议DECLINE报文总次数增1;
将与客户端标识对应的发送动态主机配置协议DECLINE报文总次数增1即表示该用户发送了一次DHCP DECLINE报文,如果之后累积的发送DHCPDECLINE报文的次数超过预置的允许发送DHCP DECLINE报文的最大次数,就认为该MAC地址发送的DHCP DECLINE报文是攻击报文。
上述发送动态主机配置协议DECLINE报文总次数增1时,如果超过了表项中该字段最大值,则保持为最大值,在进入下一处理周期时,确保不发生翻转或复位。
步骤104:判断所述发送DHCP DECLINE报文总次数是否大于预置的允许发送DHCP DECLINE报文的最大次数;
此时发送DHCP DECLINE报文总次数是已经更新后的值,如果该值大于预置的同一处理周期内允许发送DHCP DECLINE报文的最大次数,则该DHCPDECLINE报文将被认为是攻击报文,执行步骤105。
步骤105:如果所述发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数,将所述动态主机配置协议DECLINE报文丢弃。
如果步骤104中判断所述发送DHCP DECLINE报文总次数不大于预置的允许发送DHCP DECLINE报文的最大次数时,还可以包括一个步骤:将所述发送DHCP DECLINE报文总次数更新到预处理表中,将接收所述DHCPDECLINE报文的时间替换预处理表中的最近一次接收DHCP DECLINE报文的时间。
上述更新和替换是为了下次能够准确判断以及预处理表定时处理流程中能够准确判断。
在判断所述发送DHCP DECLINE报文总次数小于预置的允许发送DHCPDECLINE报文的最大次数时,即已经判断该MAC地址发送的DHCP DECLINE报文不是攻击报文,将所述发送DHCP DECLINE报文总次数更新到预处理表中,将接收到所述DHCP DECLINE报文的时间替换为预处理表中的最近一次接收DHCP DECLINE报文的时间之后,还可以包括:向DHCP服务器转发所述动态主机配置协议DECLINE报文。
在判断发送DHCP DECLINE报文总次数小于预置的允许发送DHCPDECLINE报文的最大次数时,继续后面正常的转发处理流程。
步骤105之后还可以包括:更新预处理表中的发送DHCP DECLINE报文次数和最近一次接收DHCP DECLINE报文的时间。该更新是为了下次执行步骤104时能够准确的判断。
建立预处理表之后为了更好的防止报文攻击,还可以采用预处理表定时处理流程,参见图2,图2为预处理表定时处理流程图,该处理流程可以包括:
步骤201:定时检测预处理表;
可以预先设定一个周期检测预处理表的时间,定时对预处理表进行检测。
步骤202:判断当前时间与最近一次接收同一MAC地址发出的DHCPDECLINE报文的时间的差值是否大于预置的处理周期,如果是,执行步骤203,如果否,返回执行步骤201;
上述最近一次接收DHCP DECLINE报文的时间是指最近一次接收同一个MAC地址发送的DHCP DECLINE报文的时间,上述最近一次收到DHCPDECLINE报文的时间可以不断更新,以便能够准确的判断。
步骤203:删除预处理表项。
如果所述差值大于预置的处理周期,删除与所述最近一次收到DHCPDECLINE报文的时间对应的预处理表项。
删除完预处理表项后,需要继续对预处理表进行定时检测。
本实施例的方法可以对源MAC地址不变的DHCP DECLINE报文起到防止攻击的作用,因为当源MAC地址变化时,客户端标识就不相同了,那么就不能通过判断每一个客户端发送DHCP DECLINE报文总次数是否大于预置的允许发送DHCP DECLINE报文的最大次数来防止报文攻击了,对于源MAC地址变化的DHCP DECLINE报文,可以采用现有技术中的方案来防止报文攻击。
本实施例由于在判断发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数时,将动态主机配置协议DECLINE报文丢弃,能够防止动态主机配置协议DECLINE报文耗尽网际协议地址池的攻击,也节省了网络资源。
进一步地,由于定时对预处理表进行检测,在判断当前时间与最近一次接收DHCP DECLINE报文的时间相差超过一个处理周期以上时,则判定为攻击结束,删除该表项,从而节省了表项空间。
实施例一阐述了一种防止报文攻击的方法,实施例二将阐述另一种防止报文攻击的方法。
实施例二
本实施例阐述一种防止报文攻击的方法,下面结合附图进行详细说明。
参见图3,本实施例的方法可以包括:
步骤301:接收动态主机配置协议DECLINE报文;
步骤302:根据收到的报文建立预处理表项;
数据通信设备在接收到动态主机配置协议DECLINE报文后,建立与该报文中携带的信息相对应的预处理表项,表项内容可以是如表1所示:
表1
| Client ID | 发送DECLINE报文总次数 | 最近一次接收DECLINE报文的时间 |
其中,Client ID是客户端标识,可以包括用户的网络硬件地址类型、长度及网络硬件地址等。发送DECLINE报文总次数是指该客户端发送DHCPDECLINE报文的总次数,如果再次收到该客户端发送的DHCP DECLINE报文,该数值会增1;最近一次接收DECLINE报文的时间是指最近一次收到该客户端发送的DHCP DECLINE报文的时间,该时间值也会由于再次接收到该客户端发送的DHCP DECLINE报文后及时更新。
建立好预处理表后,可以设置该表的处理周期,并且该处理周期可以根据实际情况调整其数值大小,例如,可以缺省设置为10秒。
还可以设置每个用户在上述处理周期内允许发送DHCP DECLINE报文的最大次数(MAX_DECLINE_NUM),允许发送DHCP DECLINE报文的最大次数也可以根据实际情况调整其数值的大小,例如可以缺省设置为2次。
步骤303:提取收到的报文中的客户端标识;
当数据通信设备收到用户的DHCP DECLINE报文后,提取该DHCPDECLINE报文中携带的客户端标识。
步骤304:判断预处理表中是否包含上述客户端标识;如果包含,执行步骤305,如果不包含,执行步骤306;
当提取到报文中携带的客户端标识后,在预置的预处理表中进行搜索,看是否有该客户端标识,如果预处理表中没有该客户端标识说明是第一次收到该客户端发送的DHCP DECLINE报文,如果预处理表中包含该客户端标识,说明该客户端已经发送过DHCP DECLINE报文,为了防止报文攻击,可以执行步骤305。
步骤305:将预处理表中与客户端标识对应的发送DECLINE报文总次数增1后转步骤307;
步骤304中判断的结果是预处理表中包含该客户端标识,说明该客户端已经发送过DHCP DECLINE报文,则需要将预处理表中与该客户端标识对应的发送DHCP DECLINE报文总次数增1。
上述发送动态主机配置协议DECLINE报文总次数增1时,如果超过了表项中该字段最大值,则保持为最大值,在进入下一处理周期时,确保不发生翻转或复位。
步骤306:创建该用户的预处理表后转步骤310;
如果步骤304中判断的结果是预处理表中没有包含该客户端标识,说明该客户端是第一次发送DHCP DECLINE报文,则需要创建该客户端的预处理表项,建立该表的方法以及该表包括的内容与步骤302中相同,此处不再赘述。
步骤307:判断发送拒绝报文总次数是否大于允许发送拒绝报文的最大次数,如果大于,执行步骤308,如果小于,执行步骤309;
发送DHCP DECLINE报文总次数是在预置的处理周期内的计数值,在处理周期内它会不断更新。此步骤中的发送DHCP DECLINE报文总次数是最新的值,一旦该值大于预置的允许发送DHCP DECLINE报文的最大次数,就认为该DHCP DECLINE报文是攻击报文,可以执行步骤308,如果发送DHCP DECLINE报文总次数不大于,即小于或等于允许发送DHCPDECLINE报文的最大次数,则认为该DHCP DECLINE报文不是攻击报文,执行步骤309。
步骤308:丢弃该报文;
丢弃被认为是攻击报文的DHCP DECLINE报文后,还可以包括一个步骤:将发送拒绝报文总次数和最近一次接收拒绝报文的时间更新到预处理表中,不再进行后续处理,即不转发该报文。
步骤309:更新发送拒绝报文总次数和最近一次接收拒绝报文的时间;
在该报文被认为不是DHCP DECLINE报文时,更新预处理表中的发送DHCP DECLINE报文总次数和最近一次接收DHCP DECLINE报文的时间,继续后面正常的转发处理流程。
在步骤306和步骤309之后,还包括步骤310:转发该报文。
步骤310可以是向DHCP服务器转发DHCP DECLINE报文,转发报文可以在判断该客户端第一次发送DHCP DECLINE报文后,创建该客户端的预处理表后执行,也可以是在将发送DHCP DECLINE报文总次数和允许发送DHCP DECLINE报文的最大次数进行比较后,并判断该报文不是攻击报文后,更新预处理表中发送DHCP DECLINE报文总次数和最近一次接收DHCP DECLINE报文的时间后执行。
本实施例由于在判断发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数时,将动态主机配置协议DECLINE报文丢弃,能够防止动态主机配置协议DECLINE报文耗尽网际协议地址池的攻击,由于在认为报文是攻击报文时,丢弃该报文,可以节省有限的网络资源。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上提供了一种防止报文攻击的方法,本发明实施例还提供一种数据通信设备和一种通信系统。
首先阐述一种数据通信设备,参见图4,该设备可以包括以下单元:
获取单元401,用于获取动态主机配置协议DECLINE报文中的客户端标识;
上述获取单元401可以是采用已有的提取报文内容的方法获取报文中携带的客户端标识。
标识判断单元402,用于判断预置的预处理表中是否包含所述获取单元401获取到的所述客户端标识;
标识判断单元402可以是采用在预置的预处理表中搜索上述客户端标识的方法来判断预处理表中是否包含该客户端标识。
设置单元403,用于在所述标识判断单元402判断预置的预处理表中包含所述客户端标识时,将预置的预处理表中与所述客户端标识对应的发送DHCPDECLINE报文总次数增1;
设置单元403可以是采用自增1的算法来实现将置的预处理表中与所述客户端标识对应的发送DHCP DECLINE报文总次数增1。
次数判断单元404,用于判断所述设置单元403得到的所述发送DHCPDECLINE报文总次数是否大于预置的允许发送DHCP DECLINE报文的最大次数;
当设置单元403更新了发送DHCP DECLINE报文总次数后,次数判断单元404是判断经过设置单元403设置后的发送DHCP DECLINE报文总次数。
处理单元405,用于在所述次数判断单元404判断所述发送DHCPDECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数时,将所述动态主机配置协议DECLINE报文丢弃。
其中,上述数据通信设备还包括:接收单元,用于接收动态主机配置协议DECLINE报文。
其中,上述数据通信设备还包括:建立单元,用于根据所述接收单元接收到的所述动态主机配置协议DECLINE报文,建立预处理表,所述预处理表包含客户端标识、与客户端标识对应的客户端发送DHCP DECLINE报文总次数和最近一次收到DHCP DECLINE报文的时间。
其中,上述数据通信设备还包括:
定时检测单元,用于定时检测所述预处理表;
时间判断单元,用于判断当前时间与所述定时检测单元得到的所述最近一次收到DHCP DECLINE报文的时间的差值是否大于预置的处理周期;
删除单元,用于在所述时间判断单元判断所述差值大于预置的处理周期时,删除与所述最近一次收到DHCP DECLINE报文的时间对应的预处理表项。
其中,上述数据通信设备还包括:
更新单元,用于在所述次数判断单元404判断所述发送DHCP DECLINE报文总次数不大于预置的允许发送DHCP DECLINE报文的最大次数时,更新预处理表中的发送DHCP DECLINE报文次数和最近一次接收DHCP DECLINE报文的时间。
其中,上述数据通信设备还包括:
创建单元,用于在判断预置的预处理表中没有包含所述客户端标识时,创建与所述客户端标识对应的预处理表项。
其中,上述数据通信设备还包括:
转发单元,用于转发所述动态主机配置协议DECLINE报文。
上述数据通信设备可以用于实现本发明实施例中阐述的防止报文攻击的方法,但不限于实现该方法。
上面阐述了一种数据通信设备,下面阐述一种通信系统。
参见图5,一种通信系统,可以包括:
客户端501,用于向数据通信设备发送动态主机配置协议DECLINE报文;
数据通信设备502,用于获取所述客户端501发送的动态主机配置协议DECLINE报文中的客户端标识;判断预置的预处理表中是否包含所述客户端标识;如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送DHCP DECLINE报文总次数增1;判断所述发送DHCP DECLINE报文总次数是否大于预置的允许发送DHCP DECLINE报文的最大次数,如果所述发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数,将所述动态主机配置协议DECLINE报文丢弃。
其中,上述数据通信设备502还用于定时检测所述预处理表,判断当前时间与所述最近一次收到DHCP DECLINE报文的时间的差值是否大于预置的处理周期,如果所述差值大于预置的处理周期,删除与所述最近一次收到DHCPDECLINE报文的时间对应的预处理表项;如果所述差值不大于预置的处理周期,执行所述定时检测所述预处理表的步骤。
本发明实施例由于在判断发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数时,将动态主机配置协议DECLINE报文丢弃,能够防止动态主机配置协议DECLINE报文耗尽网际协议地址池的攻击,也节省了网络资源。
进一步地,由于定时对预处理表进行检测,在判断当前时间与最近一次接收DHCP DECLINE报文的时间相差超过一个处理周期以上时,则判定为攻击结束,删除该表项,从而节省了表项空间。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
获取DHCP DECLINE报文中的客户端标识;
判断预置的预处理表中是否包含所述客户端标识;
如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送DHCP DECLINE报文总次数增1;
判断所述发送DHCP DECLINE报文总次数是否大于预置的允许发送DHCP DECLINE报文的最大次数,如果所述发送DHCP DECLINE报文总次数大于预置的允许发送DHCP DECLINE报文的最大次数,将所述DHCPDECLINE报文丢弃。
上述提到的存储介质可以是只读存储器,磁盘或光盘、网络处理器、专用集成电路芯片等。
以上对本发明实施例所提供的一种防止报文攻击的方法、数据通信设备及通信系统进行了详细介绍,以上实施例的说明只是用于帮助理解本发明的方法及其思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种防止报文攻击的方法,其特征在于,包括:
获取动态主机配置协议拒绝报文中的客户端标识,所述客户端标识包括用户的网络硬件地址类型、长度及网络硬件地址;
判断预置的预处理表中是否包含所述客户端标识;
如果预置的预处理表中包含所述客户端标识,将预置的预处理表中与所述客户端标识对应的发送拒绝报文总次数增1;
