技術領域

本發明涉及通信技術領域，特別是涉及了一種防止偽造釋放報文進行攻擊的方法和設備。

背景技術

DHCP（Dynamic?Host?Configuration?Protocol，動態主機配置協議）用于動態地址的分配過程，如圖1所示，為DHCP動態地址申請以及釋放過程的流程示意圖，該過程具體包括：

（1）發現階段，即DHCP客戶端（client）尋找DHCP服務器（server）的階段；其中，DHCP客戶端以廣播方式發送DISCOVER（發現）報文。

（2）提供階段，即DHCP服務器提供IP地址的階段；其中，DHCP服務器接收到DISCOVER報文后，根據IP地址分配的優先次序選出一個IP地址，與其它參數一起通過OFFER（提供）報文發送給DHCP客戶端。

（3）選擇階段，即DHCP客戶端選擇IP地址的階段；其中，如果有多臺DHCP服務器向DHCP客戶端發送OFFER報文，則只接受第一個收到的OFFER報文，然后以廣播方式發送REQUEST（請求）報文，該REQUEST報文中包含DHCP服務器在OFFER報文中分配的IP地址。

（4）確認階段，即DHCP服務器確認IP地址的階段；其中，DHCP服務器收到REQUEST報文后，只有DHCP客戶端選擇的DHCP服務器會進行如下操作：如果確認將地址分配給該DHCP客戶端，則返回ACK（確認）報文；否則返回NAK（否認）報文，表明地址不能分配給該DHCP客戶端。

（5）釋放階段，DHCP客戶端給DHCP服務器發送RELEASE（釋放）報文，釋放其分配的地址。

在上述處理過程中，由于DHCP報文使用UDP（User?Datagram?Protocol，用戶數據報協議）報文，且在DHCP報文中沒有密碼等安全機制，從而導致存在以下問題：（1）虛假DHCP服務器的問題；（2）偽造DHCP客戶端報文進行攻擊的問題，例如，攻擊者通過偽造RELEASE報文，從而導致地址實際被占用，但是DHCP服務器地址池中標記該地址為空閑地址。

為了解決上述問題，可以采用DHCP?snooping（探測）方式，如圖2所示，為DHCP?snooping的組網示意圖，通過在DHCP?Snooping設備上指定trust（信任）端口來解決虛假DHCP服務器的問題；并通過DHCP?snooping設備上記錄的DHCP?Snooping表項來解決偽造DHCP客戶端報文進行攻擊的問題。

具體的，DHCP?snooping設備在接收到來自DHCP客戶端的報文時，檢查本地是否存在與該報文相匹配的DHCP?Snooping表項；若存在對應表項，則當該報文中信息與DHCP?Snooping表項中信息一致時，認為該報文為合法DHCP客戶端的報文；否則，認為該報文為偽造的DHCP客戶端報文。

但是，DHCP?Snooping方式并不能完全防止DHCP客戶端偽造報文攻擊的問題；如圖3所示，為WLAN（Wireless?Local?Area?Networks，無線局域網）環境下的DHCP網絡示意圖，當報文在空中傳播時，任何人都能竊聽到報文，因此導致L2?switch（二層交換機）或者AP1（Access?Point，接入點）/AP2上應用DHCP?Snooping時，都不能有效防止DHCP客戶端偽造報文攻擊。

發明內容

本發明實施例提供一種防止偽造釋放報文進行攻擊的方法和設備，以有效防止DHCP客戶端偽造報文進行攻擊問題，提高網絡的安全性。

為了達到上述目的，本發明實施例提供一種防止偽造釋放報文進行攻擊的方法，應用于包括接入點AP設備、動態主機配置協議DHCP客戶端和DHCP服務器的網絡中，所述AP設備上維護有關聯信息表，且所述關聯信息表用于記錄DHCP客戶端對應的介質訪問控制MAC地址和IP地址，該方法包括：

所述AP設備在收到Release報文之后，通過所述Release報文的源MAC地址查詢所述關聯信息表中記錄的MAC地址；

如果所述關聯信息表中沒有所述源MAC地址對應的記錄，則所述AP設備確定所述Release報文為偽造報文，并丟棄所述Release報文；

如果所述關聯信息表中有所述源MAC地址對應的記錄，則所述AP設備判斷所述源MAC地址對應的記錄在指定時間后是否被刪除；

如果所述源MAC地址對應的記錄被刪除，則所述AP設備將所述Release報文轉發給所述DHCP服務器；