本發明屬于計算機IP地址分配和管理安全防護技術領域，具體涉及一種基于DHCP服務器非法報文安全防護的方法及系統。

背景技術：

Dynamic Host Configuration Protocol，簡稱DHCP，是用UDP協議工作的局域網網絡協議。隨著無線移動設備的大量接入，DHCP服務器的穩定性、安全性變的更加嚴峻。

DHCP服務器會大量的收到不符合RFC2131協議的殘缺數據報文；惡意攻擊的非法DHCPDISCOVER報文；不確定因素導致的合法的DHCPDISCOVER報文；客戶端發送的DHCPREQUEST、DHCPINFORM查詢報文。上述各種報文如果出現非正常的報文，則會對DHCP服務的安全性造成巨大的威脅。

技術實現要素：

為解決上述DHCP安全性問題，本發明提供一種基于DHCP服務器非法報文安全防護的方法及系統，其可以實現對局域網中非法報文的及時篩選和處理。

本發明提供一種基于DHCP服務器非法報文安全防護的方法，其特征在于，包括DHCP GUARD和DHCP CORE，涉及的方法如下：

所述DHCP GUARD接收局域網中的DHCP報文；

根據所述DHCP報文的不同類型，選擇預設的安全防護機制對所述DHCP報文進行篩選；

若所述DHCP報文符合所述預設的安全防護機制，則將所述DHCP報文發送至所述DHCP CORE，若否，則丟棄所述DHCP報文。

優選地，當所述DHCP報文的類型是DHCP協議報文時，

獲取RFC2131協議定義的報文數據結構；

根據所述報文數據結構對所述DHCP協議報文進行結構完整性和一致性校驗。

優選地，當所述DHCP報文的類型是DHCPDISVOER請求報文時，

判定接收的所述DHCP報文數量大于第一預設閾值；

分析所述DHCP報文中的MAC地址與IP/TCP二層數據幀中的源MAC地址，得到所述DHCP報文是否非法。

優選地，當所述DHCP報文的類型是合法DHCPDISCOVER請求報文時，

判定接收的所述合法DHCPDISCOVER報文數量大于第二預設閾值；

根據所述第二預設閾值對所述合法DHCPDISCOVER報文數量進行限速。

優選地，當所述DHCP報文的類型是DHCPREQUEST或DHCPINFORM報文時，

判定在IP地址租賃期內收到的所述DHCP報文數量大于第三預設閾值；

根據所述第三預設閾值對所述租賃期內的DHCP報文數量進行限速。

本發明提供一種基于DHCP服務器非法報文安全防護的系統，其特征在于，包括DHCP GUARD模塊和DHPC COER模塊，還包括：

接收模塊，用于所述DHCP GUARD接收局域網中的DHCP報文；

安全防護模塊，用于根據所述DHCP報文的不同類型，選擇預設的安全防護機制對所述DHCP報文進行篩選；

處理模塊，用于若所述DHCP報文符合所述預設的安全防護機制，則將所述DHCP報文發送至所述DHCP CORE，若否，則丟棄所述DHCP報文。

優選地，當所述DHCP報文的類型是DHCP協議報文時，所述安全防護模塊還用于：

獲取RFC2131協議定義的報文數據結構；

根據所述報文數據結構對所述DHCP協議報文進行結構完整性和一致性校驗。

優選地，當所述DHCP報文的類型是DHCPDISVOER請求報文時，所述安全防護模塊還用于：

判定接收的所述DHCP報文數量大于第一預設閾值；

分析所述DHCP報文中的MAC地址與IP/TCP二層數據幀中的源MAC地址，得到所述DHCP報文是否非法。

優選地，當所述DHCP報文的類型是合法DHCPDISCOVER請求報文時，所述安全防護模塊還用于：

判定接收的所述合法DHCPDISCOVER報文數量大于第二預設閾值；

根據所述第二預設閾值對所述合法DHCPDISCOVER報文數量進行限速。

優選地，當所述DHCP報文的類型是DHCPREQUEST或DHCPINFORM報文時，所述安全防護模塊還用于：

判定在IP地址租賃期內收到的所述DHCP報文數量大于第三預設閾值；

根據所述第三預設閾值對所述租賃期內的DHCP報文數量進行限速。

本發明提供的一種基于DHCP服務器非法報文安全防護的方法及系統，與現有技術相比，通過對不同的非法報文有針對性的進行安全防護，將不符合安全防護機制的報文丟棄，可以提高DHCP服務器的安全性、穩定性，從而能夠提供更健壯的DHCP服務。

附圖說明

圖1為本發明DHCP服務器的結構示意圖；

圖2為本發明DHCP報文數據的流程圖；

圖3為本發明一優選實施例的方法流程示意圖；

圖4為本發明另一優選實施例的方法流程示意圖；

圖5為本發明另一優選實施例的方法流程示意圖；

圖6為本發明另一優選實施例的方法流程示意圖；

圖7為本發明另一優選實施例的方法流程示意圖；

圖8為本發明另一優選實施例的系統結構示意圖。

具體實施方式

為使本領域技術人員更好地理解本發明的技術方案，下面結合附圖和具體實施方式對本發明作進一步詳細描述。

參照圖1所示，本發明中的DHCP服務器在模塊劃分上包括DHCP GUARD(DHCP防御)和DHCP CORE(DHCP核心)兩個部分，兩個部分相互依存提供DHCP服務。

其中，DHCP GUARD監聽67端口，對各種接收的DHCP報文進行篩選、拆包檢查，檢查通過后發送給DHCP CORE進行報文處理。

DHCP CORE監聽3076端口，只提供核心DHCP服務，分配IP地址，下發網絡配置。DHCP CORE監聽端口也可以設置為其他不被占用的服務端口，其使用的是內部監聽端口，可以進行自由設定。

參照圖2所示，DHCP報文進入DHCP GUARD后進行非法與合法的判斷，若DHCP報文合法，則發送至DHCP CORE進行處理，若DHCP報文非法，則將該DHCP報文丟棄。

參照圖3所示，在本發明一優選的實施例中提供了一種基于DHCP服務器非法報文安全防護的方法，包括DHCP GUARD和DHCP CORE，涉及的方法如下：

S310、DHCP GUARD接收局域網中的DHCP報文。

其中，DHCP報文包括各種類型的報文，如DHCP殘缺報文、DHCPDISCOVER非法請求報文、DHCP協議報文、DHCPREQUEST報文和DHCPINFORM報文等。

合法的DHCP報文是保證DHCP服務器提供給客戶端正常的DHCP服務的必要因素。非法的DHCP報文對DHCP服務的安全性造成很大的威脅。

S320、根據DHCP報文的不同類型，選擇預設的安全防護機制對DHCP報文進行篩選。

針對不同的DHCP報文類型，會有不同的安全防護機制來對其進行檢查和篩選。

S330、若DHCP報文符合預設的安全防護機制，則將DHCP報文發送至DHCP CORE，若否，則丟棄DHCP報文。

若DHCP報文符合相應的安全防護機制，則將合法的DHCP報文發送至DHCP CORE進行處理，DHCP CORE對DHCP報文進行響應回復，提供基礎核心的DHCP功能。

若DHCP報文不符合相應的安全防護機制，則丟棄該DHCP報文。

本發明實施例提供的一種基于DHCP服務器非法報文安全防護的方法，通過對非法的DHCP報文進行檢查和篩選，可以增加DHCP服務器的安全性和穩定性，進一步提高DHCP服務器的健壯性。

參照圖4所示，在本發明的另一優選實施例中，提供了一種基于DHCP服務器非法報文安全防護的方法，包括DHCP GUARD和DHCP CORE，涉及如下步驟：

S410、DHCP GUARD接收局域網中的DHCP協議報文。

該DHCP協議報文需要在數據結構格式和內容上符合RFC2131協議的定義，因此可能是正常的數據報文，也可能是殘缺的數據報文。

S420、獲取RFC2131協議定義的報文數據結構。

RFC2131協議中定義的報文數據結構校驗DHCP協議報文總格式和內容的依據。

S430、根據報文數據結構對DHCP協議報文進行結構完整性和一致性校驗。

需要注意的是，校驗的對象是源報文的副本，不對原報文進行附加信息的重新封裝。

S440、若DHCP協議報文符合協議定義，則發送至DHCP CORE進行處理，若否，則丟棄該DHCP協議報文。

若DHCP協議報文的數據結構符合RFC2131協議的定義，則該報文的數據結構具有完整性和一致性，可以將其發送至DHCP CORE進行響應處理。

若DHCP協議報文的數據結構不滿足完整性或者一致性的協議定義，則丟棄該DHCP協議報文。

本發明實施例提供的一種基于DHCP服務器非法報文安全防護的方法，通過檢查DHCP協議報文的是否符合RFC2131協議的數據結構的定義，可以將合法的報文發送至DHCP CORE響應處理，進一步提高DHCP服務器的健壯性。

參照圖5所示，在本發明的另一優選實施例中，提供了一種基于DHCP服務器非法報文安全防護的方法，包括DHCP GUARD和DHCP CORE，涉及的步驟如下：

S510、DHCP GUARD接收局域網中的DHCPDISCOVER請求報文。

其中，DHCPDISCOVER請求報文是用于獲取IP地址的報文。

DHCP GUARD在短時間內接收到大量DHCPDISCOVER請求報文來請求分配IP地址時，會觸發DHCP GUARD的安全防護機制。

S520、判定接收的DHCPDISCOVER請求報文數量大于第一預設閾值。

具體地，第一預設閾值為每秒接收到大于1000個DHCPDISCOVER請求報文。

S530、分析DHCPDISCOVER請求報文中的MAC地址與IP/TCP二層數據幀中的源MAC地址是否一致。

當觸發DHCP服務器判斷DHCPDISCOVER報文是否為非法攻擊報文時，DHCP GUARD需要對該報文進行深度的拆包檢查，進一步分析DHCP協議封裝的數據報文和UDP數據報文。具體地，判斷DHCP協議封裝的MAC地址與IP/TCP二層數據幀中的源MAC地址是否一致。

S540、若上述MAC地址一致，則DHCPDISCOVER報文合法，發送至DHCP CORE核心服務進行處理，若否，則丟棄。

若DHCP協議封裝的MAC地址與IP/TCP二層數據幀中的源MAC地址是一致的，則表明該DHCP報文不是非法攻擊報文，轉而發送至DHCP COER進行核心服務的處理。若不一致，則判定該DHCP報文是非法的，將其丟棄。

本發明實施例提供的一種基于DHCP服務器非法報文安全防護的方法，通過對大量DHCPDISCOVER請求報文拆包檢測，進一步判斷是否是非法攻擊報文，從而進一步提高DHCP服務器的健壯性。

參照圖6所示，在本發明另一優選的實施例中，提供了一種基于DHCP服務器非法報文安全防護的方法，包括DHCP GUARD和DHCP CORE，涉及的步驟如下：

S610、DHCP GUARD接收局域網中的合法DHCPDISCOVER請求報文。

其中，DHCPDISCOVER報文用于獲取IP地址的分配，合法的DHCPDISCOVER報文是客戶端正常發起的用于獲取DHCP服務的請求報文。

S620、判定接收的合法DHCPDISCOVER報文數量大于第二預設閾值。

由于DHCP服務器的處理容量有限，如果在短時間內接收到大量的DHCPDISCOVER報文，不管是合法還是非法的，首先會對DHCP服務器造成巨大的負荷，影響正常的服務器性能，其次還可能造成處理數據的紊亂。

基于上述情況，需要監聽接收的合法DHCPDISCOVER報文的數量。其中，第二預設閾值指的是每秒1500個DHCPDISCOVER報文。

S630、根據第二預設閾值對合法DHCPDISCOVER報文數量進行限速。

根據S620中的第二預設閾值對合法DHCPDISCOVER報文數量進行限速。當合法DHCPDISCOVER報文數量超過每秒1500個時，只接收1500個范圍內的；當不超過每秒1500個時，則不進行限速。

S640、第二預設閾值內的DHCPDISCOVER報文發送至DHCP CORE進行處理，超過第二預設閾值的DHCPDISCOVER報文丟棄。

對限速所得的DHCPDISCOVER報文按照正常的處理流程發送至DHCP COER核心服務，對于其他部分則丟棄，不進行處理。

本發明實施例提供了一種基于DHCP服務器非法報文安全防護的方法，通過對合法DHCPDISCOVER報文進行限速，可以保證DHCP服務器的穩定性和數據處理的有序性，同時可以有效的避免DHCP地址耗盡，進一步保障DHCP核心服務提供穩定的DHCP服務。

參照圖7所示，在本發明另一優選的實施例中，提供了一種基于DHCP服務器非法報文安全防護的方法，包括DHCP GUARD和DHCP CORE，涉及的步驟如下：

S710、DHCP GUARD接收局域網中的DHCPREQUEST報文或DHCPINFORM報文。

其中，主機發送DHCPREQUEST數據包，服務器請求分配已提供的IP地址的配置參數。

DHCP客戶端可向DHCP服務器發送DHCPINFORM報文請求已有IP地址的配置參數。

S720、判定在IP地址租賃期內收到的DHCP報文數量大于第三預設閾值。

DHCP服務器只能將IP地址分配給DHCP客戶端一定時間，在該租賃周期后，DHCP客戶端必須對該IP地址進行更新。

其中，租賃期指的是在租賃周期中活躍狀態的那一部分，具體時間可以設定為1/2租賃周期至7/8租賃周期內。

其中，第三預設閾值指的是每秒2000個報文。

判定在該租賃期內收到上述DHCP報文數量是否大于第三預設閾值。

S730、根據第三預設閾值對租賃期內的DHCP報文數量進行限速。

DHCP服務器根據第三預設閾值的設置，對超過第三預設閾值數量的DHCP進行限速。如果沒有超過第三預設閾值，則無須進行限速。

S740、第三預設閾值內的DHCP報文發送至DHCP CORE進行處理，超過第三預設閾值的DHCP報文丟棄。

DHCP服務器將限速所得的2000個DHCP報文發送至DHCP CORE進行處理，多余的部分則丟棄。

本發明實施例提供了一種基于DHCP服務器非法報文安全防護的系統，通過對大量的DHCPREQUEST或DHCPINFORM在租賃期內進行限速，可以保障DHCP核心服務提供穩定的DHCP服務。

參照圖8所示，在本發明另一優選的實施例中，提供了一種基于DHCP服務器非法報文安全防護的系統，包括DHCP GUARD模塊和DHPC COER模塊，還包括：

接收模塊810，用于DHCP GUARD接收局域網中的DHCP報文；

安全防護模塊820，用于根據DHCP報文的不同類型，選擇預設的安全防護機制對DHCP報文進行篩選；

處理模塊830，用于若DHCP報文符合預設的安全防護機制，則將DHCP報文發送至DHCP CORE，若否，則丟棄DHCP報文。

可選的，當DHCP報文的類型是DHCP協議報文時，安全防護模塊820還用于：

獲取RFC2131協議定義的報文數據結構；

根據報文數據結構對DHCP協議報文進行結構完整性和一致性校驗。

可選的，當DHCP報文的類型是DHCPDISVOER請求報文時，安全防護模塊820還用于：

判定接收的DHCP報文數量大于第一預設閾值；

分析DHCP報文中的MAC地址與IP/TCP二層數據幀中的源MAC地址，得到DHCP報文是否非法。

可選的，當DHCP報文的類型是合法DHCPDISCOVER請求報文時，安全防護模塊820還用于：

判定接收的合法DHCPDISCOVER報文數量大于第二預設閾值；

根據第二預設閾值對合法DHCPDISCOVER報文數量進行限速。

可選的，當DHCP報文的類型是DHCPREQUEST或DHCPINFORM報文時，安全防護模塊820還用于：

判定在IP地址租賃期內收到的DHCP報文數量大于第三預設閾值；

根據第三預設閾值對租賃期內的DHCP報文數量進行限速。

本發明實施例提供了一種基于DHCP服務器非法報文安全防護的系統，通過安全防護模塊820對非法報文的防護，可以使得DHCP服務器更健壯的提供DHCP服務，減少因為服務器失效而產生無法提供服務的可能性。

可以理解的是，以上實施方式僅僅是為了說明本發明的原理而采用的示例性實施方式，然而本發明并不局限于此。對于本領域內的普通技術人員而言，在不脫離本發明的精神和實質的情況下，可以做出各種變型和改進，這些變型和改進也視為本發明的保護范圍。