判断所述发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数,如果所述发送拒绝报文总次数大于预置的允许发送拒绝报文的最大次数,将所述动态主机配置协议拒绝报文丢弃。
2.根据权利要求1所述的防止报文攻击的方法,其特征在于,所述获取动态主机配置协议拒绝报文中的客户端标识之前还包括:
接收动态主机配置协议拒绝报文。
3.根据权利要求2所述的防止报文攻击的方法,其特征在于,所述接收动态主机配置协议拒绝报文之后还包括:
根据所述动态主机配置协议拒绝报文,建立预处理表,所述预处理表包含客户端标识、与客户端标识对应的客户端发送拒绝报文总次数和最近一次收到拒绝报文的时间。
4.根据权利要求3所述的防止报文攻击的方法,其特征在于,所述建立预处理表之后还包括:
定时检测所述预处理表;
判断当前时间与所述最近一次收到拒绝报文的时间的差值是否大于预置的处理周期,如果所述差值大于预置的处理周期,删除与所述最近一次收到拒绝报文的时间对应的预处理表项;如果所述差值不大于预置的处理周期,执行所述定时检测所述预处理表的步骤。
5.根据权利要求3所述的防止报文攻击的方法,其特征在于,所述将所述动态主机配置协议拒绝报文丢弃之后还包括:
更新预处理表中的发送拒绝报文次数和最近一次接收拒绝报文的时间。
6.根据权利要求1至5任一项所述的防止报文攻击的方法,其特征在于,在判断预置的预处理表中没有包含所述客户端标识时,还包括:
创建与所述客户端标识对应的预处理表项。
7.根据权利要求1至5任一项所述的防止报文攻击的方法,其特征在于,在判断所述发送拒绝报文总次数不大于预置的允许发送拒绝报文的最大次数时,还包括:
将所述发送拒绝报文总次数更新到预处理表中,将接收所述拒绝报文的时间替换预处理表中的最近一次接收拒绝报文的时间。
8.根据权利要求7所述的防止报文攻击的方法,其特征在于,所述将所述发送拒绝报文总次数更新到预处理表中,将接收所述拒绝报文的时间替换预处理表中的最近一次接收拒绝报文的时间之后还包括:
转发所述动态主机配置协议拒绝报文。
9.一种数据通信设备,其特征在于,包括:
获取单元,用于获取动态主机配置协议拒绝报文中的客户端标识,所述客户端标识包括用户的网络硬件地址类型、长度及网络硬件地址;
标识判断单元,用于判断预置的预处理表中是否包含所述获取单元获取到的所述客户端标识;
设置单元,用于在所述标识判断单元判断预置的预处理表中包含所述客户端标识时,将预置的预处理表中与所述客户端标识对应的发送拒绝报文总次数增1;
次数判断单元,用于判断所述设置单元得到的所述发送拒绝报文总次数是否大于预置的允许发送拒绝报文的最大次数;
处理单元,用于在所述次数判断单元判断所述发送拒绝报文总次数大于预置的允许发送拒绝报文的最大次数时,将所述动态主机配置协议拒绝报文丢弃。
10.根据权利要求9所述的数据通信设备,其特征在于,还包括:
接收单元,用于接收动态主机配置协议拒绝报文。
11.根据权利要求10所述的数据通信设备,其特征在于,还包括:
建立单元,用于根据所述接收单元接收到的所述动态主机配置协议拒绝报文,建立预处理表,所述预处理表包含客户端标识、与客户端标识对应的客户端发送拒绝报文总次数和最近一次收到拒绝报文的时间。
12.根据权利要求11所述的数据通信设备,其特征在于,还包括:
定时检测单元,用于定时检测所述预处理表;
时间判断单元,用于判断当前时间与所述定时检测单元得到的所述最近一次收到拒绝报文的时间的差值是否大于预置的处理周期;
删除单元,用于在所述时间判断单元判断所述差值大于预置的处理周期时,删除与所述最近一次收到拒绝报文的时间对应的预处理表项。
13.根据权利要求11所述的数据通信设备,其特征在于,还包括:
更新单元,用于在所述次数判断单元判断所述发送拒绝报文总次数不大于预置的允许发送拒绝报文的最大次数时,更新预处理表中的发送拒绝报文次数和最近一次接收拒绝报文的时间。
14.根据权利要求9至13任一项所述的数据通信设备,其特征在于,还包括:
创建单元,用于在判断预置的预处理表中没有包含所述客户端标识时,创建与所述客户端标识对应的预处理表项。
15.根据权利要求9至13任一项所述的数据通信设备,其特征在于,还包括:
转发单元,用于转发所述动态主机配置协议拒绝报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101727342A CN101415002B (zh) | 2008-11-11 | 2008-11-11 | 防止报文攻击的方法、数据通信设备及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101727342A CN101415002B (zh) | 2008-11-11 | 2008-11-11 | 防止报文攻击的方法、数据通信设备及通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101415002A CN101415002A (zh) | 2009-04-22 |
| CN101415002B true CN101415002B (zh) | 2011-12-28 |
Family
ID=40595314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101727342A Expired - Fee Related CN101415002B (zh) | 2008-11-11 | 2008-11-11 | 防止报文攻击的方法、数据通信设备及通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101415002B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552783B (zh) * | 2009-05-20 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和装置 |
| CN101572712B (zh) * | 2009-06-09 | 2012-06-27 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN102594834B (zh) * | 2012-03-09 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 网络攻击的防御方法及装置、网络设备 |
| CN104579994B (zh) * | 2015-01-21 | 2018-02-09 | 新华三技术有限公司 | 报文认证方法和设备 |
| CN106982225B (zh) * | 2017-04-28 | 2020-05-12 | 新华三技术有限公司 | 防攻击方法及装置 |
| DE102019121929A1 (de) * | 2019-08-14 | 2021-02-18 | Beckhoff Automation Gmbh | Netzwerkverteiler, Automatisierungsnetzwerk und Verfahren zur Datenübertragung in einem Automatisierungsnetzwerk |
| CN113114799B (zh) * | 2021-04-25 | 2023-06-16 | 新华三信息安全技术有限公司 | decline报文攻击下防IP禁锢方法、系统及网络设备、存储介质 |
-
2008
- 2008-11-11 CN CN2008101727342A patent/CN101415002B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101415002A (zh) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101415002B (zh) | 防止报文攻击的方法、数据通信设备及通信系统 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| CN100527752C (zh) | Dhcp的地址分配方法 | |
| CN100452715C (zh) | 一种智能终端管理方法 | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| EP2051446B1 (en) | Method of resolving duplicate mac addresses, network device managing system, server, and information device | |
| CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| CN100546304C (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
| CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| CN101170515B (zh) | 一种处理报文的方法、系统和网关设备 | |
| JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| CN102255804B (zh) | 报文处理方法、装置及网络设备 | |
| CN100536474C (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
| CN104104744A (zh) | 一种ip地址分配的方法和装置 | |
| EP2127309A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
| CN104270325B (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| CN102137109B (zh) | 一种访问控制方法、接入设备及系统 | |
| CN108712449A (zh) | 防止mac地址泛洪攻击的方法、装置及电子设备 | |
| CN103414641B (zh) | 邻居表项释放方法、装置和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111228 Termination date: 20171111 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |