CN103491081B - 检测dhcp攻击源的方法和装置 - Google Patents
检测dhcp攻击源的方法和装置 Download PDFInfo
- Publication number
- CN103491081B CN103491081B CN201310421264.XA CN201310421264A CN103491081B CN 103491081 B CN103491081 B CN 103491081B CN 201310421264 A CN201310421264 A CN 201310421264A CN 103491081 B CN103491081 B CN 103491081B
- Authority
- CN
- China
- Prior art keywords
- client
- mac address
- network
- network authentication
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种检测DHCP攻击源的方法和装置,一种检测DHCP攻击源的方法,包括:已通过网络认证的待检测客户端广播DHCP请求消息,以使网络中待检测客户端以外其它已通过网络认证的客户端接收到该DHCP请求消息并解析出该DHCP请求消息中包含的MAC地址;待检测客户端接收网络认证服务器发送的非法DHCP通知消息,该非法DHCP通知消息为网络认证服务器接收到网络中待检测客户端以外其它已通过网络认证的客户端发送的DHCP请求消息中包含的MAC地址后确定该DHCP请求消息中包含的MAC地址与待检测客户端进行网络认证时使用的MAC地址不同后发送的;待检测客户端确定所在设备为DHCP攻击源。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种检测DHCP攻击源的方法和装置。
背景技术
互联网协议(Internet Protocol,IP)是为计算机网络相互连接进行通信而设计的协议,网络中的设备需要先配置一个IP地址才能够与网络中的其他设备进行通信。IP地址的配置方式分为手动配置和自动配置两种,由于手动配置IP地址耗费人力和时间,因此目前一般采用自动配置的方法为网络中的设备配置IP地址。
自动配置IP地址需要在网络中部署动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)服务器,DHCP服务器集中管理网络中的IP地址,在网络中向DHCP服务器请求分配IP地址的设备称为DHCP客户端。当DHCP客户端连接上网络后,会发送DHCP请求,DHCP服务器侦听到DHCP请求后,查找该DCHP请求中携带的媒体访问控制(Media AccessControl,MAC)地址所对应的设备是否已分配IP地址,若未分配则DHCP服务器从IP地址池中选择一个IP地址分配给该设备。一些病毒或恶意用户可以通过构造非法的DHCP请求,对网络进行DHCP攻击,非法的DHCP请求中使用伪造的MAC地址作为设备标识,使DHCP服务器为伪造的MAC地址分配IP地址耗尽IP地址池,这样正常用户就无法获取IP地址,从而导致网络瘫痪。
目前的计算机网络中,可以在DHCP客户端或网络接入设备上对非法的DHCP请求进行的识别。但在DHCP客户端上进行DHCP请求的识别,需要DHCP客户端的操作系统提供相应地截包技术,并且某些病毒仍可以绕过截包技术发送非法DHCP请求。而在网络接入设备上进行DHCP请求的识别,只能将识别到的非法DHCP请求过滤掉,但无法确定发送非法DHCP请求的DHCP攻击源,从而不能从根本上处理DHCP攻击。
发明内容
本发明实施例提供一种检测DHCP攻击源的方法和装置,用于检测网络中的DHCP攻击源。
本发明实施例提供一种检测DHCP攻击源的方法,包括:
已通过网络认证的待检测客户端广播动态主机配置协议DHCP请求消息,以使网络中所述待检测客户端以外其它已通过网络认证的客户端接收到所述DHCP请求消息并解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
所述待检测客户端接收网络认证服务器发送的非法DHCP通知消息,所述非法DHCP通知消息为所述网络认证服务器接收到网络中所述待检测客户端以外其它已通过网络认证的客户端发送的所述DHCP请求消息中包含的MAC地址后确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后发送的;
所述待检测客户端根据所述非法DHCP通知消息确定所在设备为DHCP攻击源。
本发明实施例还提供一种检测DHCP攻击源的方法,包括:
已通过网络认证的客户端接收网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息;
所述已通过网络认证的客户端从所述DHCP请求消息中解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
所述已通过网络认证的客户端向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,以使所述网络认证服务器在确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后确定所述待检测客户端所在的设备为DHCP攻击源。
本发明实施例还提供一种检测DHCP攻击源的方法,包括:
网络认证服务器接收网络中已通过网络认证的客户端发送的媒体访问控制MAC地址,所述MAC地址为所述已认证的客户端从网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息中解析出的;
若所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同,则所述网络认证服务器确定所述待检测客户端所在设备为DHCP攻击源。
本发明实施例还提供一种客户端,所述客户端已通过网络认证,所述客户端包括:
发送模块,用于广播动态主机配置协议DHCP请求消息,以使网络中所述待检测客户端以外其它已通过网络认证的客户端接收到所述DHCP请求消息并解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
接收模块,用于接收网络认证服务器发送的非法DHCP通知消息,所述非法DHCP通知消息为所述网络认证服务器接收到网络中所述待检测客户端以外其它已通过网络认证的客户端发送的所述DHCP请求消息中包含的MAC地址后确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后发送的;
处理模块,用于根据所述非法DHCP通知消息确定所在设备为DHCP攻击源。
本发明实施例还提供一种客户端,所述客户端已通过网络认证,所述客户端包括:
接收模块,用于接收网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息;
解析模块,用于从所述DHCP请求消息中解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
发送模块,用于向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,以使所述网络认证服务器在确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后确定所述待检测客户端所在的设备为DHCP攻击源。
本发明实施例还提供一种认证服务器,所述认证服务器为网络认证服务器,所述认证服务器包括:
接收模块,用于接收网络中已通过网络认证的客户端发送的媒体访问控制MAC地址,所述MAC地址为所述已认证的客户端从网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息中解析出的;
处理模块,用于若所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同,则确定所述待检测客户端所在设备为DHCP攻击源。
本发明实施例提供的检测DHCP攻击源的方法和装置,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至网络认证服务器,网络认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过网络认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
附图说明
图1为本发明实施例提供的检测DHCP攻击源的方法所在网络认证系统的网络拓扑示意图;
图2为本发明实施例提供的检测DHCP攻击源的方法的网络拓扑示意图;
图3为本发明实施例提供的检测DHCP攻击源的方法实施例一的流程图;
图4为802.1x认证成功的信令流程图;
图5为802.1x认证失败的信令流程图;
图6为802.1x下线交互的信令流程图;
图7为本发明实施例提供的检测DHCP攻击源的方法实施例二的流程图;
图8为本发明实施例提供的检测DHCP攻击源的方法实施例三的流程图;
图9为本发明实施例提供的检测DHCP攻击源的方法实施例四的流程图;
图10为本发明实施例提供的检测DHCP攻击源的方法实施例五的流程图;
图11为本发明实施例提供的检测DHCP攻击源的方法实施例六的流程图;
图12为本发明实施例提供的检测DHCP攻击源的方法实施例四的网络拓扑示意图;
图13为本发明实施例提供的客户端实施例一的结构示意图;
图14为本发明实施例提供的客户端实施例二的结构示意图;
图15为本发明实施例提供的认证服务器实施例一的结构示意图;
图16为本发明实施例提供的认证服务器实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的检测DHCP攻击源的方法可以用于任一种基于IP的网络,并且该网络中可以进行网络认证。
在一些网络环境中,为了网络安全或计费,使用网络前需要验证用户的身份,用户在通过验证前,无法使用网络服务。用户在网络中进行验证的过程可以称为网络认证,用户需要通过一定的机制进行网络认证,例如向认证服务器发送用户名和密码等标识用户身份的认证信息进行认证。本发明实施例提供的检测DHCP攻击源的方法需要在能够对用户进行网络认证的网络中进行,但上述能够对用户进行网络认证的网络需要满足如下两个条件:第一是认证过程中进行认证的用户可以将其所在设备的真实MAC地址发送给认证服务器,认证服务器能够将用户的认证信息与其发送的真实MAC地址对应存储起来;第二是网络中需要部署接入设备,在用户通过认证服务器的认证之前,接入设备仅会将用户发送的认证请求报文转发给认证服务器,而将其它所有报文抛弃,当认证服务器通知接入设备该用户已通过认证后接入设备再打开相应地网络端口,允许该用户访问网络。本发明实施例的网络认证方式可以是现有技术中符合上述条件的任一种认证方式,例如802.1x认证,还可以是符合上述条件的自定义的认证方式。
图1为本发明实施例提供的检测DHCP攻击源的方法所在网络认证系统的网络拓扑示意图,如图1所示,网络认证系统包括三个部分:终端设备101、接入设备102和网络认证服务器103。终端设备101通过接入设备102与网络认证服务器103连接。其中终端设备101为网络中需要使用网络服务的终端设备,终端设备101中安装有认证客户端,认证客户端是部署在终端设备101上的一个客户端软件,终端设备101使用该软件进行网络认证。接入设备102是和终端设备101直连的设备,终端设备101进行网络认证前,接入设备102不允许终端设备101访问网络,将终端设备101的所有报文丢弃,终端设备101通过网络认证后,接入设备102才允许终端设备101访问网络。网络认证服务器103是一台管理着终端设备101的信息,配合终端设备101上的认证客户端,对终端设备101信息合法性进行校验的服务器,当网络认证服务器103对终端设备101校验通过后,通知接入设备102,接入设备102允许终端设备101访问网络。
本发明实施例提供的检测DHCP攻击源的方法将网络认证结合到DHCP中,通过网络认证服务器对请求DHCP服务器分配IP地址的终端设备进行检测,从而检测出DHCP攻击源。图2为本发明实施例提供的检测DHCP攻击源的方法的网络拓扑示意图,如图2所示,本发明实施例提供的检测DHCP攻击源的方法所应用的网络中包括终端设备201、接入设备202、网络认证服务器203和DHCP服务器204。其中终端设备201、接入设备202和网络认证服务器203及其连接关系与图1中所示的网络认证系统中的终端设备101、接入设备102和网络认证服务器103相同,DHCP服务器204通过接入设备202与终端设备201连接。DHCP服务器204通过接入设备202接收网络中终端设备201发送的DHCP请求并为终端设备201分配IP地址。由于引入了网络认证服务器203,终端设备201在没有通过网络认证服务器203的认证之前,接入设备202不会将终端设备201发送的DHCP请求发送给DHCP服务器204。
图3为本发明实施例提供的检测DHCP攻击源的方法实施例一的流程图,本实施例的执行主体为网络中待检测的客户端,如图3所示,本实施例的方法包括:
步骤S301,已通过网络认证的待检测客户端广播DHCP请求消息,以使网络中其它已通过网络认证的客户端接收到该DHCP请求消息并解析出该DHCP请求消息中包含的MAC地址。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了网络认证服务器,网络中的终端设备需要先通过网络认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过网络认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过网络认证的客户端都会接收到该DHCP请求。待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。
需要说明的是,当待检测的客户端发送DHCP请求后,虽然网络中未通过网络认证的客户端同样会接收到该DHCP请求,但由于未通过网络认证的客户端发送的报文都会被接入设备抛弃掉,因此本实施例中不考虑网络中未通过网络认证的客户端。
步骤S302,待检测客户端接收网络认证服务器发送的非法DHCP通知消息,该非法DHCP通知消息为网络认证服务器接收到网络中其它已通过网络认证的客户端发送的DHCP请求消息中包含的MAC地址后确定该DHCP请求消息中包含的MAC地址与待检测客户端进行网络认证时使用的MAC地址不同后发送的。
具体地,在网络中的客户端进行网络认证时,网络认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,所有接收到该DHCP请求的客户端均向网络认证服务器发送解析出的MAC地址。客户端可以通过多种方法向802.1x认证服务器发送MAC地址,包括通过用户数据报协议(User DatagramProtocol,UDP)向网络认证服务器发送MAC地址。由于客户端在通过网络认证后,会接收到网络认证服务器下发的802.1x认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向网络认证服务器发送解析出的MAC地址。但本发明实施例中客户端向认证服务器发送MAC地址的方法不限于此,只要能够使网络认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
网络认证服务器中保存的用户信息表中包括所有已通过网络认证的客户端所在设备的用户信息,因此网络认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过网络认证的客户端中,只有发送DHCP请求的客户端不会向网络认证服务器发送MAC地址,因此网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,这样网络认证服务器便确定了待检测的客户端。网络认证服务器从不同客户端接收到的MAC地址都是相同的,网络认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行网络认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明网络认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,网络认证服务器不对其进行处理。若网络认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,此时网络认证服务器向待检测的客户端发送非法DHCP通知消息。
步骤S303,待检测客户端根据非法DHCP通知消息确定所在设备为DHCP攻击源。
具体地,待检测客户端接收到网络认证服务器发送的非法DHCP通知消息后,确定自身所在终端设备为DHCP攻击源,从而实现了DHCP攻击源的检测。
由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
另外,本实施例中,还可以在网络中的接入设备中进行设置,使未通过网络认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在网络认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过802.1x认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至网络认证服务器,网络认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过网络认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
进一步地,图3所示实施例中,步骤S303之后,还包括:待检测客户端向网络认证服务器发送下线请求消息,以使网络认证服务器从已保存的用户信息表中删除待检测客户端所在设备的用户信息,以禁止待检测客户端接入网络。
具体地,当待检测的客户端接收到网络认证服务器发送的非法DHCP通知消息后,确定自己发送了非法DHCP请求,为了不对网络产生进一步地影响,待检测客户端通过接入设备向网络认证服务器发送下线请求消息,网络认证服务器在保存的用户信息表中删除该客户端的信息,并且接入设备相应地关闭该客户端的网络端口。这样在客户端再次通过网络认证之前,其发送的所有报文都会被接入设备抛弃而不会由于其感染了病毒或木马而对网络端设备产生影响。
现有技术中,最常用的网络认证方式为802.1x认证,802.1x认证时网络认证的业界标准,因此下面以802.1x认证为例,对本发明提供的检测DHCP攻击源的方法进行进一步说明。
首先,对802.1x认证流程进行说明,图4至图6为802.1x认证中认证成功、认证失败和下线交互的信令流程图。
图4为802.1x认证成功的信令流程图,如图4所示,802.1x的认证成功流程包括:
步骤S401,认证客户端向接入设备发送认证请求消息,该认证请求消息中包括认证客户端所在设备的用户名、密码及网卡的MAC地址。
具体地,本实施例中的认证客户端为终端设备中的认证客户端软件。
步骤S402,接入设备接收到认证客户端发送的认证请求消息后,向认证服务器转发该认证请求消息。
步骤S403,认证服务器对认证请求消息中的用户名和密码进行校验。
步骤S404,认证服务器对用户名和密码的校验通过,在用户信息列表中保存认证客户端所在设备的用户名及MAC地址。
步骤S405,认证服务器向接入设备发送认证成功消息,该认证成功消息中包括认证服务器的IP地址。
步骤S406,接入设备接收到认证服务器发送的认证成功消息后,为发送认证请求消息的认证客户端所在设备打开网络端口,允许该设备访问网络。
步骤S407,接入设备向认证客户端转发认证成功消息,该认证成功消息中包括认证服务器的IP地址。
进行完上述步骤后,802.1x认证结束,认证客户端所在终端设备通过802.1x认证,此时该终端设备可以发送DHCP请求,开始请求获取IP地址,当终端设备获取到IP地址后,需要向认证服务器上传获取到的IP地址。
图5为802.1x认证失败的信令流程图,如图5所示,802.1x的认证失败流程包括:
步骤S501,认证客户端向接入设备发送认证请求消息,该认证请求消息中包括认证客户端所在设备的用户名、密码及网卡的MAC地址。
步骤S502,接入设备接收到认证客户端发送的认证请求消息后,向认证服务器转发该认证请求消息。
步骤S503,认证服务器对认证请求消息中的用户名和密码进行校验。
步骤S504,认证服务器对用户名和密码的校验未通过。
步骤S505,认证服务器向接入设备发送认证失败消息。
步骤S506,接入设备接收到认证服务器发送的认证失败消息后,关闭认证客户端所在设备的网络端口,不允许该设备访问网络。
步骤S507,接入设备向认证客户端转发认证失败消息。
若终端设备的802.1x认证失败,则终端设备之后发送的所有报文均会被接入设备抛弃掉。
图6为802.1x下线交互的信令流程图,如图6所示,802.1x的下线交互流程包括:
步骤S601,认证客户端向接入设备发送下线请求消息。
步骤S602,接入设备向认证服务器转发下线请求消息。
步骤S603,认证服务器从保存的用户信息列表中删除该认证客户端所在设备的用户信息。
步骤S604,接入设备关闭认证客户端所在设备的网络端口,不允许该设备访问网络。
图7为本发明实施例提供的检测DHCP攻击源的方法实施例二的流程图,本实施例的执行主体为网络中待检测的客户端,本实施例以网络认证方式为802.1x认证为例对本发明实施例提供的检测DHCP攻击源的方法进行进一步说明,如图7所示,本实施例的方法包括:
步骤S701,已通过802.1x认证的待检测客户端广播DHCP请求消息,以使网络中其它已通过802.1x认证的客户端接收到该DHCP请求消息并解析出该DHCP请求消息中包含的MAC地址。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了802.1x认证服务器,网络中的终端设备需要先通过802.1x认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过802.1x认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过802.1x认证的客户端都会接收到该DHCP请求。待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。
需要说明的是,当待检测的客户端发送DHCP请求后,虽然网络中未通过802.1x认证的客户端同样会接收到该DHCP请求,但由于未通过802.1x认证的客户端发送的报文都会被接入设备抛弃掉,因此本实施例中不考虑网络中未通过802.1x认证的客户端。
步骤S702,待检测客户端接收802.1x认证服务器发送的非法DHCP通知消息,该非法DHCP通知消息为802.1x认证服务器接收到网络中其它已通过802.1x认证的客户端发送的DHCP请求消息中包含的MAC地址后确定该DHCP请求消息中包含的MAC地址与待检测客户端进行802.1x认证时使用的MAC地址不同后发送的。
具体地,在网络中的客户端进行802.1x认证时,802.1x认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,所有接收到该DHCP请求的客户端均向802.1x认证服务器发送解析出的MAC地址。客户端可以通过多种方法向802.1x认证服务器发送MAC地址,包括通过UDP向802.1x认证服务器发送MAC地址。由于客户端在通过802.1x认证后,会接收到802.1x认证服务器下发的802.1x认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向802.1x认证服务器发送解析出的MAC地址。但本发明实施例中客户端向认证服务器发送MAC地址的方法不限于此,只要能够使802.1x认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
802.1x认证服务器中保存的用户信息表中包括所有已通过802.1x认证的客户端所在设备的用户信息,因此802.1x认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过802.1x认证的客户端中,只有发送DHCP请求的客户端不会向802.1x认证服务器发送MAC地址,因此802.1x认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过802.1x认证的客户端没有发送MAC地址,这样802.1x认证服务器便确定了待检测的客户端。802.1x认证服务器从不同客户端接收到的MAC地址都是相同的,802.1x认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行802.1x认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明802.1x认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,802.1x认证服务器不对其进行处理。若802.1x认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,此时802.1x认证服务器向待检测的客户端发送非法DHCP通知消息。
步骤S703,待检测客户端根据非法DHCP通知消息确定所在设备为DHCP攻击源。
具体地,待检测客户端接收到802.1x认证服务器发送的非法DHCP通知消息后,确定自身所在终端设备为DHCP攻击源,从而实现了DHCP攻击源的检测。
由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
另外,本发明实施例中,还可以在网络中的接入设备中进行设置,使未通过802.1x认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在802.1x认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过802.1x认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至802.1x认证服务器,802.1x认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过802.1x认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
进一步地,图7所示实施例中,步骤S703之后,还包括:待检测客户端向802.1x认证服务器发送下线请求消息,以使802.1x认证服务器从已保存的用户信息表中删除待检测客户端所在设备的用户信息,以禁止待检测客户端接入网络。
具体地,当待检测的客户端接收到802.1x认证服务器发送的非法DHCP通知消息后,确定自己发送了非法DHCP请求,为了不对网络产生进一步地影响,待检测的客户端进入如图6所示的802.1x下线交互流程。待检测客户端通过接入设备向802.1x认证服务器发送下线请求消息,802.1x认证服务器在保存的用户信息表中删除该客户端的信息,并且接入设备相应地关闭该客户端的网络端口。这样在客户端再次通过802.1x认证之前,其发送的所有报文都会被接入设备抛弃而不会由于其感染了病毒或木马而对网络端设备产生影响。
图8为本发明实施例提供的检测DHCP攻击源的方法实施例三的流程图,本实施例的执行主体为网络中除了待检测的客户端之外的客户端,如图8所示,本实施例的方法包括:
步骤S801,已通过网络认证的客户端接收网络中已通过网络认证的待检测客户端广播的DHCP请求消息。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了网络认证服务器,网络中的客户端需要先通过网络认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过网络认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过网络认证的客户端都会接收到该DHCP请求。
步骤S802,已通过网络认证的客户端从该DHCP请求消息中解析出该DHCP请求消息中包含的MAC地址。
具体地,待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。
步骤S803,已通过网络认证的客户端向网络认证服务器发送该DHCP请求消息中包含的MAC地址,以使网络认证服务器在确定该DHCP请求消息中包含的MAC地址与待检测客户端进行网络认证时使用的MAC地址不同后向确定待检测客户端所在的设备为DHCP攻击源。
具体地,在网络中的客户端进行网络认证时,网络认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,所有接收到该DHCP请求的客户端均向网络认证服务器发送解析出的MAC地址。客户端可以通过多种方法向网络认证服务器发送MAC地址,包括通过UDP向网络认证服务器发送MAC地址。客户端可以通过多种方法向网络认证服务器发送MAC地址,包括通过UDP向网络认证服务器发送MAC地址。由于客户端在通过网络认证后,会接收到网络认证服务器下发的网络认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向网络认证服务器发送解析出的MAC地址。但本发明实施例中客户端向网络认证服务器发送MAC地址的方法不限于此,只要能够使网络认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
网络认证服务器中保存的用户信息表中包括所有已通过802.1x认证的客户端所在设备的用户信息,因此网络认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过网络认证的客户端中,只有发送DHCP请求的客户端不会向网络认证服务器发送MAC地址,因此网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,这样网络认证服务器便确定了待检测的客户端。网络认证服务器从不同客户端接收到的MAC地址都是相同的,网络认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行网络认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明网络认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,网络认证服务器不对其进行处理。若网络认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,此时网络认证服务器确定发送DHCP请求的待检测的客户端所在设备为DHCP攻击源,从而实现了DHCP攻击源的检测。
另外,本发明实施例中,还可以在网络中的接入设备中进行设置,使未通过网络认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在网络认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过网络认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
进一步地,网络认证服务器在确定发送DHCP请求的待检测的客户端所在设备为DHCP攻击源后,可以向待检测的客户端发送非法DHCP通知消息,以使待检测客户端得知其所在设备为DHCP攻击源。由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至网络认证服务器,网络认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过网络认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
图9为本发明实施例提供的检测DHCP攻击源的方法实施例四的流程图,本实施例的执行主体为网络中除了待检测的客户端之外的客户端,本实施例以网络认证方式为802.1x认证为例对本发明实施例提供的检测DHCP攻击源的方法进行进一步说明,如图9所示,本实施例的方法包括:
步骤S901,已通过802.1x认证的客户端接收网络中已通过802.1x认证的待检测客户端广播的DHCP请求消息。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了802.1x认证服务器,网络中的客户端需要先通过802.1x认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过802.1x认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过802.1x认证的客户端都会接收到该DHCP请求。
步骤S902,已通过802.1x认证的客户端从该DHCP请求消息中解析出该DHCP请求消息中包含的MAC地址。
具体地,待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。
步骤S903,已通过802.1x认证的客户端向802.1x认证服务器发送该DHCP请求消息中包含的MAC地址,以使802.1x认证服务器在确定该DHCP请求消息中包含的MAC地址与待检测客户端进行802.1x认证时使用的MAC地址不同后向确定待检测客户端所在的设备为DHCP攻击源。
具体地,在网络中的客户端进行802.1x认证时,802.1x认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,所有接收到该DHCP请求的客户端均向802.1x认证服务器发送解析出的MAC地址。客户端可以通过多种方法向802.1x认证服务器发送MAC地址,包括通过UDP向802.1x认证服务器发送MAC地址。由于客户端在通过802.1x认证后,会接收到802.1x认证服务器下发的802.1x认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向802.1x认证服务器发送解析出的MAC地址。但本发明实施例中客户端向802.1x认证服务器发送MAC地址的方法不限于此,只要能够使802.1x认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
802.1x认证服务器中保存的用户信息表中包括所有已通过802.1x认证的客户端所在设备的用户信息,因此802.1x认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过802.1x认证的客户端中,只有发送DHCP请求的客户端不会向802.1x认证服务器发送MAC地址,因此802.1x认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过802.1x认证的客户端没有发送MAC地址,这样802.1x认证服务器便确定了待检测的客户端。802.1x认证服务器从不同客户端接收到的MAC地址都是相同的,802.1x认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行802.1x认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明802.1x认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,802.1x认证服务器不对其进行处理。若802.1x认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,此时802.1x认证服务器确定发送DHCP请求的待检测的客户端所在设备为DHCP攻击源,从而实现了DHCP攻击源的检测。
另外,本发明实施例中,还可以在网络中的接入设备中进行设置,使未通过802.1x认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在802.1x认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过802.1x认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
进一步地,802.1x认证服务器在确定发送DHCP请求的待检测的客户端所在设备为DHCP攻击源后,可以向待检测的客户端发送非法DHCP通知消息,以使待检测客户端得知其所在设备为DHCP攻击源。由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至802.1x认证服务器,802.1x认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过802.1x认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
图10为本发明实施例提供的检测DHCP攻击源的方法实施例五的流程图,本实施例的执行主体为网络认证服务器,如图10所示,本实施例的方法包括:
步骤S1001,网络认证服务器接收网络中已通过网络认证的客户端发送的MAC地址,该MAC地址为已认证的客户端从网络中已通过网络认证的待检测客户端广播的DHCP请求消息中解析出的。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了网络认证服务器,网络中的客户端需要先通过网络认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过网络认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过网络认证的客户端都会接收到该DHCP请求。待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。网络认证服务器接收已通过网络认证的客户端发送解析出的MAC地址。
网络认证服务器可以通过多种方法接收客户端发送的MAC地址,包括通过UDP接收客户端发送的MAC地址。由于客户端在通过网络认证后,会接收到网络认证服务器下发的网络认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向网络认证服务器发送解析出的MAC地址。但本发明实施例中网络认证服务器接收客户端发送的MAC地址的方法不限于此,只要能够使网络认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
需要说明的是,当待检测的客户端发送DHCP请求后,虽然网络中未通过网络认证的客户端同样会接收到该DHCP请求,但由于未通过网络认证的客户端发送的报文都会被接入设备抛弃掉,因此本实施例中不考虑网络中未通过网络认证的客户端。
步骤S1002,若该MAC地址与待检测的客户端进行网络认证时使用的MAC地址不同,则网络认证服务器确定待检测客户端所在设备为DHCP攻击源。
具体地,在网络中的客户端进行网络认证时,网络认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,网络认证服务器会接收到所有接收到该DHCP请求的客户端发送的解析出的MAC地址。
网络认证服务器中保存的用户信息表中包括所有已通过网络认证的客户端所在设备的用户信息,因此网络认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过网络认证的客户端中,只有发送DHCP请求的客户端不会向网络认证服务器发送MAC地址,因此网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,这样网络认证服务器便确定了待检测的客户端。认证服务器从不同客户端接收到的MAC地址都是相同的,网络认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行网络认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明网络认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,网络认证服务器不对其进行处理。若网络认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,网络认证服务器确定待检测客户端为DHCP攻击源。
另外,本发明实施例中,还可以在网络中的接入设备中进行设置,使未通过网络认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在网络认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过网络认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至网络认证服务器,网络认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过网络认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
进一步地,图10所示实施例中,在步骤S1002之前,还包括:网络认证服务器接收到网络中已认证的客户端发送的MAC地址后,确定网络中所有已通过网络认证的客户端中未发送MAC地址的客户端为待检测的客户端。
进一步地,图10所示实施例中,步骤S1002之后,还包括:网络认证服务器向待检测客户端发送非法DHCP通知消息。
具体地,若网络认证服务器确定接收到的MAC地址与待检测的客户端进行网络认证时使用的MAC地址不同,则网络认证服务器向待检测的客户端发送非法DHCP通知消息,通知该待检测的客户端发送了非法的DHCP请求,从而实现了DHCP攻击源的检测。
由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
进一步地,图10所示实施例中,步骤S1003之后,还包括:网络认证服务器接收待检测客户端发送的下线请求消息;网络认证服务器从已保存的用户信息表中删除待检测客户端所在设备的用户信息,以禁止待检测客户端接入网络。
具体地,当待检测的客户端接收到网络认证服务器发送的非法DHCP通知消息后,确定自己发送了非法DHCP请求,为了不对网络产生进一步地影响,网络认证服务器接收待检测客户端通过接入设备发送的下线请求消息,认证服务器在保存的用户信息表中删除该客户端所在设备的信息,并且接入设备相应地关闭该客户端所在设备的网络端口。这样在客户端所在设备再次通过网络认证之前,其发送的所有报文都会被接入设备抛弃而不会由于其感染了病毒或木马而对网络端设备产生影响。
图11为本发明实施例提供的检测DHCP攻击源的方法实施例六的流程图,本实施例的执行主体为802.1x认证服务器,本实施例以网络认证方式为802.1x认证为例对本发明实施例提供的检测DHCP攻击源的方法进行进一步说明,如图11所示,本实施例的方法包括:
步骤S1101,802.1x认证服务器接收网络中已通过802.1x认证的客户端发送的MAC地址,该MAC地址为已认证的客户端从网络中已通过802.1x认证的待检测客户端广播的DHCP请求消息中解析出的。
具体地,本实施例中,客户端可以为部署在终端设备中的客户端软件,由于在网络中部署了802.1x认证服务器,网络中的客户端需要先通过802.1x认证才能够接入网络,因此,本实施例中涉及的客户端均需要先通过802.1x认证。本实施例中,待检测的客户端与其他客户端实质上是相同的客户端,只是将发送DHCP请求的客户端称之为待检测客户端。当网络中的客户端需要请求DHCP服务器为其分配IP地址时,需要发送DHCP请求。根据DHCP的特征,客户端是通过广播的方式发送DHCP请求,也就是说网络中所有的设备都会接收到该DHCP请求。在网络中会存在多个客户端,每个客户端都会接收到该DHCP请求,也就是说当网络中除了发送DHCP请求的待检测客户端之外其他已通过802.1x认证的客户端都会接收到该DHCP请求。待检测的客户端发送的DHCP请求中包括待检测的客户端所在设备的MAC地址,接收到该DHCP请求的客户端可以从该DHCP请求中解析出该MAC地址。该MAC地址可能是待检测的客户端所在设备的真实MAC地址,也可能是由于客户端感染了病毒或木马而伪造的MAC地址。802.1x认证服务器接收已通过802.1x认证的客户端发送解析出的MAC地址。
802.1x认证服务器可以通过多种方法接收客户端发送的MAC地址,包括通过UDP接收客户端发送的MAC地址。由于客户端在通过802.1x认证后,会接收到802.1x认证服务器下发的802.1x认证服务器的IP地址,因此客户端可以根据该IP地址通过UDP向802.1x认证服务器发送解析出的MAC地址。但本发明实施例中802.1x认证服务器接收客户端发送的MAC地址的方法不限于此,只要能够使802.1x认证服务器接收到客户端发送的MAC地址的方法都可以应用于本发明实施例。
需要说明的是,当待检测的客户端发送DHCP请求后,虽然网络中未通过802.1x认证的客户端同样会接收到该DHCP请求,但由于未通过802.1x认证的客户端发送的报文都会被接入设备抛弃掉,因此本实施例中不考虑网络中未通过802.1x认证的客户端。
步骤S1102,若该MAC地址与待检测的客户端进行802.1x认证时使用的MAC地址不同,则802.1x认证服务器确定待检测客户端所在设备为DHCP攻击源。
具体地,在网络中的客户端进行802.1x认证时,802.1x认证服务器会在用户信息表中保存客户端所在设备的用户信息,包括客户端所在设备的MAC地址。当网络中除了广播DHCP请求的客户端以外的其他客户端接收到该DHCP请求并从中解析出MAC地址后,802.1x认证服务器会接收到所有接收到该DHCP请求的客户端发送的解析出的MAC地址。
802.1x认证服务器中保存的用户信息表中包括所有已通过802.1x认证的客户端所在设备的用户信息,因此802.1x认证服务器会知道哪个客户端发送了MAC地址。而在所有已通过802.1x认证的客户端中,只有发送DHCP请求的客户端不会向802.1x认证服务器发送MAC地址,因此802.1x认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过802.1x认证的客户端没有发送MAC地址,这样802.1x认证服务器便确定了待检测的客户端。认证服务器从不同客户端接收到的MAC地址都是相同的,802.1x认证服务器将接收到的该MAC地址与用户信息表中待检测的客户端在进行802.1x认证时保存的MAC地址进行对比,若两个MAC地址相同,则说明802.1x认证服务器接收到的MAC地址为待检测客户端所在设备的真实MAC地址,该MAC地址合法,802.1x认证服务器不对其进行处理。若802.1x认证服务器确定两个MAC地址不同,则待检测的客户端发送DHCP请求使用的MAC地址可能是伪造的,802.1x认证服务器确定待检测客户端为DHCP攻击源。
另外,本发明实施例中,还可以在网络中的接入设备中进行设置,使未通过802.1x认证服务器检测的客户端发送的报文无法到达DHCP服务器,只有在802.1x认证服务器确定客户端发送的DHCP请求中包含的MAC地址与该客户端通过802.1x认证时使用的MAC地址相同时,接入设备才允许该客户端发送的DHCP请求发送至DHCP服务器,这样防止了客户端使用非法的MAC地址发送DHCP请求对DHCP服务器地址池资源的影响。
本实施例,利用客户端发送的DHCP请求的广播特性,使网络中其他客户端从接收到的该DHCP请求中解析出MAC地址并发送至802.1x认证服务器,802.1x认证服务器通过发送MAC地址的客户端确定发送DHCP请求的客户端,并且通过对比接收到的MAC地址和发送DHCP请求的客户端在通过802.1x认证时使用的MAC地址是否相同确定发送DHCP请求的客户端使用的是否为非法MAC地址,从而确定网络中的DHCP攻击源。
进一步地,图11所示实施例中,步骤S1102之后,还包括:802.1x认证服务器向待检测客户端发送非法DHCP通知消息。
具体地,若802.1x认证服务器确定接收到的MAC地址与待检测的客户端进行802.1x认证时使用的MAC地址不同,则802.1x认证服务器向待检测的客户端发送非法DHCP通知消息,通知该待检测的客户端发送了非法的DHCP请求,从而实现了DHCP攻击源的检测。
由于发送非法DHCP请求的客户端可能是由于感染了病毒或木马而被迫地发送了非法DHCP请求,因此发送DHCP请求的客户端接收到非法DHCP通知消息后,可以进一步地进行杀毒等操作,在消除了病毒或木马后,再次发送DHCP请求获取IP地址以接入网络。
进一步地,图11所示实施例中,在步骤S1102之前,还包括:802.1x认证服务器接收到网络中已认证的客户端发送的MAC地址后,确定网络中所有已通过802.1x认证的客户端中未发送MAC地址的客户端为待检测的客户端。
进一步地,图11所示实施例中,步骤S1103之后,还包括:802.1x认证服务器接收待检测客户端发送的下线请求消息;802.1x认证服务器从已保存的用户信息表中删除待检测客户端所在设备的用户信息,以禁止待检测客户端接入网络。
具体地,当待检测的客户端接收到802.1x认证服务器发送的非法DHCP通知消息后,确定自己发送了非法DHCP请求,为了不对网络产生进一步地影响,待检测的客户端进入如图6所示的802.1x下线交互流程。802.1x认证服务器接收待检测客户端通过接入设备发送的下线请求消息,认证服务器在保存的用户信息表中删除该客户端所在设备的信息,并且接入设备相应地关闭该客户端所在设备的网络端口。这样在客户端所在设备再次通过802.1x认证之前,其发送的所有报文都会被接入设备抛弃而不会由于其感染了病毒或木马而对网络端设备产生影响。
下面以一具体实施例说明本发明实施例提供的检测DHCP攻击源的方法,图12为本发明实施例提供的检测DHCP攻击源的方法实施例七的网络拓扑示意图,如图12所示,网络中包括第一终端设备121、第二终端设备122和第三终端设备123,接入设备124,网络认证服务器125,DHCP服务器126。
其中网络认证服务器125为802.1x认证服务器。第一终端设备121、第二终端设备122和第三终端设备123均为已通过802.1x认证的终端设备,其中第三终端设备123由于感染了病毒为DHCP攻击源。当第三终端设备123中的客户端发起DHCP攻击时,第三终端设备123中的客户端开始广播DHCP请求,该DHCP请求中使用了伪造的MAC地址。此时第一终端设备121和第二终端设备122中的客户端会接收到该DHCP请求并可以从中解析出该伪造的MAC地址。第一终端设备121和第二终端设备122中的客户端通过接入设备124向网络认证服务器125发送该MAC地址。网络认证服务器125中保存有已通过802.1x认证的客户端所在设备的用户信息表,当网络认证服务器125接收到第一终端设备121和第二终端设备122中的客户端发送的MAC地址但未接收到第三终端设备123中客户端发送的MAC地址后,网络认证服务器125确定需要对第三客户端123进行检测,网络认证服务器125将接收到的MAC地址与保存的用户信息表中第三终端设备123的MAC地址进行对比。由于第三终端设备123中客户端发送DHCP请求使用的是伪造的MAC地址,因此网络认证服务器125接收到的第一终端设备121和第二终端设备122中客户端发送的MAC地址与保存的用户信息表中第三终端设备123的MAC地址不会相同,这样网络认证服务器125确定第三终端设备123为DHCP攻击源。网络认证服务器125通过接入设备124向第三终端设备123中客户端发送非法DHCP通知消息,使第三终端设备123中客户端得知自己所在终端设备为DHCP攻击源,可能感染了病毒或木马,进而可以进行杀毒等处理。
进一步地,第三终端设备123接收到非法DHCP通知消息后,可以进入802.1x下线流程,从而可以进一步地减小对网络的影响。
图13为本发明实施例提供的客户端实施例一的结构示意图,本实施例的客户端为网络中待检测的客户端,该客户端已通过网络认证,如图13所述,该客户端包括:
发送模块131,用于广播动态主机配置协议DHCP请求消息,以使网络中所述待检测客户端以外其它已通过网络认证的客户端接收到所述DHCP请求消息并解析出所述DHCP请求消息中包含的媒体访问控制MAC地址。
接收模块132,用于接收网络认证服务器发送的非法DHCP通知消息,所述非法DHCP通知消息为所述网络认证服务器接收到网络中所述待检测客户端以外其它已通过网络认证的客户端发送的所述DHCP请求消息中包含的MAC地址后确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后发送的;
处理模块133,用于根据该非法DHCP通知消息确定所在设备为DHCP攻击源。
本实施例的客户端用于实现图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,图13所示实施例中,发送模块131,还用于向所述网络认证服务器发送下线请求消息,以使所述网络认证服务器禁止所述待检测客户端接入网络。
进一步地,图13所示实施例中,接收模块132,具体用于接收网络认证服务器使用用户数据报协议UDP发送的非法DHCP通知消息。
图13所示实施例的另一种实现方式中,所述网络认证包括802.1x认证,所述客户端已通过网络认证包括所述客户端设备已通过802.1x认证,所述网络认证服务器包括802.1x认证服务器。
图14为本发明实施例提供的客户端实施例二的结构示意图,本实施例的客户端为网络中除了待检测的客户端之外的客户端,该客户端已通过网络认证,如图14所述,该客户端包括:
接收模块141,用于接收网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息。
解析模块142,用于从所述DHCP请求消息中解析出所述DHCP请求消息中包含的媒体访问控制MAC地址。
发送模块143,用于向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,以使所述网络认证服务器在确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后向确定待检测客户端所在的设备为DHCP攻击源。
本实施例的客户端用于实现图8所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,图14所示实施例中,发送模块143,具体用于使用用户数据报协议UDP向网络认证服务器发送所述DHCP请求消息中包含的MAC地址。
图14所示实施例的另一种实现方式中,所述网络认证包括802.1x认证,所述客户端已通过网络认证包括所述客户端设备已通过802.1x认证,所述网络认证服务器包括802.1x认证服务器。
图15为本发明实施例提供的认证服务器实施例一的结构示意图,本实施例的认证服务器为网络认证服务器,如图15所述,该认证服务器包括:
接收模块151,用于接收网络中已通过网络认证的客户端发送的媒体访问控制MAC地址,所述MAC地址为所述已认证的客户端从网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息中解析出的。
处理模块152,用于若该MAC地址与待检测的客户端进行网络认证时使用的MAC地址不同,则确定待检测客户端所在设备为DHCP攻击源。
本实施例的认证服务器用于实现图10所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,图15所示实施例中,处理模块152,还用于接收到网络中已认证的客户端发送的MAC地址后,确定网络中所有已通过802.1x认证的客户端中未发送所述MAC地址的客户端为所述待检测的客户端。
图16为本发明实施例提供的认证服务器实施例二的结构示意图,本实施例的认证服务器在图15的基础上,还包括:
发送模块153,用于向待检测客户端发送非法DHCP通知消息。
进一步地,图15或图16所示实施例中,接收模块151,还用于接收所述待检测客户端发送的下线请求消息。处理模块152,还用于从已保存的用户信息表中删除所述待检测客户端所在设备的用户信息,以禁止所述待检测客户端接入网络。
进一步地,图15或图16所示实施例中,接收模块151,具体用于接收网络中已认证的客户端使用用户数据报协议UDP发送的MAC地址。
图15或图16所示实施例的另一种实现方式中,所述网络认证包括802.1x认证,所述网络认证服务器包括802.1x认证服务器
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (21)
1.一种检测DHCP攻击源的方法,其特征在于,包括:
已通过网络认证的待检测客户端广播动态主机配置协议DHCP请求消息,以使网络中所述待检测客户端以外其它已通过网络认证的客户端接收到所述DHCP请求消息并解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
所述待检测客户端接收网络认证服务器发送的非法DHCP通知消息,所述非法DHCP通知消息为所述网络认证服务器接收到网络中所述待检测客户端以外其它已通过网络认证的客户端发送的所述DHCP请求消息中包含的MAC地址后确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后发送的;
所述待检测客户端根据所述非法DHCP通知消息确定所在设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
2.根据权利要求1所述的方法,其特征在于,所述待检测客户端接收网络认证服务器发送的非法DHCP通知消息之后,还包括:
所述待检测客户端向所述网络认证服务器发送下线请求消息,以使所述网络认证服务器从已保存的用户信息表中删除所述待检测客户端所在设备的用户信息,以禁止所述待检测客户端接入网络。
3.根据权利要求1或2所述的方法,其特征在于,所述待检测客户端接收网络认证服务器发送的非法DHCP通知消息,包括:
所述待检测客户端接收网络认证服务器使用用户数据报协议UDP发送的非法DHCP通知消息。
4.根据权利要求1或2所述的方法,其特征在于,所述网络认证包括802.1x认证,所述网络认证服务器包括802.1x认证服务器。
5.一种检测DHCP攻击源的方法,其特征在于,包括:
已通过网络认证的客户端接收网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息;
所述已通过网络认证的客户端从所述DHCP请求消息中解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
所述已通过网络认证的客户端向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,以使所述网络认证服务器在确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后确定所述待检测客户端所在的设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
6.根据权利要求5所述的方法,其特征在于,所述已通过网络认证的客户端向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,包括:
所述已通过网络认证的客户端使用用户数据报协议UDP向网络认证服务器发送所述DHCP请求消息中包含的MAC地址。
7.根据权利要求5或6所述的方法,其特征在于,所述网络认证包括802.1x认证,所述网络认证服务器包括802.1x认证服务器。
8.一种检测DHCP攻击源的方法,其特征在于,包括:
网络认证服务器接收网络中已通过网络认证的客户端发送的媒体访问控制MAC地址,所述MAC地址为所述已认证的客户端从网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息中解析出的;
若所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同,则所述网络认证服务器确定所述待检测客户端所在设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
9.根据权利要求8所述的方法,其特征在于,所述网络认证服务器确定所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同之前,还包括:
所述网络认证服务器接收到网络中已认证的客户端发送的MAC地址后,确定网络中所有已通过网络认证的客户端中未发送所述MAC地址的客户端为所述待检测的客户端。
10.根据权利要求8或9所述的方法,其特征在于,所述若所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同,则所述网络认证服务器确定所述待检测客户端所在设备为DHCP攻击源之后,还包括:
所述网络认证服务器向所述待检测客户端发送非法DHCP通知消息;
所述网络认证服务器接收所述待检测客户端发送的下线请求消息;
所述网络认证服务器禁止所述待检测客户端接入网络。
11.根据权利要求8或9所述的方法,其特征在于,所述网络认证服务器接收网络中已认证的客户端发送的MAC地址,包括:
所述网络认证服务器接收网络中已认证的客户端使用用户数据报协议UDP发送的MAC地址。
12.根据权利要求8或9所述的方法,其特征在于,所述网络认证包括802.1x认证,所述网络认证服务器包括802.1x认证服务器。
13.一种客户端,其特征在于,所述客户端已通过网络认证,所述客户端包括:
发送模块,用于广播动态主机配置协议DHCP请求消息,以使网络中待检测客户端以外其它已通过网络认证的客户端接收到所述DHCP请求消息并解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
接收模块,用于接收网络认证服务器发送的非法DHCP通知消息,所述非法DHCP通知消息为所述网络认证服务器接收到网络中所述待检测客户端以外其它已通过网络认证的客户端发送的所述DHCP请求消息中包含的MAC地址后确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后发送的;
处理模块,用于根据所述非法DHCP通知消息确定所在设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
14.根据权利要求13所述的客户端,其特征在于,所述发送模块,还用于向所述网络认证服务器发送下线请求消息,以使所述网络认证服务器禁止所述待检测客户端接入网络。
15.根据权利要求13或14所述的客户端,其特征在于,所述接收模块,具体用于接收网络认证服务器使用用户数据报协议UDP发送的非法DHCP通知消息。
16.一种客户端,其特征在于,所述客户端已通过网络认证,所述客户端包括:
接收模块,用于接收网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息;
解析模块,用于从所述DHCP请求消息中解析出所述DHCP请求消息中包含的媒体访问控制MAC地址;
发送模块,用于向网络认证服务器发送所述DHCP请求消息中包含的MAC地址,以使所述网络认证服务器在确定所述DHCP请求消息中包含的MAC地址与所述待检测客户端进行网络认证时使用的MAC地址不同后确定所述待检测客户端所在的设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
17.根据权利要求16所述的客户端,其特征在于,所述发送模块,具体用于使用用户数据报协议UDP向网络认证服务器发送所述DHCP请求消息中包含的MAC地址。
18.一种认证服务器,其特征在于,所述认证服务器为网络认证服务器,所述认证服务器包括:
接收模块,用于接收网络中已通过网络认证的客户端发送的媒体访问控制MAC地址,所述MAC地址为所述已认证的客户端从网络中已通过网络认证的待检测客户端广播的动态主机配置协议DHCP请求消息中解析出的;
处理模块,用于若所述MAC地址与所述待检测的客户端进行网络认证时使用的MAC地址不同,则确定所述待检测客户端所在设备为DHCP攻击源;
其中,所述网络认证服务器在接收到各个客户端发送的MAC地址后会知道哪个已通过网络认证的客户端没有发送MAC地址,则该已通过网络认证、但没有发送MAC地址的客户端即为待检测客户端。
19.根据权利要求18所述的认证服务器,其特征在于,所述处理模块,还用于接收到网络中已认证的客户端发送的MAC地址后,确定网络中所有已通过网络认证的客户端中未发送所述MAC地址的客户端为所述待检测的客户端。
20.根据权利要求18或19所述的认证服务器,其特征在于,还包括:
发送模块,用于向所述待检测客户端发送非法DHCP通知消息;
所述接收模块,还用于接收所述待检测客户端发送的下线请求消息;
所述处理模块,还用于从已保存的用户信息表中删除所述待检测客户端所在设备的用户信息,以禁止所述待检测客户端接入网络。
21.根据权利要求18或19所述的认证服务器,其特征在于,所述接收模块,具体用于接收网络中已认证的客户端使用用户数据报协议UDP发送的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310421264.XA CN103491081B (zh) | 2013-09-16 | 2013-09-16 | 检测dhcp攻击源的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310421264.XA CN103491081B (zh) | 2013-09-16 | 2013-09-16 | 检测dhcp攻击源的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103491081A CN103491081A (zh) | 2014-01-01 |
| CN103491081B true CN103491081B (zh) | 2017-01-04 |
Family
ID=49831040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310421264.XA Active CN103491081B (zh) | 2013-09-16 | 2013-09-16 | 检测dhcp攻击源的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491081B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612936A (zh) * | 2017-10-25 | 2018-01-19 | 广东欧珀移动通信有限公司 | 一种登录方法及相关设备 |
| CN111385285B (zh) * | 2019-12-30 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种防止非法外联的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101656724A (zh) * | 2009-09-24 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种防攻击方法和一种动态主机配置协议服务器 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| US7826447B1 (en) * | 2005-06-22 | 2010-11-02 | Marvell International Ltd. | Preventing denial-of-service attacks employing broadcast packets |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070276943A1 (en) * | 2006-03-14 | 2007-11-29 | General Instrument Corporation | Prevention of Cloning Attacks in a DOCSIS Network |
-
2013
- 2013-09-16 CN CN201310421264.XA patent/CN103491081B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7826447B1 (en) * | 2005-06-22 | 2010-11-02 | Marvell International Ltd. | Preventing denial-of-service attacks employing broadcast packets |
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| CN101656724A (zh) * | 2009-09-24 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种防攻击方法和一种动态主机配置协议服务器 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103491081A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105635084B (zh) | 终端认证装置及方法 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| JP5581141B2 (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| US9883010B2 (en) | Method, apparatus, device and system for generating DHCP snooping binding table | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
| CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
| CN108667601A (zh) | 一种传输数据的方法、装置和设备 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| US20220103584A1 (en) | Information Security Using Blockchain Technology | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN106559785A (zh) | 认证方法、设备和系统以及接入设备和终端 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN108093390A (zh) | 一种基于特征信息的智能设备发现方法 | |
| CN103491081B (zh) | 检测dhcp攻击源的方法和装置 | |
| CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
| CN104683500B (zh) | 一种安全表项生成方法和装置 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| CN105792216B (zh) | 基于认证的无线钓鱼接入点检测方法 | |
| CN114710388B (zh) | 一种校园网安全系统及网络监护系统 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |