CN102801716B - 一种dhcp防攻击方法及装置 - Google Patents
一种dhcp防攻击方法及装置 Download PDFInfo
- Publication number
- CN102801716B CN102801716B CN201210271957.0A CN201210271957A CN102801716B CN 102801716 B CN102801716 B CN 102801716B CN 201210271957 A CN201210271957 A CN 201210271957A CN 102801716 B CN102801716 B CN 102801716B
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- ack message
- address
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种DHCP防攻击方法,应用于作为DHCP客户端的网络设备上,该方法包括:A、保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息,其中该信息至少包括报文的源IP地址以及服务器标识;B、比较同一个报文的源IP地址与服务器标识是否一致,如果不一致则确定该报文是攻击者发送的。本发明充分利用DHCP交互过程的特点来防范DHCP攻击,通过各种手段大幅度降低了DHCP客户端被攻击的可能性。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种DHCP防攻击方法及装置。
背景技术
IP网络是目前也是未来相当长一段时间内最为流行的网络组织方式。IP网络中的所有设备如果要同其它设备通信,就必须有唯一的身份,即IP地址。目前给设备配置IP地址的方法有PPP协议的自协商方式、用户自己配置、管理员统一分配配置方式,但是这些配置方式存在着共同缺陷,即需要管理员针对每个设备进行配置。当网络规模较大及拓扑结构复杂或者网络拓扑结构动态变化频繁时,或者许多终端设备需要更多的启动配置信息时,管理员的配置工作将力不从心,于是新的终端设备配置方式应运而生,即DHCP(Dynamic Host Configuration Protocol)动态主机配置协议。该协议采用CS模式(客户端-服务器模式),DHCP服务器集中管理IP地址等网络配置信息,DHCP客户端从DHCP服务器请求各自配置信息,从而实现网络设备的自动配置。
然而如果网络中存在非法DHCP服务器,其可能会提供虚假配置信息,由于DHCP客户端没有采取任何安全措施,很可能绑定到错误的配置信息,导致设备不能正常访问网络;甚至可能引发泄密等风险。
发明内容
有鉴于此,本发明提供一种DHCP防攻击装置,应用于作为DHCP客户端的网络设备上,该装置包括信息缓存单元以及比较分析单元,其中:
信息缓存单元,用于保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息,其中该信息至少包括报文的源IP地址以及服务器标识;
比较分析单元,用于比较同一个报文的源IP地址与服务器标识是否一致,如果不一致则确定该报文是攻击者发送的。
本发明还提供一种DHCP防攻击方法,应用于作为DHCP客户端的网络设备上,该方法包括以下步骤:
A、保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息,其中该信息至少包括报文的源IP地址以及服务器标识;
B、比较同一个报文的源IP地址与服务器标识是否一致,如果不一致则确定该报文是攻击者发送的。
本发明充分利用DHCP交互过程的特点来防范DHCP攻击,通过各种手段大幅度降低了DHCP客户端被攻击的可能性。即便攻击者的DHCP ACK报文被DHCP客户端所接受,本发明仍然有一种或多种的辅助手段来帮助用户识别出攻击行为。
附图说明
图1是一个典型的DHCP的交互过程示意图。
图2是本发明一种实施方式中DHCP防攻击装置的逻辑结构图。
具体实施方式
请参考图1,一般情况下,需要进行配置的网络设备可以通过与DHCP服务器进行两次报文交互实现自身配置。本发明所说的网络设备并非狭义的交换机及路由器等设备,而是涵盖一切网络中所有需要获取IP地址以及相关网络配置的节点。在与DHCP服务器交互的过程中,首先作为DHCP客户端的网络设备向网络中发送广播的DHCP Discover报文,携带DHCP客户端关心的配置信息列表,DHCP服务器根据DHCP客户端请求的配置信息列表,在DHCP Offer报文填充自身管理的IP地址资源及其它配置信息,以广播(多数情况)或者单播(少数情况)的方式回送给DHCP客户端。
由于网络中可能存在多个DHCP服务器,因此DHCP客户端可能会收到多个DHCP Offer报文。DHCP客户端可以从中选取某个DHCP服务器发送DHCP Offer报文(通常是第一个到达的DHCP Offer报文)。接下来DHCP客户端构建DHCP Request报文,指定服务器标识(一般是DHCP服务器的IP地址),向网络中广播此报文,这样网络中多个DHCP服务器都可能会受到只有匹配上服务器标识的DHCP服务器才会回应一个DHCP ACK报文(报文内容基本等同于DHCP Offer报文),DHCP客户端以此报文内容绑定配置信息,完成自身配置。
本发明利用DHCP交互过程的特点来协助网络设备检测出DHCP攻击。请参考图2,以计算机程序实现为例,本发明一种实施方式中的DHCP防攻击装置包括:信息缓存单元以及分析比较单元;该装置运行于作为DHCP客户端的网络设备上,且在客户端一次DHCP过程中执行如下步骤:
步骤101,信息缓存单元在DHCP客户端收到DHCP Offer报文时将该DHCP Offer报文携带的各种信息进行缓存,缓存的信息至少包括Option字段中的服务器标识(ServerID)以及该DHCP Offer报文的源IP地址;
步骤102,信息缓存单元在DHCP客户端收到DHCP ACK报文时将该DHCP ACK报文携带的各种信息进行缓存,缓存的信息至少包括Option字段中的服务器标识(ServerID)以及该DHCP ACK报文的源IP地址;
在DHCP交互过程中,DHCP Offer报文以及DHCP ACK报文是由DHCP服务器发送的,本发明需要将这两个报文的相关信息保存下来(甚至可以整个报文都保存下来)进行后续的分析。通常情况下,除了报文源IP地址以及Option字段(通常为Option54)的ServerID,还可以保存报文的源MAC地址、DHCP ACK报文携带的DNS服务器地址、DHCP ACK报文携带的网关IP地址等。
步骤103,比较分析单元比较DHCP Offer报文中携带的服务器标识与DHCP Offer报文的源IP地址,如果两者不一致则确定网络中存在DHCP攻击,并将该DHCP Offer报文的源IP地址作为攻击源报告给用户;
步骤104,比较分析单元比较DHCP ACK报文中的服务器标识与DHCPACK报文的源IP地址,如果两者不一致则确定网络中存在DHCP攻击,并将该DHCP ACK报文的源IP地址作为攻击源报告给用户;
DHCP攻击者可能会采用构造DHCP Offer或DHCP ACK报文的方式,攻击者可能会大量发送其构造的DHCP Offer或DHCP ACK报文,很多时候其构造的报文载荷部分都是一样的,尤其是ServerID可能是随意填写的与攻击者的源IP地址并不一致。因此本发明可以通过比较DHCP Offer报文或DHCP ACK报文中源IP地址与ServerID的一致性来判断该报文是否为攻击者发送,如果不一致则可以确定为攻击者发送的DHCP Offer报文或DHCPACK报文。
步骤105,在DHCP Offer报文中的服务器标识与DHCP Offer报文的源IP地址相同且DHCP ACK报文中的服务器标识与DHCP ACK报文的源IP地址相同时,比较分析单元进一步比较DHCP ACK报文与接受的DHCP Offer报文携带的服务器标识和/或源MAC地址是否一致,如果任意一个不一致则确定该DHCP ACK报文是攻击者发送的,并将比较结果报告给用户。
步骤106,比较分析单元向DHCP ACK报文携带的网关IP地址发送ARP请求报文,如果预定时间内没有收到相应的ARP应答,则确定该DHCP ACK报文是攻击者发送的;
步骤107,比较分析单元向DHCP ACK报文中携带的DNS服务器IP地址发送针对预定域名的解析请求,如果在预定时间内没有收到解析结果或者收到的解析结果与预先保存的该预定域名的解析结果不一致,则确定该DHCP ACK报文是攻击者发送的。
步骤108,比较分析单元进一步判断DHCP ACK报文中分配给DHCP客户端的IP地址与该DHCP ACK报文的源IP地址是否在同一网段,如果是且网络中存在DHCP中继时确定该DHCP ACK报文是攻击者发送的;如果否且网络中不存在DHCP中继时确定该DHCP ACK报文是攻击者发送的。
高明的攻击者可能会在构造报文的过程中确保报文的源IP地址与ServerID保持一致,以期望骗过防攻击机制。本发明对此有进一步的防范措施,攻击者的特点往往是大量构造相同或者相近的报文以企图插入到正常的DHCP交互过程中来。假设攻击者发送的DHCP ACK报文先于合法DHCP服务器到达DHCP客户端,那么DHCP客户端可能被欺骗。考虑到这种情形,本发明可以进一步做验证。如前所述,DHCP客户端可能会接收到多个DHCP Offer报文,但通常只有一个(一般是第一个到达的)DHCP Offer报文会被DHCP客户端接受,而本次DHCP过程中后续到来的DHCP ACK报文通常也是发送这个被接受的DHCP Offer报文的DHCP服务器发出的,也就是说DHCPACK报文以及DHCP Offer报文是同一个DHCP服务器发出的。
由于信息缓存单元缓存了被接受的DHCP Offer报文的ServerID以及源MAC地址,此时可以将DHCP ACK报文的ServerID和/或源MAC地址拿出来与DHCP Offer报文的做对比。假设同时对比ServerID以及源MAC地址,如果ServerID或源MAC地址有任何一个不相同,说明DHCP Offer报文与DHCP ACK报文是不同的DHCP服务器发出的,不符合正常的DHCP交互流程,因此可以判定存在网络攻击。值得注意的是,由于攻击者并不知道到底哪个DHCP Offer报文会被DHCP客户端所接受,因为哪个DHCP服务器发送的DHCP Offer报文会第一个到达DHCP客户端是无法预计的,其受制于DHCP服务器负荷以及中间网络状况等多种未知因素,因此即便攻击者知晓所有DHCP服务器的IP地址,也无法进行有针对性的攻击来规避上述比较DHCP Offer报文与DHCP ACK报文的机制。
进一步来说,考虑到DHCP服务器的数量是有限的,攻击者虽然难度大大加大,且效果大打折扣,但理论上仍然有少数攻击行为会成功的可能性。为了进一步规避攻击成功所带来的危害,本发明的分析比较单元进一步向DHCP ACK报文中的网关IP地址发起ARP请求,看看是否能够正常收到ARP应答,也就是说确定一下对方的MAC地址是不是像正常的节点那样是一个可达的MAC地址。由于攻击者构造的网关IP地址通常是虚构的,不会有完整的协议栈(否则将大量消耗攻击者的资源),因此不会对ARP请求进行应答。因此针对DHCP ACK报文携带的网关IP地址进行ARP验证,可以进一步规避攻击者成功的可能性。
基于同样的构思,本发明的分析比较单元,还可以根据向DHCP ACK报文中携带的DNS服务器IP地址发起DNS解析进行DNS服务器有效性的验证。网络设备上可以预先配置一个域名的解析结果,比如一个公共域名(如www.gov.cn)的解析结果,然后想这个预定的域名发起解析,如果解析结果不正确(即与预先保存的解析结果不同),则可以确定DNS服务器无效,相应地可以确定DHCP ACK报文是攻击者发送的。
此外,如果DHCP服务器相对于DHCP客户端来说工作在另一个广播域中,此时需要DHCP中继中转DHCP Discover报文。因此采取比较报文源IP同分配给用户的IP地址是否在同一网段可以用来识别攻击报文。如果网络中存在中继,则上述两个IP地址不能在同一网段,否则必须为同一网段。这种识别攻击的手段通常应用在客户端所在广播域中不存在多台可做网关设备的三层设备的组网环境中。
本发明充分利用DHCP交互过程的特点来防范DHCP攻击,通过各种手段大幅度降低了DHCP客户端被攻击的可能性。即便攻击者的DHCP ACK报文被DHCP客户端所接受,本发明仍然有一种或多种的辅助手段来帮助用户识别出攻击行为。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种DHCP防攻击装置,应用于作为DHCP客户端的网络设备上,该装置包括信息缓存单元以及比较分析单元,其特征在于:
信息缓存单元,用于保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息,其中该信息至少包括报文的源IP地址以及服务器标识;
比较分析单元,用于比较同一个报文的源IP地址与服务器标识是否一致,如果不一致则确定该报文是攻击者发送的。
2.如权利要求1所述的装置,其特征在于,所述比较分析单元,进一步用于比较被DHCP客户端接受的DHCP Offer报文与本次DHCP过程中收到的DHCP ACK报文的服务器标识是否一致;如果不一致则确定该DHCP ACK报文是攻击者发送的;和/或
进一步用于比较被DHCP客户端接受的DHCP Offer报文与本次DHCP过程中收到的DHCP ACK报文的源MAC地址是否一致,如果不一致则确定该DHCP ACK报文是攻击者发送的。
3.如权利要求1所述的装置,其特征在于,所述比较分析单元进一步用于向DHCP ACK报文中携带的网关IP地址发送ARP请求,如果在预定的时间内没有收到相应的ARP应答,则确定该DHCP ACK报文是攻击者发送的。
4.如权利要求1所述的装置,其特征在于,所述比较分析单元进一步用于向DHCP ACK报文中携带的DNS服务器IP地址发送针对预定域名的域名解析请求,如果在预定时间内没有收到解析结果或者收到的解析结果与预先保存的该预定域名的解析结果不一致,则确定该DHCP ACK报文是攻击者发送的。
5.如权利要求1所述的装置,其特征在于,所述比较分析单元进一步用于判断DHCP ACK报文中分配给DHCP客户端的IP地址与该DHCP ACK报文的源IP地址是否在同一网段,如果是且网络中存在DHCP中继时确定该DHCP ACK报文是攻击者发送的;如果否且网络中不存在DHCP中继时确定该DHCP ACK报文是攻击者发送的。
6.一种DHCP防攻击方法,应用于作为DHCP客户端的网络设备上,其特征在于,该方法包括以下步骤:
A、保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息,其中该信息至少包括报文的源IP地址以及服务器标识;
B、比较同一个报文的源IP地址与服务器标识是否一致,如果不一致则确定该报文是攻击者发送的。
7.如权利要求6所述的方法,其特征在于,所述步骤B进一步包括:比较被DHCP客户端接受的DHCP Offer报文与本次DHCP过程中收到的DHCPACK报文的服务器标识是否一致;如果不一致则确定该DHCP ACK报文是攻击者发送的;和/或
进一步比较被DHCP客户端接受的DHCP Offer报文与本次DHCP过程中收到的DHCP ACK报文的源MAC地址是否一致,如果不一致则确定该DHCP ACK报文是攻击者发送的。
8.如权利要求6所述的方法,其特征在于,所述步骤B进一步包括:向DHCP ACK报文中携带的网关IP地址发送ARP请求,如果在预定的时间内没有收到相应的ARP应答,则确定该DHCP ACK报文是攻击者发送的。
9.如权利要求6所述的方法,其特征在于,所述步骤B进一步包括:向DHCP ACK报文中携带的DNS服务器IP地址发送针对预定域名的域名解析请求,如果在预定时间内没有收到解析结果或者收到的解析结果与预先保存的该预定域名的解析结果不一致,则确定该DHCP ACK报文是攻击者发送的。
10.如权利要求6所述的方法,其特征在于,所述步骤B进一步包括:判断DHCP ACK报文中分配给DHCP客户端的IP地址与该DHCP ACK报文的源IP地址是否在同一网段,如果是且网络中存在DHCP中继时确定该DHCP ACK报文是攻击者发送的;如果否且网络中不存在DHCP中继时确定该DHCP ACK报文是攻击者发送的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210271957.0A CN102801716B (zh) | 2012-08-01 | 2012-08-01 | 一种dhcp防攻击方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210271957.0A CN102801716B (zh) | 2012-08-01 | 2012-08-01 | 一种dhcp防攻击方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102801716A CN102801716A (zh) | 2012-11-28 |
CN102801716B true CN102801716B (zh) | 2015-04-08 |
Family
ID=47200679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210271957.0A Active CN102801716B (zh) | 2012-08-01 | 2012-08-01 | 一种dhcp防攻击方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102801716B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2924941B1 (en) * | 2012-12-26 | 2019-09-11 | Huawei Technologies Co., Ltd. | Method and device for preventing service illegal access |
CN104954317B (zh) * | 2014-03-25 | 2018-11-13 | 国基电子(上海)有限公司 | 配置网络参数的方法、服务器及客户端 |
CN104219337B (zh) * | 2014-09-11 | 2017-08-11 | 新华三技术有限公司 | 应用于sdn中的ip地址分配方法和设备 |
CN105959282A (zh) | 2016-04-28 | 2016-09-21 | 杭州迪普科技有限公司 | Dhcp攻击的防护方法及装置 |
CN105939346A (zh) * | 2016-05-04 | 2016-09-14 | 杭州迪普科技有限公司 | 阻止dns缓存攻击方法及装置 |
CN105847464B (zh) * | 2016-05-30 | 2019-11-29 | 上海斐讯数据通信技术有限公司 | 一种多dhcp服务器网络环境下的ip地址管理方法和dhcp客户机 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227356A (zh) * | 2007-12-12 | 2008-07-23 | 深圳市同洲电子股份有限公司 | 基于动态主机配置协议的网络接入方法、系统和设备 |
CN101321102A (zh) * | 2007-06-07 | 2008-12-10 | 杭州华三通信技术有限公司 | Dhcp服务器的检测方法与接入设备 |
CN101330531A (zh) * | 2008-07-31 | 2008-12-24 | 杭州华三通信技术有限公司 | Dhcp地址分配处理方法和dhcp中继 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102005006889B4 (de) * | 2005-02-15 | 2007-01-11 | Siemens Ag | Verfahren, Kommunikationsanordnung und Kommunikationsvorrichtung zum Einrichten einer Kommunikationsbeziehung in zumindest einem Kommunikationsnetz |
-
2012
- 2012-08-01 CN CN201210271957.0A patent/CN102801716B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101321102A (zh) * | 2007-06-07 | 2008-12-10 | 杭州华三通信技术有限公司 | Dhcp服务器的检测方法与接入设备 |
CN101227356A (zh) * | 2007-12-12 | 2008-07-23 | 深圳市同洲电子股份有限公司 | 基于动态主机配置协议的网络接入方法、系统和设备 |
CN101330531A (zh) * | 2008-07-31 | 2008-12-24 | 杭州华三通信技术有限公司 | Dhcp地址分配处理方法和dhcp中继 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
Non-Patent Citations (4)
Title |
---|
DHCP Options and BOOTP Vendor Extensions;S.Alexander;《IETF RFC2132》;19970331;全文 * |
Dynamic Host Configuration Protocol;R. Droms;《IETF RFC2131》;19970331;全文 * |
探讨DHCP环境下防范非法DHCP服务器的措施;徐坚;《电脑知识与技术》;20110331;第9卷(第7期);第2006-2007页 * |
非法DHCP服务器攻击解决方案;段煜晖;《计算机与网络》;20121031;第38卷(第20期);第48-50页 * |
Also Published As
Publication number | Publication date |
---|---|
CN102801716A (zh) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102801716B (zh) | 一种dhcp防攻击方法及装置 | |
CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
JP2017534198A (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
WO2003079642A2 (en) | A ddns server, a ddns client terminal and a ddns system, and a web server terminal, its network system and an access control method | |
CN110493366B (zh) | 一种接入点加入网络管理的方法及装置 | |
CN108418806A (zh) | 一种报文的处理方法及装置 | |
CN104662848B (zh) | 用于动态域名系统(ddns)的方法和系统 | |
CN106713311B (zh) | 一种降低dns劫持风险的方法和装置 | |
EP2677716A1 (en) | Access control method, access device and system | |
US9992159B2 (en) | Communication information detecting device and communication information detecting method | |
CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
CN101415002B (zh) | 防止报文攻击的方法、数据通信设备及通信系统 | |
CN106412146B (zh) | 一种dhcp客户端更新ip的方法和装置 | |
CN103795581A (zh) | 地址处理方法和设备 | |
Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark | |
CN106470249A (zh) | Gateway-whois域名注册查询方法和装置 | |
CN106878291B (zh) | 一种基于前缀安全表项的报文处理方法及装置 | |
CN106789666B (zh) | 一种确定转换后端口的方法和装置 | |
JP2019041176A (ja) | 不正接続遮断装置及び不正接続遮断方法 | |
CN105959251B (zh) | 一种防止nat穿越认证的方法及装置 | |
US20180007075A1 (en) | Monitoring dynamic device configuration protocol offers to determine anomaly | |
US20160020971A1 (en) | Node information detection apparatus, node information detection method, and program | |
CN105791238A (zh) | 防止无线局域网dhcp泛洪攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |