CN102185724B - 一种地址的管理方法和设备 - Google Patents
一种地址的管理方法和设备 Download PDFInfo
- Publication number
- CN102185724B CN102185724B CN 201110142104 CN201110142104A CN102185724B CN 102185724 B CN102185724 B CN 102185724B CN 201110142104 CN201110142104 CN 201110142104 CN 201110142104 A CN201110142104 A CN 201110142104A CN 102185724 B CN102185724 B CN 102185724B
- Authority
- CN
- China
- Prior art keywords
- address
- port
- dhcp
- access device
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种地址的管理方法和设备,该方法包括:接入设备从第一报文中获取地址,并获取向DHCP客户端发送所述第一报文的端口信息,以及维护记录有所述端口信息和所述地址的DHCP安全表;当所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,所述接入设备向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息。本发明中,能够有效识别出伪造的DHCP客户端,避免DHCP服务器上IP地址的耗尽。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种地址的管理方法和设备。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种动态分配IP地址的方法,如图1所示的DHCP组网示意图,每个局域网中设置有一台DHCP Server(服务器),各DHCP Client(客户端,即主机)通过DHCP服务器申请IP地址。
如图2所示的DHCP报文交互示意图,IP地址的申请过程由DHCP客户端发起,通过DHCP-DISCOVER(发现)报文寻找合适的DHCP服务器,若DHCP服务器存在可分配的IP地址,则会回复DHCP-OFFER(提供)报文,DHCP客户端针对此DHCP服务器的地址发送DHCP-REQUEST(请求)报文,由DHCP服务器回应DHCP-ACK(确认)报文,以完成IP地址的申请过程。
需要注意的是,DHCP服务器分配IP地址时,需要为每个IP地址建立地址租约,每条租约状态迁移的情况如图3所示,地址租约在发送DHCP-OFFER报文之后由Empty(空)状态变为Offered(提供)状态,表示提供给DHCP客户端但未最终确认;在发送DHCP-ACK报文之后由Offered状态变为Committed(已分配)状态,表示地址正式分配成功。
现有技术中,在存在攻击者的情况下,由于DHCP服务器根据MAC(MediaAccess Control,介质访问控制)地址来识别不同DHCP客户端,则攻击者只需要知道DHCP服务器的IP地址和地址池网段,即可伪造出多组成对的DHCPDISCOVER报文和DHCP-REQUEST报文,并使其中的MAC地址递增或随机产生,广播到DHCP服务器,之后DHCP服务器会给这样的MAC地址分配IP地址,从而使攻击者达到冒领IP地址,耗尽地址池的目的。
发明内容
本发明提供一种地址的管理方法和设备,以尽快回收为攻击者分配的IP地址。
为了达到上述目的,本发明提供一种地址的管理方法,应用于包括DHCP客户端、接入设备和DHCP服务器的系统中,所述DHCP服务器为所述DHCP客户端分配地址,并将所述地址通过所述接入设备通知给所述DHCP客户端,该方法包括以下步骤:
所述接入设备监听到所述DHCP服务器向DHCP客户端发送的携带所述地址的第一报文时,从所述第一报文中获取所述地址,并获取向DHCP客户端发送所述第一报文的端口信息,以及维护记录有所述端口信息和所述地址的DHCP安全表;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,所述接入设备向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息,由所述DHCP服务器回收对应所述端口的地址。
所述接入设备维护记录有所述端口信息和所述地址的DHCP安全表,之后还包括:
