技術領域

本發明涉及網絡安全技術，尤其涉及一種DHCP防攻擊方法及裝置。

背景技術

IP網絡是目前也是未來相當長一段時間內最為流行的網絡組織方式。IP網絡中的所有設備如果要同其它設備通信，就必須有唯一的身份，即IP地址。目前給設備配置IP地址的方法有PPP協議的自協商方式、用戶自己配置、管理員統一分配配置方式，但是這些配置方式存在著共同缺陷，即需要管理員針對每個設備進行配置。當網絡規模較大及拓撲結構復雜或者網絡拓撲結構動態變化頻繁時，或者許多終端設備需要更多的啟動配置信息時，管理員的配置工作將力不從心，于是新的終端設備配置方式應運而生，即DHCP（Dynamic?Host?Configuration?Protocol）動態主機配置協議。該協議采用CS模式（客戶端-服務器模式），DHCP服務器集中管理IP地址等網絡配置信息，DHCP客戶端從DHCP服務器請求各自配置信息，從而實現網絡設備的自動配置。

然而如果網絡中存在非法DHCP服務器，其可能會提供虛假配置信息，由于DHCP客戶端沒有采取任何安全措施，很可能綁定到錯誤的配置信息，導致設備不能正常訪問網絡；甚至可能引發泄密等風險。

發明內容

有鑒于此，本發明提供一種DHCP防攻擊裝置，應用于作為DHCP客戶端的網絡設備上，該裝置包括信息緩存單元以及比較分析單元，其中：

信息緩存單元，用于保存DHCP客戶端接收到的DHCP?Offer報文和/或DHCP?ACK報文攜帶的信息，其中該信息至少包括報文的源IP地址以及服務器標識；

比較分析單元，用于比較同一個報文的源IP地址與服務器標識是否一致，如果不一致則確定該報文是攻擊者發送的。

本發明還提供一種DHCP防攻擊方法，應用于作為DHCP客戶端的網絡設備上，該方法包括以下步驟：

A、保存DHCP客戶端接收到的DHCP?Offer報文和/或DHCP?ACK報文攜帶的信息，其中該信息至少包括報文的源IP地址以及服務器標識；

B、比較同一個報文的源IP地址與服務器標識是否一致，如果不一致則確定該報文是攻擊者發送的。

本發明充分利用DHCP交互過程的特點來防范DHCP攻擊，通過各種手段大幅度降低了DHCP客戶端被攻擊的可能性。即便攻擊者的DHCP?ACK報文被DHCP客戶端所接受，本發明仍然有一種或多種的輔助手段來幫助用戶識別出攻擊行為。

附圖說明

圖1是一個典型的DHCP的交互過程示意圖。

圖2是本發明一種實施方式中DHCP防攻擊裝置的邏輯結構圖。

具體實施方式

請參考圖1，一般情況下，需要進行配置的網絡設備可以通過與DHCP服務器進行兩次報文交互實現自身配置。本發明所說的網絡設備并非狹義的交換機及路由器等設備，而是涵蓋一切網絡中所有需要獲取IP地址以及相關網絡配置的節點。在與DHCP服務器交互的過程中，首先作為DHCP客戶端的網絡設備向網絡中發送廣播的DHCP?Discover報文，攜帶DHCP客戶端關心的配置信息列表，DHCP服務器根據DHCP客戶端請求的配置信息列表，在DHCP?Offer報文填充自身管理的IP地址資源及其它配置信息，以廣播（多數情況）或者單播（少數情況）的方式回送給DHCP客戶端。

由于網絡中可能存在多個DHCP服務器，因此DHCP客戶端可能會收到多個DHCP?Offer報文。DHCP客戶端可以從中選取某個DHCP服務器發送DHCP?Offer報文（通常是第一個到達的DHCP?Offer報文）。接下來DHCP客戶端構建DHCP?Request報文，指定服務器標識（一般是DHCP服務器的IP地址），向網絡中廣播此報文，這樣網絡中多個DHCP服務器都可能會受到只有匹配上服務器標識的DHCP服務器才會回應一個DHCP?ACK報文（報文內容基本等同于DHCP?Offer報文），DHCP客戶端以此報文內容綁定配置信息，完成自身配置。

本發明利用DHCP交互過程的特點來協助網絡設備檢測出DHCP攻擊。請參考圖2，以計算機程序實現為例，本發明一種實施方式中的DHCP防攻擊裝置包括：信息緩存單元以及分析比較單元；該裝置運行于作為DHCP客戶端的網絡設備上，且在客戶端一次DHCP過程中執行如下步驟：