[发明专利]一种防止DHCP服务器欺骗的方法、装置及系统

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种防止DHCP服务器欺骗的方法、装置及系统。

背景技术

随着网络规模的扩大和网络复杂程度的提高，网络配置越来越复杂，经常出现计算机位置变化和计算机数量超过可分配的IP地址的情况。动态主机分配协议(Dynamic Host Configuration Protocol，DHCP)就是为了满足这些需求而发展起来的，在网络规模较大的情况下，通常采用DHCP服务器来完成IP的分配。

动态主机分配协议是一个局域网的网络协议，使用UDP协议(User Datagr am Protocol，用户数据包协议)工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户和给内部网络管理员作为对所有计算机作中央管理的手段。

为了防止非法设置DHCP服务器，一般在交换机中开启DHCP侦听(DHCP SNOOPING)功能，DHCP SNOOPING功能指交换机监测DHCP客户端通过DHCP协议获取IP的过程。它通过设置可信端口和非可信端口，来防止DHCP攻击及私设DHCP服务器。从可信端口接收的DHCP报文无需校验即可转发。典型的设置是将可信端口连接DHCP服务器或者DHCP中继代理。非可信端口连接DHCP客户端，交换机将转发从非可信端口接收的DHCP请求报文，不转发从非可信端口接收的DHCP回应报文。如果从非可信端口接收DHCP回应报文，除了发出告警信息外，并可根据设置对该端口执行不同的动作，比如关闭该端口(Shutdown该端口)，下发黑洞地址(BLACKHOLE MAC)等。但是启用DHCP SNOOPING来防止私设DHCP服务器是一种被动的行为，而且其判断DHCP服务器非法的条件相对简单，不能满足复杂网络中的需求。

现有技术中公开号为CN 101834870A的发明专利公开了“一种防止MAC地址欺骗攻击的方法和装置”，该方法包括：交换设备在接收到用户终端发送的非动态主机配置协议DHCP报文时，基于预先配置的静态MAC地址表，检测所述非DHCP报文的合法性，当所述非DHCP报文不合法时，丢弃该报文。该方法防止了接入设备的MAC地址欺骗，并有效避免了交换设备上的MAC地址协议发生迁移，造成数据转发紊乱，使用户遭受攻击的情况。

现有技术中基于预先配置的静态MAC地址表或MAC地址与IP地址绑定，来对用户终端的非DHCP报文进行过滤，通过对报文的源MAC地址合法性检查，防止接入设备的MAC地址欺骗，也属于一种被动的防止MAC地址欺骗的方法，而且该判断方法较复杂，亟需一种简单、易于实现、能够主动探测发现非法DHCP服务器的方法，能够有效解决网络中DHCP服务器欺骗行为。

发明内容

为克服现有技术中存在的缺陷和不足，本发明提出一种防止DHCP服务器欺骗的方法、装置及系统，有效的解决了在网络中私设DHCP服务器的行为，确保用户获取合法IP地址，保证了网络的安全性。

本发明公开一种防止DHCP服务器欺骗的方法，该方法包括如下步骤：

S1：交换机预先配置满足合法DHCP服务器的特征，下发DHCP报文重定向至交换机中央处理模块的规则；

S2：交换机的每个端口构建DHCP DISCOVERY报文，并将报文从构建端口发送给DHCP服务器，服务器返回DHCP OFFER报文给交换机；

S3：交换机接收到DHCP OFFER报文，与预先配置好的合法DHCP服务器特征进行匹配；

S4：根据步骤S3的匹配结果，采取不同的防护措施，从而主动防止DHCP服务器欺骗。

进一步地，所述合法DHCP服务器的特征包括DHCP服务器连接端口、所属虚拟局域网号、IP地址或MAC地址。

进一步地，所述步骤S1中交换机接收到DHCP报文后，将DHCP报文重定向至交换机的中央处理模块，由中央处理模块进行解析和转发。

进一步地，步骤S2中对交换机的每一个物理端口，构建DHCP DISCOVERY报文，将报文从构建端口发送给DHCP服务器，并记录DHCP请求对话。

进一步地，步骤S3中交换机接收到DHCP OFFER报文，中央处理模块对该报文进行解析，记录接收报文的端口，根据解析结果与合法DHCP服务器的特征进行匹配。

进一步地，步骤S4中如DHCP OFFER报文解析结果为本次DHCP请求对话的回应，并且与合法DHCP服务器的特征匹配，则不再发送DHCP REQUEST，并且丢弃该DHCP OFFER报文。