一种利用DHCP租约攻击的防护装置及方法与流程

本发明涉及网络安全防护领域，尤其涉及一种利用dhcp租约攻击的防护方法及装置。

背景技术：

dhcp客户端通过动态主机配置协议dhcp从dhcp服务器获取网络配置信息的交互流程如图1所示。

dhcp续约的流程如图2所示，当达到租期一半时dhcp客户端会主动向dhcp服务器请求续约，如果此时得不到dhcp服务器的确认的话，dhcp客户端还可以继续使用该ip；当租约期过了87.5%时，如果dhcp客户端仍然无法获得起初的dhcp服务器响应，它将与其它dhcp服务器通信。

此过程中由dhcp客户端主动与dhcp服务器进行通信，以更新租约时间。当dhcp服务器检测到租约到期，dhcp服务器认为dhcp服务器的主机下线，会释放其的ip到地址池中。但是，当dhcp客户端获取到主机的网络配置信息后，非标准dhcp客户端（不按照标准的dhcp协议进行续约请求操作或者租约到期不下线）会持续占有此ip地址。因此，实际上此被释放的ip地址依然不可用。此种情形，在dhcp服务器接入客户端数较多且ip租期较短的场合下，已接入的客户端可持续的使用获得的ip，可能造成dhcp客户端不断的获得冲突的ip地址，且有dhcp服务器的ip地址池耗尽的可能，最终导致dos攻击以及由此产生的安全问题。

技术实现要素：

鉴于上述内容，有必要提供一种利用dhcp租约攻击的防护方法及装置，本发明可以无感的接入到现有的dhcp网络中，能够有效的解决dhcp客户端利用租约带来的攻击。

本发明一方面提出一种利用dhcp租约攻击的防护装置，包括：

信息存储模块，分别与dhcp客户端和dhcp服务器通信连接，用于存储dhcp客户端主机的网络特征信息以及租约信息；

检测裁决模块，与所述信息存储模块通信连接，用于更新信息存储模块，以及监控接入dhcp客户端的异常行为并作出裁决；

反馈模块，与所述检测裁决模块通信连接，接收并执行所述裁决。

基于上述，所述检测裁决模块以两种情形执行监控：

获取到上网配置信息后遵循dhcp协议标准状态机的dhcp客户端，进行正常的续约流程，包含标准实现的dhcp客户端和到租约到期但是不会释放ip的非标准dhcp客户端；

获取到上网配置信息后不再遵循dhcp协议标准状态机的dhcp客户端，不再进行正常的续约流程。

基于上述，在正常续约流程中：

当租约到达50%时，dhcp客户端主机发出续约请求，若成功收到dhcp服务器回复的确认信息，则检测裁决模块通过检测dhcp的续约报文进行存储的租约信息的更新；若不能收到dhcp服务器的回复确认，达到租约的87.5%时，dhcp客户端重新寻求dhcp服务器，如果获得新的上网信息配置，则检测裁决模块进行更新存储信息；

若租约到达87.5%仍获取不到新的网络配置信息，到租约到期时，若此过程中dhcp客户端主机主动发送了release报文，则检测裁决模块封堵此dhcp客户端主机除dhcp报文外的所有流量信息；若未收到dhcp客户端主机发送的release报文，则反馈模块伪装dhcp客户端主机发送release报文至dhcp服务器。

基于上述，在dhcp客户端成功从dhcp服务器获取到网络配置信息后，若dhcp客户端不再进行任何续约或者寻找dhcp服务器的操作，则反馈模块伪装dhcp客户端主机发送release报文至dhcp服务器。

本发明另一方面还提出一种利用dhcp租约攻击的防护方法，包括以下步骤：

步骤1，获取并存储dhcp客户端主机的网络特征信息以及租约信息；

步骤2，在续约流程中，更新dhcp客户端主机的网络特征信息以及租约信息，以及监控接入dhcp客户端的异常行为并作出裁决；

步骤3，执行所述裁决。

本发明针对dhcp服务器接入终端数较多且ip租期较短场合，通过监控dhcp续约，解决了已接入的客户端可持续使用获得的ip造成的dhcp客户端不断获得冲突ip地址，而耗尽dhcp服务器的ip地址池的问题，从而避免导致dos攻击以及由此产生的安全问题。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明背景技术中dhcp客户端从dhcp服务器获取网络配置信息的交互流程图。

图2是本发明背景技术中dhcp续约的流程图。

图3是本发明利用dhcp租约攻击的防护装置的框图。

图4是本发明方法中信息存储模块的工作流程框图。

图5是本发明方法正常续约流程中的工作流程框图。

图6是本发明方法正常续约流程中的另一工作流程框图。

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，当一个组件被认为是“连接”另一个组件，它可以是直接连接到另一个组件或者可能同时存在居中组件。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

图3示出了本发明一种利用dhcp租约攻击的防护装置的框图。

如图3所示，本发明提供了一种利用dhcp租约攻击的防护装置，包括：

信息存储模块，分别与dhcp客户端和dhcp服务器通信连接，用于存储dhcp客户端主机的网络特征信息以及租约信息；

检测裁决模块，与所述信息存储模块通信连接，用于更新信息存储模块，以及监控接入dhcp客户端的异常行为并作出裁决；

反馈模块，与所述检测裁决模块通信连接，接收并执行所述裁决。

可以理解的是，所述信息存储模块、所述测裁决模块和所述反馈模块可以分别集成在dhcp客户端接入层设备上。

图4-6示出了本发明一种利用dhcp租约攻击的防护方法的流程图。

本发明还提供了一种利用dhcp租约攻击的防护方法，包括以下步骤：

步骤1，如图4所示，获取并存储dhcp客户端主机的网络特征信息以及租约信息；

当需要动态分配网络信息的dhcp客户端接入网络时，会广播探测可用的dhcp服务器信息；dhcp客户端向选定dhcp服务器请求网络配置信息，等待dhcp服务器回应，本发明防护装置对dhcp服务器回应报文进行分析并存储主机网络特征及租约信息，成功的获取到网络配置信息后存储dhcp客户端主机的网络特征信息以及租约信息。

步骤2，在续约流程中，更新dhcp客户端主机的网络特征信息以及租约信息，以及监控接入dhcp客户端的异常行为并作出裁决。

步骤3，执行所述裁决。

具体的，所述检测裁决模块以两种情形执行监控：

获取到上网配置信息后遵循dhcp协议标准状态机的dhcp客户端，进行正常的续约流程，包含标准实现的dhcp客户端和到租约到期但是不会释放ip的非标准dhcp客户端；

获取到上网配置信息后不再遵循dhcp协议标准状态机的dhcp客户端，不再进行正常的续约流程。

情形1，在正常续约流程中：

如图5所示，当租约到达50%时，dhcp客户端主机发出续约请求，若成功收到dhcp服务器回复的确认信息，则检测裁决模块通过检测dhcp的续约报文进行存储的租约信息的更新；若不能收到dhcp服务器的回复确认，达到租约的87.5%时，dhcp客户端重新寻求dhcp服务器，如果获得新的上网信息配置，则检测裁决模块进行更新存储信息；

如图6所示，若租约到达87.5%仍获取不到新的网络配置信息，到租约到期时，若此过程中dhcp客户端主机主动发送了release报文，则检测裁决模块封堵此dhcp客户端主机除dhcp报文外的所有流量信息；若未收到dhcp客户端主机发送的release报文，则反馈模块伪装dhcp客户端主机发送release报文至dhcp服务器，保证租约到期时，dhcp服务器及时释ip地址到地址池中，防止资源耗尽。

情形2，在dhcp客户端成功从dhcp服务器获取到网络配置信息后，若dhcp客户端不再进行任何续约或者寻找dhcp服务器的操作，持续的占用ip资源，则反馈模块伪装dhcp客户端主机发送release报文至dhcp服务器。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。