CN107231366A - 一种基于sdn的防止dhcp欺骗的方法 - Google Patents

一种基于sdn的防止dhcp欺骗的方法 Download PDF

Info

Publication number
CN107231366A
CN107231366A CN201710463539.4A CN201710463539A CN107231366A CN 107231366 A CN107231366 A CN 107231366A CN 201710463539 A CN201710463539 A CN 201710463539A CN 107231366 A CN107231366 A CN 107231366A
Authority
CN
China
Prior art keywords
dhcp
sdn
port
mac
cheated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710463539.4A
Other languages
English (en)
Inventor
秦开宇
唐勇
杨挺
张骏
张翔引
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Ott For Communication Co Ltd
University of Electronic Science and Technology of China
Original Assignee
Chengdu Ott For Communication Co Ltd
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Ott For Communication Co Ltd, University of Electronic Science and Technology of China filed Critical Chengdu Ott For Communication Co Ltd
Priority to CN201710463539.4A priority Critical patent/CN107231366A/zh
Publication of CN107231366A publication Critical patent/CN107231366A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于SDN的防止DHCP欺骗的方法,通过配置SDN网络,在SDN网络中利用DHCP服务器的配置信息,将DHCP服务器部署在SDN网络中。客户在请求访问DHCP服务器时,对源UDP端口68大于一定请求次数的主机MAC地址,便将此次MAC地址列为黑名单,防止恶意攻击。其次,访问请求到达SDN时,SDN控制器会先对此请求进行认证,SDN控制器也会生成对DHCP服务器的白名单。DHCP服务器收到SDN认证后的请求并作出响应,SDN控制器对源UDP端口67的响应报文进行比对,如果本次响应的服务器不在DHCP服务器的白名单中,则丢弃该报文,防止DHCP欺骗的发生。

Description

一种基于SDN的防止DHCP欺骗的方法
技术领域
本发明属于计算机数据通信的技术领域,具体涉及一种基于SDN的防止DHCP欺骗的方法。
背景技术
SDN最早起源于斯坦福大学的一个叫做clean slate的校园项目。它是一种创新型的网络体系架构,其核心思想是把转发平面和控制平面进行分离,通过集中式的控制器controller使用标准的接口来对各种不同的网络设备进行配置和管理,使得对网络的管理更加集中化、精细化。
DHCP是用于向网络中的计算机分配IP地址及一些TCP/IP配置信息,DHCP提供了安全、可靠且简单的TCP/IP网络设置,避免了TCP/IP网络地址的冲突,同时大大降低了工作负担。DHCP工作原理是客户机从服务器获取IP的四个租约过程,客户机请求IP,服务器相应请求,客户机选择IP,服务器确定租约。
从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台 DHCP 服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的 DHCP 服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用 DHCP 中继,这样的话,本网络的非授权 DHCP 服务器一般都会先于其余网络的授权 DHCP 服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP 欺骗更容易实现。
发明内容
本发明的目的在于针对现有技术中的上述不足,提供一种基于SDN的防止DHCP欺骗的方法,以解决现有的DHCP部署允许存在多个DHCP服务器和容易植入恶意DHCP服务器问题。
为达到上述目的,本发明采取的技术方案是:
一种基于SDN的防止DHCP欺骗的方法,包括
步骤S1,SDN控制器接收DHCP数据报文的二层数据帧;
步骤S2,比较二层数据帧的源MAC与DHCP数据报中的Chaddr字段中的源MAC;
步骤S3,当两者相等时,提取二层数据帧的源MAC,并与MAC-PORT映射表中的MAC做匹配;
步骤S4,当不匹配时,将DHCP数据报文做DROP处理;
步骤S5,根据流表统计信息,统计每个端口接收到的DHCP请求报文的流量,建立物理机黑名单,并将黑名单内的物理机端口发出的DHCP报文直接下发DROP;
步骤S6,将SDN控制器记录的DHCP服务器所在的物理端口和MAC地址,建立为白名单,将非白名单发出的DHCP请求报文回复全部丢弃。
优选地,当DHCP数据报文由UDP端口67发出并传输到SDN交换机的接口时,SDN交换机检测到该DHCP数据报匹配流表项不成功,SDN交换机将该DHCP数据报发送至SDN控制器,并做步骤S1处理。
优选地,根据步骤S2中比较结果显示两个MAC的地址不同,丢弃该DHCP数据报文,若相同,进入步骤S3中处理。
优选地,MAC-PORT映射表为根据当前拓扑网络,存入的对应物理机的MAC地址和PORT端口。
优选地,物理机黑名单用于记录当前物理机所在端口和其MAC地址。
优选地,白名单为SDN控制器记录的当前网络中所有DHCP服务器所在的物理端口及MAC地址。
本发明提供的基于SDN的防止DHCP欺骗的方法,具有以下有益效果:
本发明配置SDN网络,在SDN网络中,利用DHCP服务器的配置信息,将DHCP服务器部署在SDN网络中,首先通过DHCP数据报二层帧的源MAC与该DHCP数据报中的Chaddr字段中的源MAC比较,首次判断出伪造的DHCP数据报;进而继续通过提取DHCP数据报文中二层帧的源MAC,并与MAC-PORT映射表中的MAC做匹配,若匹配不上,则将对此报文下发做DROP处理;除此,建立物理机黑名单和白名单,防止恶意的攻击,有效的解决了现有的DHCP部署允许存在多个DHCP服务器和容易植入恶意DHCP服务器的问题。
附图说明
图1为基于SDN的防止DHCP欺骗的方法的流程图。
图2为基于SDN的防止DHCP欺骗的方法的原理框图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
根据本申请的一个实施例,如图1-2所示,本方案的基于SDN的防止DHCP欺骗的方法。
配置SDN网络,在SDN网络中,利用DHCP服务器的配置信息,将DHCP服务器部署在SDN网络中,其具体操作步骤如下。
步骤S1,当DHCP数据报由UDP端口67发出并传输到SDN交换机的接口时,SDN交换机检测到该DHCP数据报匹配流表项不成功,SDN交换机将该DHCP数据报发送至SDN控制器,SDN控制器接收DHCP数据报的二层数据帧。
步骤S2,SDN控制器对步骤S1中接收到的DHCP数据报的二层数据帧进行检查判断,将二层帧的源MAC与DHCP数据报中的Chaddr字段中的源MAC比较,如果两者不相等,则断定该DHCP数据报是一个伪造的数据报;如果两个MAC地址相同,转到步骤S3中继续判断。
步骤S3,根据步骤S2中比较的结果,当结果相等时,查看当前拓扑网络,将物理机的MAC地址和PORT端口存入MAC-PORT映射表中,SDN控制器提取DHCP数据报文中二层帧的源MAC,并与MAC-PORT映射表中的MAC做匹配。
步骤S4,根据步骤S3中匹配的结果,当结果不匹配时,将该DHCP数据报文做DROP处理。
步骤S5,根据流表统计信息统计从每个端口接收到的DHCP请求报文的流量情况,建立物理机黑名单,并将黑名单内的物理机端口发出的DHCP报文直接下发DROP。
步骤S6,将控制器中记录的当前网络中所有DHCP服务器所在的物理端口及MAC地址设置为白名单,只允许DHCP OFFER和DHCP ACK 消息由白名单里的信任端口发出回复报文,从其他非信任端口发出的这些DHCP回复请求报文全部丢弃,避免非授权DHCP服务器欺骗攻击。
本发明通过配置SDN网络,在SDN网络中利用DHCP服务器的配置信息,将DHCP服务器部署在SDN网络中。客户在请求访问DHCP服务器时,对源UDP端口68大于一定请求次数的主机MAC地址,便将此次MAC地址列为黑名单,防止恶意攻击。其次,访问请求到达SDN时,SDN控制器会先对此请求进行认证,SDN控制器也会生成对DHCP服务器的白名单。DHCP服务器收到SDN认证后的请求并作出响应,SDN控制器对源UDP端口67的响应报文进行比对,如果本次响应的服务器不在DHCP服务器的白名单中,则丢弃该报文,防止DHCP欺骗的发生。
虽然结合附图对发明的具体实施方式进行了详细地描述,但不应理解为对本专利的保护范围的限定。在权利要求书所描述的范围内,本领域技术人员不经创造性劳动即可做出的各种修改和变形仍属本专利的保护范围。

Claims (6)

1.一种基于SDN的防止DHCP欺骗的方法,其特征在于:包括
步骤S1,SDN控制器接收DHCP数据报文的二层数据帧;
步骤S2,比较二层数据帧的源MAC与DHCP数据报中的Chaddr字段中的源MAC;
步骤S3,当两者相等时,提取二层数据帧的源MAC,并与MAC-PORT映射表中的MAC做匹配;
步骤S4,当不匹配时,将DHCP数据报文做DROP处理;
步骤S5,根据流表统计信息,统计每个端口接收到的DHCP请求报文的流量,建立物理机黑名单,并将黑名单内的物理机端口发出的DHCP报文直接下发DROP;
步骤S6,将SDN控制器记录的DHCP服务器所在的物理端口和MAC地址,建立为白名单,将非白名单发出的DHCP请求报文回复全部丢弃。
2.根据权利要求1所述的基于SDN的防止DHCP欺骗的方法,其特征在于:当所述DHCP数据报文由UDP端口67发出并传输到SDN交换机的接口时,SDN交换机检测到该DHCP数据报匹配流表项不成功,SDN交换机将该DHCP数据报发送至SDN控制器,并做步骤S1处理。
3.根据权利要求1所述的基于SDN的防止DHCP欺骗的方法,其特征在于:根据所述步骤S2中比较结果显示两个MAC的地址不同,丢弃该DHCP数据报文,若相同,进入步骤S3中处理。
4.根据权利要求1所述的基于SDN的防止DHCP欺骗的方法,其特征在于:所述MAC-PORT映射表为根据当前拓扑网络,存入的对应物理机的MAC地址和PORT端口。
5.根据权利要求1所述的基于SDN的防止DHCP欺骗的方法,其特征在于:所述物理机黑名单用于记录当前物理机所在端口和其MAC地址。
6.根据权利要求1所述的基于SDN的防止DHCP欺骗的方法,其特征在于:所述白名单为SDN控制器记录的当前网络中所有DHCP服务器所在的物理端口及MAC地址。
CN201710463539.4A 2017-06-19 2017-06-19 一种基于sdn的防止dhcp欺骗的方法 Pending CN107231366A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710463539.4A CN107231366A (zh) 2017-06-19 2017-06-19 一种基于sdn的防止dhcp欺骗的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710463539.4A CN107231366A (zh) 2017-06-19 2017-06-19 一种基于sdn的防止dhcp欺骗的方法

Publications (1)

Publication Number Publication Date
CN107231366A true CN107231366A (zh) 2017-10-03

Family

ID=59935329

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710463539.4A Pending CN107231366A (zh) 2017-06-19 2017-06-19 一种基于sdn的防止dhcp欺骗的方法

Country Status (1)

Country Link
CN (1) CN107231366A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270615A (zh) * 2017-12-25 2018-07-10 深圳市泰信通信息技术有限公司 基于sdn网络控制器的网络设备开局方法、装置及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599889A (zh) * 2008-06-06 2009-12-09 中兴通讯股份有限公司 一种以太网交换设备中防止mac地址欺骗的方法
US20110029645A1 (en) * 2009-07-30 2011-02-03 Calix Networks, Inc. Secure dhcp processing for layer two access networks
CN102438028A (zh) * 2012-01-19 2012-05-02 神州数码网络(北京)有限公司 一种防止dhcp服务器欺骗的方法、装置及系统
CN102594808A (zh) * 2012-02-06 2012-07-18 神州数码网络(北京)有限公司 一种防止DHCPv6服务器欺骗的系统及方法
CN103209225A (zh) * 2013-04-03 2013-07-17 北京邮电大学 一种基于周期触发代理的sdn广播处理方法
CN104869125A (zh) * 2015-06-09 2015-08-26 上海斐讯数据通信技术有限公司 基于sdn的动态防mac地址欺骗方法
CN105812318A (zh) * 2014-12-30 2016-07-27 中国电信股份有限公司 用于在网络中防止攻击的方法、控制器和系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599889A (zh) * 2008-06-06 2009-12-09 中兴通讯股份有限公司 一种以太网交换设备中防止mac地址欺骗的方法
US20110029645A1 (en) * 2009-07-30 2011-02-03 Calix Networks, Inc. Secure dhcp processing for layer two access networks
CN102438028A (zh) * 2012-01-19 2012-05-02 神州数码网络(北京)有限公司 一种防止dhcp服务器欺骗的方法、装置及系统
CN102594808A (zh) * 2012-02-06 2012-07-18 神州数码网络(北京)有限公司 一种防止DHCPv6服务器欺骗的系统及方法
CN103209225A (zh) * 2013-04-03 2013-07-17 北京邮电大学 一种基于周期触发代理的sdn广播处理方法
CN105812318A (zh) * 2014-12-30 2016-07-27 中国电信股份有限公司 用于在网络中防止攻击的方法、控制器和系统
CN104869125A (zh) * 2015-06-09 2015-08-26 上海斐讯数据通信技术有限公司 基于sdn的动态防mac地址欺骗方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270615A (zh) * 2017-12-25 2018-07-10 深圳市泰信通信息技术有限公司 基于sdn网络控制器的网络设备开局方法、装置及设备

Similar Documents

Publication Publication Date Title
CN101370019B (zh) 防止地址解析协议报文欺骗攻击的方法及交换机
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
CN102438028B (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
Arote et al. Detection and prevention against ARP poisoning attack using modified ICMP and voting
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
CN105262738A (zh) 一种路由器及其防arp攻击的方法
CN111654485B (zh) 一种客户端的认证方法以及设备
CN103428211A (zh) 基于交换机的网络认证系统及其认证方法
CN104618522B (zh) 终端ip地址自动更新的方法及以太网接入设备
CN101621525A (zh) 合法表项的处理方法和设备
CN101321102A (zh) Dhcp服务器的检测方法与接入设备
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
CN104883360A (zh) 一种arp欺骗的细粒度检测方法及系统
CN104901953A (zh) 一种arp欺骗的分布式检测方法及系统
CN102801716B (zh) 一种dhcp防攻击方法及装置
JP2007018081A (ja) ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体
JP2001326696A (ja) アクセス制御方法
CN108234217A (zh) 组网设备自动配置方法、电子设备及存储介质
Pradana et al. The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack
CN107231366A (zh) 一种基于sdn的防止dhcp欺骗的方法
CN102594808A (zh) 一种防止DHCPv6服务器欺骗的系统及方法
CN104683326A (zh) 恶意耗尽dhcp服务器地址池的防止方法
CN107070957A (zh) 一种基于sdn的防止dns欺骗的方法
Bagnulo et al. SAVI: The IETF standard in address validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination