专利名称:动态主机配置协议服务管理方法以及系统的制作方法
技术领域:
本发明涉及通信领域,特别公开了一种动态主机配置协议服务管理方法以及系统。
背景技术:
网际协议(Internet Protocol,IP)网络是目前乃至将来可能最有前途的网络。正如同传统的电话网中要为每个电话机分配一个唯一的电话号码以标识这个电话一样,在IP网络中,每一台终端要想与其他的终端进行通信,也需要分配一个唯一标识号,这就是IP网络上的地址——IP地址。
IP地址是IP网络上唯一标识一个接入终端最原始和最有效的标识符。给终端分配IP地址的方法有多种方式,例如端对端协议(Peer-Peer Protocol,PPP)的自协商,用户自己静态配置,管理员统一分配、配置等方式,但这些配置IP地址的方式都有着一些这样或那样的缺点。例如,PPP自协商方式虽然不用用户自己动手操作,但是需要安装专门的客户端软件,而且需要服务器处事先配置好用户的帐号和密码,否则用户无法上网,过程过于复杂。而用户自己静态配置方式,对于不熟悉IP网络的人士而言实在难于理解和操作,并且还须提防IP地址冲突的情况发生。管理员统一分配、配置的方式,需要有专人维护,规划整个网络,不仅成本高,而且管理员工作量太大。更重要的是,许多终端启动时不仅需要IP地址,而且还需要动态的获取更多的启动配置信息,如无盘工作站、电缆调制解调器CABLE MODEM就需要获得启动配置文件名以及TFTP服务器的IP地址等信息,其他一些特殊终端还需要获取其他一些特殊的信息,如电子电话EPHONE需要呼叫服务器CALL SERVER的IP地址等。这些动态信息是前面几种主机配置方式所无法完成的。
正是基于这些要求,采用了通过DHCP动态主机配置协议的服务器来统一进行IP地址的配置的方法。使用DHCP协议的计算机终端开机后,发出接入互联网的请求报文,DHCP服务器收到该请求报文后会返回回复报文为该发出请求的终端分配一个唯一的IP地址及其他上网所需的参数,以便终端可以接入网络。
然而,负责此分配功能的DHCP协议产生于局域网,因此DHCP服务器和DHCP客户端都需要在同一网段,DHCP服务器才可为DHCP服务器分配IP地址,当DHCP服务器和DHCP客户端不在同一网段时,DHCP客户端就不能通过DHCP服务器获得地址。为了适应非局域网的组网,引入了DHCP中继代理的概念。DHCP中继代理的主要作用就是将DHCP客户端发出的报文传递给DHCP服务器的中间部件。在终端进行网络接入时,首先由终端发出DHCP请求报文申请接入网络,DHCP中继代理收到该请求后,将其转发给DHCP服务器,DHCP服务器收到终端的DHCP请求报文后,把分配给用户的IP地址等网络信息记录在DHCP响应报文中,发给DHCP中继代理,再由DHCP中继代理将收到的DHCP服务器响应报文转发给终端,用户终端获得IP地址后该用户即可以接入网络。
从以上过程可知,采用现有的网络接入方案,在没有DHCP中继代理的局域网中,只要是终端发起的DHCP请求,无论是否合法,DHCP都会进行处理;同样的,对于采用了DHCP中继代理的网络中,只要是终端发起的DHCP请求,无论是否合法,DHCP中继代理都会直接把这些请求报文转发给DHCP服务器;因此如果在单位时间内DHCP服务器收到的请求报文过多时,DHCP服务器就会无法正常处理所有请求而导致网络阻塞,甚至造成DHCP服务器拒绝服务的现象发生。更严重的是,恶意的用户可以利用该缺点通过频繁发送请求报文对DHCP服务器进行攻击的,造成正常用户难于获得IP地址,甚至导致DHCP服务器的长时间瘫痪。
发明内容
鉴于上述现有技术存在的缺点,本发明的目的在于提供一种动态主机配置协议服务管理方法以及系统,对DHCP服务器处理的请求报文进行管理,以防止DHCP服务器短时间内收到过多请求报文导致网络故障,以及避免DHCP服务器受到用户的恶意攻击。
为达上述目的,本发明提供一种动态主机配置协议服务管理方法以及系统。
本发明的动态主机配置协议服务管理方法,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,其判断终端发出请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。
其中,预设所有终端发出的报文的总速率的限定值,并对总的报文发送速率进行判断;或者各终端分别预设速率限定值,并对各终端报文发送速率分别进行判断;再或者同时预设所有终端发出的报文的总速率以及各终端各自的速率限定值,并对总的报文发送速率以及各终端报文发送速均进行判断。
其中,所述总的报文发送速率是指一定时间内发送报文的数量,或者动态主机配置协议半连接数量;所述各终端报文发送速率是指终端一定时间内发送报文的数量。
一种动态主机配置协议服务管理系统,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,其特征在于终端用于发出请求报文;动态主机配置协议服务器用于判断终端发出的请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。
其中,所述动态主机配子哈协议服务管理系统包括接收模块、判断模块以及转发模块。接收模块,用于接收终端发送的请求报文;判断模块,用于判断终端发送的请求报文是否超过设定速率;转发模块,用于转发速率不超过设定速率的请求报文,供动态主机配置协议服务器进行处理。
所述终端直接与动态主机配置协议服务器相连,此时所述动态主机配置协议服务管理系统设置于动态主机配置协议服务器;或者通过动态主机配置协议中继与动态主机配置协议服务器相连。此时所述动态主机配置协议服务管理系统设置于动态主机配置协议服务器或者动态主机配置协议中继。
此外,所述判断模块辨识发出请求报文的终端,并为每个终端设定一个对应的速率限定值,当该终端的请求报文发送速率超过限定值时,就不再进行处理;或者所述判断模块为所有终端设定总的速率限定值,各终端总的请求报文发送速率超过限定值时,就不再进行处理;或者为所有终端设定总的速率限定值,并为每个终端单独设定一个对应的速率限定值,当某终端的请求报文发送速率超过限定值时,就不再对该终端发送的请求报文进行处理,当各终端总的请求报文发送速率超过总限定值时,也不再对任何报文进行处理。
其中,所述判断模块确定一定时间内发送报文的数量或者动态主机配置协议半连接数量,以对总的报文发送速率进行判断。判断模块确定各终端一定时间内发送报文的数量,以对各终端报文发送速率进行判断。
综上所述,本发明判断终端发出请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。避免动态主机配置协议服务器短时间内收到大量请求报文超出了DHCP服务器的处理能力,导致DHCP服务器无法处理甚至拒绝服务;同时也可避免DHCP服务器遭到用户频繁发送请求报文的恶意攻击,增强了安全性。
图1为本发明动态主机配置协议服务管理方法实施例流程图;图2为是本发明动态主机配置协议服务管理系统应用场景结构示意图;图3为本发明动态主机配置协议服务管理系统实施例结构示意图。
具体实施例方式
本发明动态主机配置协议服务管理方法以及系统的核心均在于对DHCP终端发送的请求报文的发送速率进行监控,DHCP服务器仅仅处理没超出限定速率的报文,对于超过限定速率的的请求报文DHCP服务器不再进行处理。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
如图1所示,是本发明DHCP服务管理方法的流程图。首先进行步骤S11,终端发送请求报文到DHCP服务器,所述终端包括个人电脑、终端机、机顶盒等可获取IP地址以接入IP网络的电子设备。接着进行步骤S12。
在步骤S12中,判断接收到的请求报文的速率是否超过限定值。其中,如果终端直接与动态主机配置协议DHCP服务器相连,或者终端通过DHCP中继与DHCP服务器相连。此时,可在DHCP服务器上预先设置一速率限定值,由DHCP服务器判断收到的请求报文是否超出该限定值。另外,当网络结构是终端通过DHCP中继与DHCP服务器相连时,也可在DHCP中继上设置速率的限定值,并由DHCP中继判断收到的请求报文是否超出设定的速率限定值。若前述DHCP服务器或DHCP中继的判断结果为超过限定值则继续步骤S13,否则进行步骤S14。需要强调的是,步骤S12也可以由连接于DHCP终端与DHCP服务器之间的其他装置完成,而不限于DHCP中继或者DHCP服务器,较佳的实施方式是由DHCP中继进行判断处理,以便节约成本以及减少DHCP服务器的负担。
在步骤S13中,由于DHCP已经无法处理更多请求,或者请求是用户恶意频繁发送,因此丢弃收到的请求报文。当步骤S12由DHCP服务器处理时,由DHCP服务器丢弃请求报文,当步骤S12由DHCP中继处理或者其他装置完成时,由DHCP中继或者其他装置直接丢弃请求报文,不再将报文转发给DHCP服务器。
在步骤S14中,DHCP服务器对接收到的报文进行正常处理,回复报文请求,并分配IP地址等配置信息给发出请求报文的终端。由于DHCP服务器对请求报文的后续处理方法是所属领域具有通常技术的人士所能轻易了解且并非本发明的重点,故在此不再为文赘述。
此外,需要特别说明的是在步骤S12中,速率的限定值既可以是所有终端发出的报文的总的速率的限定值,并对总的速率进行判断;也可以对各个终端分别设定限定值,并对各个终端发送请求报文的速率分别进行判断;或者是既对所有终端发出的报文的总的速率设定限定值,又同时对各个终端分别设定限定值,以便同时对所有终端的请求报文的速率以及各终端的请求报文的速率都进行判断。相应的,步骤S13中,如果总的发送请求报文速率超过总速率的设定值,则丢弃所有报文;如果只是一部分终端发送请求报文的速率超过设定值,则仅丢弃该部分终端发送的请求报文。
应用于IP分配时,本发明具体流程例如如下1、终端向DHCP中继代理发出DHCP请求报文;2、DHCP中继代理收到终端发出的DHCP请求报文后,向DHCP服务器转发终端请求时能够对发向DHCP服务器的请求报文做限速。DHCP中继代理对发向DHCP服务器的限速操作可以包括2方面,a、在DHCP中继代理上设置一个门限值,能够对发向DHCP服务器的所有终端的DHCP请求做总体限速,为保护DHCP服务器,所有发向DHCP服务器的请求消息不能超过这个门限值(这个门限值可以采用基于每秒多少包的速率,也可以采用监测一定时间内的DHCP半连接数量);b、利用用户定位技术,根据终端发出的DHCP请求消息中的源MAC地址或者是OPTION82值等能唯一标识用户的参数,做针对个别用户的DHCP请求消息限速,这样就能够防止恶意终端发起的对DHCP服务器的攻击。根据DHCP请求消息中的终端的源MAC地址或者报文中带的option82值,在DHCP中继代理上为单个用户设置门限值,DHCP中继代理接收到终端的DHCP请求消息超过这个门限值时,就不再把终端的DHCP请求消息发送给DHCP服务器。
3、DHCP服务器收到DHCP中继代理发来的DHCP请求消息后,为终端分配IP地址,并将IP地址等网络信息记录在DHCP响应报文中,发给DHCP中继代理。
4、DHCP中继代理将收到的DHCP响应报文转发给终端,终端获得分配给自己的IP地址进而接入网络。
图2所示是本发明动态主机配置协议服务管理系统应用场景结构示意图。如图所示,DHCP终端通过DHCP中继与DHCP服务器相连,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,其中终端用于发出请求报文;动态主机配置协议服务器用于判断终端发出的请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。此外,也可以不设置DHCP中继,DHCP终端直接与DHCP服务器相连,所不同之处在于,改由DHCP服务器判断终端发出的请求报文是否超过限定速率,对超过限定速率的报文不再处理,此处不再赘述。
图3所示是本发明动态主机配置协议服务管理系统实施例的结构图,包括接收模块、判断模块以及转发模块。
第一实施例如图3所示,本发明动态主机配置协议服务管理系统包括接收模块、判断模块以及转发模块。
其中,接收模块用于接收终端发送的请求报文,并将接收到的请求报文转发给判断模块。所述终端包括个人电脑、终端机、机顶盒等可以接入IP网络的设备。
判断模块,用于对接收模块接收到的所有请求报文的速率进行判断,用户可根据网络状况以及DHCP服务器的处理能力设定一速率限定值,判断模块判断接收模块接收到的所有终端发送的请求报文的速率是否超过该速率限定值。如果超过就直接丢弃请求报文,否则由转发模块进行转发。
转发模块,用于将判断模块发来的报文转发给DHCP服务器相应处理模块进行正常处理,DHCP接收到报文后回复报文请求,并分配IP地址等配置信息给发出请求报文的终端。
需要说明的是,上述包括接收模块、判断模块以及转发模块的动态主机配置协议服务管理系统可以是独立的设置于DHCP终端与DHCP服务器之间,也可以集成于DHCP服务器,当网络中包括DHCP中继时也可以集成于DHCP中继。但较佳的实施方式是集成于是DHCP中继。
第二实施例本发明动态主机配置协议服务管理系统第二实施例与第一实施例结构大致相同,如图3所示包括接收模块、判断模块以及转发模块。
所不同之处在于判断模块辨识发出请求报文的终端,并为每个终端单独设定一个对应的速率限定值,当该终端的请求报文发送速率超过限定值时,就不再进行处理。对发出请求报文的终端的辨识方式可以多样,例如根据其媒体接入控制MAC地址进行区分辨识,或者利用请求报文的OPTION82值来辨识终端,由于对终端的辨识是该领域人士所熟知,因此也不再具体讲述。利用本发明第二实施例的系统,可以对每个终端的请求报文速率进行控制,以防止用户对DHCP服务器的恶意攻击。
第三实施例本发明第三实施例的动态主机配置协议服务管理系统如图3所示包括接收模块、判断模块以及转发模块。相当于对第一实施例以及第二实施例的结合,即判断模块既判断其收到的所有终端发送的请求报文的总的速率是否超过设定值,同时也判断各个终端发送的请求报文的速率是否超过其对应的速率限定值。
当总的请求报文的速率超过设定值后,转发模块即不再对所有报文进行转发。当总的请求报文的速率未超过设定值,而部分终端的请求报文的速率超过其对应的速率设定值时,转发模块仅对这部分终端的请求报文不再转发。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求同样包括这些变形和变化。
权利要求
1.一种动态主机配置协议服务管理方法,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,其特征在于判断终端发出请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。
2.如权利要求1所述的动态主机配置协议服务管理方法,其中,预设所有终端发出的报文的总速率的限定值,并对总的报文发送速率进行判断,或者各终端分别预设速率限定值,并对各终端报文发送速率分别进行判断,或者同时预设所有终端发出的报文的总速率以及各终端各自的速率限定值,并对总的报文发送速率以及各终端报文发送速均进行判断。
3.如权利要求2所述的动态主机配置协议服务管理方法,其中,所述总的报文发送速率是指一定时间内发送报文的数量,或者动态主机配置协议半连接数量,所述各终端报文发送速率是指终端一定时间内发送报文的数量。
4.一种动态主机配置协议服务管理系统,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,其特征在于终端用于发出请求报文;动态主机配置协议服务器用于判断终端发出的请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。
5.如权利要求4所述的动态主机配置协议服务管理系统,其中,所述动态主机配置协议服务管理系统包括接收模块、判断模块以及转发模块,接收模块,用于接收终端发送的请求报文;判断模块,用于判断终端发送的请求报文是否超过设定速率;转发模块,用于转发速率不超过设定速率的请求报文,供动态主机配置协议服务器进行处理。
6.如权利要求4所述的动态主机配置协议服务管理系统,其中,所述终端直接与动态主机配置协议服务器相连。
7.如权利要求4所述的动态主机配置协议服务管理系统,其中,所述终端通过动态主机配置协议中继与动态主机配置协议服务器相连。
8.如权利要求6或7所述的动态主机配置协议服务管理系统,其中,所述动态主机配置协议服务管理系统设置于动态主机配置协议服务器。
9.如权利要求7所述的动态主机配置协议服务管理系统,其中,所述动态主机配置协议服务管理系统设置于动态主机配置协议中继。
10.如权利要求5所述的动态主机配置协议服务管理系统,其中,所述判断模块辨识发出请求报文的终端,并为每个终端设定一个对应的速率限定值,当该终端的请求报文发送速率超过限定值时,就不再进行处理;或者所述判断模块为所有终端设定总的速率限定值,各终端总的请求报文发送速率超过限定值时,就不再进行处理;或者为所有终端设定总的速率限定值,并且为每个终端单独设定一个对应的速率限定值,当某终端的请求报文发送速率超过限定值时,就不再对该终端发送的请求报文进行处理,当各终端总的请求报文发送速率超过总限定值时,就不再对任何报文进行处理。
11.如权利要求10所述的动态主机配置协议服务管理系统,其中,所述判断模块确定一定时间内发送报文的数量或者动态主机配置协议半连接数量,以对总的报文发送速率进行判断;所述判断模块确定各终端一定时间内发送报文的数量,以对各终端报文发送速率进行判断。
全文摘要
本发明提供一种动态主机配置协议服务管理方法以及系统,用于对终端发送给动态主机配置协议服务器的请求报文进行管理,判断终端发出请求报文的速率,对超过限定速率的请求报文,动态主机配置协议服务器不进行处理。以对终端发送的动态主机配置协议请求报文的速率进行管理,避免动态主机配置协议服务器短时间内收到大量请求报文而无法处理,甚至造成动态主机配置服务器拒绝服务的情况发生。
文档编号H04L12/56GK101043465SQ20061006123
公开日2007年9月26日 申请日期2006年6月20日 优先权日2006年6月20日
发明者潘雷, 陈宇杰 申请人:华为技术有限公司