一种dhcp网络防护系统及方法
【专利摘要】本发明提供的一种DHCP网络防护系统及方法,通过DHCP中继代理信息模块对客户终端设备的DHCP请求报文作报文处理,以将作为连接中介网络节点设备的位置信息加入到DHCP中继代理信息字串信息中,进而通过DHCP监听模块来接收加入DHCP中继代理信息字串信息的DHCP请求报文以生成对应的DHCP绑定表供定位网络攻击源,且DHCP监听模块还预设速率限制,可精准判定并定位网络攻击源,提高DHCP网络安全防护的准确性及效率并且,DHCP中继代理信息模块、DHCP监听模块分离运行在不同的板卡,减少了模块运行在同一个板卡时大量报文处理的压力,且使上行的DHCP请求报文中携带更多信息标识请求报文的来源。
【专利说明】—种DHCP网络防护系统及方法
【技术领域】
[0001]本发明涉及网络【技术领域】,特别是涉及一种DHCP网络防护系统及方法。
【背景技术】
[0002]在数据通信网络中,DHCP作为一种获取IP地址的重要方式,有着非常广泛的应用。但是由于DHCP运行机制的限制,DHCP服务器和DHCP客户端没有认证机制,这样在一个完整的DHCP请求获取IP地址的过程中就很容易受到攻击。对于攻击的方式,一种是在上行口接入非法的DHCP服务器,给DHCP客户端分配非法的IP ;另一种是DHCP客户端伪造大量的DHCP请求包发送到DHCP服务器,将DHCP服务器所能够分配的IP地址段耗尽,造成正常的DHCP客户端请求不到IP地址。
[0003]DHCP Snooping技术是为了解决DHCP安全性问题产生的,DHCP Snooping机制通过建立和维护正常的DHCP绑定表来过滤非正常的DHCP请求信息。现阶段支持DHCPSnooping的网络设备,一般会设置信任端口和非信任端口。通过监听上行端口,对于接入非信任端口的DHCP服务器回应的Reply报文一律丢弃;对于接入信任端口的DHCP服务器回应的DHCP ACK报文,通过解析这类DHCP报文的相关信息,并记录这些信息到DHCPSnooping绑定表项。绑定表项主要记录的信息包括:分配给客户端的IP地址、客户端的MAC地址、VLAN信息(如VLAN标记,即VLAN TAG)、端口信息以及租约剩余时间信息,这些记录信息的获取通过一个完整的基本DHCP过程即可取得。
[0004]虽然DHCP Snooping的出现能够解决一部分DHCP攻击的问题,但这里也还有不完善的地方,处于终端的DHCP客户端同样可以发起伪造多个或大量的DHCP请求包去向DHCP服务器以一种看似合法的方式请求到IP。
【发明内容】
[0005]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种DHCP网络防护系统及方法,用于解决上述现有技术的DHCP网络安全防护存在的缺陷不足的问题。
[0006]为实现上述目的及其他相关目的,本发明提供一种DHCP网络防护系统,通过至少一个网络节点设备连接于至少一个客户终端设备,所述DHCP网络防护系统包括:DHCP中继代理信息模块,用于对所述客户终端设备的DHCP请求报文作报文处理,所述报文处理包括:获取所述网络节点设备的位置信息,将添加有所述网络节点设备的位置信息的DHCP中继代理信息字串信息加入所述DHCP请求报文;DHCP监听模块,用于接收经所述报文处理的DHCP请求报文,据以生成对应的DHCP绑定表以供定位网络攻击源。
[0007]优选的,所述DHCP中继代理信息模块是DHCP option82模块,所述DHCP监听模块是 DHCP snooping 模块。
[0008]优选的,所述DHCP网络防护系统包括:主控板卡单元和至少一个线卡单元,所述主控板卡单元与所述线卡单元分离,其中,所述线卡单元通过至少一个所述网络节点设备连接于至少一个所述客户终端设备;所述DHCP监听模块,设置并运行于所述主控板卡单元;所述DHCP中继代理信息模块,设置并运行于所述线卡单元。
[0009]优选的,所述DHCP网络防护系统包括:0LT设备,所述OLT设备包括所述主控板卡单元和线卡单元,所述线卡单元通过PON 口连接于多个所述网络节点设备,所述网络节点设备是ONU。
[0010]优选的,所述DHCP监听模块,还用于检查所述DHCP请求报文的发送速率是否超过预设限制速率;若是,则认定所述超过预设限制速率的DHCP请求报文来自于网络攻击源,通过所述DHCP绑定表定位所述网络攻击源。
[0011]优选的,所述DHCP请求报文包括:所述网络节点设备的位置信息、所述客户终端设备的位置信息和客户终端类型信息。
[0012]优选的,所述网络节点设备的位置信息为所述网络节点设备的MAC地址,所述客户终端设备的位置信息为所述客户终端设备的MAC地址。
[0013]为实现上述目的及其他相关目的,一种DHCP网络防护方法,包括:接收连接于网络节点设备的至少一个客户终端设备的报文;获取所述网络节点设备的位置信息;对所述客户终端设备的DHCP请求报文作报文处理,所述报文处理包括:获取所述网络节点设备的位置信息,将添加有所述网络节点设备的位置信息的DHCP中继代理信息字串信息加入所述DHCP请求报文;接收经所述报文处理的DHCP请求报文,据以生成对应的DHCP绑定表以供定位网络攻击源。
[0014]优选的,所述DHCP中继代理信息字串是DHCP option82字串。
[0015]优选的,所述DHCP网络防护方法还包括:检查所述DHCP请求报文的发送速率是否超过预设限制速率;若是,则认定所述超过预设限制速率的DHCP请求报文来自于网络攻击源,通过所述DHCP绑定表定位所述网络攻击源。
[0016]优选的,所述DHCP请求报文包括:所述网络节点设备的位置信息、所述客户终端设备的位置信息和客户终端类型信息。
[0017]优选的,所述网络节点设备的位置信息为所述网络节点设备的MAC地址,所述客户终端设备的位置信息为所述客户终端设备的MAC地址。
[0018]如上所述,本发明提供的一种DHCP网络防护系统及方法,通过DHCP中继代理信息模块对客户终端设备的DHCP请求报文作报文处理,以将作为连接中介网络节点设备的位置信息加入到DHCP中继代理信息字串信息中,进而通过DHCP监听模块来接收加入DHCP中继代理信息字串信息的DHCP请求报文以生成对应的DHCP绑定表供定位网络攻击源,且DHCP监听模块还预设速率限制,可精准判定并定位网络攻击源,提高DHCP网络安全防护的准确性及效率;并且,DHCP中继代理信息模块、DHCP监听模块分离运行在不同的板卡,减少了模块运行在同一个板卡时大量报文处理的压力,且使上行的DHCP请求报文中携带更多信息标识请求报文的来源。
【专利附图】
【附图说明】
[0019]图1显示为本发明的DHCP网络防护系统的一实施例的结构示意图。
[0020]图2显示为本发明的DHCP网络防护方法的一实施例的步骤流程示意图。
[0021]图3及图4显示为结合本发明的DHCP网络防护系统的DHCP网络防护方法的一实施例的步骤流程示意图。[
【权利要求】
1.一种DHCP网络防护系统,通过至少一个网络节点设备连接于至少一个客户终端设备,其特征在于,所述DHCP网络防护系统包括: DHCP中继代理信息模块,用于对所述客户终端设备的DHCP请求报文作报文处理,所述报文处理包括:获取所述网络节点设备的位置信息,将添加有所述网络节点设备的位置信息的DHCP中继代理信息字串信息加入所述DHCP请求报文; DHCP监听模块,用于接收经所述报文处理的DHCP请求报文,据以生成对应的DHCP绑定表以供定位网络攻击源。
2.根据权利要求1所述的DHCP网络防护系统,其特征在于,所述DHCP中继代理信息模块是DHCP option82模块,所述DHCP监听模块是DHCP snooping模块。
3.根据权利要求1或2所述的DHCP网络防护系统,其特征在于,包括:主控板卡单元和至少一个线卡单元,所述主控板卡单元与所述线卡单元分离,其中,所述线卡单元通过至少一个所述网络节点设备连接于至少一个所述客户终端设备; 所述DHCP监听模块,设置并运行于所述主控板卡单元; 所述DHCP中继代理信息模块,设置并运行于所述线卡单元。
4.根据权利要求3所述的DHCP网络防护系统,其特征在于,包括:0LT设备,所述OLT设备包括所述主控板卡单元和线卡单元,所述线卡单元通过PON 口连接于多个所述网络节点设备,所述网络节点设备是0NU。
5.根据权利要 求1所述的DHCP网络防护系统,其特征在于,所述DHCP监听模块,还用于检查所述DHCP请求报文的发送速率是否超过预设限制速率;若是,则认定所述超过预设限制速率的DHCP请求报文来自于网络攻击源,通过所述DHCP绑定表定位所述网络攻击源。
6.根据权利要求1所述的DHCP网络防护系统,其特征在于,所述DHCP请求报文包括:所述网络节点设备的位置信息、所述客户终端设备的位置信息和客户终端类型信息。
7.根据权利要求6所述的DHCP网络防护系统,其特征在于,所述网络节点设备的位置信息为所述网络节点设备的MAC地址,所述客户终端设备的位置信息为所述客户终端设备的MAC地址。
8.—种DHCP网络防护方法,其特征在于,包括: 接收连接于网络节点设备的至少一个客户终端设备的报文; 获取所述网络节点设备的位置信息; 对所述客户终端设备的DHCP请求报文作报文处理,所述报文处理包括:获取所述网络节点设备的位置信息,将添加有所述网络节点设备的位置信息的DHCP中继代理信息字串信息加入所述DHCP请求报文; 接收经所述报文处理的DHCP请求报文,据以生成对应的DHCP绑定表以供定位网络攻击源。
9.根据权利要求8所述的DHCP网络防护方法,其特征在于,所述DHCP中继代理信息字串是 DHCP option82 字串。
10.根据权利要求8所述的DHCP网络防护方法,其特征在于,还包括: 检查所述DHCP请求报文的发送速率是否超过预设限制速率; 若是,则认定所述超过预设限制速率的DHCP请求报文来自于网络攻击源,通过所述DHCP绑定表定位所述网络攻击源。
11.根据权利要求8所述的DHCP网络防护方法,其特征在于,所述DHCP请求报文包括:所述网络节点设备的位置信息、所述客户终端设备的位置信息和客户终端类型信息。
12.根据权利要求11所述的DHCP网络防护方法,其特征在于,所述网络节点设备的位置信息为所述网络节点设备的MAC地址,所述客户终端设备的位置信息为所述客户终端设备的MAC地 址。
【文档编号】H04L29/12GK103685257SQ201310658724
【公开日】2014年3月26日 申请日期:2013年12月6日 优先权日:2013年12月6日
【发明者】蔡伟 申请人:上海斐讯数据通信技术有限公司