CN102946385B - 一种防止伪造释放报文进行攻击的方法和设备 - Google Patents
一种防止伪造释放报文进行攻击的方法和设备 Download PDFInfo
- Publication number
- CN102946385B CN102946385B CN201210423593.3A CN201210423593A CN102946385B CN 102946385 B CN102946385 B CN 102946385B CN 201210423593 A CN201210423593 A CN 201210423593A CN 102946385 B CN102946385 B CN 102946385B
- Authority
- CN
- China
- Prior art keywords
- message
- equipment
- release message
- address
- dhcp client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止伪造释放报文进行攻击的方法和设备,该方法包括:AP设备在收到Release报文之后,通过所述Release报文的源MAC地址查询关联信息表中记录的MAC地址;如果所述关联信息表中没有所述源MAC地址对应的记录,则所述AP设备丢弃所述Release报文;如果所述关联信息表中有所述源MAC地址对应的记录,则所述AP设备判断所述源MAC地址对应的记录是否被删除;如果所述源MAC地址对应的记录被删除,则所述AP设备将所述Release报文转发给DHCP服务器。本发明中,可以提高网络的安全性。
Description
技术领域
本发明涉及通信技术领域,特别是涉及了一种防止伪造释放报文进行攻击的方法和设备。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用于动态地址的分配过程,如图1所示,为DHCP动态地址申请以及释放过程的流程示意图,该过程具体包括:
(1)发现阶段,即DHCP客户端(client)寻找DHCP服务器(server)的阶段;其中,DHCP客户端以广播方式发送DISCOVER(发现)报文。
(2)提供阶段,即DHCP服务器提供IP地址的阶段;其中,DHCP服务器接收到DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其它参数一起通过OFFER(提供)报文发送给DHCP客户端。
(3)选择阶段,即DHCP客户端选择IP地址的阶段;其中,如果有多台DHCP服务器向DHCP客户端发送OFFER报文,则只接受第一个收到的OFFER报文,然后以广播方式发送REQUEST(请求)报文,该REQUEST报文中包含DHCP服务器在OFFER报文中分配的IP地址。
(4)确认阶段,即DHCP服务器确认IP地址的阶段;其中,DHCP服务器收到REQUEST报文后,只有DHCP客户端选择的DHCP服务器会进行如下操作:如果确认将地址分配给该DHCP客户端,则返回ACK(确认)报文;否则返回NAK(否认)报文,表明地址不能分配给该DHCP客户端。
(5)释放阶段,DHCP客户端给DHCP服务器发送RELEASE(释放)报文,释放其分配的地址。
在上述处理过程中,由于DHCP报文使用UDP(User Datagram Protocol,用户数据报协议)报文,且在DHCP报文中没有密码等安全机制,从而导致存在以下问题:(1)虚假DHCP服务器的问题;(2)伪造DHCP客户端报文进行攻击的问题,例如,攻击者通过伪造RELEASE报文,从而导致地址实际被占用,但是DHCP服务器地址池中标记该地址为空闲地址。
为了解决上述问题,可以采用DHCP snooping(探测)方式,如图2所示,为DHCP snooping的组网示意图,通过在DHCP Snooping设备上指定trust(信任)端口来解决虚假DHCP服务器的问题;并通过DHCP snooping设备上记录的DHCP Snooping表项来解决伪造DHCP客户端报文进行攻击的问题。
具体的,DHCP snooping设备在接收到来自DHCP客户端的报文时,检查本地是否存在与该报文相匹配的DHCP Snooping表项;若存在对应表项,则当该报文中信息与DHCP Snooping表项中信息一致时,认为该报文为合法DHCP客户端的报文;否则,认为该报文为伪造的DHCP客户端报文。
但是,DHCP Snooping方式并不能完全防止DHCP客户端伪造报文攻击的问题;如图3所示,为WLAN(Wireless Local Area Networks,无线局域网)环境下的DHCP网络示意图,当报文在空中传播时,任何人都能窃听到报文,因此导致L2 switch(二层交换机)或者AP1(Access Point,接入点)/AP2上应用DHCP Snooping时,都不能有效防止DHCP客户端伪造报文攻击。
发明内容
本发明实施例提供一种防止伪造释放报文进行攻击的方法和设备,以有效防止DHCP客户端伪造报文进行攻击问题,提高网络的安全性。
为了达到上述目的,本发明实施例提供一种防止伪造释放报文进行攻击的方法,应用于包括接入点AP设备、动态主机配置协议DHCP客户端和DHCP服务器的网络中,所述AP设备上维护有关联信息表,且所述关联信息表用于记录DHCP客户端对应的介质访问控制MAC地址和IP地址,该方法包括:
所述AP设备在收到Release报文之后,通过所述Release报文的源MAC地址查询所述关联信息表中记录的MAC地址;
如果所述关联信息表中没有所述源MAC地址对应的记录,则所述AP设备确定所述Release报文为伪造报文,并丢弃所述Release报文;
如果所述关联信息表中有所述源MAC地址对应的记录,则所述AP设备判断所述源MAC地址对应的记录在指定时间后是否被删除;
如果所述源MAC地址对应的记录被删除,则所述AP设备将所述Release报文转发给所述DHCP服务器;
如果所述源MAC地址对应的记录没有被删除,则所述AP设备发送地址解析协议ARP请求报文,并根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文。
所述AP设备维护所述关联信息表的过程,具体包括:
在DHCP客户端与所述AP设备建立关联的过程中,所述AP设备获得所述DHCP客户端对应的MAC地址;以及,在DHCP客户端通过所述AP设备在所述DHCP服务器上申请IP地址的过程中,所述AP设备获得所述DHCP客户端对应的IP地址;以及,所述AP设备在所述关联信息表中记录所述DHCP客户端对应的MAC地址和IP地址。
所述ARP请求报文的目的MAC地址为所述Release报文的源MAC地址,所述ARP请求报文的目的IP地址为所述Release报文的客户端IP地址ciaddr字段中指定的IP地址;
所述AP设备根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文,具体包括:
如果所述AP设备没有收到所述ARP请求报文对应的确认ACK控制帧报文,则所述AP设备将所述Release报文转发给所述DHCP服务器;
如果所述AP设备收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息相匹配,则所述AP设备确定所述Release报文为伪造报文,并丢弃所述Release报文;
如果所述AP设备没有收到所述ARP请求报文对应的ARP应答报文;或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配,则所述AP设备将所述Release报文转发给所述DHCP服务器。
所述AP设备在没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配时,所述AP设备将所述Release报文转发给所述DHCP服务器的过程,进一步包括:
所述AP设备判断当前发送所述ARP请求报文的次数是否达到预设数值,如果未达到预设数值,所述AP设备拒绝将所述Release报文转发给所述DHCP服务器,并周期性发送所述ARP请求报文;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息均不匹配,或没有收到所述ARP请求报文对应的ARP应答报文时,则所述AP设备将所述Release报文转发给所述DHCP服务器。
所述方法进一步包括:如果所述AP设备发现DHCP客户端去关联,则所述AP设备构造所述DHCP客户端对应的Release报文,并将所述Release报文发送给所述DHCP服务器,以及删除所述关联信息表中所述DHCP客户端对应的记录。
本发明实施例提供一种接入点AP设备,应用于包括所述AP设备、动态主机配置协议DHCP客户端和DHCP服务器的网络中,所述AP设备包括:
维护模块,用于维护关联信息表,且所述关联信息表用于记录DHCP客户端对应的介质访问控制MAC地址和IP地址;
查询模块,用于在收到释放Release报文之后,通过所述Release报文的源MAC地址查询所述关联信息表中记录的MAC地址;
丢弃模块,用于当所述关联信息表中没有所述源MAC地址对应的记录时,确定所述Release报文为伪造报文,并丢弃所述Release报文;
判断模块,用于当所述关联信息表中有所述源MAC地址对应的记录时,判断所述源MAC地址对应的记录在指定时间后是否被删除;
处理模块,用于当所述源MAC地址对应的记录被删除时,将所述Release报文转发给所述DHCP服务器;当所述源MAC地址对应的记录没有被删除时,发送地址解析协议ARP请求报文,并根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文。
所述维护模块,具体用于在DHCP客户端与所述AP设备建立关联的过程中,获得所述DHCP客户端对应的MAC地址;以及,在DHCP客户端通过所述AP设备在所述DHCP服务器上申请IP地址的过程中,获得所述DHCP客户端对应的IP地址;以及,在所述关联信息表中记录所述DHCP客户端对应的MAC地址和IP地址。
所述ARP请求报文的目的MAC地址为所述Release报文的源MAC地址,所述ARP请求报文的目的IP地址为所述Release报文的客户端IP地址ciaddr字段中指定的IP地址;
所述处理模块,具体用于如果没有收到所述ARP请求报文对应的确认ACK控制帧报文,将所述Release报文转发给所述DHCP服务器;如果收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息相匹配,确定所述Release报文为伪造报文,并丢弃所述Release报文;如果没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配,将所述Release报文转发给所述DHCP服务器。
所述处理模块,进一步用于在没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配时,判断当前发送ARP请求报文的次数是否达到预设数值,如果未达到预设数值,拒绝将所述Release报文转发给所述DHCP服务器,周期性发送所述ARP请求报文;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息均不匹配,或没有收到所述ARP请求报文对应的ARP应答报文时,则将所述Release报文转发给所述DHCP服务器。
所述处理模块,还用于如果发现DHCP客户端去关联,则构造所述DHCP客户端对应的Release报文,并将所述Release报文发送给所述DHCP服务器,以及删除所述关联信息表中所述DHCP客户端对应的记录。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,在WLAN网络中,AP设备能够准确获知DHCP客户端伪造的Release报文,并确保伪造的Release报文不被转发到DHCP服务器,从而有效防止DHCP客户端伪造报文进行攻击的问题,提高网络的安全性。
附图说明
图1是现有技术中DHCP动态地址申请以及释放过程的流程示意图;
图2是现有技术中DHCP snooping的组网示意图;
图3是现有技术中WLAN环境下的DHCP网络示意图;
图4是本发明实施例提出的一种防止伪造释放报文进行攻击的方法流程图;
图5是本发明实施例提出的一种AP设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
针对现有技术中存在的问题,本发明实施例提出一种防止伪造释放报文进行攻击的方法,该方法可以应用于包括AP设备、DHCP客户端和DHCP服务器的网络(如WLAN网络)中,以在WLAN网络环境下解决伪造DHCP客户端Release报文进行攻击的问题,确保伪造的Release报文不被转发到DHCP服务器上。
本发明实施例中,需要在AP设备上维护关联信息表,且该关联信息表具体用于记录DHCP客户端对应的MAC(Media Access Control,介质访问控制)地址以及IP地址之间的对应关系。
具体的,由于DHCP客户端在上线的过程中,为了使用无线服务,需要与一个AP设备建立关联,且每个DHCP客户端只能与一个AP设备建立关联,继而在与AP设备建立关联之后才能通过该AP设备收发数据,因此在DHCP客户端与AP设备建立关联的过程中,AP设备可以获得DHCP客户端对应的MAC地址。此外,DHCP客户端在上线的过程中,还需要从DHCP服务器上申请IP地址,因此在DHCP客户端通过AP设备在DHCP服务器上申请IP地址的过程中,AP设备可以获得DHCP客户端对应的IP地址。
综上所述,AP设备可以在建立关联过程中获得DHCP客户端对应的MAC地址,并在关联信息表中记录DHCP客户端对应的MAC地址;以及,在申请IP地址过程中获得DHCP客户端对应的IP地址,并在关联信息表中记录DHCP客户端对应的IP地址;从而在关联信息表中记录DHCP客户端对应的MAC地址和IP地址之间的对应关系。
需要注意的是,DHCP客户端从DHCP服务器上申请IP地址的过程,可以为DHCP客户端在初始上线时,在与AP设备建立关联之后,所进行的从DHCP服务器上申请IP地址的过程;也可以为DHCP客户端释放自身的IP地址之后,所进行的从DHCP服务器上申请IP地址的过程。
基于AP设备上维护的关联信息表,如图4所示,该防止伪造释放报文进行攻击的方法可以包括以下步骤:
步骤401,AP设备在收到Release报文之后,通过该Release报文的源MAC地址查询关联信息表中记录的MAC地址;如果关联信息表中没有该源MAC地址对应的记录,则执行步骤402;如果关联信息表中有该源MAC地址对应的记录,则执行步骤403。
本发明实施例中,AP设备在收到Release报文之后,不是立即将该Release报文转发给DHCP服务器,而是需要先判断该Release报文是否为伪造报文(即伪造DHCP客户端所发送的Release报文),如果确定该Release报文不是伪造报文,则AP设备将该Release报文转发给DHCP服务器;如果确定该Release报文是伪造报文,则AP设备直接丢弃该Release报文。
如表1所示,为一种关联信息表的示例情况,当Release报文的源MAC地址为MAC1时,则说明关联信息表中有该源MAC地址对应的记录,执行步骤403;当Release报文的源MAC地址为MAC3时,则说明关联信息表中没有该源MAC地址对应的记录,执行步骤402。
表1
本发明实施例中,如果关联信息表中有该源MAC地址对应的记录,则在一种优选的实施方式中,还需要利用关联信息表对Release报文进行检查,如果Release报文的ciaddr字段(客户端IP地址字段)中指定的IP地址(为当前需要释放的IP地址,即DHCP服务器分配给DHCP客户端的IP地址)与源MAC地址对应记录中的IP地址相同(如Release报文的源MAC地址为MAC1时,ciaddr字段中指定的IP地址为IP1)时,则该Release报文检查通过,即执行步骤403;否则Release报文检查不通过,执行步骤402。
步骤402,AP设备确定Release报文为伪造报文,并丢弃Release报文。
步骤403,AP设备判断源MAC地址对应的记录在指定时间(根据实际经验值进行设置,如0.1s)是否被删除;如果源MAC地址对应的记录被删除,则执行步骤404;如果源MAC地址对应的记录没有被删除,则执行步骤405。
本发明实施例中,如果发送Release报文的设备为正常的DHCP客户端,则该DHCP客户端发送Release报文时,表明该DHCP客户端需要下线,因此该DHCP客户端与AP设备之间需要解除关联关系,且该DHCP客户端可以通过向AP设备发送disassociation(分离)报文来解除自身与AP设备之间的关联关系;AP设备在收到disassociation报文之后解除与该DHCP客户端之间的关联关系,并删除关联信息表中该DHCP客户端对应的记录。
如果发送Release报文的设备为伪造的DHCP客户端,则DHCP客户端发送Release报文时,该DHCP客户端并没有下线需求,此时该DHCP客户端不需要与AP设备解除关联关系,且不会向AP设备发送disassociation报文,因此AP设备不会删除关联信息表中该DHCP客户端所对应的记录。
基于上述分析过程,如果源MAC地址对应的记录被删除,则说明发送Release报文的设备为正常的DHCP客户端,并执行步骤404;如果源MAC地址对应的记录没有被删除,则还需要进一步分析发送Release报文的设备是否为正常的DHCP客户端,并执行步骤405。
步骤404,AP设备将Release报文转发给DHCP服务器。
本发明实施例中,在将Release报文转发给DHCP服务器之后,说明对应的IP地址将被释放,因此AP设备还需要删除关联信息表中对应的IP地址,即此时关联信息表中只记录有相应DHCP客户端的MAC地址;如果后续过程中DHCP客户端与AP设备解除关联关系,则AP设备还需要删除关联信息表中对应的MAC地址,即此时关联信息表中没有相应DHCP客户端的记录;如果后续过程中DHCP客户端没有与AP设备解除关联关系,且DHCP客户端重新申请IP地址,则AP设备只需要在关联信息表对应的MAC地址的记录中添加该重新申请的IP地址即可。
步骤405,AP设备发送ARP(Address Resolution Protocol,地址解析协议)请求报文,并根据ARP请求报文的响应情况确定将Release报文转发给DHCP服务器或者丢弃Release报文;其中,ARP请求报文的目的MAC地址为Release报文的源MAC地址,ARP请求报文的目的IP地址为Release报文的ciaddr字段中指定的IP地址(DHCP服务器分配给DHCP客户端的IP地址)。
本发明实施例中,AP设备根据ARP请求报文的响应情况确定将Release报文转发给DHCP服务器或者丢弃Release报文,具体包括:
情况一、如果AP设备没有收到ARP请求报文对应的ACK(确认)控制帧报文,则AP设备将Release报文转发给DHCP服务器。其中,在将Release报文转发给DHCP服务器之后,说明对应的IP地址将被释放,因此AP设备还需要删除关联信息表中对应的IP地址。
具体的,由于AP设备发送的ARP请求报文是单播报文(不是广播报文),因此与ARP请求报文对应的DHCP客户端如果在线,则该DHCP客户端需要回应ACK控制帧报文(当前协议规定对于没有定义特定回帧的报文,移动工作站(在本实施例中为DHCP客户端)需要回应ACK控制帧报文以确认已经收到报文),因此AP设备可以收到DHCP客户端回应的ACK控制帧报文;而如果AP设备没有收到ARP请求报文对应的ACK控制帧报文,则说明ARP请求报文对应的DHCP客户端不在线,此情况下,AP设备需要将Release报文转发给DHCP服务器,并删除关联信息表中对应的IP地址。
情况二、如果AP设备接收到ARP请求报文对应的ARP应答报文,且该ARP应答报文中所携带的源地址信息(如MAC地址和IP地址)与Release报文中所携带的源地址信息相匹配,则该AP设备确定该Release报文为伪造报文,并直接丢弃该Release报文。
具体的,由于AP设备发送的ARP请求报文是单播报文,如果与ARP请求报文对应的DHCP客户端在线,则DHCP客户端会回应ACK控制帧报文和ARP应答报文,AP设备可收到DHCP客户端的ACK控制帧报文和ARP应答报文;因此,如果AP设备收到ARP请求报文对应的ARP应答报文,且ARP应答报文中携带的源地址信息与Release报文中携带的源地址信息相匹配,则说明ARP请求报文对应的DHCP客户端在线,发送Release报文的设备为攻击者,AP设备确定Release报文为伪造报文,并丢弃Release报文。
进一步的,考虑到以下情况:如果Release报文是伪造报文,则DHCP客户端当前占用的IP地址还没有释放,即DHCP客户端会返回ARP应答报文;如果Release报文不是伪造报文,则AP设备发送ARP请求报文时,DHCP客户端已经将IP地址释放了,即DHCP客户端不会返回ARP应答报文;基于此,如果AP设备收到ARP请求报文对应的ARP应答报文,且ARP应答报文中携带的源地址信息与Release报文中携带的源地址信息相匹配,则说明ARP请求报文对应的DHCP客户端在线,发送Release报文的设备为伪造的DHCP客户端,AP设备确定Release报文为伪造报文,并丢弃Release报文。
情况三、如果AP设备没有收到ARP请求报文对应的ARP应答报文;或者,收到ARP请求报文对应的ARP应答报文,且ARP应答报文中携带的源地址信息(如MAC地址和IP地址)与Release报文中携带的源地址信息不匹配,则AP设备将Release报文转发给DHCP服务器。其中,在将Release报文转发给DHCP服务器之后,说明对应的IP地址将被释放,因此AP设备还需要删除关联信息表中对应的IP地址。
具体的,AP设备将Release报文转发给DHCP服务器包括:AP设备判断当前发送ARP请求报文的次数是否达到预设数值(根据实际经验设置,如3次),如果未达到预设数值,则AP设备周期性发送ARP请求报文,不对Release报文进行处理,拒绝将Release报文转发给DHCP服务器;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与Release报文中携带的源地址信息均不匹配,或没有收到ARP请求报文对应的ARP应答报文,则AP设备将Release报文转发给DHCP服务器,删除关联信息表中对应的IP地址。
本发明实施例的一种优选实施方式中,AP设备将收到的Release报文加入到一个队列;针对队列中的每个Release报文,AP设备周期性发送该Release报文对应的ARP请求报文,并在每次发送时将Release报文对应的发送ARP请求报文的次数加1;在发出ARP请求报文之后:如果没有收到ACK控制帧报文,则将Release报文转发给DHCP服务器,并从队列中删除该Release报文;如果收到ARP应答报文,且ARP应答报文中携带的源地址信息与Release报文中携带的源地址信息相匹配,则直接丢弃该Release报文,并从队列中删除该Release报文;如果收到ARP应答报文,且ARP应答报文中携带的源地址信息与Release报文中携带的源地址信息不匹配,则不对该队列进行处理;如果没有收到ARP应答报文,则不对该队列进行处理。
在上述处理过程中,AP设备还需要启动一个定时器,以定时遍历该队列;如果一个Release报文的ARP请求报文发送次数小于预定次数,例如3,则继续发送该Release报文对应的ARP请求报文;如果一个Release报文的ARP请求报文发送次数大于等于3,则认为该Release报文不是伪造的Release报文,将该Release报文转发给DHCP服务器,并从队列中删除该Release报文。
本发明实施例中,如果AP设备发现DHCP客户端去关联,则AP设备构造该DHCP客户端对应的Release报文,并将该Release报文发送给DHCP服务器,以及删除关联信息表中该DHCP客户端对应的记录。
基于与上述方法同样的发明构思,本发明还提出了一种接入点AP设备,应用于包括所述AP设备、动态主机配置协议DHCP客户端和DHCP服务器的网络中,如图5所示,所述AP设备包括:
维护模块11,用于维护关联信息表,且所述关联信息表用于记录DHCP客户端对应的介质访问控制MAC地址和IP地址;
查询模块12,用于在收到释放Release报文之后,通过所述Release报文的源MAC地址查询所述关联信息表中记录的MAC地址;
丢弃模块13,用于当所述关联信息表中没有所述源MAC地址对应的记录时,确定所述Release报文为伪造报文,并丢弃所述Release报文;
判断模块14,用于当所述关联信息表中有所述源MAC地址对应的记录时,判断所述源MAC地址对应的记录在指定时间后是否被删除;
处理模块15,用于当所述源MAC地址对应的记录被删除时,将Release报文转发给所述DHCP服务器;当所述源MAC地址对应的记录没有被删除时,发送地址解析协议ARP请求报文,并根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文。
所述维护模块11,具体用于在DHCP客户端与所述AP设备建立关联的过程中,获得所述DHCP客户端对应的MAC地址;以及,在DHCP客户端通过所述AP设备在所述DHCP服务器上申请IP地址的过程中,获得所述DHCP客户端对应的IP地址;以及,在所述关联信息表中记录所述DHCP客户端对应的MAC地址和IP地址。
所述ARP请求报文的目的MAC地址为所述Release报文的源MAC地址,所述ARP请求报文的目的IP地址为所述Release报文的客户端IP地址ciaddr字段中指定的IP地址;所述处理模块15,具体用于如果没有收到所述ARP请求报文对应的确认ACK控制帧报文,将所述Release报文转发给所述DHCP服务器;如果收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息相匹配,确定所述Release报文为伪造报文,并丢弃所述Release报文;如果没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配,将所述Release报文转发给所述DHCP服务器。
所述处理模块15,进一步用于在没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配时,判断当前发送ARP请求报文的次数是否达到预设数值,如果未达到预设数值,拒绝将所述Release报文转发给所述DHCP服务器,周期性发送所述ARP请求报文;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息均不匹配,或没有收到所述ARP请求报文对应的ARP应答报文时,则将所述Release报文转发给所述DHCP服务器。
所述处理模块15,还用于如果发现DHCP客户端去关联,则构造所述DHCP客户端对应的Release报文,并将所述Release报文发送给所述DHCP服务器,以及删除所述关联信息表中所述DHCP客户端对应的记录。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种防止伪造释放Release报文进行攻击的方法,应用于包括接入点AP设备、动态主机配置协议DHCP客户端和DHCP服务器的网络中,其特征在于,所述AP设备上维护有用于记录DHCP客户端对应的介质访问控制MAC地址和IP地址之间的对应关系的关联信息表,该方法包括以下步骤:
所述AP设备在收到释放Release报文之后,通过所述Release报文的源MAC地址查询所述关联信息表中记录的MAC地址;
如果所述关联信息表中没有所述源MAC地址对应的记录,则所述AP设备确定所述Release报文为伪造报文,并丢弃所述Release报文;
如果所述关联信息表中有所述源MAC地址对应的记录,则所述AP设备判断所述源MAC地址对应的记录在指定时间后是否被删除;
如果所述源MAC地址对应的记录被删除,则所述AP设备将所述Release报文转发给所述DHCP服务器;
如果所述源MAC地址对应的记录没有被删除,则所述AP设备发送地址解析协议ARP请求报文,并根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文。
2.如权利要求1所述的方法,其特征在于,所述AP设备维护所述关联信息表的过程,具体包括:
在DHCP客户端与所述AP设备建立关联的过程中,所述AP设备获得所述DHCP客户端对应的MAC地址;以及,在DHCP客户端通过所述AP设备在所述DHCP服务器上申请IP地址的过程中,所述AP设备获得所述DHCP客户端对应的IP地址;以及,所述AP设备在所述关联信息表中记录所述DHCP客户端对应的MAC地址和IP地址。
3.如权利要求1所述的方法,其特征在于,所述ARP请求报文的目的MAC地址为所述Release报文的源MAC地址,所述ARP请求报文的目的IP地址为所述Release报文的客户端IP地址ciaddr字段中指定的IP地址;
所述AP设备根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文,具体包括:
如果所述AP设备没有收到所述ARP请求报文对应的确认ACK控制帧报文,则所述AP设备将所述Release报文转发给所述DHCP服务器;
如果所述AP设备收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息相匹配,则所述AP设备确定所述Release报文为伪造报文,并丢弃所述Release报文;
如果所述AP设备没有收到所述ARP请求报文对应的ARP应答报文;或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配,则所述AP设备将所述Release报文转发给所述DHCP服务器。
4.如权利要求3所述的方法,其特征在于,所述AP设备在没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配时,所述AP设备将所述Release报文转发给所述DHCP服务器的过程,进一步包括:
所述AP设备判断当前发送所述ARP请求报文的次数是否达到预设数值,如果未达到预设数值,所述AP设备拒绝将所述Release报文转发给所述DHCP服务器,并周期性发送所述ARP请求报文;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息均不匹配,或没有收到所述ARP请求报文对应的ARP应答报文时,则所述AP设备将所述Release报文转发给所述DHCP服务器。
5.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
如果所述AP设备发现DHCP客户端去关联,其中,所述去关联即解除所述DHCP客户端与AP设备之间的关联关系,则所述AP设备构造所述DHCP客户端对应的Release报文,并将所述Release报文发送给所述DHCP服务器,以及删除所述关联信息表中所述DHCP客户端对应的记录。
6.一种接入点AP设备,应用于包括所述AP设备、动态主机配置协议DHCP客户端和DHCP服务器的网络中,其特征在于,所述AP设备包括:
维护模块,用于维护用于记录DHCP客户端对应的介质访问控制MAC地址和IP地址之间的对应关系的关联信息表;
查询模块,用于在收到释放Release报文之后,通过所述Release报文的源MAC地址查询所述关联信息表中记录的MAC地址;
丢弃模块,用于当所述关联信息表中没有所述源MAC地址对应的记录时,确定所述Release报文为伪造报文,并丢弃所述Release报文;
判断模块,用于当所述关联信息表中有所述源MAC地址对应的记录时,判断所述源MAC地址对应的记录在指定时间后是否被删除;
处理模块,用于当所述源MAC地址对应的记录被删除时,将所述Release报文转发给所述DHCP服务器;当所述源MAC地址对应的记录没有被删除时,发送地址解析协议ARP请求报文,并根据所述ARP请求报文的响应情况确定将所述Release报文转发给所述DHCP服务器或者丢弃所述Release报文。
7.如权利要求6所述的AP设备,其特征在于,
所述维护模块,具体用于在DHCP客户端与所述AP设备建立关联的过程中,获得所述DHCP客户端对应的MAC地址;以及,在DHCP客户端通过所述AP设备在所述DHCP服务器上申请IP地址的过程中,获得所述DHCP客户端对应的IP地址;以及,在所述关联信息表中记录所述DHCP客户端对应的MAC地址和IP地址。
8.如权利要求6所述的AP设备,其特征在于,所述ARP请求报文的目的MAC地址为所述Release报文的源MAC地址,所述ARP请求报文的目的IP地址为所述Release报文的客户端IP地址ciaddr字段中指定的IP地址;
所述处理模块,具体用于如果没有收到所述ARP请求报文对应的确认ACK控制帧报文,将所述Release报文转发给所述DHCP服务器;如果收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息相匹配,确定所述Release报文为伪造报文,并丢弃所述Release报文;如果没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配,将所述Release报文转发给所述DHCP服务器。
9.如权利要求8所述的AP设备,其特征在于,
所述处理模块,进一步用于在没有收到所述ARP请求报文对应的ARP应答报文,或者,收到所述ARP请求报文对应的ARP应答报文,且所述ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息不匹配时,判断当前发送ARP请求报文的次数是否达到预设数值,如果未达到预设数值,拒绝将所述Release报文转发给所述DHCP服务器,周期性发送所述ARP请求报文;如果达到预设数值,且每次收到的ARP应答报文中携带的源地址信息与所述Release报文中携带的源地址信息均不匹配,或没有收到所述ARP请求报文对应的ARP应答报文时,则将所述Release报文转发给所述DHCP服务器。
10.如权利要求6所述的AP设备,其特征在于,
所述处理模块,还用于如果发现DHCP客户端去关联,其中,所述去关联即解除所述DHCP客户端与AP设备之间的关联关系,则构造所述DHCP客户端对应的Release报文,并将所述Release报文发送给所述DHCP服务器,以及删除所述关联信息表中所述DHCP客户端对应的记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210423593.3A CN102946385B (zh) | 2012-10-30 | 2012-10-30 | 一种防止伪造释放报文进行攻击的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210423593.3A CN102946385B (zh) | 2012-10-30 | 2012-10-30 | 一种防止伪造释放报文进行攻击的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102946385A CN102946385A (zh) | 2013-02-27 |
| CN102946385B true CN102946385B (zh) | 2015-09-23 |
Family
ID=47729292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210423593.3A Active CN102946385B (zh) | 2012-10-30 | 2012-10-30 | 一种防止伪造释放报文进行攻击的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102946385B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702444B (zh) * | 2015-03-27 | 2018-09-04 | 新华三技术有限公司 | Erps协议报文的处理方法和装置 |
| CN107786521B (zh) * | 2016-08-30 | 2021-10-19 | 中兴通讯股份有限公司 | 防御分布式反射拒绝服务攻击的方法、装置及交换机 |
| CN106453408B (zh) * | 2016-11-21 | 2020-01-03 | 新华三技术有限公司 | 一种防仿冒下线攻击的方法和装置 |
| CN106792797B (zh) * | 2016-11-22 | 2020-12-22 | 台州市吉吉知识产权运营有限公司 | 一种用户终端上下线的处理方法及无线接入设备 |
| CN106911724B (zh) * | 2017-04-27 | 2020-03-06 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| CN112398731B (zh) * | 2019-08-15 | 2022-05-13 | 华为技术有限公司 | 一种处理报文的方法和第一网络设备 |
| CN111628963B (zh) * | 2020-04-01 | 2023-03-28 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8661252B2 (en) * | 2008-06-20 | 2014-02-25 | Microsoft Corporation | Secure network address provisioning |
-
2012
- 2012-10-30 CN CN201210423593.3A patent/CN102946385B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102946385A (zh) | 2013-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102946385B (zh) | 一种防止伪造释放报文进行攻击的方法和设备 | |
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| CN102244651B (zh) | 防止非法邻居发现协议报文攻击的方法和接入设备 | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN101895875B (zh) | 无线网络中网关设备提供差异化服务的方法及系统 | |
| CN101621525B (zh) | 合法表项的处理方法和设备 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN104580116B (zh) | 一种安全策略的管理方法和设备 | |
| CN101895587B (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| CN101795449B (zh) | 一种无线网络中终端的接入控制方法和设备 | |
| CN102325145A (zh) | 一种对双栈用户进行访问控制的方法和设备 | |
| US20150082429A1 (en) | Protecting wireless network from rogue access points | |
| EP2615788A1 (en) | Method for dual stack user management and broadband access server | |
| CN101808097B (zh) | 一种防arp攻击方法和设备 | |
| CN110611671A (zh) | 基于移动目标防御的局域网通信方法及装置 | |
| CN102761499A (zh) | 网关及其避免受攻击的方法 | |
| CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN101860856A (zh) | 一种无线局域网中提供差异化服务的方法和设备 | |
| CN104219338A (zh) | 授权地址解析协议安全表项的生成方法及装置 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| CN101459653A (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN103368780A (zh) | 一种业务控制方法和设备 | |
| CN105592180A (zh) | 一种Portal认证的方法和装置 | |
| CN102238245B (zh) | 一种地址的分配方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |