WO2012151927A1

WO2012151927A1 - 局域网内防止手动指定ip地址的方法及装置

Info

Publication number: WO2012151927A1
Application number: PCT/CN2011/082553
Authority: WO
Inventors: 刘威; 郑玉婷; 马小亮
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-09-06
Filing date: 2011-11-21
Publication date: 2012-11-15
Also published as: CN102316034B; CN102316034A

Abstract

本发明公开了一种局域网内防止手动指定IP地址的方法及装置。该方法包括：接收终端发送的报文，根据预先设置的报文过滤规则表以及媒体接入控制MAC地址与IP地址的映射表确定报文是否是由手动指定IP地址的主机发送的；在判断报文是由非手动指定IP地址的主机发送的情况下，允许报文通过，在判断报文是由手动指定IP地址的主机发送的情况下，禁止报文通过。借助于本发明的技术方案，能够禁止手动指定IP地址的主机的数据业务，减少局域网内IP地址发生冲突的机率。

Description

局域网内防止手动指定 IP地址的方法及装置技术领域

本发明涉及移动通讯领域，特别是涉及一种局域网内防止手动指定 IP 地址的方法及装置。背景技术

目前，局域网组网应用越来越广泛。在局域网组网过程中，一般都采用动态主机设置协议 ( Dynamic Host Configuration Protocol, DHCP )服务器来动态分配和管理网络协议 ( Internet Protocol, IP )地址。在现有技术中，对于解决 IP沖突问题，可以采用固定的静态 IP地址与媒体接入控制（ Media Access Control, MAC )地址的绑定，或者采用检测地址解析协议（ Address Resolution Protocol, ARP )才艮文等。

但是，当有用户手动指定 IP地址时， DHCP服务器则无法管理。手动指定 IP地址很容易造成局域网内 IP沖突，给从 DHCP服务器获取 IP地址的正常用户带来困扰。网络管理员也很难检测和排查 IP沖突问题。为此，目前急需一种用于局域网内防止用户手动指定 IP的方法。发明内容

有鉴于此，本发明提供一种局域网内防止手动指定 IP地址的方法及装置，以解决现有技术中手动指定 IP地址容易造成局域网内 IP沖突的问题。

本发明提供一种局域网内防止手动指定 IP地址的方法，包括：接收终端发送的报文，根据预先设置的报文过滤规则表以及媒体接入机发送的；在判断报文是由非手动指定 IP地址的主机发送的情况下，允许报文通过，在判断报文是由手动指定 IP地址的主机发送的情况下，禁止报文通过。

本发明还提供了一种局域网内防止手动指定 IP地址的装置，包括：确定模块，用于接收终端发送的报文，根据预先设置的报文过滤规则表以及媒体接入控制 MAC地址与 IP地址的映射表确定报文是否是由手动指定 IP地址的主机发送的；

处理模块，用于在判断报文是由非手动指定 IP地址的主机发送的情况下，允许报文通过，在判断报文是由手动指定 IP地址的主机发送的情况下，禁止报文通过。

本发明有益效果如下：

借助于本发明实施例的技术方案，通过对终端发送的报文进行解析，确定该 4艮文是否是由手动指定 IP地址的主机发送的 ,并对由手动指定 IP地址的主机发送的报文禁止通过，解决了现有技术中手动指定 IP地址容易造成局域网内 IP沖突的问题，能够禁止手动指定 IP地址的主机的数据业务，减少局域网内 IP地址发生沖突的机率。附图说明

图 1是本发明实施例的局域网内防止手动指定 IP地址的方法的流程示意图；

图 2是本发明的更新 MAC地址与 IP地址的映射表的流程示意图；图 3是本发明实施例的更新报文过滤规则表的流程示意图；

图 4是本发明实施例的对报文进行过滤的处理流程示意图；

图 5是本发明实施例的局域网内防止手动指定 IP地址的方法详细处理流程示意图；

图 6是本发明实施例的局域网内防止手动指定 IP地址的装置的结构示意图；图 Ί是本发明实施例的局域网内防止手动指定 IP地址的装置的优选结构示意图。具体实施方式

为了解决现有技术中手动指定 IP地址容易造成局域网内 IP沖突的问题，本发明提供了一种局域网内防止手动指定 IP地址的方法及装置，当局域网内有用户采用手动指定 IP地址时，禁止该用户进行上网等数据业务请求。以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

方法实施例

根据本发明的实施例，提供了一种局域网内防止手动指定 IP地址的方法，图 1是本发明实施例的局域网内防止手动指定 IP地址的方法的流程示意图，如图 1所示，根据本发明实施例的局域网内防止手动指定 IP地址的方法包括如下处理：

步驟 101 ,接收终端发送的报文，根据预先设置的报文过滤规则表以及 MAC地址与 IP地址的映射表确定 ^艮文是否是由手动指定 IP地址的主机发送的；其中，终端发送的报文包括：建立传输控制协议（Transmission Control Protocol, TCP )连接才艮文、用户数据包协议 ( User Datagram Protocol, UDP ) 报文、以及 ARP报文；

在步驟 101 中， MAC地址与 IP地址的映射表和报文过滤规则表是进行报文检测的唯一依据。

具体地，在步驟 101中，进行如下处理：

步驟 Al、将报文过滤规则表中的报文过滤规则与报文进行匹配，其中，报文过滤规则包括：允许非手动指定 IP地址的主机进行数据业务的第一过滤规则，以及禁止手动指定 IP地址的主机进行数据业务的第二过滤规则；步驟 A 2、如果与第一过滤规则匹配成功，则确定报文是由非手动指定 IP地址的主机发送的，如果与第二过滤规则匹配成功，则确定报文是由手动指定 IP地址的主机发送的；

步驟 A 3、在与第一过滤规则和第二过滤规则均未匹配成功的情况下，则提取报文中的 MAC地址和 IP地址，并判断 MAC地址和 IP地址是否存在于映射表中，如果存在，则确定报文是由非手动指定 IP地址的主机发送的，如果不存在，则确定报文是由手动指定 IP地址的主机发送的。

优选地，在 ^艮文的 MAC地址和 IP地址与映射表的匹配结果为匹配成功的情况下，创建允许发送该报文的主机进行数据业务的过滤规则，并更新报文过滤规则表；在报文的 MAC地址和 IP地址与映射表的匹配结果为匹配失败的情况下，创建禁止发送该报文的主机进行数据业务的过滤规则，并更新报文过滤规则表。

此外，创建禁止发送该报文的主机进行数据业务的过滤规则之后，还需要判断该过滤规则中禁止进行数据业务的主机的网络连接方式，如果该主机的网络连接方式为无线连接，则断开主机与网络的无线连接。

步驟 102, 在判断报文是由非手动指定 IP地址的主机发送的情况下，允许报文通过，在判断报文是由手动指定 IP地址的主机发送的情况下，禁止才艮文通过。

优选地，在步驟 102中，在判断报文是由手动指定 IP地址的主机发送的情况下，如果报文为建立 TCP连接报文，则向终端回复重新建立 TCP连接报文。

优选地，为阻止恶意用户先通过 DHCP服务器获取 IP地址，再手动指定 IP地址以欺骗进行报文检测的路由器，因此，在本发明实施例中，需要周期性清空报文过滤规则表，即，以预定周期清空报文过滤规则表；

此外，在本发明实施例中，可以根据 DHCP服务器发送的更新消息以及图形用户接口（Graphical User Interface, GUI )的管理界面的手动配置更新映射表。

图 2是本发明的更新 MAC地址与 IP地址的映射表的流程示意图，如图 2所示， MAC地址与 IP地址的映射表的更新有两个触发条件： DHCP 服务器、以及 GUI管理界面。当有新的 DHCP客户端加入进来时， DHCP 客户端向 DHCP服务器发送 DHC Discover报文， DHCP服务器向 DHCP客户端回应 DHCP Offer报文，向局域网中的 DHCP客户端动态分配 IP地址，随后， DHCP服务器发送更新消息，以同步更新 MAC地址与 IP地址的映射表。管理员也可以通过 GUI管理界面进行手动配置，通过新建、编辑、删除等操作对 MAC地址与 IP地址的映射表进行自定义配置管理。

综上所述，本发明实施例的技术方案通过对 TCP、 UDP、 ARP三种报文进行检测，并根据检测结果动态创建报文过滤规则；当报文为手动指定 IP地址的主机发出时，如果其为无线连接，则断开无线连接；如果为有线连接，则禁止其数据外发请求。

以下结合附图，对本发明实施例的上述技术方案进行详细说明。

图 3是本发明实施例的更新报文过滤规则表的流程示意图，如图 3所示，包括如下处理：

步驟 301 , 接收客户端发送的报文，根据报文过滤规则表和 MAC地址与 IP地址的映射表对该 ^艮文进行匹配，获取匹配结果；

步驟 302,根据匹配结果判断报文是否合法，如果合法，执行步驟 303 , 否则，执行步驟 304;

步驟 303 ,创建报文过滤规则，允许发送该报文的主机进行正常的数据业务，即，后续来自同一主机的报文允许通过，执行步驟 306;

步驟 304,创建报文过滤规则，不允许发送该报文的主机进行数据业务，即，后续来自同一主机的报文禁止通过，执行步驟 305和步驟 306;

步驟 305,判断不允许进行数据业务的主机是否采用无线连接的方式连接网络，如果判断为是，则断开该主机的无线连接；

步驟 306,根据创建的报文过滤规则更新报文过滤规则表，并对该报文过滤规则表进行周期性清空，该周期的时间间隔默认为 5分钟，可根据需要进行调整。

图 4是本发明实施例的对报文进行过滤的处理流程示意图，根据报文过滤规则表和 MAC地址与 IP地址的映射表 (简称为 MAC-IP映射表），对 TCP SYN、 UDP、 ARP三种报文进行检测，输出检测结果，并根据这个检测结果，同步更新 MAC-IP映射表以及报文过滤规则表，如图 4所示，包括如下处理：

步驟 401 , 加载报文过滤规则表，根据报文过滤规则表对 TCP SYN报文、 UDP报文、 ARP报文进行报文匹配；

步驟 402, 如果判断是合法报文，则允许通过，流程结束；

步驟 403 , 如果判断是非法报文，则禁止报文通过，如果是 TCP SYN 报文，则回复 TCP RESET报文，以结束 TCP握手流程，结束流程；

步驟 404, 如果无任何规则匹配，确定该 4艮文是未知 4艮文；

步驟 405 , 提取该未知 4艮文的 MAC地址和 IP地址，此处的 MAC地址和 IP地址为发出 ^艮文的终端的 MAC地址和 IP地址；

步驟 406, 加载 MAC-IP映射表，判断该未知报文的 MAC地址和 IP 地址是否在该映射表中，获取匹配结果，如果匹配成功，则确定该报文是合法报文，允许报文通过，如果匹配不成功，则确定该报文是非法报文，禁止报文通过，如果是 TCP SYN报文，则回复 TCP RESET报文；

步驟 407, 根据匹配结果更新报文过滤规则表。

图 5是本发明实施例的局域网内防止手动指定 IP地址的方法详细处理流程示意图，如图 5所示，包括如下处理：

步驟 501 , 终端发起数据业务请求；步驟 502, 加载报文过滤规则表，根据报文过滤规则表对 TCP、 UDP、 ARP三种格式的报文进行报文匹配；

步驟 503 , 如果判断是合法报文，则允许通过，流程结束；

步驟 504, 如果判断是非法报文，则禁止报文通过，如果是 TCP SYN 报文，则回复 TCP RESET报文，以结束 TCP握手流程，结束流程；

步驟 505 , 如果无任何规则匹配，确定该报文是未知报文；

步驟 506, 提取该未知报文的 MAC和 IP地址；

步驟 507, 加载 MAC-IP映射表，判断该未知报文的 MAC地址和 IP 地址是否在该映射表中，获取匹配结果，如果匹配结果为存在，则执行步驟 510, 如果匹配结果为不存在，则执行步驟 508;

步驟 508, 禁止报文通过，如果是 TCP SYN报文，则回复 TCP RESET 报文，并判断不允许进行数据业务的主机是否采用无线连接的方式连接网络，如果判断为是，则执行步驟 509, 否则，执行步驟 510;

步驟 509, 断开该主机的无线连接，执行步驟 510;

步驟 510,根据匹配结果创建报文过滤规则，根据创建的报文过滤规则更新报文过滤规则表，并对该报文过滤规则表进行周期性清空。

借助于本发明实施例的技术方案，通过对终端发送的报文进行解析，确定该报文是否由手动指定 IP地址的主机发送的 ,并对由手动指定 IP地址的主机发送的报文禁止通过，解决了现有技术中手动指定 IP地址容易造成局域网内 IP沖突的问题，能够禁止手动指定 IP地址的主机的数据业务，减少局域网内 IP地址发生沖突的机率。

装置实施例

根据本发明的实施例，提供了一种局域网内防止手动指定 IP地址的装置，位于路由器，图 6是本发明实施例的局域网内防止手动指定 IP地址的装置的结构示意图，如图 6所示，根据本发明实施例的局域网内防止手动指定 IP地址的装置包括：确定模块 60、处理模块 62, 以下对本发明实施例的各个模块进行详细的说明。

确定模块 60, 用于接收终端发送的报文，根据预先设置的报文过滤规的主机发送的；其中，终端发送的报文包括：建立 TCP连接报文、 UDP报文、以及 ARP报文； MAC地址与 IP地址的映射表和报文过滤规则表是进行报文检测的唯一依据。

确定模块 60具体用于： 1、将报文过滤规则表中的报文过滤规则与报文进行匹配，其中，报文过滤规则包括：允许非手动指定 IP地址的主机进行数据业务的第一过滤规则，以及禁止手动指定 IP地址的主机进行数据业务的第二过滤规则； 2、如果与第一过滤规则匹配成功，则确定报文是由非手动指定 IP地址的主机发送的，如果与第二过滤规则匹配成功，则确定报文是由手动指定 IP地址的主机发送的； 3、在与第一过滤规则和第二过滤规则均未匹配成功的情况下，则提取报文中的 MAC地址和 IP地址，并判断 MAC地址和 IP地址是否存在于映射表中，如果存在，则确定报文是由非手动指定 IP地址的主机发送的，如果不存在，则确定报文是由手动指定 IP 地址的主机发送的。

处理模块 62,用于在判断报文是由非手动指定 IP地址的主机发送的情况下，允许报文通过，在判断报文是由手动指定 IP地址的主机发送的情况下，禁止报文通过。

处理模块 62具体用于：在判断报文是由手动指定 IP地址的主机发送的情况下，如果报文为建立 TCP连接报文，则向终端回复重新建立 TCP连接报文。

优选地，根据本发明实施例的局域网内防止手动指定 IP地址的装置还包括：创建模块，用于在报文的 MAC地址和 IP地址与映射表的匹配结果为匹配成功的情况下，创建允许发送该报文的主机进行数据业务的报文过滤规则，并更新报文过滤规则表；在报文的 MAC地址和 IP地址与映射表的匹配结果为匹配失败的情况下，创建禁止发送该报文的主机进行数据业务的报文过滤规则，并更新报文过滤规则表。

断开模块，用于在创建模块创建禁止发送该报文的主机进行数据业务的报文过滤规则之后，判断该过滤规则中禁止进行数据业务的主机的网络连接方式，如果该主机的网络连接方式为无线连接，则断开主机与网络的无线连接；

清空模块，用于以预定周期清空报文过滤规则表；

具体地，为阻止恶意用户先通过 DHCP服务器获取 IP地址，再手动指定 IP地址以欺骗进行报文检测的路由器，因此，在本发明实施例中，需要清空模块周期性清空报文过滤规则表。

更新模块，用于根据 DHCP服务器发送的更新消息以及 GUI管理界面的手动配置更新映射表。

具体地，在本发明实施例中，可以根据 DHCP服务器发送的更新消息以及 GUI的管理界面的手动配置更新映射表。如图 2所示， MAC地址与 IP 地址的映射表的更新有两个触发条件： DHCP服务器、以及 GUI管理界面。当有新的 DHCP客户端加入进来时， DHCP客户端向 DHCP服务器发送 DHC Discover报文， DHCP服务器向 DHCP客户端回应 DHCP Offer报文，向局域网中的 DHCP客户端动态分配 IP地址，随后， DHCP服务器发送更新消息，更新模块同步更新 MAC地址与 IP地址的映射表。管理员也可以通过 GUI管理界面进行手动配置，通过新建、编辑、删除等操作对 MAC与 IP 的映射表进行自定义配置管理。

综上所述，本发明实施例的技术方案通过对 TCP、 UDP、 ARP三种报文进行检测，并根据检测结果动态创建报文过滤规则；当报文为手动指定

IP的主机发出时，如果其为无线连接，则断开无线连接；如果为有线连接，则禁止其数据外发请求。

以下结合实例对本发明上述技术方案进行举例说明。

图 7是本发明实施例的局域网内防止手动指定 IP地址的装置的优选结构示意图，如图 7所示，在路由器中，设置了接入控制模块和报文检测模块，其中，接入控制模块有两大功能： MAC地址与 IP地址的映射表的管理和报文过滤规则表的管理，并根据报文检测模块的匹配结果动态创建报文过滤规则，判断手动指定 IP地址的主机的网络连接方式是否为无线接入 (例如 Wi-Fi ), 如果是，则通知无线模块断开其无线连接。此外，接入控制模块会周期性清空报文过滤规则表。报文检测模块主要用于根据映射表和报文过滤规则表对终端发送的报文进行匹配，如果合法，则允许通过，如果非法，则禁止通过，并将匹配结果发送给接入控制模块。

也就是说，本实例在路由器接入控制模块和报文检测模块，接入控制模块负责 MAC-IP映射表和报文过滤规则表的管理，这两个表作为报文检测模块进行报文检测的依据。同时，接入控制模块也会根据报文检测模块的检测结果，同步更新 MAC-IP映射表和报文过滤规则表。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。

Claims

权利要求书

1、一种局域网内防止手动指定网络协议 IP地址的方法，其特征在于，包括：

接收终端发送的报文，根据预先设置的报文过滤规则表以及媒体接入的主机发送的；

在判断所述报文是由非手动指定 IP地址的主机发送的情况下，允许所述报文通过，在判断所述报文是由手动指定 IP地址的主机发送的情况下，禁止所述报文通过。

2、如权利要求 1所述的方法，其特征在于，所述根据预先设置的报文过滤规则表以及映射表确定所述报文是否是由手动指定 IP地址的主机发送的具体包括：

将所述报文过滤规则表中的报文过滤规则与所述报文进行匹配，其中，所述报文过滤规则包括：允许非手动指定 IP地址的主机进行数据业务的第一过滤规则，以及禁止手动指定 IP地址的主机进行数据业务的第二过滤规则；

如果与所述第一过滤规则匹配成功，则确定所述报文是由非手动指定

IP地址的主机发送的，如果与所述第二过滤规则匹配成功，则确定所述报文是由手动指定 IP地址的主机发送的；

在与所述第一过滤规则和所述第二过滤规则均未匹配成功的情况下，则提取所述报文中的 MAC地址和 IP地址，并判断所述 MAC地址和所述 IP地址是否存在于所述映射表中，如果存在，则确定所述报文是由非手动指定 IP地址的主机发送的，如果不存在，则确定所述 ·^艮文是由手动指定 IP 地址的主机发送的。

3、如权利要求 2所述的方法，其特征在于，所述方法还包括：在所述 4艮文的 MAC地址和 IP地址与所述映射表的匹配结果为匹配成功的情况下，创建允许发送该报文的主机进行数据业务的报文过滤规则，并更新所述报文过滤规则表；

在所述 4艮文的 MAC地址和 IP地址与所述映射表的匹配结果为匹配失败的情况下，创建禁止发送该报文的主机进行数据业务的报文过滤规则，并更新所述报文过滤规则表。

4、如权利要求 3所述的方法，其特征在于，创建禁止发送该报文的主机进行数据业务的报文过滤规则之后，所述方法还包括：

判断该过滤规则中禁止进行数据业务的主机的网络连接方式，如果该主机的网络连接方式为无线连接，则断开所述主机与网络的无线连接。

5、如权利要求 1所述的方法，其特征在于，所述报文包括：建立传输控制协议 TCP连接报文、用户数据包协议 UDP报文、以及地址解析协议 ARP报文；

在判断所述报文是由手动指定 IP地址的主机发送的情况下，禁止所述报文通过具体包括：

在判断所述报文是由手动指定 IP地址的主机发送的情况下，如果所述报文为所述建立 TCP连接报文，则向所述终端回复重新建立 TCP连接报文。

6、如权利要求 1至 5任一所述的方法，其特征在于，所述方法还包括：以预定周期清空所述报文过滤规则表；

根据动态主机设置协议 DHCP服务器发送的更新消息以及图形用户接口 GUI的管理界面的手动配置更新所述映射表。

7、一种局域网内防止手动指定网络协议 IP地址的装置，其特征在于，包括：

确定模块，用于接收终端发送的报文，根据预先设置的报文过滤规则表以及媒体接入控制 MAC地址与 IP地址的映射表确定所述报文是否是由手动指定 IP地址的主机发送的；

处理模块，用于在判断所述报文是由非手动指定 IP地址的主机发送的情况下，允许所述报文通过，在判断所述报文是由手动指定 IP地址的主机发送的情况下，禁止所述艮文通过。

8、如权利要求 7所述的装置，其特征在于，所述确定模块具体用于：将所述报文过滤规则表中的报文过滤规则与所述报文进行匹配，其中，所述报文过滤规则包括：允许非手动指定 IP地址的主机进行数据业务的第一过滤规则，以及禁止手动指定 IP地址的主机进行数据业务的第二过滤规则；

如果与所述第一过滤规则匹配成功，则确定所述报文是由非手动指定 IP地址的主机发送的，如果与所述第二过滤规则匹配成功，则确定所述报文是由手动指定 IP地址的主机发送的；

9、如权利要求 8所述的装置，其特征在于，所述装置还包括：创建模块，用于在所述报文的 MAC地址和 IP地址与所述映射表的匹配结果为匹配成功的情况下，创建允许发送该报文的主机进行数据业务的报文过滤规则，并更新所述报文过滤规则表；在所述报文的 MAC地址和 IP 地址与所述映射表的匹配结果为匹配失败的情况下，创建禁止发送该报文的主机进行数据业务的报文过滤规则，并更新所述报文过滤规则表；和 /或，断开模块，用于判断该过滤规则中禁止进行数据业务的主机的网络连接方式，如果该主机的网络连接方式为无线连接，则断开所述主机与网络的无线连接；和 /或，

清空模块，用于以预定周期清空所述报文过滤规则表；和 /或，更新模块，用于根据 DHCP服务器发送的更新消息以及 GUI管理界面的手动配置更新所述映射表。

10、如权利要求 7、 8或 9所述的装置，其特征在于，所述报文包括：建立 TCP连接报文、 UDP报文、以及 ARP报文；

所述处理模块具体用于：在判断所述报文是由手动指定 IP地址的主机发送的情况下，如果所述报文为所述建立 TCP连接报文，则向所述终端回复重新建立 TCP连接报文。