CN103873431A - 动态主机配置协议服务器的识别方法和装置 - Google Patents
动态主机配置协议服务器的识别方法和装置 Download PDFInfo
- Publication number
- CN103873431A CN103873431A CN201210527988.8A CN201210527988A CN103873431A CN 103873431 A CN103873431 A CN 103873431A CN 201210527988 A CN201210527988 A CN 201210527988A CN 103873431 A CN103873431 A CN 103873431A
- Authority
- CN
- China
- Prior art keywords
- configuration protocol
- host configuration
- dynamic host
- protocol server
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种DHCP服务器的识别方法和装置。该方法包括:向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,多台虚拟机由一台主机上的物理资源创建得到,虚拟机子网中还包括至少一台合法DHCP服务器为虚拟机提供IP地址;接收DHCPOffer消息,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。本发明实施例实现了物理机环境和虚拟化环境中DHCP Server的识别。
Description
技术领域
本发明涉及通信领域,尤其涉及一种动态主机配置协议DHCP服务器的识别方法和装置。
背景技术
在通信领域,连接到互联网上的计算机在与其他计算机进行通信时必须具有自己的IP地址,但是由于IP地址资源有限,不能给每台连接到互联网上的主机配置一个固定的IP地址,因此通常使用动态主机配置协议(DynamicHost Configuration Protocol,DHCP)方式对连接网络的主机配置临时的IP地址。
DHCP服务方便了网络管理,但是由于基本的DHCP协议是广播协议,安全性比较低,有些假冒的DHCP服务器端(Server)可在收到广播消息后先响应客户端的IP地址分配请求并分配假的域名系统(Domain Name System,DNS)地址,以便使客户端用户访问恶意的网站。在现有技术下,物理交换机配置了DHCP探测(Snooping)功能,将DHCP Server对应的端口设置为信任端口,其他端口设置为非信任端口,并且只允许信任端口通过DHCP响应。现有技术可以解决物理机环境下的DHCP Server识别的问题,但是在虚拟机环境下,同一台物理机上的两台虚拟机进行通信时,其中一台虚拟机安装了DHCPServer,虚拟机之间通过主机上的虚拟交换机进行通信,通信过程不经过物理交换机,因此现有技术无法解决虚拟化环境下的DHCP Server的识别问题。
发明内容
本发明实施例提供了一种DHCP服务器的识别方法和装置,以实现虚拟化环境中DHCP Server的识别。
第一方面,本发明实施例提供了一种DHCP服务器的识别方法,所述方法包括:
DHCP安全模块向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;
接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;
获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
在第一种可能的实现方式中,所述识别所述第一DHCP服务器是否为非法DHCP服务器之后,还包括:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器包括:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:预先设置DHCP服务器列表,所述DHCP服务器列表中包括合法的DHCP服务器的地址信息。
结合第一方面的第一种可能的实现方式,在第四种可能的实现方式中,所述地址信息为IP地址和MAC地址,所述对所述非法的第一DHCP服务器进行告警处理包括:根据所述非法的第一DHCP服务器的IP地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
结合第一方面,在第五种可能的实现方式中,所述地址信息为IP地址和MAC地址,所述方法还包括:在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址或MAC地址。
结合第一方面或者第一方面的第一种、第二种、第三种、第四种、第五种可能的实现方式中,在第六种可能的实现方式中,所述接收第一DHCP服务器返回的DHCP Offer消息之后还包括:向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
第二方面,本发明实施例还提供了一种DHCP服务器的识别装置,所述装置包括:
发送单元,用于向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;
接收单元,用于接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息,将所述DHCP Offer消息传输至处理单元;
处理单元,用于接收所述接收单元发送的所述DHCP Offer消息,获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
在第一种可能的实现方式中,所述处理单元还用于:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。
结合第二方面,在第二种可能的实现方式中,所述处理单元具体用于:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述装置还包括,预设单元,用于预先设置DHCP服务器列表,所述DHCP服务器列表中包括所述合法的DHCP服务器的地址信息。
结合第二方面的第一种可能的实现方式,在第四种可能的实现方式中,所述地址信息为IP地址和MAC地址,所述处理单元具体用于:根据所述非法的第一DHCP服务器的IP地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
结合第二方面,在第五种可能的实现方式中,所述地址信息为IP地址和MAC地址,所述处理单元还用于:在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址或MAC地址。
结合第二方面或者第二方面的第一种、第二种、第三种、第四种、第五种可能的实现方式中,在第六种可能的实现方式中,所述发送单元还用于,向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
本发明实施例提供的DHCP服务器的识别方法和装置,DHCP安全模块向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;接收DHCPOffer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。由于该DHCP服务器的识别装置和DHCP服务器可以运行在虚拟机的操作系统中,因此本发明实施例可以识别虚拟化环境中的非法DHCP服务器,并对识别出的非法DHCP服务器进行告警处理,提高了网络的安全性。
附图说明
图1为本发明实施例提供的DHCP服务器的识别方法的一种应用场景示意图;
图2为本发明实施例提供的一种DHCP服务器的识别方法流程图;
图3为本发明实施例提供的一种DHCP服务器的识别方法的信息交互示意图;
图4为本发明实施例提供的一种DHCP服务器的识别装置示意图;
图5为本发明实施例提供的又一DHCP服务器的识别装置示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透切理解本发明。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
图1为本发明实施例提供的DHCP服务器的识别方法的一种应用场景示意图。本发明实施例提供的DHCP服务器的识别方法和装置在实际应用时,作为一种新的识别方法可应用于一台物理主机/服务器内建立了多台虚拟机,多台虚拟机形成至少一个虚拟机子网,每个虚拟机子网内部包括一台虚拟交换机场景。如图1所示,该物理主机内有多台虚拟机,即虚拟机1、虚拟机2......虚拟机n,每台虚拟机建立在主机内部的虚拟化平台上,虚拟化平台为每台主机提供了处理器资源、硬盘资源、存储器资源以及网卡资源,虚拟机的网卡与主机的网卡通过管理模块中的网卡驱动器相连接。当然,该主机中还包括硬件平台,该硬件平台中包括处理器、硬盘、存储器以及网卡。物理主机中各个子网内的各台虚拟机通过虚拟交换机进行交互,子网内的虚拟机之间进行交互之前,可通过DHCP配置IP地址。为了确保不使用非法DHCP服务器所提供的IP地址,即识别出非法DHCP服务器,本发明还提供了DHCP安全模块,该DHCP安全模块可以位于该主机的某台虚拟机中,也可以位于主机中的管理模块,也可以位于其他主机中。DHCP安全模块在多台虚拟机形成的子网内广播发送DHCP Discover(DHCP发现)消息,并通过接收到的DHCP Offer(DHCP提供)消息中携带的IP地址,判断发送DHCP消息的DHCP服务器是否为非法DHCP服务器。由此,本发明实施例提供的DHCP服务器的识别方法实现了虚拟化环境中的非法DHCP服务器的识别,提高了网络的安全性。
图2为本发明实施例提供的一种DHCP服务器的识别方法流程图。该实施例的执行主体是DHCP安全模块,应用场景是虚拟机子网,该虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,而多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址。如图2所示,本实施例包括以下步骤:
步骤201,DHCP安全模块向虚拟机子网内广播发送DHCP Discover消息。
具体地,DHCP安全模块可以周期性地在虚拟机子网内广播DHCP Discover消息,用以使得子网内DHCP Discover消息的合法或非法的DHCP Server响应该DHCP Discover消息。该DHCP Discover消息的报文格式与DHCP协议中规定的报文格式一致,这里不再赘述。
步骤202,接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCPOffer消息包括所述第一DHCP服务器的地址信息。
接收到DHCP Discever消息的DHCP Server可以向DHCP安全模块发送DHCP Offer消息,该消息中携带有DHCP Server的地址信息,该地址信息包括IP地址和MAC地址。
步骤203,获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
具体地,一个虚拟机子网内一般应该配置一个DHCP Server,如果DHCP安全模块接收到多个DHCP Offer消息,则说明其中可能存在非法DHCP Server。DHCP安全模块接收到第一DHCP服务器发送的DHCP Offer消息后,可首先从该消息中提取该第一DHCP服务器的IP地址和MAC地址信息,根据所述地址信息,识别所述DHCP服务器是否为非法DHCP服务器。可以将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法的DHCP服务器。
其中,可以在DHCP安全模块中可以预设一个DHCP服务器列表,该列表中包括预设DHCP服务器及其地址信息,该DHCP服务器列表也可以不设置在DNCP安全模块中而设置在网络服务器中,当DHCP模块接收到DHCP服务器返回的DHCP Offer消息时,可以访问网络服务器中的DHCP服务器列表。其中,该DHCP服务器列表可以由用户根据实际组网情况进行设置。
具体地,当DHCP安全模块接收到DHCP Server发送的DHCP Offer消息后,如果只有一个DHCP Server发送了DHCP Offer消息,则将该DHCP Server的地址信息与DHCP服务器列表中的地址信息进行对比,如果一致,则说明该DHCP Server是合法的DHCP Server,否则说明发送DHCP Offer消息的DHCPServer为非法DHCP Server。如果DHCP安全模块接收到多个DHCP Server发送的多个DHCP Offer消息后,则将该多个DHCP Server对应的地址信息逐一与DHCP服务器列表中的地址信息进行对比,由于一般一个虚拟机子网中只配置一个DHCP Server,因此正常情况下最多只有一个DHCP Server的地址信息与列表中的地址信息一致,地址信息一致的DHCP Server为合法的DHCPServer,地址信息不一致的DHCP Server为非法DHCP Server。
对于非法DHCP Server,DHCP安全模块可以进行告警处理,例如,对该DHCP Server的主机名称进行告警显示,显示在显示界面上,供用户进行查看,即在DHCP安全模块的显示界面上显示该DHCP Server为非法DHCP Server的提示信息。由于DHCP Offer消息中可以携带IP地址和MAC地址等地址信息,因此可以通过该IP地址信息获取对应的主机名称,如通过Ping-a ip命令获取IP地址对应的主机名称。
由于DHCP安全模块的显示界面上可以显示发送DHCP Offer信息的DHCP服务器的相关信息,因此也可由用户通过所显示的信息对DHCP Offer进行人工识别,并对识别为非法DHCP Server的服务器端进行告警处理。
对于非法的第一DHCP服务器,DHCP模块还可以在该虚拟机子网中禁止该第一DHCP服务器的IP地址或MAC地址,这样在以后接收到该IP地址或MAC地址发送的DHCP响应消息时,可以使虚拟交换机拒绝转发该来自该IP地址或MAC地址的数据包。
在一个优选的实施方式中,在DHCP安全模块接收到DHCP Offer消息后,还可记录该DHCP Server的地址信息,或者还可以向DHCP Server发送一个DHCP Reques t(DHCP请求)消息,并在该消息中携带一个无效的DHCP Server的地址信息,用来终结该DHCP会话过程。
本发明实施例中,DHCP安全模块向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。由于该DHCP服务器的识别装置和DHCP服务器可以运行在虚拟机的操作系统中,因此本发明实施例可以识别虚拟化环境中的非法DHCP服务器,并对识别出的非法DHCP服务器进行告警处理,提高了网络的安全性。
上述实施例以DHCP安全模块为执行主体介绍了DHCP Server的识别过程,下面给出在识别DHCP Server的过程中,DHCP安全模块与DHCP Server的信息交互过程。
图3为本发明实施例提供的一种DHCP服务器的识别方法的信息交互示意图。如图3所示,该实施例包括以下步骤:
步骤301,DHCP安全模块向DHCP服务器发送DHCP Discover消息。
其中,该方法的应用场景时虚拟机子网,该虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,而多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址。
具体地,DHCP安全模块可以周期性地在该虚拟机子网内广播DHCPDiscover消息,用以使得子网内DHCP Discover消息的合法或非法的DHCPServer响应该DHCP Discover消息。
步骤302,DHCP服务器向DHCP安全模块发送DHCP Offer消息。
DHCP Server接收到DHCP Discover消息之后,可以向DHCP安全模块发送DHCP Offer消息,该消息中携带有DHCP Server的地址信息,该地址信息包括IP地址和MAC地址。
步骤303,DHCP安全模块根据该DHCP服务器的IP地址识别该DHCP Server是否为非法DHCP Server。
对DHCP Server进行识别的方法为:将预设DHCP服务器的地址信息与所述该DHCP服务器的地址信息进行对比,如果不一致,则识别所述DHCP服务器为非法DHCP服务器。
对于非法DHCP Server,DHCP安全模块可以进行告警处理,例如,对该DHCP Server的主机名称进行告警显示,显示在显示界面上,供用户进行查看,即在DHCP安全模块的显示界面上显示该DHCP Server为非法DHCP Server的提示信息。由于DHCP Offer消息中可以携带I P地址和MAC地址等地址信息,因此可以通过该IP地址信息获取对应的主机名称,如通过Ping-a ip命令获取IP地址对应的主机名称。
由于DHCP安全模块的显示界面上可以显示发送DHCP Offer信息的DHCP服务器的相关信息,因此也可由用户通过所显示的信息对DHCP Offer进行人工识别,并对识别为非法DHCP Server的服务器端进行告警处理。
对于非法的第一DHCP服务器,DHCP模块还可以在该虚拟机子网中禁止该第一DHCP服务器的IP地址或MAC地址,这样在以后接收到该IP地址或MAC地址发送的DHCP响应消息时,可以使虚拟交换机拒绝转发该来自该IP地址或MAC地址的数据包。
步骤304,DHCP安全模块确定是否接收到全部的DHCP Offer消息,一般设定一个预设的时间,超时后可以终结该DHCP会话过程。
具体地,还可以通过向DHCP Server发送一个DHCP Reques t消息,并在该消息中携带一个无效的DHCP Server的地址信息,用以终结该DHCP会话过程。
当然,步骤304也可以在步骤303之前、步骤302之后执行。
由此,本发明实施例可以识别虚拟化环境中的非法DHCP服务器,并对识别出的非法DHCP服务器进行告警处理,提高了网络的安全性。
相应地,本发明实施例还提供了一种DHCP服务器的识别装置。图4为本发明实施例提供的一种DHCP服务器的识别装置示意图。如图4所示,本实施例包括以下单元:
发送单元401,用于向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址。
发送单元401可以周期性地在虚拟机子网内广播DHCP Discover消息,也可以在接收到用户的请求消息后广播发送DHCP Discover消息。
接收到DHCP Server发送的DHCP Offer消息后,发送单元402还用于,向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
接收单元402,用于接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息,将所述DHCPOffer消息传输至处理单元。
处理单元403,用于接收所述接收单元发送的所述DHCP Offer消息,获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
处理单元403具体用于:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
处理单元403还用于:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。
其中,DHCP Offer消息中携带的地址信息为IP地址和MAC地址,对于非法DHCP服务器,处理单元403具体用于:根据所述非法的第一DHCP服务器的I P地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
对于非法DHCP Server,DHCP安全模块可以进行告警处理,例如,对该DHCP Server的主机名称进行告警显示,显示在显示界面上,供用户进行查看,即在DHCP安全模块的显示界面上显示该DHCP Server为非法DHCP Server的提示信息。由于DHCP Offer消息中可以携带IP地址和MAC地址等地址信息,因此可以通过该IP地址信息获取对应的主机名称,如通过Ping-a ip命令获取IP地址对应的主机名称。
由于DHCP安全模块的显示界面上可以显示发送DHCP Offer信息的DHCP服务器的相关信息,因此也可由用户通过所显示的信息对DHCP Offer进行人工识别,并对识别为非法DHCP Server的服务器端进行告警处理。
处理单元403还用于:在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址或MAC地址。对于非法的第一DHCP服务器,DHCP模块还可以在该虚拟机子网中禁止该第一DHCP服务器的IP地址或MAC地址,这样在以后接收到该IP地址或MAC地址发送的DHCP响应消息时,可以使虚拟交换机拒绝转发该来自该IP地址或MAC地址的数据包。
优选地,本实施例还包括:预设单元404,用于预先设置DHCP服务器列表,所述DHCP服务器列表中包括所述合法的DHCP服务器的地址信息。
由此,本发明实施例可以识别虚拟化环境中的非法DHCP服务器,并对识别出的非法DHCP服务器进行告警处理,提高了网络的安全性。
图5为本发明实施例提供的又一DHCP服务器的识别装置示意图,如图5所示,该DHCP服务器的识别装置包括:处理器501、存储器502、系统总线503和通信接口504。处理器501、存储器502和通信接口504之间通过系统总线503连接并完成相互间的通信。
处理器501可能为单核或多核中央处理单元(Central Processing Unit,CPU),或者为特定集成电路(Application Specific Integrated Circuit,ASIC),或者为被配置成实施本发明实施例的一个或多个集成电路。
存储器502可以为高速RAM存储器,也可以为非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
存储器502用于存放程序505。具体的,程序505中可以包括程序代码,所述程序代码包括计算机执行指令。
当所述DHCP服务器的识别装置运行时,处理器501运行程序505,以执行以下指令:
向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;
接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;
获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
具体地,一个虚拟机子网内一般应该配置一个DHCP Server,如果DHCP安全模块接收到多个DHCP Offer消息,则说明其中可能存在非法DHCP Server。DHCP安全模块接收到第一DHCP服务器发送的DHCP Offer消息后,可首先从该消息中提取该第一DHCP服务器的IP地址和MAC地址信息,根据所述地址信息,识别所述DHCP服务器是否为非法DHCP服务器。可以将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法的DHCP服务器。
进一步的,处理器501执行识别所述第一DHCP服务器是否为非法DHCP服务器的指令之后,根据程序505,将执行以下指令:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。
进一步的,处理器501根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器的过程具体包括:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
其中,处理器501还可预先设置DHCP服务器列表,所述DHCP服务器列表中包括合法的DHCP服务器的地址信息。该DHCP服务器列表可以保存在存储器502中,或者网络服务器中,由处理器501在需要时进行访问。
进一步的,DHCP服务器的地址信息包括IP地址和MAC地址,处理器501对所述非法的第一DHCP服务器进行告警处理的过程包括:根据所述非法的第一DHCP服务器的IP地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
对于非法DHCP Server,DHCP安全模块可以进行告警处理,例如,对该DHCP Server的主机名称进行告警显示,显示在显示界面上,供用户进行查看,即在DHCP安全模块的显示界面上显示该DHCP Server为非法DHCP Server的提示信息。由于DHCP Offer消息中可以携带I P地址和MAC地址等地址信息,因此可以通过该IP地址信息获取对应的主机名称,如通过Ping-a ip命令获取IP地址对应的主机名称。
由于DHCP安全模块的显示界面上可以显示发送DHCP Offer信息的DHCP服务器的相关信息,因此也可由用户通过所显示的信息对DHCP Offer进行人工识别,并对识别为非法DHCP Server的服务器端进行告警处理。
当识别出第一DHCP服务器为非法DHCP服务器时,处理器501还可在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址和MAC地址。
对于非法的第一DHCP服务器,DHCP模块还可以在该虚拟机子网中禁止该第一DHCP服务器的IP地址或MAC地址,这样在以后接收到该IP地址或MAC地址发送的DHCP响应消息时,可以使虚拟交换机拒绝转发该来自该IP地址或MAC地址的数据包。
进一步的,处理器501访问存储器502中的程序505之后,在执行接收第一DHCP服务器返回的DHCP Offer消息的指令之后,还可向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种动态主机配置协议DHCP服务器的识别方法,其特征在于,所述方法包括:
DHCP安全模块向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;
接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Di scover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息;
获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
2.根据权利要求1所述的DHCP服务器的识别方法,其特征在于,所述识别所述第一DHCP服务器是否为非法DHCP服务器之后,还包括:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。
3.根据权利要求2所述的DHCP服务器的识别方法,其特征在于,所述根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器包括:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
4.根据权利要求3所述的DHCP服务器的识别方法,其特征在于,所述方法还包括:预先设置DHCP服务器列表,所述DHCP服务器列表中包括合法的DHCP服务器的地址信息。
5.根据权利要求2所述的DHCP服务器的识别方法,其特征在于,所述地址信息为IP地址和MAC地址,所述对所述非法的第一DHCP服务器进行告警处理包括:根据所述非法的第一DHCP服务器的IP地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
6.根据权利要求1所述的DHCP服务器的识别方法,其特征在于,所述地址信息为IP地址和MAC地址,所述方法还包括:在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址或MAC地址。
7.根据权利要求1-6任一项所述的DHCP服务器的识别方法,其特征在于,所述接收第一DHCP服务器返回的DHCP Offer消息之后还包括:
向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
8.一种动态主机配置协议DHCP服务器的识别装置,其特征在于,所述装置包括:
发送单元,用于向虚拟机子网内广播发送DHCP Discover消息,其中,所述虚拟机子网包括多台虚拟机和一台虚拟交换机,所述多台虚拟机由一台主机上的物理资源创建得到,所述多台虚拟机之间通过所述虚拟交换机进行通信,所述虚拟机子网中还包括至少一台合法的DHCP服务器为所述虚拟机提供IP地址;
接收单元,用于接收DHCP Offer消息,所述DHCP Offer消息为所述虚拟机子网中的第一DHCP服务器接收到所述DHCP Discover消息后发送的,所述DHCP Offer消息包括所述第一DHCP服务器的地址信息,将所述DHCP Offer消息传输至处理单元;
处理单元,用于接收所述接收单元发送的所述DHCP Offer消息,获取所述第一DHCP服务器的地址信息,并根据所述第一DHCP服务器的地址信息,识别所述第一DHCP服务器是否为非法DHCP服务器。
9.根据权利要求8所述的DHCP服务器的识别装置,其特征在于,所述处理单元还用于:如果识别结果为所述第一DHCP服务器为非法DHCP服务器,则对所述非法的第一DHCP服务器进行告警处理。
10.根据权利要求8所述的DHCP服务器的识别装置,其特征在于,所述处理单元具体用于:将所述第一DHCP服务器的地址信息与预设的合法的DHCP服务器的地址信息进行对比,如果所述第一DHCP服务器的地址信息与所述预设的合法的DHCP服务器的地址信息不一致,则识别所述第一DHCP服务器是非法DHCP服务器。
11.根据权利要求10所述的DHCP服务器的识别装置,其特征在于,所述装置还包括,预设单元,用于预先设置DHCP服务器列表,所述DHCP服务器列表中包括所述合法的DHCP服务器的地址信息。
12.根据权利要求9所述的DHCP服务器的识别装置,其特征在于,所述地址信息为IP地址和MAC地址,所述处理单元具体用于:根据所述非法的第一DHCP服务器的IP地址,获取所述非法的第一DHCP服务器对应的主机名称,对所述非法的第一DHCP服务器的主机名称进行告警处理。
13.根据权利要求8所述的DHCP服务器的识别装置,其特征在于,所述地址信息为IP地址和MAC地址,所述处理单元还用于:在所述虚拟机子网中禁止所述非法的第一DHCP服务器的IP地址或MAC地址。
14.根据权利要求8-13任一项所述的DHCP服务器的识别装置,其特征在于,所述发送单元还用于,向所述第一DHCP服务器发送DHCP请求消息,所述DHCP请求消息中携带一个无效DHCP服务器地址信息,用以结束DHCP会话。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210527988.8A CN103873431A (zh) | 2012-12-10 | 2012-12-10 | 动态主机配置协议服务器的识别方法和装置 |
| PCT/CN2013/084535 WO2014090022A1 (zh) | 2012-12-10 | 2013-09-27 | 动态主机配置协议服务器的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210527988.8A CN103873431A (zh) | 2012-12-10 | 2012-12-10 | 动态主机配置协议服务器的识别方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103873431A true CN103873431A (zh) | 2014-06-18 |
Family
ID=50911562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210527988.8A Pending CN103873431A (zh) | 2012-12-10 | 2012-12-10 | 动态主机配置协议服务器的识别方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103873431A (zh) |
| WO (1) | WO2014090022A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468574A (zh) * | 2014-12-05 | 2015-03-25 | 中国联合网络通信集团有限公司 | 一种虚拟机动态获取ip地址的方法、系统及装置 |
| CN107612741A (zh) * | 2017-09-30 | 2018-01-19 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
| CN110166315A (zh) * | 2019-04-17 | 2019-08-23 | 浙江远望信息股份有限公司 | 一种对广播域内是否存在能连接互联网线路的探测方法 |
| CN114615234A (zh) * | 2022-03-11 | 2022-06-10 | 新华三工业互联网有限公司 | 一种地址的分配方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865591B2 (en) * | 2007-11-20 | 2011-01-04 | Alcatel Lucent | Facilitating DHCP diagnostics in telecommunication networks |
| CN101465756B (zh) * | 2009-01-14 | 2011-05-04 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
| CN102739814B (zh) * | 2011-04-15 | 2015-09-16 | 中兴通讯股份有限公司 | 一种建立动态主机配置协议窥探绑定表的方法及系统 |
| CN102710811B (zh) * | 2012-06-14 | 2016-02-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
-
2012
- 2012-12-10 CN CN201210527988.8A patent/CN103873431A/zh active Pending
-
2013
- 2013-09-27 WO PCT/CN2013/084535 patent/WO2014090022A1/zh active Application Filing
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468574A (zh) * | 2014-12-05 | 2015-03-25 | 中国联合网络通信集团有限公司 | 一种虚拟机动态获取ip地址的方法、系统及装置 |
| CN104468574B (zh) * | 2014-12-05 | 2018-03-23 | 中国联合网络通信集团有限公司 | 一种虚拟机动态获取ip地址的方法、系统及装置 |
| CN107612741A (zh) * | 2017-09-30 | 2018-01-19 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
| CN107612741B (zh) * | 2017-09-30 | 2021-04-16 | 迈普通信技术股份有限公司 | 信息处理方法、装置及系统 |
| CN110166315A (zh) * | 2019-04-17 | 2019-08-23 | 浙江远望信息股份有限公司 | 一种对广播域内是否存在能连接互联网线路的探测方法 |
| CN114615234A (zh) * | 2022-03-11 | 2022-06-10 | 新华三工业互联网有限公司 | 一种地址的分配方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014090022A1 (zh) | 2014-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
| US10547639B2 (en) | SDN security | |
| KR101554743B1 (ko) | 기기간에 무선랜 자동 연결을 위한 방법 및 이를 위한 기기 | |
| EP3720100A1 (en) | Service request processing method and device | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| US9215234B2 (en) | Security actions based on client identity databases | |
| CN106936804B (zh) | 一种访问控制方法以及认证设备 | |
| EP2169877A1 (en) | Processing method and device for qinq termination configuration | |
| WO2014028614A2 (en) | Ip address allocation | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN110198229B (zh) | 网络配置方法和装置、存储介质及电子装置 | |
| US20070274274A1 (en) | Open wireless access point detection and identification | |
| CN103873431A (zh) | 动态主机配置协议服务器的识别方法和装置 | |
| EP3016423A1 (en) | Network safety monitoring method and system | |
| CN103298148A (zh) | 移动终端通过固定网络连接到多个pdn网络的方法及相关装置 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| KR100478535B1 (ko) | Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법 | |
| CN110351394B (zh) | 网络数据的处理方法及装置、计算机装置及可读存储介质 | |
| CN102594808A (zh) | 一种防止DHCPv6服务器欺骗的系统及方法 | |
| EP3989509A1 (en) | Method for realizing network dynamics, system, terminal device and storage medium | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
| CN111490894B (zh) | 用于虚拟机网卡的供装监控系统及方法 | |
| CN115694856A (zh) | 基于dhcp协议的验证方法及相关设备 | |
| CN101945143A (zh) | 一种在混合组网下防止报文地址欺骗的方法及装置 | |
| CN113812125A (zh) | 登录行为的校验方法及装置、系统、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140618 |
|
| RJ01 | Rejection of invention patent application after publication |