CN105791238A - 防止无线局域网dhcp泛洪攻击的方法 - Google Patents
防止无线局域网dhcp泛洪攻击的方法 Download PDFInfo
- Publication number
- CN105791238A CN105791238A CN201410817275.4A CN201410817275A CN105791238A CN 105791238 A CN105791238 A CN 105791238A CN 201410817275 A CN201410817275 A CN 201410817275A CN 105791238 A CN105791238 A CN 105791238A
- Authority
- CN
- China
- Prior art keywords
- threshold value
- dhcp
- request
- wireless
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种防止无线局域网DHCP泛洪攻击的方法,其方法的步骤包括:⑴无线用户连接到AP;⑵发出访问Internet的请求信息;⑶交换机转发请求信息;⑷解析并在DHCP服务器IP资源池范围分别为70%、20%以及10%时动态改变该阈值,将其与AP请求DHCP分配IP的速率做比较,如果请求速度超过设定的阈值,则通丢弃该数据包或记录日志;不超过设定的阈值,转发该数据包给AC设备;⑸认证;⑹用户输入认证信息认证;⑺如认证失败,则返回无线用户认证失败信息;如认证成功,无线用户即可接入Internet,本发明架构简单、设计科学合理、可以有效识别及防御泛洪攻击,提高网络安全性以及可靠性。
Description
技术领域
本发明属于网络领域,尤其是一种防止无线局域网DHCP泛洪攻击的方法。
背景技术
DHCP协议为用户上网带来了方便的同时,也存在一定的安全隐患。DHCP(DynamicHostConfigurationProtocol,DHCP)是动态主机设置协议,它是一个局域网的网络协议。两台连接到互联网上的电脑相互之间通信,必须有各自的IP地址,但由于现在的IP地址资源有限,宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址,所以要采用DHCP方式对上网的用户进行临时的地址分配。也就是当用户电脑连上网,DHCP服务器才从地址池里临时为用户分配一个IP地址,每次上网分配的IP地址可能会不一样,这跟当时IP地址资源有关。当用户下线的时候,DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。这样就可以有效节约IP地址,既保证了用户的通信,又提高IP地址的使用率。在无线局域网环境中,如果恶意用户伪造了大量的客户端通过无线接入点(AP)向DHCP服务器发送租用IP请求,可以在短时间内耗尽DHCP服务器的IP地址资源,此时正常的AP再请求DHCP服务器分配IP地址,则无法成功租用。
发明内容
本发明的目的在于克服现有技术的不足,提供一种防止无线局域网DHCP泛洪攻击的方法,该网络系统架构简单、设计科学合理、可以有效识别及防御泛洪攻击,提高网络安全性以及可靠性。
本发明解决其技术问题是通过以下技术方案实现的:
一种防止无线局域网DHCP泛洪攻击的方法,其方法的步骤包括:
⑴、无线用户通过DHCP服务器获取到IP,通过无线连接到AP;
⑵、AP通过DHCP服务器获取到AC的IP地址,通过交换机向AC发出访问Internet的请求信息;
⑶、交换机转发请求信息;
⑷、解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%、20%以及10%时动态改变该阈值,将其与AP请求DHCP分配IP的速率做比较,如果请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;如果请求速度不超过设定的阈值,转发该数据包给AC设备;
⑸、AC接收来自AP的请求数据,通过portal服务器反馈给客户端Web认证页面;
⑹、用户输入认证信息,portal服务器将认证信息提交给Radius服务器进行认证;
⑺、如认证失败,则返回无线用户认证失败信息;如认证成功,无线用户即可接入Internet进行计费上网。
而且,所述的该方法中包括portal服务器、Radius服务器、DHCP服务器、无线接入器、交换机、无线控制器以及无线客户端,无线客户端通过无线接入器连接交换机,portal服务器以及Radius服务器分别连接交换机,交换机通过一泛洪攻击防护器连接无线控制器,该无线控制器分别连接DHCP服务器以及互联网。
而且,所述的泛洪攻击防护器解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%,20%和10%时动态改变该阈值,将其与无线接入器请求DHCP分配IP的速率做比较,请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;请求速度不超过设定的阈值,转发该数据包给AC设备。
本发明的优点和有益效果为:
本发明弥补了只能在有线网络环境中同时只能通过交换机进行DHCP泛洪攻击防护的不足,本发明能防护无线局域网应用环境的DHCP泛洪攻击,大大提高了DHCP服务器以及AC设备的安全性和可用性,且不改变用户上网习惯,不影响正常上网速度,使得用户能够更加安全可靠地访问互联网。
附图说明
图1为本发明所涉及设备连接框图。
具体实施方式
下面通过具体实施例对本发明作进一步详述,以下实施例只是描述性的,不是限定性的,不能以此限定本发明的保护范围。
一种防止无线局域网DHCP泛洪攻击的方法,其方法的步骤包括:
⑴、无线用户通过DHCP服务器获取到IP,通过无线连接到AP;
⑵、AP通过DHCP服务器获取到AC的IP地址,通过交换机向AC发出访问Internet的请求信息;
⑶、交换机转发请求信息;
⑷、解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%、20%以及10%时动态改变该阈值,将其与AP请求DHCP分配IP的速率做比较,如果请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;如果请求速度不超过设定的阈值,转发该数据包给AC设备;
⑸、AC接收来自AP的请求数据,通过portal服务器反馈给客户端Web认证页面;
⑹、用户输入认证信息,portal服务器将认证信息提交给Radius服务器进行认证;
⑺、如认证失败,则返回无线用户认证失败信息;如认证成功,无线用户即可接入Internet进行计费上网。本发明方法中包括portal服务器、Radius服务器、DHCP服务器、无线接入器、交换机、无线控制器以及无线客户端,无线客户端通过无线接入器连接交换机,portal服务器以及Radius服务器分别连接交换机,交换机通过一泛洪攻击防护器连接无线控制器,该无线控制器分别连接DHCP服务器以及互联网。该泛洪攻击防护器解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%,20%和10%时动态改变该阈值,将其与无线接入器请求DHCP分配IP的速率做比较,请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;请求速度不超过设定的阈值,转发该数据包给AC设备。无线接入器将无线客户端连接起来,接收无线客户端提交的访问请求,并转发给交换机。DHCP服务器接收到DHCP客户端(AP)的访问请求后,将IP地址、AC地址列表等配置信息响应给AP,AP在获取到配置信息后,可选择合适的AC设备。交换机将从AP接收到的请求信息转发给防护设备。portal服务器以及Radius服务器收到AP提交的请求信息后,通过portal服务器反馈给客户端Web认证页面,用户提交认证信息后,portal服务器将认证信息提交给Radius服务器进行认证,待认证成功后,无线用户即可接入Internet进行计费上网。
泛洪攻击防护器在收到报文后,首先根据设置或默认端口来判断是否为无线设备发来的报文。若不是,则直接转发,若是,进一步根据控制信道和数据信道来识别报文为控制报文还是数据报文。如果是控制报文,则直接转发,如果是数据报文,则对其进行进一步解析,分离出其中的DHCP报文,非DHCP报文则直接转发。解析DHCP报文,从中获取DHCP地址池资源的使用率,根据使用率动态设定相应的阈值,将阈值与AP在一定时间段内请求DHCP资源的速率作比较,如果超过阈值,判定为非法报文,通过丢弃或记录日志、发送邮件的方式告警;如果不超过,判定为合法报文,正常转发。阈值的计算方法为:根据正常的无线局域网环境中,每秒钟最多只能同时有1024个AP发出请求报文,用1024乘以资源利用率的百分比,可作为参考阈值。当DHCP资源利用率在70%范围内时,可正常接受请求,每秒钟不超过1024个的AP请求报文,可设为参考阈值;当资源利用率在10%-20%之间时,用1024乘以资源利用率,可将每秒150个请求报文设为参考阈值;当DHCP服务器资源利用率不足10%时,将每秒100个以下的请求报文设为参考阈值。将不同情况下DHCP地址池资源利用率下的阈值与AP请求DHCP分配IP的速率做比较,如果请求速度超过设定的阈值,则丢弃该数据包或通过记录日志,发送邮件的方式告警;如不超过,转发该数据包给AC设备。
Claims (3)
1.一种防止无线局域网DHCP泛洪攻击的方法,其特征在于:该方法的步骤包括:
⑴、无线用户通过DHCP服务器获取到IP,通过无线连接到AP;
⑵、AP通过DHCP服务器获取到AC的IP地址,通过交换机向AC发出访问Internet的请求信息;
⑶、交换机转发请求信息;
⑷、解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%、20%以及10%时动态改变该阈值,将其与AP请求DHCP分配IP的速率做比较,如果请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;如果请求速度不超过设定的阈值,转发该数据包给AC设备;
⑸、AC接收来自AP的请求数据,通过portal服务器反馈给客户端Web认证页面;
⑹、用户输入认证信息,portal服务器将认证信息提交给Radius服务器进行认证;
⑺、如认证失败,则返回无线用户认证失败信息;如认证成功,无线用户即可接入Internet进行计费上网。
2.根据权利要求1所述的防止无线局域网DHCP泛洪攻击的方法,其特征在于:所述的该方法中包括portal服务器、Radius服务器、DHCP服务器、无线接入器、交换机、无线控制器以及无线客户端,无线客户端通过无线接入器连接交换机,portal服务器以及Radius服务器分别连接交换机,交换机通过一泛洪攻击防护器连接无线控制器,该无线控制器分别连接DHCP服务器以及互联网。
3.根据权利要求2所述的防止无线局域网DHCP泛洪攻击的方法,其特征在于:所述的泛洪攻击防护器解析交换机转发的请求信息,设定请求速率阈值,并在DHCP服务器IP资源池范围分别为70%,20%和10%时动态改变该阈值,将其与无线接入器请求DHCP分配IP的速率做比较,请求速度超过设定的阈值,则通丢弃该数据包或记录日志、发送邮件方式告警;请求速度不超过设定的阈值,转发该数据包给AC设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410817275.4A CN105791238A (zh) | 2014-12-24 | 2014-12-24 | 防止无线局域网dhcp泛洪攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410817275.4A CN105791238A (zh) | 2014-12-24 | 2014-12-24 | 防止无线局域网dhcp泛洪攻击的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105791238A true CN105791238A (zh) | 2016-07-20 |
Family
ID=56377541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410817275.4A Pending CN105791238A (zh) | 2014-12-24 | 2014-12-24 | 防止无线局域网dhcp泛洪攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105791238A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107094103A (zh) * | 2017-02-09 | 2017-08-25 | 北京小度信息科技有限公司 | 数据采集方法和装置 |
CN107612937A (zh) * | 2017-10-26 | 2018-01-19 | 武汉理工大学 | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
CN103179223A (zh) * | 2011-12-26 | 2013-06-26 | 中国移动通信集团广西有限公司 | 一种无线局域网中分配ip地址的方法、设备和系统 |
-
2014
- 2014-12-24 CN CN201410817275.4A patent/CN105791238A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
CN103179223A (zh) * | 2011-12-26 | 2013-06-26 | 中国移动通信集团广西有限公司 | 一种无线局域网中分配ip地址的方法、设备和系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107094103A (zh) * | 2017-02-09 | 2017-08-25 | 北京小度信息科技有限公司 | 数据采集方法和装置 |
CN107094103B (zh) * | 2017-02-09 | 2020-05-05 | 北京星选科技有限公司 | 数据采集方法和装置 |
CN107612937A (zh) * | 2017-10-26 | 2018-01-19 | 武汉理工大学 | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 |
CN107612937B (zh) * | 2017-10-26 | 2019-11-26 | 武汉理工大学 | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3481029B1 (en) | Internet defense method and authentication server | |
US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
CN101309272B (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
CN107567017B (zh) | 无线连接系统、装置及方法 | |
CN111049946B (zh) | 一种Portal认证方法、系统及电子设备和存储介质 | |
US20170180382A1 (en) | Method and Apparatus for Using Software Defined Networking and Network Function Virtualization to Secure Residential Networks | |
CN101986598A (zh) | 认证方法、服务器及系统 | |
CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
CN103179223B (zh) | 一种无线局域网中分配ip地址的方法、设备和系统 | |
CN104955036B (zh) | 公共Wi-Fi环境下安全联网方法和装置 | |
CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
CN109005164B (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
CN105791238A (zh) | 防止无线局域网dhcp泛洪攻击的方法 | |
CN110933018B (zh) | 网络认证方法、装置以及计算机存储介质 | |
CN101945053A (zh) | 一种报文的发送方法和装置 | |
CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和系统 | |
CN107566418B (zh) | 一种安全管理的方法及接入设备 | |
CN103179222B (zh) | 一种双栈地址分配方法和设备 | |
CN103188662B (zh) | 一种验证无线接入点的方法以及装置 | |
CN104285458A (zh) | 无线网络接入方法、系统以及终端 | |
WO2017092403A1 (zh) | 集团上网的控制方法及装置 | |
CN108259454A (zh) | 一种Portal认证方法和装置 | |
CN109451074B (zh) | 一种基于portal协议的服务器负载均衡处理办法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160720 |
|
RJ01 | Rejection of invention patent application after publication |