CN110311910B - 一种利用dhcp租约攻击的防护装置及方法 - Google Patents

一种利用dhcp租约攻击的防护装置及方法 Download PDF

Info

Publication number
CN110311910B
CN110311910B CN201910580683.5A CN201910580683A CN110311910B CN 110311910 B CN110311910 B CN 110311910B CN 201910580683 A CN201910580683 A CN 201910580683A CN 110311910 B CN110311910 B CN 110311910B
Authority
CN
China
Prior art keywords
dhcp
lease
dhcp client
information
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910580683.5A
Other languages
English (en)
Other versions
CN110311910A (zh
Inventor
李�浩
宋延坡
郭义伟
徐庆春
胡俊锋
于天
杨树村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN201910580683.5A priority Critical patent/CN110311910B/zh
Publication of CN110311910A publication Critical patent/CN110311910A/zh
Application granted granted Critical
Publication of CN110311910B publication Critical patent/CN110311910B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明提出了一种利用DHCP租约攻击的防护装置及方法,其中,装置包括:用于存储DHCP客户端主机的网络特征信息以及租约信息的信息存储模块,用于更新信息存储模块以及监控接入DHCP客户端的异常行为并作出裁决的检测裁决模块,接收并执行所述裁决的反馈模块;方法包括以下步骤:获取并存储DHCP客户端主机的网络特征信息以及租约信息;在续约流程中,更新DHCP客户端主机的网络特征信息以及租约信息,以及监控接入DHCP客户端的异常行为并作出裁决;执行所述裁决。本发明解决了已接入的客户端可持续使用获得的IP造成的DHCP客户端不断获得冲突IP地址,而耗尽DHCP服务器的IP地址池的问题。

Description

一种利用DHCP租约攻击的防护装置及方法
技术领域
本发明涉及网络安全防护领域,尤其涉及一种利用DHCP租约攻击的防护方法及装置。
背景技术
DHCP客户端通过动态主机配置协议DHCP从DHCP服务器获取网络配置信息的交互流程如图1所示。
DHCP续约的流程如图2所示,当达到租期一半时DHCP客户端会主动向DHCP服务器请求续约,如果此时得不到DHCP 服务器的确认的话,DHCP客户端还可以继续使用该IP;当租约期过了87. 5%时,如果DHCP客户端仍然无法获得起初的DHCP服务器响应,它将与其它DHCP服务器通信。
此过程中由DHCP客户端主动与DHCP服务器进行通信,以更新租约时间。当DHCP服务器检测到租约到期,DHCP服务器认为DHCP 服务器的主机下线,会释放其的IP到地址池中。但是,当DHCP客户端获取到主机的网络配置信息后,非标准DHCP客户端(不按照标准的DHCP协议进行续约请求操作或者租约到期不下线)会持续占有此IP地址。因此,实际上此被释放的IP地址依然不可用。此种情形,在DHCP服务器接入客户端数较多且IP租期较短的场合下,已接入的客户端可持续的使用获得的IP,可能造成DHCP客户端不断的获得冲突的IP地址,且有DHCP服务器的IP地址池耗尽的可能,最终导致DOS攻击以及由此产生的安全问题。
发明内容
鉴于上述内容,有必要提供一种利用DHCP租约攻击的防护方法及装置,本发明可以无感的接入到现有的DHCP网络中,能够有效的解决DHCP客户端利用租约带来的攻击。
本发明一方面提出一种利用DHCP租约攻击的防护装置,包括:
信息存储模块,分别与DHCP客户端和DHCP服务器通信连接,用于存储DHCP客户端主机的网络特征信息以及租约信息;
检测裁决模块,与所述信息存储模块通信连接,用于更新信息存储模块,以及监控接入DHCP客户端的异常行为并作出裁决;
反馈模块,与所述检测裁决模块通信连接,接收并执行所述裁决。
基于上述,所述检测裁决模块以两种情形执行监控:
获取到上网配置信息后遵循DHCP协议标准状态机的DHCP客户端,进行正常的续约流程,包含标准实现的DHCP客户端和到租约到期但是不会释放IP的非标准DHCP客户端;
获取到上网配置信息后不再遵循DHCP协议标准状态机的DHCP客户端,不再进行正常的续约流程。
基于上述,在正常续约流程中:
当租约到达50%时,DHCP客户端主机发出续约请求,若成功收到DHCP服务器回复的确认信息,则检测裁决模块通过检测DHCP的续约报文进行存储的租约信息的更新;若不能收到DHCP服务器的回复确认,达到租约的87.5%时,DHCP客户端重新寻求DHCP服务器,如果获得新的上网信息配置,则检测裁决模块进行更新存储信息;
若租约到达87.5%仍获取不到新的网络配置信息,到租约到期时,若此过程中DHCP客户端主机主动发送了RELEASE报文,则检测裁决模块封堵此DHCP客户端主机除DHCP报文外的所有流量信息;若未收到DHCP客户端主机发送的RELEASE报文,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
基于上述,在DHCP客户端成功从DHCP服务器获取到网络配置信息后,若DHCP客户端不再进行任何续约或者寻找DHCP服务器的操作,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
本发明另一方面还提出一种利用DHCP租约攻击的防护方法,包括以下步骤:
步骤1,获取并存储DHCP客户端主机的网络特征信息以及租约信息;
步骤2,在续约流程中,更新DHCP客户端主机的网络特征信息以及租约信息,以及监控接入DHCP客户端的异常行为并作出裁决;
步骤3,执行所述裁决。
本发明针对DHCP服务器接入终端数较多且IP租期较短场合,通过监控DHCP续约,解决了已接入的客户端可持续使用获得的IP造成的DHCP客户端不断获得冲突IP地址,而耗尽DHCP服务器的IP地址池的问题,从而避免导致DOS攻击以及由此产生的安全问题。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明背景技术中DHCP客户端从DHCP服务器获取网络配置信息的交互流程图。
图2是本发明背景技术中DHCP续约的流程图。
图3是本发明利用DHCP租约攻击的防护装置的框图。
图4是本发明方法中信息存储模块的工作流程框图。
图5是本发明方法正常续约流程中的工作流程框图。
图6是本发明方法正常续约流程中的另一工作流程框图。
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
图3示出了本发明一种利用DHCP租约攻击的防护装置的框图。
如图3所示,本发明提供了一种利用DHCP租约攻击的防护装置,包括:
信息存储模块,分别与DHCP客户端和DHCP服务器通信连接,用于存储DHCP客户端主机的网络特征信息以及租约信息;
检测裁决模块,与所述信息存储模块通信连接,用于更新信息存储模块,以及监控接入DHCP客户端的异常行为并作出裁决;
反馈模块,与所述检测裁决模块通信连接,接收并执行所述裁决。
可以理解的是,所述信息存储模块、所述检测裁决模块和所述反馈模块可以分别集成在DHCP客户端接入层设备上。
图4-6示出了本发明一种利用DHCP租约攻击的防护方法的流程图。
本发明还提供了一种利用DHCP租约攻击的防护方法,包括以下步骤:
步骤1,如图4所示,获取并存储DHCP客户端主机的网络特征信息以及租约信息;
当需要动态分配网络信息的DHCP客户端接入网络时,会广播探测可用的DHCP服务器信息;DHCP客户端向选定DHCP服务器请求网络配置信息,等待DHCP服务器回应,本发明防护装置对DHCP服务器回应报文进行分析并存储主机网络特征及租约信息,成功的获取到网络配置信息后存储DHCP客户端主机的网络特征信息以及租约信息。
步骤2,在续约流程中,更新DHCP客户端主机的网络特征信息以及租约信息,以及监控接入DHCP客户端的异常行为并作出裁决。
步骤3,执行所述裁决。
具体的,所述检测裁决模块以两种情形执行监控:
获取到上网配置信息后遵循DHCP协议标准状态机的DHCP客户端,进行正常的续约流程,包含标准实现的DHCP客户端和到租约到期但是不会释放IP的非标准DHCP客户端;
获取到上网配置信息后不再遵循DHCP协议标准状态机的DHCP客户端,不再进行正常的续约流程。
情形1,在正常续约流程中:
如图5所示,当租约到达50%时,DHCP客户端主机发出续约请求,若成功收到DHCP服务器回复的确认信息,则检测裁决模块通过检测DHCP的续约报文进行存储的租约信息的更新;若不能收到DHCP服务器的回复确认,达到租约的87.5%时,DHCP客户端重新寻求DHCP服务器,如果获得新的上网信息配置,则检测裁决模块进行更新存储信息;
如图6所示,若租约到达87.5%仍获取不到新的网络配置信息,到租约到期时,若此过程中DHCP客户端主机主动发送了RELEASE报文,则检测裁决模块封堵此DHCP客户端主机除DHCP报文外的所有流量信息;若未收到DHCP客户端主机发送的RELEASE报文,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器,保证租约到期时,DHCP服务器及时释IP地址到地址池中,防止资源耗尽。
情形2,在DHCP客户端成功从DHCP服务器获取到网络配置信息后,若DHCP客户端不再进行任何续约或者寻找DHCP服务器的操作,持续的占用IP资源,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种利用DHCP租约攻击的防护装置,其特征在于,包括:
信息存储模块,分别与DHCP客户端和DHCP服务器通信连接,用于存储DHCP客户端主机的网络特征信息以及租约信息;
检测裁决模块,与所述信息存储模块通信连接,用于更新信息存储模块,以及监控接入DHCP客户端的异常行为并作出裁决;
反馈模块,与所述检测裁决模块通信连接,接收并执行所述裁决;
所述检测裁决模块以两种情形执行监控:
获取到上网配置信息后遵循DHCP协议标准状态机的DHCP客户端,进行正常的续约流程,包含标准实现的DHCP客户端和到租约到期但是不会释放IP的非标准DHCP客户端;
获取到上网配置信息后不再遵循DHCP协议标准状态机的DHCP客户端,不再进行正常的续约流程;
在正常续约流程中:
当租约到达50%时,DHCP客户端主机发出续约请求,若成功收到DHCP服务器回复的确认信息,则检测裁决模块通过检测DHCP的续约报文进行存储的租约信息的更新;若不能收到DHCP服务器的回复确认,达到租约的87.5%时,DHCP客户端重新寻求DHCP服务器,如果获得新的上网信息配置,则检测裁决模块进行更新存储信息;
若租约到达87.5%仍获取不到新的网络配置信息,到租约到期时,若此过程中DHCP客户端主机主动发送了RELEASE报文,则检测裁决模块封堵此DHCP客户端主机除DHCP报文外的所有流量信息;若未收到DHCP客户端主机发送的RELEASE报文,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
2.根据权利要求1所述的利用DHCP租约攻击的防护装置,其特征在于:
在DHCP客户端成功从DHCP服务器获取到网络配置信息后,若DHCP客户端不再进行任何续约或者寻找DHCP服务器的操作,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
3.根据权利要求1-2任一项所述的利用DHCP租约攻击的防护装置,其特征在于,所述信息存储模块、所述检测裁决模块和所述反馈模块分别集成在DHCP客户端接入层设备上。
4.一种利用DHCP租约攻击的防护方法,其特征在于,包括以下步骤:
步骤1,获取并存储DHCP客户端主机的网络特征信息以及租约信息;
步骤2,在续约流程中,更新DHCP客户端主机的网络特征信息以及租约信息,以及监控接入DHCP客户端的异常行为并作出裁决;
以两种情形执行监控:
获取到上网配置信息后遵循DHCP协议标准状态机的DHCP客户端,进行正常的续约流程,包含标准实现的DHCP客户端和到租约到期但是不会释放IP的非标准DHCP客户端;
获取到上网配置信息后不再遵循DHCP协议标准状态机的DHCP客户端,不再进行正常的续约流程;
在正常续约流程中:
当租约到达50%时,DHCP客户端主机发出续约请求,若成功收到DHCP服务器回复的确认信息,则通过检测DHCP的续约报文进行存储的租约信息的更新;若不能收到DHCP服务器的回复确认,达到租约的87.5%时,DHCP客户端重新寻求DHCP服务器,如果获得新的上网信息配置,则进行更新存储信息;
若租约到达87.5%仍获取不到新的网络配置信息,到租约到期时,若此过程中DHCP客户端主机主动发送了RELEASE报文,则封堵此DHCP客户端主机除DHCP报文外的所有流量信息;若未收到DHCP客户端主机发送的RELEASE报文,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器;
步骤3,执行所述裁决。
5.根据权利要求4所述的DHCP租约攻击的防护方法,其特征在于:
在DHCP客户端成功从DHCP服务器获取到网络配置信息后,若DHCP客户端不再进行任何续约或者寻找DHCP服务器的操作,则反馈模块伪装DHCP客户端主机发送RELEASE报文至DHCP服务器。
CN201910580683.5A 2019-06-29 2019-06-29 一种利用dhcp租约攻击的防护装置及方法 Active CN110311910B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910580683.5A CN110311910B (zh) 2019-06-29 2019-06-29 一种利用dhcp租约攻击的防护装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910580683.5A CN110311910B (zh) 2019-06-29 2019-06-29 一种利用dhcp租约攻击的防护装置及方法

Publications (2)

Publication Number Publication Date
CN110311910A CN110311910A (zh) 2019-10-08
CN110311910B true CN110311910B (zh) 2020-10-27

Family

ID=68078098

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910580683.5A Active CN110311910B (zh) 2019-06-29 2019-06-29 一种利用dhcp租约攻击的防护装置及方法

Country Status (1)

Country Link
CN (1) CN110311910B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728718B2 (en) * 2001-06-26 2004-04-27 International Business Machines Corporation Method and system for recovering DHCP data
CN103117902B (zh) * 2013-02-04 2016-05-25 北京傲天动联技术股份有限公司 一种IPoE下用户下线自动检测系统和方法
CN104158917B (zh) * 2013-05-14 2017-12-15 新华三技术有限公司 回收动态主机配置协议客户端的ip地址的方法及设备
US9756148B2 (en) * 2014-09-11 2017-09-05 Aruba Networks, Inc. Dynamic host configuration protocol release on behalf of a user

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DHCP协议深入分析;王文龙等;《网络与通信》;20100410;第46-48页 *

Also Published As

Publication number Publication date
CN110311910A (zh) 2019-10-08

Similar Documents

Publication Publication Date Title
US8479048B2 (en) Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained
US20210250330A1 (en) Dynamic firewall configuration
US6957276B1 (en) System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
CN101453495B (zh) 防止授权地址解析协议信息丢失的方法、系统和设备
CN107547565B (zh) 一种网络接入认证方法及装置
US20070294414A1 (en) Thin client system using session managing server and session managing method
US10917289B2 (en) Handling network failures in networks with redundant servers
CN111510325B (zh) 报警信息推送方法、服务器、客户端及系统
CN112187740B (zh) 一种网络接入控制方法、装置、电子设备及存储介质
CN108429824B (zh) 一种地址分配方法及装置
CN110620694A (zh) 一种客户端上线恢复方法、装置、电子设备及存储介质
CN111683162B (zh) 一种基于流量识别的ip地址管理方法
CN107707689A (zh) 一种dhcp报文处理方法、dhcp服务器及网关设备
CN110311910B (zh) 一种利用dhcp租约攻击的防护装置及方法
CN103905383A (zh) 一种数据报文转发方法、装置和系统
JP2010193015A (ja) 通信装置およびその通信方法
CN110933199B (zh) 一种地址分配方法及装置
CN109600256B (zh) 状态切换方法和装置
CN110691001A (zh) 一种设备统一管理方法及装置
JP2016005092A (ja) 通信アドレス管理システム、ビル管理システム及び通信アドレス管理プログラム
CN113141367B (zh) 一种终端设备接入网络的控制方法、装置和存储介质
KR100432166B1 (ko) 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법
CN108377670A (zh) 一种处理业务的方法、业务节点、控制节点和分布式系统
CN114448942B (zh) 一种dhcp报文处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant