技術領域

本發明涉及網絡通信領域中利用授權地址解析協議(ARP：AddressResolution?Protocol)信息防止攻擊的技術，具體涉及一種防止授權ARP信息丟失的方法、系統、接入交換機和動態主機配置協議(DHCP，Dynamic?HostConfiguration?Protocol)中繼。?

背景技術

隨著網絡規模的擴大和網絡復雜度的提高，網絡配置越來越復雜，經常出現計算機位置變化(如便攜機或無線網絡)和計算機數量超過可分配的互聯網協議(IP)地址的情況。DHCP就是為滿足這些需求而發展起來的。DHCP采用客戶端/服務器通信模式，由DHCP服務器為提出地址分配申請的DHCP客戶端分配IP地址等信息，以實現IP地址等信息的動態配置。?

對于DHCP客戶端和DHCP服務器處于不同子網的情況，為了使得位于不同子網的DHCP客戶端可以訪問同一DHCP服務器，以節省成本和便于管理，還需要借助DHCP中繼在DHCP客戶端和DHCP服務器之間傳遞信息。圖1為現有技術中DHCP客戶端通過DHCP中繼向DHCP服務器申請地址的組網圖，如圖1所示，DHCP服務器可以為多個，從而相互備份。DHCP客戶端申請地址的流程如圖2所示，具體步驟如下：?

步驟201：DHCP客戶端以廣播形式發送DHCP發現(DISCOVER)報文。?

步驟202：DHCP中繼收到DHCP?DISCOVER報文后，根據DHCP服務器地址，以單播形式向DHCP服務器轉發DHCP?DISCOVER報文。如果有多個DHCP服務器，則同時轉發給這多個DHCP服務器。?

步驟203：接收到DHCP?DISCOVER報文的DHCP服務器根據自身與地址分配相關的配置，為請求地址分配的DHCP客戶端分配一個可用的IP地址，然后向DHCP中繼回應DHCP?OFFER報文，該報文中攜帶分配的IP地址。?

步驟204：DHCP中繼將收到的DHCP?OFFER報文轉發給DHCP客戶端。?

步驟205：DHCP客戶端收到DHCP?OFFER報文后，根據報文中提供的可用IP，選定自身希望使用的IP地址，然后以廣播形式向DHCP中繼發送DHCP請求(REQUEST)報文，該DHCP?REQUEST報文攜帶選定的IP地址和DHCP客戶端的媒體接入控制(MAC)地址。?

步驟206：DHCP中繼收到DHCP?REQUEST報文后，將報文轉發給DHCP服務器。?

步驟207：DHCP服務器收到DHCP?REQUEST報文后，根據DHCPREQUEST報文中攜帶的IP地址，再次確認該IP地址是否仍然允許分配給DHCP客戶端，若是，則向DHCP客戶端返回DHCP?ACK(確認響應)報文，該DHCP?ACK報文中攜帶分配給DHCP客戶端的IP地址以及DHCP客戶端使用的MAC地址。?

步驟208：DHCP中繼將收到的DHCP?ACK報文轉發給DHCP客戶端。?

步驟209：DHCP客戶端收到ACK報文后，將DHCP服務器分配的IP地址設置到網卡，開始正常通信。?

目前DHCP協議已被廣泛應用。同時，也出現了一些針對DHCP協議的攻擊，例如典型的DHCP耗竭攻擊。DHCP耗竭攻擊是網絡攻擊者向DHCP服務器廣播大量攜帶偽造MAC地址的DHCP?REQUEST報文，使得DHCP服務器所提供的地址空間在一段時間內很快被耗竭的攻擊形式。當合法用戶請求DHCP?IP地址的時候，由于沒有可用IP地址，造成合法用戶不能得到IP地址，從而無法訪問網絡。?

為了避免DHCP攻擊，目前采用授權ARP(Authorized?ARP)表項實現?DHCP客戶端的合法性驗證。其中，授權ARP表項是ARP表的一部分，在ARP表中，還包括靜態ARP表項和動態ARP表項。當表項重復時，靜態ARP表項可以覆蓋授權ARP表項，授權ARP表項可以覆蓋動態ARP表項，反之則不行。ARP表的主要內容為IP地址和MAC地址的對應關系，該對應關系是轉發流量的關鍵信息，而授權ARP表項還是合法性驗證的依據。?