[发明专利]一种基于DHCP旁路阻断方法

权利要求书

1.一种基于DHCP旁路阻断方法，其步骤包括：

1）在需要监控的DHCP网段中设置具有镜像接口的交换机，得到该DHCP网段中所有上网机的数据包；

2）对所述数据包进行处理得到上网机的MAC地址并与用户自定义的安全机上网名单进行对比，找出不安全上网机；

3）当所述不安全上网机发包进行接入网络请求时，根据所述入网请求方式处理发包，伪造DHCPACK包或者DHCPOFFER包，对所述不安全上网机进行阻断。

2.权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述入网请求方式为采用动态获取网络配置信息时，阻断方法如下：

2-1）不安全上网机发送DISCOVER数据包，查找网段中DHCP服务器；

2-2)旁路服务器在所述DHCP服务器发送OFFER前，向该不安全上网机发送伪造DHCP OFFER包；

2-3)所述不安全上网机向旁路服务器发送request包请求网络配置，所述旁路服务器截获request包之后，根据截获的request包信息伪造DHCP ACK包，同时分配一个已经存在的IP地址给该不安全上网机；

2-4)所述不安全上网机在接受到伪造DHCP ACK包后，验证分配IP地址是否存在；

2-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。

3.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述入网请求方式为手动配置网络信息时，阻断方法如下：

3-1）不安全上网机发送inform包，查找网段中DHCP服务器；

3-2）旁路服务器在所述DHCP服务器发送inform前，向该不安全上网机发送伪造DHCP inform包；

3-3）所述不安全上网机接收到该伪造DHCP inform包向旁路服务器发送request包请求网络配置，所述旁路服务器截获request包之后，根据截获的request包信息伪造DHCP NACK包，

3-4)所述不安全上网机接受到伪造DHCP NACK包后，重新请求IP地址；

3-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。

4.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述具有镜像接口的交换机中提取的交换机镜像包需满足：包含物理层的数据包。

5.如权利要求2或3所述的基于DHCP旁路阻断方法，其特征在于，对于所述上网机两种不同的处理过程可放在同一台旁路服务器单独处理，或分为两台旁路服务器分别处理。

6.如权利要求2所述的基于DHCP旁路阻断方法，其特征在于，所述不安全上网机接收伪造DHCP inform包后，该不安全上网机接受第一个到达OFFER包和匹配XID值，丢弃其他发包，直到接受到伪造DHCP ACK包。

7.如权利要求3所述的基于DHCP旁路阻断方法，其特征在于，所述步骤2-5）对于不同的上网机采用不同的处理方式：无法上网，需要再次手动配置网络；或者重新开始DHCP请求过程请求正确的IP地址，所述旁路服务器可采取动态获取网络配置信息实现对不安全上网机阻断。

8.如权利要求2或3所述的基于DHCP旁路阻断方法，其特征在于，所述不安全上网机采用UDP协议广播形式发包。

9.如权利要求2所述的基于DHCP旁路阻断方法，其特征在于，旁路服务器伪造DHCP服务器两种类型的数据包：ACK包和NACK包；所述ACK包的作用为告知所述不安全上网机设置的IP地址及网络配置可以使用，所述NACK包的作用为告知所述不安全上网机设置的IP地址及网络配置不可用，需要重新申请。

10.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，在需要监控的DHCP网段中设置一或多个具有镜像接口的交换机，至少包括一个以上旁路服务器。