CN101459653B - 基于Snooping技术的防止DHCP报文攻击的方法 - Google Patents
基于Snooping技术的防止DHCP报文攻击的方法 Download PDFInfo
- Publication number
- CN101459653B CN101459653B CN2007101722999A CN200710172299A CN101459653B CN 101459653 B CN101459653 B CN 101459653B CN 2007101722999 A CN2007101722999 A CN 2007101722999A CN 200710172299 A CN200710172299 A CN 200710172299A CN 101459653 B CN101459653 B CN 101459653B
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- messages
- port
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种基于Snooping技术的防止DHCP报文攻击的方法。该方法先在交换机上将所有DHCP报文重定向到本地进行监测。对于报文按照是请求报文还是应答报文进行分别处理:如果是DHCP应答报文,而收到报文的端口为非信任端口,则认为报文是伪服务器发送的应答报文,将报文丢弃。如果是DHCP请求报文且收到报文的端口为非信任端口,则进一步判断DHCP请求的报文中的CHADDR段与客户端MAC地址是否相同,如果不同则认为是攻击报文,将报文丢弃。另外,在DHCP监测处理过程中根据DHCP报文,在交换机本地将硬件地址和IP地址的绑定关系添加到端口,并设置绑定存续的时间。该技术方案用来防止DHCP服务器的Dos攻击和冒充的DHCP服务器给用户主机分配地址造成危害。
Description
技术领域:
本发明涉及计算机数据通信关于网络安全的解决机制,特别涉及基于Snooping技术对DHCP报文进行监测以防止其攻击DHCP服务器的实现方法。
背景技术:
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种用于简化主机IP配置管理的协议标准。通过采用DHCP标准,可以使用DHCP服务器为网络上所有启用了DHCP的客户端分配、配置、跟踪和更改(必要时)所有TCP/IP设置。具体而言DHCP服务器可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数。这样简化了用户网络设置,提高了管理效率。此外,DHCP还可以确保不使用重复地址、重新分配未使用的地址,并且可以自动为主机连接的子网分配适当的IP地址。
不过虽然DHCP服务器有着配置简单,管理方便的优点,但是在实际应用过程中也存在诸多问题,常见的有:DHCP服务器的冒充;DHCP服务器的Dos攻击;由于不小心配置了DHCP服务器引起的网络混乱也很常见。
分析上述问题的原因是由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。所以由于用户不小心配置了DHCP服务器引起的网络混乱十分普遍。
但利用该技术缺陷进行人为破坏目前也十分严重。通常黑客攻击是首先将正常的DHCP服务器所能分配的IP地址耗尽,然后冒充合法的DHCP服务器。此外,在上述基础上最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNS服务器,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
另外,黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用。此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合,将流量重指到意图进行流量截取的恶意节点。
针对上述情况,目前可行的方案有:对于类似Gobbler的DHCP服务的DOS攻击可以利用Port Security限制源MAC地址数目加以阻止;对于有些用户随便指定地址,造成网络地址冲突也可以利用DAI和IP Source Guard技术。
但上述方案在实际应用中比较复杂,目前为止还没有就上述技术问题结合DHCP snooping技术的有效解决方案。
发明内容:
鉴于上述技术需求,本发明的目的是提供一种基于Snooping技术的防止DHCP报文攻击的方法。该技术方案通过DHCP snooping技术来防止DHCP服务器的Dos攻击以及冒充的DHCP服务器给用户主机分配地址造成对网络安全的危害。
在描述本发明之前先介绍一下本发明所涉及的DHCP snooping技术:
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。
具体的技术方案如下:
首先在交换机上,将所有DHCP报文重定向到本地进行监测,防止硬件交换将DHCP报文直接转发。对于报文按照是请求报文还是应答报文进行分别处理:
如果是DHCP应答报文(来自服务器),而收到报文的端口为非信任端口,则认为报文是伪服务器发送的应答报文,将报文丢弃。
如果是DHCP请求报文且收到报文的端口为非信任端口,则进一步判断DHCP请求的报文中的CHADDR(Client Hardware Address, 客户端硬件地址)段与客户端MAC地址是否相同,如果不同则认为是攻击报文,将报文丢弃。
另外,在DHCP监测处理过程中根据DHCP报文,在交换机本地将硬件地址和IP地址的绑定关系添加到端口,并设置绑定存续的时间。在绑定存续期间内,可以防止其他客户端修改盗用硬件地址在其他端口用相应的IP地址进行网络攻击。
使用本发明的解决方案,在主机上伪造的DHCP请求报文不能通过BDCOM交换机转发到DHCP服务器,防止了DHCP DOS攻击。对于来自非信任端口的伪server DHCP应答报文也不会转发到客户端,有效防止了伪DHCP server提供错误DHCP服务。
本发明相比较以往技术的突出特点为:
(1)在交换机上对DHCP报文进行重定向到本地监测。DHCP处理过程中既有IP单播又有IP广播报文,为了能监测所有DHCP报文,采用DHCP报文重定向技术。
(2)对DHCP请求报文,将报文中的CHADDR段与客户端MAC地址比较,防止伪造的DHCP请求报文。
(3)将DHCP应答报文与端口关联起来,有效防止故意伪造或者误配置的DHCP server提供DHCP服务。
(4)在交换机上,添加DHCP绑定关系,根据DHCP报文内容设定绑定存续时间,且绑定关系与端口建立关联关系。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为采用本发明方法的网络应用图。
图2为本发明方法的流程图
图3为本发明涉及的报文处理流程图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明方法的网络环境如图1所示。
根据上述发明内容中的技术方案,其实现的详细步骤(参见图2)如下:
①在交换机上启动DHCP snooping功能。此动作将启动DHCP报文的重定向到本地。
②在交换机上,将各物理端口配置到不同的VLAN,针对VLAN启动DHCPsnooping功能。对VLAN内所有物理端口收到的DHCP报文进行监测。
③在进行DHCP snooping的VLAN中的非信任物理端口,对收到的DHCP应答报文丢弃,对于DHCP请求报文检查报文中CHADDR段内容是否和发送报文的硬件地址是否相同,如果不同,丢弃报文。
④对于正常处理的DHCP报文,根据报文内容在交换机建立硬件地址和IP地址绑定关系和绑定存续时间,并与物理端口关联。
上述所涉及的报文处理流程如图3所示。
另外,在应用该方案时,对于交换机连接合法DHCP server的端口配置为信任端口。如果在DHCP客户端和服务器之间存在三层DHCP relay设备,则DHCP relay的端口也配置为信任端口,以免合法用户不能正常获取地址。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.基于Snooping技术的防止DHCP报文攻击的方法,其特征在于,包括以下步骤:
(1)在交换机上将所有DHCP报文重定向到本地进行监测,防止硬件交换将DHCP报文直接转发;
(2)对于报文按照是请求报文还是应答报文进行分别处理:
如果是DHCP应答报文,而收到报文的端口为非信任端口,则认为报文是伪服务器发送的应答报文,将报文丢弃;如果收到报文的端口为信任端口,则进一步判断是否找到client信息,若是,则建立DHCP绑定关系并与端口关联,并交换转发报文,若否,则丢弃报文;如果是DHCP请求报文,收到报文的端口为非信任端口,则进一步判断DHCP请求的报文中的客户端硬件地址与客户端MAC地址是否相同,如果不同则认为是攻击报文,将报文丢弃;如果相同,则判断其他端口是否存在该MAC绑定,若存在,则丢弃报文,若不存在,则记录client信息,并交换转发报文,如果收到报文的端口为信任端口,则进一步判断其他端口是否存在该MAC绑定,若是,则丢弃报文,若否,则记录client信息,并交换转发报文;
(3)在DHCP监测处理过程中根据DHCP报文在交换机本地将硬件地址和IP地址的绑定关系添加到端口,并设置绑定存续的时间。
2.根据权利要求l的基于Snooping技术的防止DHCP报文攻击的方法,其特征在于,步骤(2)中如果是DHCP应答报文,而收到报文的端口为非信任端口,则认为报文是伪服务器发送的应答报文,将报文丢弃。
3.根据权利要求l的基于Snooping技术的防止DHCP报文攻击的方法,其特征在于,步骤(2)中如果是DHCP请求报文且收到报文的端口为非信任端口,则进一步判断DHCP请求的报文中的CHADDR段与客户端MAC地址是否相同,如果不同则认为是攻击报文,将报文丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101722999A CN101459653B (zh) | 2007-12-14 | 2007-12-14 | 基于Snooping技术的防止DHCP报文攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101722999A CN101459653B (zh) | 2007-12-14 | 2007-12-14 | 基于Snooping技术的防止DHCP报文攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101459653A CN101459653A (zh) | 2009-06-17 |
| CN101459653B true CN101459653B (zh) | 2012-11-28 |
Family
ID=40770287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101722999A Active CN101459653B (zh) | 2007-12-14 | 2007-12-14 | 基于Snooping技术的防止DHCP报文攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101459653B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635731B (zh) * | 2009-08-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
| CN102082835B (zh) * | 2009-11-27 | 2013-04-17 | 华为技术有限公司 | Ip地址的分配方法及装置 |
| CN102387225B (zh) * | 2011-11-14 | 2018-01-09 | 中兴通讯股份有限公司 | 数据流发送方法及装置 |
| CN102594808B (zh) * | 2012-02-06 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102546431A (zh) * | 2012-02-08 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种路由器公告安全接入方法、系统及装置 |
| CN102571807A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种确保IPv6重定向消息安全的方法和系统 |
| CN102594839B (zh) * | 2012-03-16 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种识别伪dhcp服务器的方法和交换机 |
| CN107579955B (zh) * | 2017-08-07 | 2021-07-02 | 台州市吉吉知识产权运营有限公司 | 一种动态主机配置协议监听与防护方法和系统 |
| CN107579957A (zh) * | 2017-08-10 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种动态主机配置协议数据包过滤方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549524A (zh) * | 2003-05-09 | 2004-11-24 | 华为技术有限公司 | 基于二层以太网交换机获取用户地址信息的方法 |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
-
2007
- 2007-12-14 CN CN2007101722999A patent/CN101459653B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549524A (zh) * | 2003-05-09 | 2004-11-24 | 华为技术有限公司 | 基于二层以太网交换机获取用户地址信息的方法 |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101459653A (zh) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| US7523485B1 (en) | System and method for source IP anti-spoofing security | |
| US7516487B1 (en) | System and method for source IP anti-spoofing security | |
| US7372809B2 (en) | Thwarting denial of service attacks originating in a DOCSIS-compliant cable network | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| Ullrich et al. | {IPv6} Security: Attacks and Countermeasures in a Nutshell | |
| US9882904B2 (en) | System and method for filtering network traffic | |
| JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| US20200112544A1 (en) | Systems and methods for blocking spoofed traffic | |
| WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
| KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
| Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
| US7987255B2 (en) | Distributed denial of service congestion recovery using split horizon DNS | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN102546663A (zh) | 一种防止重复地址检测攻击的方法和装置 | |
| WO2010130181A1 (zh) | 防止IPv6地址被欺骗性攻击的装置与方法 | |
| CN102752266B (zh) | 访问控制方法及其设备 | |
| Yaibuates et al. | ICMP based malicious attack identification method for DHCP | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
| Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
| Bagnulo et al. | SAVI: The IETF standard in address validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |