专利名称:一种防止地址耗尽型攻击的方法
技术领域:
本发明涉及一种宽带接入网中防止DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器受攻击的方法,尤其涉及一种采用DHCP宽带接入方式中针对DHCP服务器进行地址耗尽型攻击的防范方法。
背景技术:
在宽带接入技术中,采用DHCP接入方式时,DHCP服务器往往会受到非法用户大量请求分配地址,从而耗尽DHCP服务器的地址资源的攻击。DHCP协议本身并无认证授权机制,无法判别合法申请或非法申请,因此,一般来说DHCP服务器本身不能抵御非法用户的攻击。
目前,宽带接入网的组网形式一般如图1和图2所示,用户通过ATM电路或Dotlq电路连接到宽带接入服务器(宽带接入服务器BAS),通过宽带接入服务器BAS的管理和控制接入互联网。接入时,用户通过DHCP协议经二层以太网的以太网交换机或ATM交换机+数字用户线接入复用器(DSLAM),然后经宽带接入服务器BAS进行DHCP代理进而向所述DHCP服务器请求地址分配。
现有技术的简要协议交互流程如图3所示,用户发起IP地址分配请求时,经过所述宽带接入服务器BAS的代理,该请求传递给所述DHCP服务器;该DHCP服务器相应该请求并分配了IP地址后,经过所述宽带接入服务器BAS的代理返回到所述用户个人电脑PC上。当用户终止上网时,IP地址释放的请求与分配请求一样,也通过所述宽带接入服务器BAS代理传递给所述DHCP服务器。
正因为现有的DHCP协议和DHCP代理协议都认证授权机制,因此无法防止非法用户进行重复的地址申请,同时也难以区分合法请求和非法请求,目前常用的接入控制列表(ACL)技术也难以用于宽带接入服务器BAS和DHCP服务器以防止非法请求。因此一旦发生地址耗尽型的DHCP攻击,即非法用户不停的发送地址分配请求,DHCP服务器因为要对每一请求进行处理并分配地址资源,因此,当没有相应的释放请求时,地址资源很快就会被耗光,这样合法用户因为分配不到地址而不能接入,从而造成灾难性后果。
发明内容
本发明的目的在于提供一种防止地址耗尽型攻击的方法,通过宽带接入服务器BAS对用户接入电路上的用户所请求的地址数进行限制,从而达到抑制非法用户攻击所述DHCP服务器,从而克服现有宽带接入网中采用DHCP接入形式时,DHCP服务器容易遭到非法用户攻击的缺点。
本发明的技术方案如下一种防止地址耗尽型攻击的方法,用于宽带接入网中防止DHCP服务器受到攻击,所述方法在宽带接入服务器上的处理步骤包括b1)、在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;b2)、该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护。
所述的方法,其中,所述步骤b2)还包括以下步骤b201)、所述DHCP在线会话数是指该电路中通过DHCP协议申请成功的IP地址数,用户申请成功一次,该计数加1,释放一次,则计数减1;b202)、所述宽带接入服务器一旦发现某电路DHCP在线会话数到达其最大会话数时,终止该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得DHCP在线会话数小于其最大会话数。
所述的方法,其中,所述步骤b2)还包括以下步骤b203)、所述DHCP请求频率是指每秒从该电路收到的请求数;b204)、所述宽带接入服务器如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。
所述的方法,其中,所述方法还包括在所述DHCP服务器的处理步骤如下a1)、配置其接入控制列表,使其只接受来自合法宽带接入服务器的DHCP协议包;a2)、所述DHCP服务器在收到DHCP请求包时,匹配其接入控制列表,根据匹配结果接受来自合法宽带接入服务器的DHCP协议包,拒绝来自其他地方的DHCP协议包。
所述的方法,其中,所述步骤a2)包括以下步骤当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
本发明所提供的一种防止地址耗尽型攻击的方法,采用本发明所述方法后,利用所述DHCP服务器的接入控制列表和所述宽带接入服务器对电路的DHCP在线会话数和DHCP请求频率的监控和维护,有效地防止了非法用户对DHCP服务器的地址耗尽型攻击,同时该方法配置简单,实现容易,一旦实施,极大地提高了宽带接入网络的可靠性。
附图中,图1是现有技术中的基于以太网宽带接入网的组网示意图;图2是现有技术中的基于ATM的宽带接入网的组网示意图;图3是现有技术的DHCP接入时的时序和流程示意图;图4是本发明方法在所述宽带接入服务器BAS上的处理流程示意图;
图5是本发明方法在所述DHCP服务器上的处理流程示意图。
具体实施例方式
下面结合附图对技术方案的实施作进一步的详细描述本发明的核心思想是通过宽带接入服务器BAS对用户接入电路上的用户所请求的地址数进行限制,从而达到抑制非法用户攻击。在宽带接入网中,用户个人计算机PC与所述宽带接入服务器BAS之间是通过一条二层电路进行连接的,该二层电路可以是ATM电路(ATM接入),也可以是基于VLAN标记的Dotlq电路(以太网接入)。在一条电路上的用户可以接入多个会话,一个会话占用一个IP地址。根据用户类型,可以在所述宽带接入服务器上预先确定一条电路上可以接入的会话个数,比如一般家庭用户通常是一条电路一个会话,企业用户则一条电路多个会话,具体数目可由运营商与用户通过协商方式确定。具体做法如下在所述宽带接入服务器BAS上,对需要进行DHCP接入的用户电路设置两个参数,即最大DHCP在线会话数和最大DHCP请求频率;其中所述DHCP在线会话数是指该电路通过DHCP协议申请成功的IP地址数,如果用户申请成功一次,则该计数加1;如果释放一次,则计数减1;所述DHCP请求频率是指每秒从该电路收到的DHCP请求数;所述宽带接入服务器BAS对这两个计数器进行监控和维护。所述宽带接入服务器BAS一旦发现某电路的DHCP在线会话数到达其最大会话数时,就终止对该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得该DHCP在线会话数小于其最大会话数后才恢复对来自该电路的DHCP请求的处理。同时,如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。另外,为了防止来自其他地方的攻击,在所述DHCP服务器上配置了接入控制列表ACL,使得其只对来自合法的宽带接入服务器BAS的DHCP请求进行处理。
通过以上处理,所述DHCP服务器即可避免非法用户的地址耗尽型攻击,同时,所述宽带接入服务器BAS还能及时发现非法用户所在的电路,从而给对攻击源的排除带来便利。
本发明在所述宽带接入服务器BAS上对每条电路预先设置有一最大DHCP在线会话数和一最大DHCP请求频率两个门限参数,同时对每条电路设置DHCP在线会话数和当前DHCP请求频率两个计数变量;通过监测比较发现攻击电路,并采取停止服务、告警、关闭电路等措施来抑制攻击源的方法来防止所述DHCP服务器受到地址耗尽型攻击。
所说电路是指从用户个人计算机PC到所述宽带接入服务器BAS的ATM连接,如ATM PVC,或者是从用户PC到所述宽带接入服务器BAS的打VLAN标记的Dotlq PVC。所述DHCP请求频率是指单位时间内DHCP请求的次数。所述DHCP在线会话数是指一个电路上经DHCP协议申请成功并正在用的IP地址数,一个会话占用一个IP地址。
本发明所述防攻击方法分别在所述宽带接入服务器BAS和所述DHCP服务器上实施,其流程分别如如图4和图5所示。
如图4所示的,本发明方法在所述宽带接入服务器BAS上的处理流程如下步骤1在所述宽带接入服务器BAS上对每条采用DHCP接入方式的电路配置最大DHCP在线会话数max_session和最大DHCP请求频率max_freq两个门限参数,以及对DHCP在线会话数online_session和当前DHCP请求频率cur_freq设置两个计数变量,并初始置0;步骤2当所述宽带接入服务器BAS收到来自用户的DHCP请求时,重新计算当前DHCP请求频率,并且判断在线会话数是否大于等于最大DHCP在线会话门限(online_session?>=max_session)以及当前DHCP请求频率是否大于等于最大DHCP请求频率门限(cur_freq?>=max_freq);如果两者都不满足,则把该DHCP请求经DHCP代理处理后送往所述DHCP服务器;否则,如果是后者,则告警并关闭电路;如果是前者,则丢弃此请求包,不做任何处理或反应;步骤3当所述宽带接入服务器BAS收到DHCP应答包后,建立DHCP会话,并对所述在线DHCP会话数加1,然后把包转发给用户;步骤4当所述宽带接入服务器BAS收到来自用户的DHCP释放请求时,释放DHCP会话,并对所述在线DHCP会话数减1,然后把包转发给DHCP服务器。
如图5所示的,本发明方法在所述DHCP服务器上的处理流程如下步骤1在所述DHCP服务器配置所述接入控制列表ACL,只允许来自合法宽带接入服务器BAS的DHCP协议包得到服务;步骤2当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
通过以上步骤,所述DHCP服务器即可有效防止了非法用户的地址耗尽型攻击,保证DHCP服务器地址资源的安全和有效使用,提高宽带接入网络的可靠性和稳定性。
应当理解的是,本发明的上述对具体实施例的详细描述不能作为本发明的专利保护范围请求依据,而应以本发明所附权利要求书为准。
权利要求
1.一种防止地址耗尽型攻击的方法,用于宽带接入网中防止DHCP服务器受到攻击,所述方法在宽带接入服务器上的处理步骤包括b1)、在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;b2)、该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护。
2.根据权利要求1所述的方法,其特征在于,所述步骤b2)还包括以下步骤b201)、所述DHCP在线会话数是指该电路中通过DHCP协议申请成功的IP地址数,用户申请成功一次,该计数加1,释放一次,则计数减1;b202)、所述宽带接入服务器一旦发现某电路DHCP在线会话数到达其最大会话数时,终止该电路上后续的一切DHCP请求的处理,直到有释放请求到来使得DHCP在线会话数小于其最大会话数。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤b2)还包括以下步骤b203)、所述DHCP请求频率是指每秒从该电路收到的请求数;b204)、所述宽带接入服务器如果发现某段时间该电路的DHCP请求频率持续大于最大DHCP请求频率,即发出告警并关闭电路,等待维护人员处理。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括在所述DHCP服务器的处理步骤如下a1)、配置其接入控制列表,使其只接受来自合法宽带接入服务器的DHCP协议包;a2)、所述DHCP服务器在收到DHCP请求包时,匹配其接入控制列表,根据匹配结果接受来自合法宽带接入服务器的DHCP协议包,拒绝来自其他地方的DHCP协议包。
5.根据权利要求4所述的方法,其特征在于,所述步骤a2)包括以下步骤当所述DHCP服务器收到DHCP包时,根据包的源IP地址匹配所述配置的接入控制列表,如果不匹配,丢弃此包;否则,根据DHCP协议对包进行相应处理。
全文摘要
本发明的一种防止地址耗尽型攻击的方法,所述方法结合DHCP服务器和宽带接入服务器防止受到攻击,在所述宽带接入服务器上的处理步骤包括在该宽带接入服务器上对每条接入形式为DHCP的电路,配置最大DHCP在线会话数和最大DHCP请求频率两个参数,并对电路的DHCP在线会话数和DHCP请求频率初始化为0;该宽带接入服务器对该电路的DHCP在线会话数和DHCP请求频率进行监控和维护。本发明方法有效地防止了非法用户对DHCP服务器的地址耗尽型攻击,同时该方法配置简单,实现容易,一旦实施,极大地提高了宽带接入网络的可靠性。
文档编号H04L29/06GK1642107SQ20041001514
公开日2005年7月20日 申请日期2004年1月15日 优先权日2004年1月15日
发明者田洪亮 申请人:中兴通讯股份有限公司