专利名称:一种dhcp报文处理的方法和设备的制作方法
技术领域:
本发明涉及网络通信领域,尤其涉及一种DHCP报文处理的方法和设备。
背景技术:
DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)是一种管理和自动分配IP (Internet Protocol,网络协议)地址的通信协议,采用客户端-服务器 (Client-Server)模式工作。DHCP客户端是整个DHCP过程的触发者和驱动者,通过DHCP报文和DHCP服务器交互,得到IP地址和其他网络参数。DHCP服务器DHCP服务的提供者,通过DHCP报文与DHCP客户端交互,为各种类型的客户端分配合适的IP地址,并可以根据需要为客户端分配其它网络参数。DHCP客户端为了动态获取一个合法的IP地址,需要经过以下几个阶段(1)发现阶段即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端通过发送DHCP 发现(DHCP Discover)报文来寻找DHCP服务器。由于DHCP服务器的IP地址对于客户端来说是未知的,所以DHCP客户端以广播方式发送DHCP Discover报文。(2)提供阶段即DHCP服务器提供IP地址的阶段。网络中接收到DHCP Discover 报文的DHCP服务器,会选择一个合适的IP地址,连同IP地址租约期限和其他配置信息(如网关地址,域名服务器地址等)一同通过DHCP提供(DHCP Offer)报文发送给DHCP客户端。(3)选择阶段S卩DHCP客户端选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户端回应DHCPOffer报文,则DHCP客户端一般只接受第一个收到的DHCP Offer报文。然后以广播方式发送DHCP Request请求报文,该报文携带所选择DHCP服务器的IP地址信息。以广播方式发送DHCP Request请求报文,是为了通知所有的DHCP服务器,它将选择所选择DHCP服务器提供的IP地址,其他DHCP服务器可以重新使用曾提供的IP地址。(4)确认阶段即DHCP服务器确认所提供的IP地址的阶段。收到DHCP客户端发送的DHCP Request请求报文后,DHCP服务器根据DHCP Request报文中携带的MAC地址来查找有没有相应的租约记录。如果有,则发送DHCP应答(DHCP ACK)报文作为响应,通知 DHCP客户端可以使用分配的IP地址。如果没有找到相应的租约记录,或者由于某些原因无法正常分配IP地址,则发送DHCP无应答(DHCPNAK)报文作为响应,通知DHCP客户端无法分配合适IP地址。DHCP客户端需要重新发送DHCP-DISC0VER报文来请求新的IP地址。DHCP客户端从DHCP服务器动态获取IP地址的过程中,采用广播方式发送DHCP 报文,因此非法用户可以监听到DHCP合法用户的MAC (Media Access Control,媒体访问控制)地址等信息,将自己伪装成DHCP合法用户实施攻击,如DHCP服务器仿冒、中间人攻击、 IP/MAC哄骗(Spoofing)攻击、仿冒续租攻击等,带来很多安全方面的问题
发明内容
本发明实施例提供了一种DHCP报文处理的方法和设备,以解决现有技术无法防范非法用户攻击DHCP服务器的安全问题。为解决上述技术问题,本发明实施例提供了一种DHCP报文处理的方法,包括接收DHCP报文;检查所述DHCP报文携带的选项option ;当所述DHCP报文携带重复option时,过滤所述DHCP报文。本发明实施例提供了一种DHCP报文处理的设备,包括接收器,用于接收DHCP报文; 检查单元,用于检查所述DHCP报文携带的选项option ;处理单元,用于当所述DHCP报文携带重复option时,过滤所述DHCP报文。采用本发明实施例提供的技术方案,通过过滤携带重复option类型的DHCP报文, 可以解决现有技术无法防范非法用户攻击DHCP服务器的安全问题。
图1是DHCP报文格式;图2是本发明实施例提供的一种DHCP报文处理的方法流程图;图3是本发明实施例提供的一种DHCP报文处理的设备框图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。DHCP报文格式如图1所示,其中op 报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。htype 硬件地址类型。hlen:硬件地址长度。系统目前只对以太网支持,硬件地址长度固定为6。hops =DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继, 该字段就会增加1。Xid 由客户端软件产生的随机数,用于匹配请求和应答报文。sees 客户端进入IP地址申请进程的时间或者更新IP地址进程的时间;由客户端软件根据情况设定。目前没有使用,固定为0。flags 标志字段。第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。ciaddr =DHCP 客户端的 IP 地址。yiaddr =DHCP服务器分配给客户端的IP地址。siaddr =DHCP客户端获取IP地址等信息的服务器IP地址。giaddr =DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。chaddr =DHCP客户端的硬件地址。
sname =DHCP客户端获取IP地址等信息的服务器名称。file =DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。options 可选变长选项字段。DHCP客户端通过DHCP报文中携带的option和DHCP 服务器交互信息。option的格式如下
code Ien value其中,code表示option的类型,Ien为Value字段的字节个数,value用于携带有效租期、服务器IP地址等配置信息。例如code为82的option,称为中继代理信息选项(Relay Agent Information option),简禾尔为 option 82。通常DHCP客户端和DHCP服务器交互的DHCP报文中不存在重复option,即code 相同的两个或两个以上option,DHCP服务器也无法解析携带重复option的DHCP报文。此时若非法用户伪装成DHCP合法用户,构造大量携带重复option的DHCP报文攻击DHCP服务器,将导致DHCP服务器处理开销剧增甚至瘫痪,进而影响合法用户的地址分配。本发明实施例提供了一种DHCP报文处理的方法和设备。所述方法,包括接收 DHCP报文;检查所述DHCP报文携带的选项option ;当所述DHCP报文携带重复option时, 过滤所述DHCP报文。采用本发明实施例提供的技术方案,可以防范非法用户通过大量携带重复option的DHCP报文攻击DHCP服务器带来的安全问题。参见图1,是本发明实施例提供的一种DHCP报文处理的方法流程图,包括101 接收 DHCP 报文。网络设备接收DHCP报文,所述DHCP报文包括DHCPDiscover报文,DHCP Request 报文,DHCP释放(Release)报文,DHCP拒绝(Decline)报文,DHCP通知(Inform)报文等。所述网络设备包括DHCP服务器,DHCP中继设备,DHCPSnooping设备等。所述网络设备可以解析所述DHCP报文中携带的所有option。102 检查所述DHCP报文携带的option。所述网络设备可以记录所述DHCP报文携带的option信息,所述option信息包括 option类型和出现次数。所述网络设备可以保存option信息表,所述option信息表中包含option信息。103 当所述DHCP报文携带重复option时,过滤所述DHCP报文。所述网络设备可以查询option信息表,当存在出现次数大于1,即重复option时, 过滤所述DHCP报文。可选的,在接收DHCP报文之前,所述网络设备可以配置重复选项处理策略,所述重复选项处理策略可以是过滤任意类型的重复option的DHCP报文,还可以是过滤特定类型的重复option的DHCP报文,例如,过滤类型为82的重复option的DHCP报文;所述重复选项处理策略还可以是过滤任意类型的option出现次数大于阈值的DHCP报文,例如,过滤任意类型的option出现次数大于3的DHCP报文,还可以是过滤特定类型的option出现次数大于阈值的DHCP报文,例如,过滤类型为82的option出现次数大于3的DHCP报文等。如果所述重复选项处理策略为过滤任意类型的option重复的DHCP报文,所述网络设备可以查询option信息表,当存在出现次数大于1的option信息时,过滤所述DHCP 报文。如果所述重复选项处理策略为过滤特定类型的option重复的DHCP报文,所述网络设备可以根据所述特定类型查询option信息表,当存在所述特定类型,且对应的出现次数大于1时,过滤所述DHCP报文。如果所述重复选项处理策略为过滤任意类型的option出现次数大于阈值的DHCP 报文,所述网络设备可以根据出现次数查询option信息表,当存在出现次数大于阈值的 option信息时,过滤所述DHCP报文。如果所述重复选项处理策略为过滤特定类型的option出现次数大于阈值的DHCP 报文,所述网络设备可以根据所述特定类型查询option信息表,当存在所述特定类型,且对应的出现次数大于阈值时,过滤所述DHCP报文。可选的,所述网络设备还可以设置所述重复选项处理策略的状态,例如将所述重复选项处理策略的状态设置为使能(enable)或者1,表示根据所述重复选项处理策略,过滤携带重复option的DHCP报文;将所述重复选项处理策略的状态设置为去使能 (disable)或者0,表示不根据所述重复选项处理策略处理DHCP报文。举例来说,网络设备接收到DHCP Request报文,携带了 option 51,option 51, option 53, option 54, option 82, option 82, option 82 等选项。网络设备检查该DHCP Request报文携带的所有option,记录option信息,如表1 所示。表Ioption 信息表
权利要求
1.一种动态主机配置协议DHCP报文处理的方法,其特征在于,包括 接收DHCP报文;检查所述DHCP报文携带的选项option ;当所述DHCP报文携带重复option时,过滤所述DHCP报文。
2.根据权利要求1所述的方法,其特征在于,在接收DHCP报文之前,还包括配置重复选项处理策略。
3.根据权利要求2所述的方法,其特征在于,所述重复选项处理策略包括过滤任意类型的重复option的DHCP报文或过滤特定类型的重复option的DHCP报文; 和/或,过滤任意类型的option出现次数大于阈值的DHCP报文或过滤特定类型的option出现次数大于阈值的DHCP报文。
4.根据权利要求3所述的方法,其特征在于,所述配置重复选项处理策略还包括设置所述重复选项处理策略的状态。
5.根据权利要求1所述的方法,其特征在于,所述检查所述DHCP报文携带的option包括记录所述DHCP报文携带的option信息,所述option信息包括option类型和出现次数。
6.一种动态主机配置协议DHCP报文处理的设备,其特征在于,包括 接收器,用于接收DHCP报文;检查单元,用于检查所述DHCP报文携带的选项option ; 处理单元,用于当所述DHCP报文携带重复option时,过滤所述DHCP报文。
7.根据权利要求6所述的设备,其特征在于,所述设备还包括配置单元,用于在接收 DHCP报文之前,配置重复选项处理策略。
8.根据权利要求7所述的设备,其特征在于,所述配置单元还用于设置所述重复选项处理策略的状态。
9.根据权利要求6所述的设备,其特征在于,所述检查单元具体用于记录所述DHCP报文携带的option信息,所述option信息包括option类型和出现次数。
10.根据权利要求6至9任一项所述的设备,其特征在于,所述设备包括DHCP服务器, DHCP中继设备,或者DHCP侦听Snooping设备。
全文摘要
本发明实施例公开了一种动态主机配置协议DHCP报文处理的方法和设备。所述方法包括接收DHCP报文;检查所述DHCP报文携带的选项option;当所述DHCP报文携带重复option时,过滤所述DHCP报文。采用本发明实施例提供的技术方案,解决了现有技术中无法防范非法用户攻击DHCP服务器的安全问题。
文档编号H04L12/56GK102231741SQ20111017660
公开日2011年11月2日 申请日期2011年6月28日 优先权日2011年6月28日
发明者于斌, 张印熙 申请人:华为技术有限公司