[发明专利]基于解析DHCP报文实现防IP地址欺诈的方法

权利要求书

1.一种基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于，包括如下步骤：

S1.光网络终端将其转发的DHCP报文捕获至CPU，解析注册的DHCP报文，获取光网络终端下联用户获取的用户IP地址IP_N，所述用户IP地址IP_N为用户和DHCP服务器IP租约正式生效时的IP地址；

S2.光网络终端将所述用户IP地址IP_N产生访问控制列表，绑定到合法端口，同时设置拦截来自其余用户端口、源IP地址为用户IP地址IP_N的报文。

2.如权利要求1所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：用户使用DHCP协议第一次获取IP地址，用户首先发送一个DHCP发现报文，网络上多台DHCP服务器回复给用户DHCP回复报文，用户挑选其中一个DHCP回复报文，并向网络发送一个DHCP请求报文，通知所有DHCP服务器它将指定接受所挑选的那台DHCP服务器提供的IP地址租约。

3.如权利要求2所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：当DHCP服务器接收到用户发送的DHCP请求报文后，回复一个DHCP响应报文，确认用户的一个IP租约正式生效；当用户收到DHCP服务器回复的DHCP响应报文，表明IP租约正式生效，此时的IP地址为用户IP地址IP_N。

4.如权利要求3所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：所述步骤S1的详细步骤为：

S11.解析出DHCP请求报文，记录DHCP请求报文中的用户请求序列号ID_n，同时获取DHCP请求报文的用户端口号Port_n，生成一个 用户序列号-用户端口号表项，添加到一个记录表中；

S12.解析出DHCP响应报文，记录DHCP响应报文中的用户响应序列号ID_m、用户IP地址IP_N及其租用时间T_n，查找所述记录表中是否存在与用户响应序列号ID_m相同的用户请求序列号ID_n，若存在，将用户IP地址IP_N和租用时间T_n添加到所述记录表中，在记录表中生成完整的表项，其包含相互匹配的用户端口号Port_n、用户请求序列号ID_n、用户IP地址IP_N和租用时间T_n。

S13.解析DHCP释放报文，记录其中的IP地址，查找所述记录表中是否有与IP地址相匹配的用户IP地址IP_N表项，如果有，则删除此用户IP地址IP_N表项；

S14.定时刷新所述记录表中的表项，查看是否有租用时间到期的用户IP地址IP_N，如果有，则删除此用户IP地址IP_N表项。

5.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：所述第一次获取IP地址后，整个DHCP协议期间，用户和DHCP服务器之间的DHCP协议交互，依然通过发送DHCP请求报文给DHCP服务器，均使用用户请求序列号ID_n标识。

6.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：所述用户在发送DHCP请求报文后，若得不到回应，则重复发送多次DHCP请求报文，但多次发送的DHCP请求报文的用户请求序列号ID_n相同，保存用户请求序列号ID_n时要判断用户端口列表中是否已保存此次记录，如果保存了此次记录，则无需再保存。

7.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法，其特征在于：在生成用户端口号Port_n的合法用户IP地址IP_N表项的时候，要判断该表项是否存在，若存在，则刷新这个表项的租 用时间T_n，若不存在，则增加新的用户IP地址IP_N的表项。