[发明专利]一种基于DHCP旁路阻断方法

说明书

技术领域

本发明涉及计算机网络安全领域，具体地说，是在特定场所，特别是公共场所的局域网内对特定的上网机实施有效的网络阻断，阻止其任何网络服务。

背景技术

对于公共场所或非经营场所的局域网，一般采取一定的措施来阻断局域网内的上网机，就是设置防火墙，建立过滤表。这种措施采用的方法是：在网络的边界安装防火墙等访问控制设备。防火墙的作用是设置一定的访问权限，只有访问权限之内的用户才能够通过防火墙进行访问，如果不在访问权限之内，就被防火墙档住。这种方法的缺点是：只能实现预设的上网机的阻断，无法对上网机实现实时阻断；便携性差，无法满足客户需求。

为了实现对特定场所的局域网内的上网机的阻断，采用的方式一般是旁路阻断，并一般有两种方式：一是通过TCP协议的特性，对TCP连接实施阻断。这种方法的缺点是只能对基于TCP协议的网络应用产生效果，而对基于UDP协议的网络应用无能为力。并且，随着科技的发展，各种网络应用层出不穷，很多网络应用能很好的解决TCP协议的某些特性，从而使得连接能够顺利执行。另一种方法是通过ICMP协议，向特定上网机发送阻断信息，从而实现阻断相应的网络连接。这种方法的缺点除了很多网络应用能够忽略ICMP信息，继续建立连接外，还较大程度的增加了网络负载，使得网络性能下降。

动态主机设置协议（Dynamic Host Configuration Protocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

无论是动态分配的IP还是手动配置的IP均要通过DHCP服务器对IP进行认证。根据检索结果，在本领域中还未有使用DHCP网络协议来监控局域网上的计算机，并对其实施阻断的方法。

发明内容

本发明的目的是提供一种通过旁路实时阻断局域网内特定上网机的网络服务内容，并阻断其所有网络服务的方法。

为实现上述目的，本发明的解决方案是：

一种基于DHCP旁路阻断方法，其步骤包括：

1）在需要监控的DHCP网段中设置具有镜像接口的交换机，得到该DHCP网段中所有上网机的数据包；

2）对所述数据包进行处理得到上网机的MAC地址并与用户自定义的安全机上网名单进行对比，找出不安全上网机；

3）当所述不安全上网机发包进行接入网络请求时，根据所述入网请求方式处理发包，伪造DHCPACK包或者DHCPOFFER包，对所述不安全上网机进行阻断。

所述入网请求方式为采用动态获取网络配置信息时，阻断方法如下：

2-1）不安全上网机发送DISCOVER数据包，查找网段中DHCP服务器；

2-2)旁路服务器在所述DHCP服务器发送OFFER前，向该不安全上网机发送伪造DHCPOFFER包；

2-3)所述不安全上网机向旁路服务器发送request包请求网络配置，所述旁路服务器截获request包之后，根据截获的request包信息伪造DHCP ACK包，同时分配一个已经存在的IP地址给该不安全上网机；

2-4)所述不安全上网机在接受到伪造DHCP ACK包后，验证分配IP地址是否存在；

2-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。

所述入网请求方式为手动配置网络信息时，阻断方法如下：

3-1）不安全上网机发送inform包，查找网段中DHCP服务器；

3-2）旁路服务器在所述DHCP服务器发送inform前，向该不安全上网机发送伪造DHCPinform包；

3-3）所述不安全上网机接收到该伪造DHCP inform包向旁路服务器发送request包请求网络配置，所述旁路服务器截获request包之后，根据截获的request包信息伪造DHCP NACK包，

3-4)所述不安全上网机接受到伪造DHCP NACK包后，重新请求IP地址；

3-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。

所述具有镜像接口的交换机中提取的交换机镜像包需满足：包含物理层的数据包。

对于所述上网机两种不同的处理过程可放在同一台旁路服务器单独处理，或分为两台旁路服务器分别处理。