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值时,所述接入设备监听所述DHCP安全表中对应所述端口的各地址的流量;
如果在预设第二周期内没有接收到对应所述端口的各地址的流量,所述接入设备向所述DHCP服务器发送所述第二报文。
所述接入设备监听所述DHCP安全表中对应所述端口的各地址的流量,之后还包括:
如果在预设第二周期内接收到对应所述端口的各地址的流量,所述接入设备在所述DHCP安全表中删除所述端口与对应所述端口的各地址的记录。
所述接入设备维护记录有所述端口信息和所述地址的DHCP安全表,之后还包括:
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,所述接入设备确定对应所述端口的地址为合法地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,所述接入设备向对应所述端口的地址发起探测;如果接收到探测响应,则确定对应所述端口的地址为合法地址;其中,预设第二阈值小于预设第一阈值。
所述接入设备向对应所述端口的地址发起探测,之后还包括:
如果没有接收到探测响应,则所述接入设备监听对应所述端口的地址的流量;如果在预设第三周期内接收到对应所述端口的地址的流量,则确定对应所述端口的地址为合法地址;否则,所述接入设备向所述DHCP服务器发送所述第二报文。
所述接入设备向所述DHCP服务器发送请求回收地址的第二报文,之后还包括:
所述接入设备阻塞所述端口,并通过网管系统或日志系统记录所述端口下存在攻击者的信息。
一种接入设备,应用于包括DHCP客户端、所述接入设备和DHCP服务器的系统中,所述DHCP服务器为所述DHCP客户端分配地址,并将所述地址通过所述接入设备通知给所述DHCP客户端,所述接入设备包括:
监听模块,用于监听所述DHCP服务器向DHCP客户端发送的携带所述地址的第一报文;
获取模块,用于从所述第一报文中获取所述地址,并获取向DHCP客户端发送所述第一报文的端口信息;
维护模块,用于维护记录有所述端口信息和所述地址的DHCP安全表;
发送模块,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息。
所述监听模块,还用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值时,监听所述DHCP安全表中对应所述端口的各地址的流量;
所述发送模块,还用于如果在预设第二周期内没有接收到对应所述端口的各地址的流量,则向所述DHCP服务器发送所述第二报文。
所述维护模块,还用于如果在预设第二周期内接收到对应所述端口的各地址的流量,则在所述DHCP安全表中删除所述端口与对应所述端口的各地址的记录。
还包括:确定模块,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,确定对应所述端口的地址为合法地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,向对应所述端口的地址发起探测;如果接收到探测响应,则确定对应所述端口的地址为合法地址;其中,预设第二阈值小于预设第一阈值。
所述监听模块,还用于如果没有接收到探测响应,则监听对应所述端口的地址的流量;
所述确定模块,还用于如果在预设第三周期内接收到对应所述端口的地址的流量,则确定对应所述端口的地址为合法地址;
所述发送模块,还用于如果在预设第三周期内没有接收到对应所述端口的地址的流量,则向所述DHCP服务器发送所述第二报文。
还包括:处理模块,用于阻塞所述端口,并通过网管系统或日志系统记录所述端口下存在攻击者的信息。
与现有技术相比,本发明至少具有以下优点:
在DHCP服务器分配IP地址后,通过监听对应同一个端口的IP地址的数量,从而可确定该端口下的DHCP客户端是否为攻击者,如果是攻击者,则回收为DHCP客户端分配的IP地址,否则,允许DHCP客户端继续使用分配的IP地址;从而能够有效识别出伪造的DHCP客户端,找出攻击DHCP地址池资源的攻击者,并回收为攻击者分发的IP地址,有效的阻止了对DHCP地址池资源的攻击,并避免DHCP服务器上IP地址的耗尽。
附图说明
图1是现有技术中的DHCP组网示意图;
图2是现有技术中的DHCP报文交互示意图;
图3是现有技术中的租约状态迁移的情况示意图;
图4是本发明所采用的应用场景示意图;
图5是本发明基于图4所示的应用场景所提供的一种地址的分配方法流程图;
图6是本发明提出的一种接入设备结构图。
具体实施方式
本发明提出一种地址的管理方法,应用于包括DHCP客户端、接入设备和DHCP服务器的系统中,下面结合附图,对本发明具体实施方式进行详细说明。以图4为参考网络模型图,接入设备的端口P1下为攻击者(将自身伪造为DHCP客户端申请IP地址),接入设备的端口P2下为DHCP客户端。
DHCP服务器用于为DHCP客户端分配地址,并将该地址通过接入设备通知给DHCP客户端,针对地址的分配过程,可采用图2所示的地址分配流程,即通过DHCP-OFFER报文携带该地址,并通知给DHCP客户端。
需要注意的是,在DHCP客户端发送DHCP-DISCOVER报文时,为广播报文,目的MAC地址填充ffff.ffff.ffff,DHCP服务器回应DHCP-OFFER报文时,可采用单播或广播方式来回应,如果DHCP-DISCOVER报文中的flags字段(即广播响应标识位)为1,则以广播方式回应DHCP-OFFER报文,如果为0,则以单播方式回应DHCP-OFFER报文。
本发明中,通过将DHCP-DISCOVER报文中的flags字段设置为0,使得以单播方式回应DHCP-OFFER报文,目的MAC地址为DHCP-DISCOVER报文中的源MAC地址。因此,当接收到DHCP-OFFER报文后,接入设备将采用单播方式将DHCP-OFFER报文发送给对应的DHCP客户端。例如,通过端口P1接收到来自DHCP客户端的DHCP-DISCOVER报文时,可维护DHCP客户端的MAC地址及端口P1的对应关系,在接收到来自DHCP服务器的DHCP-OFFER报文后,以单播方式通过端口P1将DHCP-OFFER报文发送给DHCP客户端。
本发明中,通过部署DHCP安全代理可找到DHCP攻击者,该DHCP安全代理可部署在最接近DHCP客户端的网络设备上。为了方便描述,以网络设备为图4中的接入设备(如接入层交换机)为例,则接入设备的端口P1和端口P2下直接连接有DHCP客户端。当在接入设备上启动DHCP安全代理特性后,如图5所示,该方法包括以下步骤:
步骤501,在DHCP服务器为DHCP客户端分配了地址后,接入设备监听携带该地址的第一报文(即DHCP-OFFER报文)。
步骤502,当监听到DHCP-OFFER报文时,接入设备从该DHCP-OFFER报文中获取为DHCP客户端所分配的地址,以及向DHCP客户端发送该DHCP-OFFER报文的端口信息(如端口号)。
步骤503,接入设备维护记录有端口信息和地址的DHCP安全表,如表1和表2所示的DHCP安全表的示意情况。
表1
| 端口信息 | 地址 |
| P1 | IP1,IP2,IP3...IP20 |
| P2 | IP101 |
表2
{P1,{IP1,IP2,IP3...IP20}}
需要注意的是,当监听到通过同一个端口向DHCP客户端发送多次DHCP-OFFER报文时,则该端口将对应有多个地址;通过表1和表2可知,接入设备通过端口P1向DHCP客户端发送了20次DHCP-OFFER报文。
在维护DHCP安全表的过程中,如果向DHCP客户端发送DHCP-OFFER报文的端口在DHCP安全表中已经有相应记录,则将为DHCP客户端分配的地址添加到该端口的记录中即可;如果向DHCP客户端发送DHCP-OFFER报文的端口在DHCP安全表中没有相应记录,则建立新的记录,并将端口和为DHCP客户端分配的地址添加到该新建的记录中。
本发明中,为了后续可以直接利用DHCP安全表向DHCP服务器发送请求回收地址的报文,则接入设备还可以从DHCP-OFFER报文中获取DHCP服务器的地址信息,并将DHCP服务器的地址信息添加到DHCP安全表中。
步骤504,接入设备在预设第一周期内检测DHCP安全表中对应同一个端口的地址数量。
步骤505,接入设备判断该地址数量是否超过预设第一阈值,如果是,执行步骤506,否则,执行步骤507或结束流程。
上述预设第一周期和预设第一阈值可以根据实际经验进行选择,例如,当DHCP客户端在30秒内申请了5个地址,可认为该DHCP客户端为攻击者时,则可以将预设第一周期设置为30秒,并将预设第一阈值设置为5个。
本发明中,当地址数量超过预设第一阈值时,则认为端口上所连接的DHCP客户端为攻击者,执行步骤506。
当地址数量没有超过预设第一阈值时,则认为端口上所连接的DHCP客户端可能不是攻击者,可删除DHCP安全表中端口与对应该端口的各地址的记录,例如,在30秒内检测到DHCP安全表中对应端口P2的地址数量为1(只有IP101),则可以删除端口P2和IP101的记录;或者,
当地址数量没有超过预设第一阈值时,继续判断端口上所连接的DHCP客户端是否为攻击者,执行步骤507。
步骤506,接入设备向DHCP服务器发送请求回收地址的第二报文,该第二报文中携带对应端口的地址信息。例如,在30秒内检测到DHCP安全表中对应端口P1的地址数量为20,则将对应端口P1的20个地址通过第二报文发送给DHCP服务器。之后,DHCP服务器回收对应端口P1的20个地址,将该20个地址作为可以使用的地址资源,并可分配给其他DHCP客户端。
在发送第二报文时,第二报文中携带的地址信息可以从DHCP安全表中获知;如果DHCP安全表中记录有DHCP服务器的地址信息,则可直接从DHCP安全表中获知DHCP服务器的地址信息;否则,接入设备可采用其他方式获得DHCP服务器的地址信息,在此不再赘述。
在获知端口(如端口P1)下连接的DHCP客户端为攻击者时,则需要阻塞端口P1,从而不再通过端口P1接收来自DHCP客户端的DHCP-DISCOVER报文,以防止攻击者通过端口P1所进行的攻击;以及,还可以通过网管系统或日志系统记录端口P1下存在攻击者的信息,从而使网管人员或维护人员可以基于记录的信息进行相应处理。
本发明中,在阻塞端口P1或发送了回收端口P1对应地址的第二报文后,还可以删除DHCP安全表中端口P1与对应端口P1的各地址的记录。
步骤507,接入设备在预设第二周期内监听DHCP安全表中对应同一个端口的各地址的流量。
步骤508,接入设备判断是否接收到对应该端口的各地址的流量,如果是,则结束流程,否则,执行步骤506。
如果接收到对应该端口的各地址的流量,则认为端口上所连接的DHCP客户端不是攻击者,可以删除DHCP安全表中端口与对应该端口的各地址的记录。如果没有接收到对应该端口的各地址的流量(包括相应地址的上行ARP报文),则认为端口上所连接的DHCP客户端为攻击者,执行步骤506。
本发明中,该预设第二周期可以根据实际经验进行选择,例如,当DHCP客户端在5分钟内均没有发送流量,可认为该DHCP客户端为攻击者时,则可以将预设第二周期设置为5分钟。
需要说明的是,由于攻击者可以不在较短的时间内快速攻击(即申请地址),而是间隔攻击(如30秒内只攻击1~4次),因此可采用上述步骤507和步骤508进一步判断端口上所连接的DHCP客户端是否为攻击者。
实际应用中,为了综合考虑上述确定攻击者的方式,还可以将预设第二周期与预设第一周期进行关联,如将预设第二周期设置为3个预设第一周期,当预设第一周期为30s时,则端口P1下的IP地址的一个实际应用如下:
第一个30秒周期内,监听到分配了IP1、IP2,对IP1、IP2进行流量监听;
第二个30秒周期内,监听到分配了IP3、IP4,对IP3、IP4进行流量监听,此时IP1、IP2已监听一个周期,未发现有流量;
第三个30秒周期内,监听到分配了IP5、IP6,对IP5、IP6进行流量监听,此时IP1、IP2已监听两个周期,未发现有流量,IP3、IP4已监听一个周期,未发现有流量;
第四个30秒周期内,监听到分配了IP7、IP8,不再对IP7、IP8进行流量监听,此时IP1、IP2已监听三个周期,未发现有流量,IP3、IP4已监听两个周期,未发现有流量,IP5、IP6已监听一个周期,未发现有流量;
基于上述情况,可确定端口P1下连接的DHCP客户端为攻击者。
需要注意的是,假设端口P1下连接的DHCP客户端不是攻击者,则第一个30秒周期内监听到分配了IP1后,对IP1进行流量监听,第二个30秒周期内没有监听到分配的IP地址,且发现IP1有流量(如ARP报文)发送,因此确定端口P1下连接的不是攻击者,并删除DHCP安全表中相应的记录。
上述实现过程中,是以设置一个阈值(即预设第一阈值)来区分相应的DHCP客户端是否为攻击者的,实际应用中还可以设置多个阈值,如设置第一阈值和第二阈值,预设第二阈值小于预设第一阈值。
基于上述流程,在步骤503之后,当在预设第一周期内DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,则接入设备确定对应端口的地址为合法地址;当在预设第一周期内DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,则接入设备向对应端口的地址发起探测;如果接收到探测响应,则确定对应端口的地址为合法地址;如果没有接收到探测响应,则接入设备监听对应端口的地址的流量;如果在预设第三周期内(可与第一周期相同或不同)接收到对应端口的地址的流量,则确定对应端口的地址为合法地址;否则,向DHCP服务器发送第二报文。
综上所述,通过设置第一阈值和第二阈值,并在相应的情况下进行探测过程以及流量监听过程,可更加准确的判断出对应端口的地址是否为合法地址。例如,通过设置第一阈值,如果DHCP客户端在预设第一周期申请第一阈值以上的地址,则可直接认为DHCP客户端为攻击者;通过设置第二阈值,如果DHCP客户端在预设第一周期只申请第二阈值以下的地址,则可直接认为DHCP客户端不是攻击者。
如果DHCP客户端在预设第一周期申请的地址数量在第一阈值与第二阈值之间,考虑到合法地址会对探测过程进行响应,且有流量产生;非法地址不会对探测过程进行响应,且没有流量产生;因此如果接收到探测响应,则证明DHCP客户端不是攻击者,如果没有接收到探测响应,考虑到DHCP客户端上存在防火墙的情况,可进一步监听DHCP客户端的流量,如果有流量产生,则证明DHCP客户端不是攻击者,否则,说明DHCP客户端是攻击者。
进一步的,还可以设置3个阈值,对于不同的阈值范围,可以将DHCP客户端分为相应的级别,以预设第三阈值、预设第四阈值、预设第五阈值为例,预设第三阈值小于预设第四阈值、预设第四阈值小于预设第五阈值;且预设第三阈值、预设第四阈值、预设第五阈值与预设第一阈值、预设第二阈值之间并无关系。
基于上述流程,在步骤503之后,接入设备可通过预设第四周期(可大于预设第一周期,如5分钟)检测DHCP安全表中对应同一个端口(以端口P1为例)的地址数量。
(1)如果地址数量小于预设第三阈值(如4个),则确定对应端口P1的地址为合法地址(允许继续使用的地址);接入设备判定安全级别为1级(正常级别),此时可删除DHCP安全表中端口P1及对应的各地址的记录,也可将端口P1及对应的各地址的记录保留一段时间,以防止后续安全级别升级。
(2)如果地址数量大于预设第三阈值且小于预设第四阈值(预设第四阈值大于预设第三阈值,如10个),则判定安全级别为2级,接入设备需要向对应端口P1的地址发起探测(如Ping)。如果接收到探测响应(即可ping通),则确定对应端口P1的地址为合法地址,将安全级别调整为1级。
如果没有接收到探测响应(即无法Ping通),则监听对应端口P1的地址的流量;如果在预设第五周期(可与第四周期相同或不同)内接收到对应端口P1的地址的流量,则确定对应端口P1的地址为合法地址,将安全级别调整为1级;否则,通过本地日志的方式记录对应端口P1的地址,在后续过程中,可加强对本地日志中所记录的地址的管理。
(3)如果地址数量大于预设第四阈值且小于预设第五阈值(预设第五阈值大于预设第四阈值如300个),则判定安全级别为3级,接入设备需要向对应端口P1的地址发起探测,并监听对应端口P1的地址的流量。
如果没有接收到探测响应和/或在预设第六周期(可与第四周期相同或不同)内没有接收到对应端口P1的地址的流量,则向DHCP服务器发送请求回收地址的第二报文(即执行上述步骤506);否则,确定对应端口P1的地址为合法地址,将安全级别调整为1级。
考虑到攻击者会使用某个地址的情况,可设置一比例阈值(如80%),当没有接收到探测响应的地址超过80%、和/或,在预设第六周期内没有接收到对应端口P1的地址的流量的地址超过80%时,向DHCP服务器发送第二报文。
(4)如果地址数量大于预设第五阈值,则判定安全级别为4级,接入设备需要向DHCP服务器发送第二报文(即执行上述步骤506)。
需要注意的是,在连续的3个预设第三周期内,如果与端口P1所关联的DHCP安全表中记录到的地址数据逐渐增大,且突破下一个安全级别的数量限制时,则判定安全级别增加,并采取相对应安全级别的措施。
基于与上述方法同样的发明构思,本发明还提出了一种接入设备,应用于包括DHCP客户端、所述接入设备和DHCP服务器的系统中,所述DHCP服务器为所述DHCP客户端分配地址,并将所述地址通过所述接入设备通知给所述DHCP客户端,如图6所示,所述接入设备包括:
监听模块11,用于监听所述DHCP服务器向DHCP客户端发送的携带所述地址的第一报文;
获取模块12,用于从所述第一报文中获取所述地址,并获取向DHCP客户端发送所述第一报文的端口信息;
维护模块13,用于维护记录有所述端口信息和所述地址的DHCP安全表;
发送模块14,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息。
所述监听模块11,还用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值时,监听所述DHCP安全表中对应所述端口的各地址的流量;
所述发送模块14,还用于如果在预设第二周期内没有接收到对应所述端口的各地址的流量,则向所述DHCP服务器发送所述第二报文。
所述维护模块13,还用于如果在预设第二周期内接收到对应所述端口的各地址的流量,则在所述DHCP安全表中删除所述端口与对应所述端口的各地址的记录。
所述接入设备还包括:确定模块15,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,确定对应所述端口的地址为合法地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,向对应所述端口的地址发起探测;如果接收到探测响应,则确定对应所述端口的地址为合法地址;其中,预设第二阈值小于预设第一阈值。
所述监听模块11,还用于如果没有接收到探测响应,则监听对应所述端口的地址的流量;
所述确定模块15,还用于如果在预设第三周期内接收到对应所述端口的地址的流量,则确定对应所述端口的地址为合法地址;
所述发送模块14,还用于如果在预设第三周期内没有接收到对应所述端口的地址的流量,则向所述DHCP服务器发送所述第二报文。
还包括处理模块16,还用于阻塞所述端口,并通过网管系统或日志系统记录所述端口下存在攻击者的信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种地址的管理方法,应用于包括DHCP客户端、接入设备和DHCP服务器的系统中,所述DHCP服务器为所述DHCP客户端分配地址,并将所述地址通过所述接入设备通知给所述DHCP客户端,其特征在于,该方法包括以下步骤:
所述接入设备监听到所述DHCP服务器向DHCP客户端发送的携带所述地址的第一报文时,从所述第一报文中获取所述地址,并获取向DHCP客户端发送所述第一报文的端口信息,以及维护记录有所述端口信息和所述地址的DHCP安全表;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,所述接入设备向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息,由所述DHCP服务器回收对应所述端口的地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值后,如果在预设第二周期内没有接收到对应所述端口的各地址的流量,所述接入设备向所述DHCP服务器发送所述第二报文。
2.如权利要求1所述的方法,其特征在于,所述接入设备维护记录有所述端口信息和所述地址的DHCP安全表,之后还包括:
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值时,所述接入设备监听所述DHCP安全表中对应所述端口的各地址的流量。
3.如权利要求2所述的方法,其特征在于,所述接入设备监听所述DHCP安全表中对应所述端口的各地址的流量,之后还包括:
如果在预设第二周期内接收到对应所述端口的各地址的流量,所述接入设备在所述DHCP安全表中删除所述端口与对应所述端口的各地址的记录。
4.如权利要求1所述的方法,其特征在于,所述接入设备维护记录有所述端口信息和所述地址的DHCP安全表,之后还包括:
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,所述接入设备确定对应所述端口的地址为合法地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,所述接入设备向对应所述端口的地址发起探测;如果接收到探测响应,则确定对应所述端口的地址为合法地址;其中,预设第二阈值小于预设第一阈值。
5.如权利要求4所述的方法,其特征在于,所述接入设备向对应所述端口的地址发起探测,之后还包括:
如果没有接收到探测响应,则所述接入设备监听对应所述端口的地址的流量;如果在预设第三周期内接收到对应所述端口的地址的流量,则确定对应所述端口的地址为合法地址;否则,所述接入设备向所述DHCP服务器发送所述第二报文。
6.如权利要求1-5任一项所述的方法,其特征在于,所述接入设备向所述DHCP服务器发送请求回收地址的第二报文,之后还包括:
所述接入设备阻塞所述端口,并通过网管系统或日志系统记录所述端口下存在攻击者的信息。
7.一种接入设备,应用于包括DHCP客户端、所述接入设备和DHCP服务器的系统中,所述DHCP服务器为所述DHCP客户端分配地址,并将所述地址通过所述接入设备通知给所述DHCP客户端,其特征在于,所述接入设备包括:
监听模块,用于监听所述DHCP服务器向DHCP客户端发送的携带所述地址的第一报文;
获取模块,用于从所述第一报文中获取所述地址,并获取向DHCP客户端发送所述第一报文的端口信息;
维护模块,用于维护记录有所述端口信息和所述地址的DHCP安全表;
发送模块,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量超过预设第一阈值时,向所述DHCP服务器发送请求回收地址的第二报文,所述第二报文中携带对应所述端口的地址信息;还用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值后,如果在预设第二周期内没有接收到对应所述端口的各地址的流量,则向所述DHCP服务器发送所述第二报文。
8.如权利要求7所述的接入设备,其特征在于,
所述监听模块,还用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量没有超过预设第一阈值时,监听所述DHCP安全表中对应所述端口的各地址的流量。
9.如权利要求8所述的接入设备,其特征在于,
所述维护模块,还用于如果在预设第二周期内接收到对应所述端口的各地址的流量,则在所述DHCP安全表中删除所述端口与对应所述端口的各地址的记录。
10.如权利要求7所述的接入设备,其特征在于,还包括:
确定模块,用于当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量小于预设第二阈值时,确定对应所述端口的地址为合法地址;
当在预设第一周期内所述DHCP安全表中对应同一个端口的地址数量大于预设第二阈值且小于预设第一阈值时,向对应所述端口的地址发起探测;如果接收到探测响应,则确定对应所述端口的地址为合法地址;其中,预设第二阈值小于预设第一阈值。
11.如权利要求10所述的接入设备,其特征在于,
所述监听模块,还用于如果没有接收到探测响应,则监听对应所述端口的地址的流量;
所述确定模块,还用于如果在预设第三周期内接收到对应所述端口的地址的流量,则确定对应所述端口的地址为合法地址;
所述发送模块,还用于如果在预设第三周期内没有接收到对应所述端口的地址的流量,则向所述DHCP服务器发送所述第二报文。
12.如权利要求7-11任一项所述的接入设备,其特征在于,还包括:
处理模块,用于阻塞所述端口,并通过网管系统或日志系统记录所述端口下存在攻击者的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110142104 CN102185724B (zh) | 2011-05-30 | 2011-05-30 | 一种地址的管理方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110142104 CN102185724B (zh) | 2011-05-30 | 2011-05-30 | 一种地址的管理方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102185724A CN102185724A (zh) | 2011-09-14 |
| CN102185724B true CN102185724B (zh) | 2013-10-23 |
Family
ID=44571797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110142104 Active CN102185724B (zh) | 2011-05-30 | 2011-05-30 | 一种地址的管理方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102185724B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188257A (zh) * | 2011-12-28 | 2013-07-03 | 北京东土科技股份有限公司 | 一种实现dhcp客户端与服务器安全交互的装置 |
| CN103249075B (zh) * | 2013-05-31 | 2017-02-15 | 迈普通信技术股份有限公司 | 接入点故障的检测恢复方法及装置 |
| CN103414641B (zh) * | 2013-07-25 | 2016-12-28 | 福建星网锐捷网络有限公司 | 邻居表项释放方法、装置和网络设备 |
| CN104796383B (zh) * | 2014-01-20 | 2018-12-25 | 新华三技术有限公司 | 一种终端信息防篡改的方法和装置 |
| CN105959282A (zh) | 2016-04-28 | 2016-09-21 | 杭州迪普科技有限公司 | Dhcp攻击的防护方法及装置 |
| CN106470253B (zh) * | 2016-11-21 | 2019-12-06 | 杭州迪普科技股份有限公司 | Ip地址回收方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741458A (zh) * | 2004-08-24 | 2006-03-01 | 华为技术有限公司 | 一种检测进行恶意ip扫描的用户的方法 |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
| CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
| CN101262503A (zh) * | 2008-03-20 | 2008-09-10 | 中兴通讯股份有限公司 | 用于dhcp设备的回收用户ip地址方法 |
| CN101730090A (zh) * | 2009-12-24 | 2010-06-09 | 杭州华三通信技术有限公司 | Dhcp服务器释放ip地址的方法及设备 |
-
2011
- 2011-05-30 CN CN 201110142104 patent/CN102185724B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741458A (zh) * | 2004-08-24 | 2006-03-01 | 华为技术有限公司 | 一种检测进行恶意ip扫描的用户的方法 |
| CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
| CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
| CN101262503A (zh) * | 2008-03-20 | 2008-09-10 | 中兴通讯股份有限公司 | 用于dhcp设备的回收用户ip地址方法 |
| CN101730090A (zh) * | 2009-12-24 | 2010-06-09 | 杭州华三通信技术有限公司 | Dhcp服务器释放ip地址的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102185724A (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102185724B (zh) | 一种地址的管理方法和设备 | |
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| CN101795300B (zh) | Ip地址回收方法及系统、dhcp中继器、dhcp服务器 | |
| US20140344444A1 (en) | Recovery of Dynamic Host Configuration Protocol IP Addresses | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| CN101542979A (zh) | Mac地址的重复消除方法、网络设备管理系统、服务器以及信息设备 | |
| CN112910854B (zh) | 物联网安全运维的方法、装置、终端设备和存储介质 | |
| CN101247396A (zh) | 一种分配ip地址的方法、装置及系统 | |
| CN104853001A (zh) | 一种arp报文的处理方法和设备 | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| CN102946385B (zh) | 一种防止伪造释放报文进行攻击的方法和设备 | |
| CN104219338A (zh) | 授权地址解析协议安全表项的生成方法及装置 | |
| CN102685812A (zh) | Ap关联终端控制方法、装置和系统 | |
| CN102238245B (zh) | 一种地址的分配方法和设备 | |
| CN101309305B (zh) | 一种ip地址分配的方法和设备 | |
| CN103414641A (zh) | 邻居表项释放方法、装置和网络设备 | |
| CN102904902A (zh) | 一种基于dhcp旁路阻断方法 | |
| CN108694116B (zh) | 一种vpc集群的网络稳定性测试方法、装置及系统 | |
| CN107547674A (zh) | 地址分配方法和装置 | |
| US10320741B2 (en) | Server IP address assignment system and method | |
| CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
| CN103905383A (zh) | 一种数据报文转发方法、装置和系统 | |
| CN104683326A (zh) | 恶意耗尽dhcp服务器地址池的防止方法 | |
| US8149723B2 (en) | Systems and methods for discovering machines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |