防止非信任服务器攻击的方法
【专利摘要】本发明提供了一种防止非信任服务器攻击的方法,其包括:在启动DHCPSnooping的交换设备上针对进行DHCP?Snooping的局域网添加信任服务器IP地址列表;当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。本发明可以有效的防止非信任服务器的欺骗攻击,与现有技术相比,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。
【专利说明】防止非信任服务器攻击的方法
【【技术领域】】
[0001]本发明涉及网络通讯领域,尤其涉及一种防止非信任服务欺骗攻击的方法。
【【背景技术】】
[0002]目前,在运行DHCP SnoopingCDynamic Host Configuration Protocol Snooping,动态主机配置协议窥探)交换设备中,DHCP Snooping技术通过配置信任端口来实现防止非信任服务器的欺骗攻击。例如,配置交换设备的端口 I为信任端口,与信任端口 I相连的服务器发送的DHCP应答包则进行转发,而未与信任端口相连的其他服务器发送的DHCP应答包则不进行转发,如图1所示,以过滤掉非信任的DHCP服务器的欺骗攻击。但是,这种方法只能针对服务器与DHCP Snooping交换设备必须是直接相连的,才能过滤掉非信任的服务器的欺骗攻击。如果,在交换设备信任端口与服务器之间还继续挂接多个接入设备或者在信任端口下面存在除服务器外的多台主机(就是说当服务器与DHCP Snooping交换设备不是直接相连)的情况下,如图2所示。如果在信任端口下面的主机或服务器发起欺骗攻击的话,DHCP Snooping交换设备防止服务器欺骗失败。因而,通过配置信任端口的方法只能在服务器与交换设备是直接相连的拓扑下才有效。
【
【发明内容】
】
[0003]本发明需解决的技术问题是克服上述的不足,提供一种防止非信任服务器攻击的方法,可以有效地防止非信任服务器欺骗攻击。 [0004]为解决上述的技术问题,本发明设计了一种防止非信任服务器攻击的方法,其包括:
[0005]Stepl:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;
[0006]Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;
[0007]Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。
[0008]本发明可以有效地防止非信任服务器的欺骗攻击,与现有技术相比,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。
[0009]更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。
【【专利附图】
【附图说明】】
[0010]图1是现有技术交换设备与服务器直接相连的拓扑图;
[0011]图2是现有技术交换设备与服务器非直接相连的拓扑图;
[0012]图3是本发明交换设备与服务器非直接相连的拓扑图。【【具体实施方式】】
[0013]下面结合附图和实施方式对本发明作进一步说明。
[0014]本发明提供了一种防止非信任服务器攻击的方法,可以有效地防止非信任服务器欺骗攻击。
[0015]在实施方式中,本发明在启用DHCP Snooping功能的交换设备中,通过添加信任服务器IP地址列表的方式来达到防止非信任服务器欺骗的目的。当交换设备收到DHCPSnooping应答包的时候,需要对DHCP应答包的源地址进行验证,DHCP应答包的源地址即是发送DHCP应答包的服务器的IP地址,只有源地址在信任服务器IP地址列表中的DHCP应答包才进行转发,这样,可以保证交换设备下的主机不会收到非信任服务器的欺骗攻击。并且,在服务器的IP地址没有改变的情况下,服务器发生位置移动,也不需要更改交换设备的配置。由于本发明方法是通过验证IP地址的方式来防止非信任服务器欺骗攻击,因而,服务器在与交换设备不直接相连的情况下,本发明方法也能有效应用,如图3所示。
[0016]本发明的实施方式具体步骤包括:
[0017]Stepl:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表;
[0018]Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证;
[0019]Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。当然,如果源地址不在信任服务器IP地址列表中,则不转发DHCP回应包,从而过滤掉非信任DHCP服务器的欺骗攻击。
[0020]本发明可以有效的防止非信任服务器的欺骗攻击,还能避免非信任服务器在非直接相连的状态下从信任端口过来的欺骗攻击。
[0021]更进一步的是,在服务器切换端口的情况下,可以不用修改交换设备的配置,继续有效地转发信任服务器的数据包和防止非信任服务器欺骗攻击。 [0022]以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。
【权利要求】
1.一种防止非信任服务器攻击的方法,其特征在于:所述防止非信任服务器攻击的方法包括: Stepl:在启动DHCP Snooping的交换设备上针对进行DHCP Snooping的局域网添加信任服务器IP地址列表; Step2:当交换设备收到DHCP回应包的时候,提取出DHCP回应包的源地址,与信任服务器IP地址列表中的IP地址进行验证; Step3:经过上面的验证,交换设备只转发源地址在信任服务器IP地址列表中存在的DHCP回应包。
【文档编号】H04L29/06GK104009967SQ201310062185
【公开日】2014年8月27日 申请日期:2013年2月27日 优先权日:2013年2月27日
【发明者】梁剑华, 车任秋 申请人:上海斐讯数据通信技术有限公司