[发明专利]一种基于DHCP服务器非法报文安全防护的方法及系统

说明书

本发明提供一种基于DHCP服务器非法报文安全防护的方法及系统，属于IP地址分配和管理安全防护技术领域，该方法应用于包括DHCP GUARD和DHCP CORE的DHCP服务器，涉及的方法如下：所述DHCP GUARD接收局域网中的DHCP报文；根据所述DHCP报文的不同类型，选择预设的安全防护机制对所述DHCP报文进行筛选；若所述DHCP报文符合所述预设的安全防护机制，则将所述DHCP报文发送至所述DHCP CORE，若否，则丢弃所述DHCP报文。本发明的技术方案能够提高DHCP服务器的安全性和稳定性，使DHCP服务器更健壮的提供DHCP服务，减少因服务器失效而产生无法提供服务的可能性。

技术领域

本发明属于计算机IP地址分配和管理安全防护技术领域，具体涉及一种基于DHCP服务器非法报文安全防护的方法及系统。

背景技术

Dynamic Host Configuration Protocol，简称DHCP，是用UDP协议工作的局域网网络协议。随着无线移动设备的大量接入，DHCP服务器的稳定性、安全性变的更加严峻。

DHCP服务器会大量的收到不符合RFC2131协议的残缺数据报文；恶意攻击的非法DHCPDISCOVER报文；不确定因素导致的合法的DHCPDISCOVER报文；客户端发送的DHCPREQUEST、DHCPINFORM查询报文。上述各种报文如果出现非正常的报文，则会对DHCP服务的安全性造成巨大的威胁。

发明内容

为解决上述DHCP安全性问题，本发明提供一种基于DHCP服务器非法报文安全防护的方法及系统，其可以实现对局域网中非法报文的及时筛选和处理。

本发明提供一种基于DHCP服务器非法报文安全防护的方法，其特征在于，该方法应用于包括DHCP GUARD和DHCP CORE的DHCP服务器，涉及的方法如下：

所述DHCP GUARD接收局域网中的DHCP报文；

根据所述DHCP报文的不同类型，选择预设的安全防护机制对所述DHCP报文进行筛选；

若所述DHCP报文符合所述预设的安全防护机制，则将所述DHCP报文发送至所述DHCP CORE，若否，则丢弃所述DHCP报文。

优选地，当所述DHCP报文的类型是DHCP协议报文时，

获取RFC2131协议定义的报文数据结构；

根据所述报文数据结构对所述DHCP协议报文进行结构完整性和一致性校验。

优选地，当所述DHCP报文的类型是DHCPDISCOVER请求报文时，

判定接收的所述DHCP报文数量大于第一预设阈值；

分析所述DHCP报文中的MAC地址与IP/TCP二层数据帧中的源MAC地址，得到所述DHCP报文是否非法。

优选地，当所述DHCP报文的类型是合法DHCPDISCOVER请求报文时，

判定接收的所述合法DHCPDISCOVER报文数量大于第二预设阈值；

根据所述第二预设阈值对所述合法DHCPDISCOVER报文数量进行限速。

优选地，当所述DHCP报文的类型是DHCPREQUEST或DHCPINFORM报文时，

判定在IP地址租赁期内收到的所述DHCP报文数量大于第三预设阈值；

根据所述第三预设阈值对所述租赁期内的DHCP报文数量进行限速。

本发明提供一种基于DHCP服务器非法报文安全防护的系统，其特征在于，包括DHCP GUARD模块和DHPC COER模块，还包括：