[发明专利]一种DHCP防攻击方法及装置

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种DHCP防攻击方法及装置。

背景技术

IP网络是目前也是未来相当长一段时间内最为流行的网络组织方式。IP网络中的所有设备如果要同其它设备通信，就必须有唯一的身份，即IP地址。目前给设备配置IP地址的方法有PPP协议的自协商方式、用户自己配置、管理员统一分配配置方式，但是这些配置方式存在着共同缺陷，即需要管理员针对每个设备进行配置。当网络规模较大及拓扑结构复杂或者网络拓扑结构动态变化频繁时，或者许多终端设备需要更多的启动配置信息时，管理员的配置工作将力不从心，于是新的终端设备配置方式应运而生，即DHCP（Dynamic Host Configuration Protocol）动态主机配置协议。该协议采用CS模式（客户端-服务器模式），DHCP服务器集中管理IP地址等网络配置信息，DHCP客户端从DHCP服务器请求各自配置信息，从而实现网络设备的自动配置。

然而如果网络中存在非法DHCP服务器，其可能会提供虚假配置信息，由于DHCP客户端没有采取任何安全措施，很可能绑定到错误的配置信息，导致设备不能正常访问网络；甚至可能引发泄密等风险。

发明内容

有鉴于此，本发明提供一种DHCP防攻击装置，应用于作为DHCP客户端的网络设备上，该装置包括信息缓存单元以及比较分析单元，其中：

信息缓存单元，用于保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息，其中该信息至少包括报文的源IP地址以及服务器标识；

比较分析单元，用于比较同一个报文的源IP地址与服务器标识是否一致，如果不一致则确定该报文是攻击者发送的。

本发明还提供一种DHCP防攻击方法，应用于作为DHCP客户端的网络设备上，该方法包括以下步骤：

A、保存DHCP客户端接收到的DHCP Offer报文和/或DHCP ACK报文携带的信息，其中该信息至少包括报文的源IP地址以及服务器标识；

B、比较同一个报文的源IP地址与服务器标识是否一致，如果不一致则确定该报文是攻击者发送的。

本发明充分利用DHCP交互过程的特点来防范DHCP攻击，通过各种手段大幅度降低了DHCP客户端被攻击的可能性。即便攻击者的DHCP ACK报文被DHCP客户端所接受，本发明仍然有一种或多种的辅助手段来帮助用户识别出攻击行为。

附图说明

图1是一个典型的DHCP的交互过程示意图。

图2是本发明一种实施方式中DHCP防攻击装置的逻辑结构图。

具体实施方式

请参考图1，一般情况下，需要进行配置的网络设备可以通过与DHCP服务器进行两次报文交互实现自身配置。本发明所说的网络设备并非狭义的交换机及路由器等设备，而是涵盖一切网络中所有需要获取IP地址以及相关网络配置的节点。在与DHCP服务器交互的过程中，首先作为DHCP客户端的网络设备向网络中发送广播的DHCP Discover报文，携带DHCP客户端关心的配置信息列表，DHCP服务器根据DHCP客户端请求的配置信息列表，在DHCP Offer报文填充自身管理的IP地址资源及其它配置信息，以广播（多数情况）或者单播（少数情况）的方式回送给DHCP客户端。

由于网络中可能存在多个DHCP服务器，因此DHCP客户端可能会收到多个DHCP Offer报文。DHCP客户端可以从中选取某个DHCP服务器发送DHCP Offer报文（通常是第一个到达的DHCP Offer报文）。接下来DHCP客户端构建DHCP Request报文，指定服务器标识（一般是DHCP服务器的IP地址），向网络中广播此报文，这样网络中多个DHCP服务器都可能会受到只有匹配上服务器标识的DHCP服务器才会回应一个DHCP ACK报文（报文内容基本等同于DHCP Offer报文），DHCP客户端以此报文内容绑定配置信息，完成自身配置。

本发明利用DHCP交互过程的特点来协助网络设备检测出DHCP攻击。请参考图2，以计算机程序实现为例，本发明一种实施方式中的DHCP防攻击装置包括：信息缓存单元以及分析比较单元；该装置运行于作为DHCP客户端的网络设备上，且在客户端一次DHCP过程中执行如下步骤：