CN104009967A - 防止非信任服务器攻击的方法 - Google Patents
防止非信任服务器攻击的方法 Download PDFInfo
- Publication number
- CN104009967A CN104009967A CN201310062185.4A CN201310062185A CN104009967A CN 104009967 A CN104009967 A CN 104009967A CN 201310062185 A CN201310062185 A CN 201310062185A CN 104009967 A CN104009967 A CN 104009967A
- Authority
- CN
- China
- Prior art keywords
- server
- switching equipment
- dhcp
- address
- address list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种防止非信任服务器攻击的方法,其包括:在启动DHCPSnooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。本发明可以有效的防止非信任服务器的欺骗攻击,与现有技术相比,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。
Description
【技术领域】
本发明涉及网络通讯领域,尤其涉及一种防止非信任服务欺骗攻击的方法。
【背景技术】
目前,在运行DHCP Snooping(Dynamic Host Configuration ProtocolSnooping,动态主机配置协议窥探)交换设备中,DHCP Snooping技术通过配置信任端口来实现防止非信任服务器的欺骗攻击。例如,配置交换设备的端口1为信任端口,与信任端口1相连的服务器发送的DHCP应答包则进行转发,而未与信任端口相连的其他服务器发送的DHCP应答包则不进行转发,如图1所示,以过滤掉非信任的DHCP服务器的欺骗攻击。但是,这种方法只能针对服务器与DHCP Snooping交换设备必须是直接相连的,才能过滤掉非信任的服务器的欺骗攻击。如果,在交换设备信任端口与服务器之间还继续挂接多个接入设备或者在信任端口下面存在除服务器外的多台主机(就是说当服务器与DHCP Snooping交换设备不是直接相连)的情况下,如图2所示。如果在信任端口下面的主机或服务器发起欺骗攻击的话,DHCP Snooping交换设备防止服务器欺骗失败。因而,通过配置信任端口的方法只能在服务器与交换设备是直接相连的拓扑下才有效。
【发明内容】
本发明需解决的技术问题是克服上述的不足,提供一种防止非信任服务器攻击的方法,可以有效地防止非信任服务器欺骗攻击。
为解决上述的技术问题,本发明设计了一种防止非信任服务器攻击的方法,其包括:
Step1:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;
Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;
Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。
本发明可以有效地防止非信任服务器的欺骗攻击,与现有技术相比,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。
更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。
【附图说明】
图1是现有技术交换设备与服务器直接相连的拓扑图;
图2是现有技术交换设备与服务器非直接相连的拓扑图;
图3是本发明交换设备与服务器非直接相连的拓扑图。
【具体实施方式】
下面结合附图和实施方式对本发明作进一步说明。
本发明提供了一种防止非信任服务器攻击的方法,可以有效地防止非信任服务器欺骗攻击。
在实施方式中,本发明在启用DHCP Snooping功能的交换设备中,通过添加信任服务器IP地址列表的方式来达到防止非信任服务器欺骗的目的。当交换设备收到DHCP Snooping应答包的时候,需要对DHCP应答包的源地址进行验证,DHCP应答包的源地址即是发送DHCP应答包的服务器的IP地址,只有源地址在信任服务器IP地址列表中的DHCP应答包才进行转发,这样,可以保证交换设备下的主机不会收到非信任服务器的欺骗攻击。并且,在服务器的IP地址没有改变的情况下,服务器发生位置移动,也不需要更改交换设备的配置。由于本发明方法是通过验证IP地址的方式来防止非信任服务器欺骗攻击,因而,服务器在与交换设备不直接相连的情况下,本发明方法也能有效应用,如图3所示。
本发明的实施方式具体步骤包括:
Step1:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;
Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;
Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。当然,如果源地址不在信任服务器IP地址列表中,则不转发DHCP回应包,从而过滤掉非信任DHCP服务器的欺骗攻击。
本发明可以有效的防止非信任服务器的欺骗攻击,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。
更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。
Claims (1)
1.一种防止非信任服务器攻击的方法,其特征在于:所述防止非信任服务器攻击的方法包括:
Step1:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;
Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;
Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310062185.4A CN104009967A (zh) | 2013-02-27 | 2013-02-27 | 防止非信任服务器攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310062185.4A CN104009967A (zh) | 2013-02-27 | 2013-02-27 | 防止非信任服务器攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104009967A true CN104009967A (zh) | 2014-08-27 |
Family
ID=51370461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310062185.4A Pending CN104009967A (zh) | 2013-02-27 | 2013-02-27 | 防止非信任服务器攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104009967A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603348A (zh) * | 2017-02-14 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 一种模拟DHCP Offer泛洪的方法及系统 |
| CN109698840A (zh) * | 2019-02-27 | 2019-04-30 | 新华三大数据技术有限公司 | 检测dhcp恶意事件方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039176A (zh) * | 2007-04-25 | 2007-09-19 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN101321102A (zh) * | 2007-06-07 | 2008-12-10 | 杭州华三通信技术有限公司 | Dhcp服务器的检测方法与接入设备 |
| CN101465756A (zh) * | 2009-01-14 | 2009-06-24 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| US8082333B2 (en) * | 2008-11-10 | 2011-12-20 | Cisco Technology, Inc. | DHCP proxy for static host |
| CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102882861A (zh) * | 2012-09-19 | 2013-01-16 | 烽火通信科技股份有限公司 | 基于解析dhcp报文实现防ip地址欺诈的方法 |
-
2013
- 2013-02-27 CN CN201310062185.4A patent/CN104009967A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039176A (zh) * | 2007-04-25 | 2007-09-19 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN101321102A (zh) * | 2007-06-07 | 2008-12-10 | 杭州华三通信技术有限公司 | Dhcp服务器的检测方法与接入设备 |
| US8082333B2 (en) * | 2008-11-10 | 2011-12-20 | Cisco Technology, Inc. | DHCP proxy for static host |
| CN101465756A (zh) * | 2009-01-14 | 2009-06-24 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102882861A (zh) * | 2012-09-19 | 2013-01-16 | 烽火通信科技股份有限公司 | 基于解析dhcp报文实现防ip地址欺诈的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603348A (zh) * | 2017-02-14 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 一种模拟DHCP Offer泛洪的方法及系统 |
| CN106603348B (zh) * | 2017-02-14 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种模拟DHCP Offer泛洪的方法及系统 |
| CN109698840A (zh) * | 2019-02-27 | 2019-04-30 | 新华三大数据技术有限公司 | 检测dhcp恶意事件方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
| Masoud et al. | On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN101834870A (zh) | 一种防止mac地址欺骗攻击的方法和装置 | |
| JP2008165796A (ja) | エンドポイントリソースを使用したネットワークセキュリティ要素 | |
| CN101594359A (zh) | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
| CN101951367A (zh) | 一种校园网防范arp病毒入侵的方法 | |
| CN101888329A (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| KR20070081116A (ko) | 에이알피 스푸핑 자동 차단 장치 및 방법 | |
| CN104283882A (zh) | 一种路由器的智能安全防护方法 | |
| CN103166960A (zh) | 接入控制方法及装置 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN104009967A (zh) | 防止非信任服务器攻击的方法 | |
| CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| CN104079563A (zh) | 一种抗ddos攻击的控制方法和装置 | |
| US9591025B2 (en) | IP-free end-point management appliance | |
| Pande et al. | Detection and mitigation of DDoS in SDN | |
| US11115435B2 (en) | Local DDOS mitigation announcements in a telecommunications network | |
| Wang et al. | Hijacking spoofing attack and defense strategy based on Internet TCP sessions | |
| CN102724166B (zh) | 防御攻击的网络连接系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140827 |
|
| RJ01 | Rejection of invention patent application after publication |