专利名称:一种防止DHCPv6服务器欺骗的系统及方法
技术领域:
本发明涉及计算机数据通信领域,尤其涉及一种防止DHCPve服务器欺骗的系统及方法。
背景技术:
随着网络规模的扩大和网络复杂程度的提高,网络配置越来越复杂,经常出现计算机位置变化和计算机数量超过可分配的IP地址的情况。动态主机分配协议(Dynamic Host Configuration Protocol Version, DHCP)就是为了满足这些需求而发展起来的。在网络规模较大的情况下,IPv6协议具有地址空间巨大的特点,但同时长达128 比特的IPv6地址又要求高效合理的地址自动分配和管理策略。IPv6地址无状态地址配置协议是目前广泛采用的IPv6地址自动配置协议,配置了该协议的主机只需要相邻路由器开启IPv6路由公告功能,既可以根据公告报文包含的前缀信息自动配置本机地址。但无状态地址配置方案中路由器并不记录所连接的IPv6主机的具体地址信息,可管理性差。而且当前无状态地址配置方式不能使IPv6主机获取DNS服务器的地址和域名等配置信息,在可用性上由一定缺陷。DHCPv6是动态主机分配协议(DHCP)的IPv6版本,相对于IPv6无状态地址自动配置协议,DHCPv6属于一种有状态地址自动配置协议。在有状态地址配置过程中,DHCPv6服务器分配一个完成的IPv6地址给主机,并提供DNS服务地址和域名等其他配置信息,中间可能通过中继代理转交DHCPv6报文,而且最终服务器能把分配的IPv6地址和客户端的绑定关系记录在案,增强了网络的可管理性。DHCPv6服务器也能提供无状态DHCPv6服务,即 DHCPv6服务器不分配IP v6地址,仅需要向主机提供DNS服务器地址和域名等其他配置信息,主机IPv6地址仍通过路由器公告方式自动生成,这样配合使用弥补了 IPv6无状态地址自动配置的缺陷。为了防止非法设置DHCPv6服务器,一般在交换机中开启DHCPv6侦听(DHCPv6 SNOOPING)功能,但是启用DHCPv6侦听来防止私设DHCPv6服务器是一种被动的行为,而且其判断DHCPv6服务器非法的条件相对简单,不能满足复杂网络中的需求。亟需一种简单、 易于实现、能够主动探测发现非法DHCPv6服务器的方法,能够有效解决网络中DHCPv6服务器欺骗行为。
发明内容
为克服现有技术中存在的缺陷和不足,本发明提出一种防止DHCPv6服务器欺骗的系统及方法,有效的解决了在网络中私设DHCPv6服务器的行为,确保用户获取合法IPv6 地址,保证了网络的安全性。一种防止DHCPv6服务器欺骗的系统,所述系统包括交换装置和DHCPv6服务器,其中,所述交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6 SOLICIT报文),并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6 ADVERTISE报文)后将相应报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征信息进行匹配,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。所述DHCPv6服务器用于接收DHCPv6发现报文并回复带有服务器信息的DHCPv6 公告报文;进一步地,所述合法DHCPve服务器特征包括DHCPve服务器连接端口、所属虚拟局域网标识、IPv6地址或MAC地址。进一步地,所述交换装置包括交换芯片和微处理器单元(CPU);交换装置预先配置满足合法DHCPV6服务器的特征,下发将所述DHCPV6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片。进一步地,所述交换装置包括接入交换机和汇聚交换机,接入交换机包括交换芯片和微处理器单元(CPU),接入交换机通过汇聚交换机与DHCPV6服务器连接,其中,汇聚交换机支持DHCPv6中继,接入交换机预先配置满足合法DHCPv6服务器的特征,下发将所述 DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片,通过汇聚交换机转发DHCPv6发现报文给DHCPv6服务器;进一步地,交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文 (DHCPv6 SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。进一步地,DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6 ADVERTISE报文),交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。本发明还公开一种防止DHCPv6服务器欺骗的方法,包括如下步骤SI :交换装置预先配置满足合法DHCPv6服务器的特征,交换装置主动构建DHCPv6 发现报文(DHCPv6 SOLICIT报文);S2 :交换装置转发所述DHCPve发现报文到DHCPv6服务器;S3 DHCPv6服务器接收到DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文;S4 :交换装置判断DHCPv6公告报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征是否匹配;S5 :如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文); 如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。进一步地,所述步骤S2中交换装置对每一个物理端口构建以定位服务器的 DHCPv6发现报文(DHCPv6 SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6 服务器。进一步地,步骤S3中DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文,交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。进一步地,步骤S5中,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文),并将DHCPv6公告报文丢弃;如匹配失败,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。本发明的一种防止DHCPv6服务器欺骗的系统及方法,能够实现主动探测发现非法DHCPv6服务器,确保用户获取合法IPv6地址,该方法简单,易于实现,保证了网络的安全性。
图I为本发明一种防止DHCPv6服务器欺骗的系统示意图;图2为本发明另一种防止DHCPv6服务器欺骗的系统不意图;图3为本发明防止DHCPv6服务器欺骗的方法流程图;图4为本发明一具体实施的防止DHCPv6服务器欺骗的方法的流程图。
具体实施例方式为详细说明本发明的技术内容、所实现目的及效果,以下结合具体实施方式
并配合附图予以详细说明。参见图1,为本发明一种防止DHCPv6服务器欺骗的系统示意图,该系统包括交换装置和DHCPv6服务器,其中,交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6 SOLICIT报文),并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6 ADVERTISE报文)后将相应报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征信息进行匹配,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。DHCPv6服务器用于接收DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文。交换装置包括交换芯片和微处理器单元(CPU),能够支持DHCPv6服务器;交换装置预先配置满足合法DHCPv6服务器的特征,该合法DHCPv6服务器的特征指由管理员搭建DHCPv6服务器时所具有的特征,包括DHCPv6服务器的连接端口、所属虚拟局域网标识(VLAN ID)、IPv6地址或者MAC地址等;交换装置主动构建DHCPv6发现报文(DHCPv6 SOLICIT报文),下发将所述DHCPv6发现报文由交换芯片重定向微处理器单元的规则,微处理器单元(CPU)对所述DHCPv6发现报文进行软件解析和转发;所述交换装置对每一个物理端口构建以定位服务器的发现报文(DHCPv6 SOLICIT报文),将构建后的报文从各构建端口发送给DHCPv6服务器,并记录DHCPv6请求对话;DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6 ADVERTISE 报文),交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息; 交换装置接收到DHCPv6公告报文将相应DHCPv6服务器特征信息与预先配置的合法DHCPv6 服务器特征进行匹配,如匹配成功,交换装置不再发送DHCPv6请求报文(DHCPv6 REQUEST 报文),并将DHCPv6公告报文丢弃;如匹配失败,交换装置通过Shutdown该端口、下发该 DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器所有 DHCPv6报文全部丢弃。该技术方案禁止非法DHCPv6服务器接入网络,采用主动方式解决了网络中私设 DHCPv6服务器的行为。
参见图2,为本发明另一种防止DHCPv6服务器欺骗的系统示意图。该系统包括交换装置和DHCPv6服务器,所述交换装置包括接入交换机和汇聚交换机,接入交换机包括交换芯片和微处理器单元(CPU),接入交换机通过汇聚交换机与DHCPv6服务器连接,其中,汇聚交换机支持DHCPv6中继;接入交换机预先配置满足合法DHCPv6服务器的特征,该合法 DHCPv6服务器的特征指由管理员搭建DHCPv6服务器时所具有的特征,包括DHCPv6服务器的连接端口、所属虚拟局域网标识(VLAN ID)、IPv6地址或者MAC地址等;接入交换机主动构建DHCPv6发现报文(DHCPv6 SOLICIT报文),下发将所述DHCPv6发现报文由交换芯片重定向微处理器单元的规则,微处理器单元(CPU)对所述DHCPv6发现报文进行软件解析和转发;所述接入交换机对每一个物理端口构建以定位服务器的发现报文(DHCPv6 SOLICIT 报文),将构建后的报文从各构建端口发送给汇聚交换机,汇聚交换机将DHCPv6发现报文给DHCPv6服务器;DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6 ADVERTISE报文),汇聚交换机接收DHCPv6 公告报文后将DHCPv6公告报文转发给接入交换机,接入交换机的微处理器单元对DHCPv6 公告报文进行解析,记录接收报文的端口信息;接入交换机接收到DHCPv6公告报文将相应 DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征进行匹配,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文),并将DHCPv6公告报文丢弃;如匹配失败,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。参见图3,为本发明防止DHCPv6服务器欺骗的方法流程图。该方法具体步骤如下SI :交换装置预先配置满足合法DHCPv6服务器的特征,交换装置主动构建DHCPv6 发现报文(DHCPv6 SOLICIT报文)。其中,合法DHCPv6服务器的特征指管理员搭建的DHCPv6服务器具有的特征,如 DHCPv6服务器的连接端口、所属虚拟局域网标识(VLAN ID)、IPv6地址或者MAC地址等,交换装置下发DHCPv6报文重定向至微处理器单元(CPU)的规则,由交换芯片接收到DHCPv6 发现报文后,不执行硬件转发行为,而是将报文重定向至交换装置的微处理器单元(CPU), 由微处理器单元进行软件的解析和转发。S2 :交换装置发送所述DHCPv6发现报文到DHCPv6服务器。交换装置上包括多个物理端口,交换芯片接收到DHCPv6发现报文后,交换装置为每一个端口构建以定位服务器的DHCPv6发现报文(DHCPv6 SOLICIT报文),将构建后的报文从各构建端口发送给DHCPv6服务器,同时记录此次DHCPv6请求对话。交换装置包括接入交换机和汇聚交换机,接入交换机上包括多个物理端口,汇聚交换机支持DHCPv6中继,接入交换机的交换芯片收到DHCPv6发现报文后,接入交换机为每一个端口构建以定位服务器的DHCPv6发现报文(DHCPv6 SOLICIT报文),将构建后的报文从各构建端口发出,通过汇聚交换机中继给DHCPv6服务器。S3 DHCPv6服务器接收到DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文。DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6 ADVERTISE报文),交换装置的微处理器单元对 DHCPv6公告报文进行解析,记录接收报文的端口信息。
S4 :交换装置判断DHCPv6公告报文中的DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征是否匹配。交换装置接收DHCPv6服务器回复的DHCPv6公告报文,根据微处理器单元对 DHCPv6公告报文解析的结果,将相应DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器的特征进行匹配。S5 :如匹配成功,交换装置则不再发送DHCPv6请求报文;如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。如果DHCPv6公告报文为本次DHCPv6请求对话的回应,解析后的信息与预先配置的合法DHCPv6服务器的特征匹配成功,交换装置就不再发送以请求特定服务器地址和配置设置的DHCPv6请求报文(DHCPv6 REQUEST报文),并且丢弃该DHCPv6公告报文;如解析后的信息与预先配置的合法DHCPv6服务器的特征匹配失败,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6 服务器的所有DHCPv6报文全部丢弃。参见图4,为本发明一具体实施的防止DHCPv6服务器欺骗的方法的具体流程I)在交换装置上预先配置满足合法DHCPv6服务器的特征,启用主动探测非法 DHCPv6服务器功能;2)交换装置主动构建DHCPv6发现报文,下发DHCPv6报文重定向至微处理器单元 CPU的规则到交换芯片,交换芯片收到DHCPV6发现报文后,不执行硬件转发行为,而是将报文重定向至交换机的微处理器单元CPU,由微处理器单元CPU进行软件的解析和转发;3)交换装置为每一个物理端口构建DHCPv6发现报文,将构建后的DHCPv6发现报文以多播(目的地址为FF02: :1:2)的方式从各构建端口发送给DHCPv6服务器,记录此次 DHCPv6请求对话;DHCPv6服务器接收到DHCPv6发现报文并进行回复,以单播的形式返回 DHCPv6公告报文给交换装置;4)交换装置端口收到DHCPv6公告报文,解析该报文,记录接收报文的端口,判断 DHCPv6公告报文解析结果与步骤I)中预先配置的合法DHCPv6服务器特征是否匹配;如是,执行步骤5),如否,则执行步骤6);5)如果DHCPv6公告报文为本次DHCPv6请求对话的回应,解析后的信息与预先配置的合法DHCPv6服务器的特征匹配成功,交换装置就不再发送DHCPv6请求报文(DHCPv6 REQUEST报文),并且将接收到的DHCPv6公告报文丢弃;6)如解析后的信息与预先配置的合法DHCPv6服务器的特征匹配不成功,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。实施本发明的一种防止DHCPv6服务器欺骗的系统及方法,通过主动探测发现非法DHCPv6服务器,确保用户获取合法IPv6地址,该方案简单,易于实现,保证了网络的安全性。
权利要求
1.一种防止DHCPv6服务器欺骗的系统,所述系统包括交换装置和DHCPv6服务器,其中,所述交换装置用于主动构建并发送DHCPv6发现报文(DHCPv6 SOLICIT报文),并在接收到所述DHCPv6服务器的DHCPv6公告报文(DHCPv6 ADVERTISE报文)后将相应报文中的 DHCPv6服务器特征信息与预先配置的合法DHCPv6服务器特征进行匹配,如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文);如匹配失败,交换装置将非法 DHCPv6服务器的所有DHCPv6报文全部丢弃;所述DHCPv6服务器用于接收DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文。
2.根据权利要求I所述的防止DHCPv6服务器欺骗的系统,其特征在于,所述合法 DHCPv6服务器特征包括DHCPv6服务器连接端口、所属虚拟局域网标识、IPv6地址或MAC地址。
3.根据权利要求I所述的防止DHCPv6服务器欺骗的系统,其特征在于,所述交换装置包括交换芯片和微处理器单元(CPU);交换装置预先配置满足合法DHCPV6服务器的特征, 下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片。
4.根据权利要求I所述的防止DHCPv6服务器欺骗的系统,其特征在于,所述交换装置包括接入交换机和汇聚交换机,接入交换机包括交换芯片和微处理器单元(CPU),接入交换机通过汇聚交换机与DHCPv6服务器连接,其中,汇聚交换机支持DHCPv6中继,接入交换机预先配置满足合法DHCPv6服务器的特征,下发将所述DHCPv6发现报文由交换芯片重定向到微处理器单元的规则到交换芯片,通过汇聚交换机转发DHCPv6发现报文给DHCPv6服务器。
5.根据权利要求3或4所述的防止DHCPv6服务器欺骗的系统,其特征在于,交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文(DHCPv6 SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。
6.根据权利要求5所述的防止DHCPv6服务器欺骗的系统,其特征在于,DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文(DHCPv6 ADVERTISE报文),交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。
7.一种防止DHCPv6服务器欺骗的方法,其特征在于,包括如下步骤51:交换装置预先配置满足合法DHCPV6服务器的特征,交换装置主动构建DHCPV6发现报文(DHCPv6 SOLICIT 报文);52:交换装置转发所述DHCPv6发现报文到DHCPv6服务器;53DHCPv6服务器接收到DHCPv6发现报文并回复带有服务器信息的DHCPv6公告报文;54:交换装置判断DHCPv6公告报文中的DHCPv6服务器特征信息与预先配置的合法 DHCPv6服务器特征是否匹配;55:如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文);如匹配失败,交换装置将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。
8.根据权利要求7所述的防止DHCPv6服务器欺骗的方法,其特征在于,所述步骤S2中交换装置对每一个物理端口构建以定位服务器的DHCPv6发现报文(DHCPv6 SOLICIT报文),并将构建后的报文从各构建端口发送给DHCPv6服务器。
9.根据权利要求7所述的防止DHCPv6服务器欺骗的方法,其特征在于,步骤S3中 DHCPv6服务器接收到DHCPv6发现报文并进行回复,返回服务器可提供的地址和配置设置的DHCPv6公告报文,交换装置的微处理器单元对DHCPv6公告报文进行解析,记录接收报文的端口信息。
10.根据权利要求7所述的防止DHCPV6服务器欺骗的方法,其特征在于,步骤S5中, 如匹配成功,交换装置则不再发送DHCPv6请求报文(DHCPv6 REQUEST报文),并将DHCPv6 公告报文丢弃;如匹配失败,交换装置通过Shutdown该端口、下发该DHCPv6服务器的黑洞 MAC表项或将该端口设置到黑名单的方式将非法DHCPv6服务器的所有DHCPv6报文全部丢弃。
全文摘要
本发明公开一种防止DHCPv6服务器欺骗的系统及方法,该方法包括S1交换装置预先配置满足合法DHCPv6服务器的特征,主动构建DHCPv6发现报文;S2交换装置转发所述报文到DHCPv6服务器;S3DHCPv6服务器接收所述报文并回复带有服务器信息的DHCPv6公告报文;S4交换装置判断DHCPv6公告报文中DHCPv6服务器特征信息与合法DHCPv6服务器特征是否匹配;S5根据步骤S4中的匹配结果,采取不同防护措施,主动防止DHCPv6服务器欺骗。该方案简单,易实现,通过主动探测发现非法DHCPv6服务器,保证了网络的安全性。
文档编号H04L29/12GK102594808SQ20121002534
公开日2012年7月18日 申请日期2012年2月6日 优先权日2012年2月6日
发明者梁小冰 申请人:神州数码网络(北京)有限公司