国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備及通信系統(tǒng)的制作方法

      文檔序號:7920857閱讀:186來源:國知局
      專利名稱:防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備及通信系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種防止^l艮文攻擊的方法、數(shù)據(jù)通 信設(shè)備及通信系統(tǒng)。
      背景技術(shù)
      動態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol, DHCP)是在 傳輸控制協(xié)議(Transfer Control Protocol, TCP ) /網(wǎng)際協(xié)議(Internet Protocol, IP)網(wǎng)絡(luò)中向因特網(wǎng)主機(jī)提供配置信息。服務(wù)器根據(jù)客戶端提出的配置請求, 為客戶端分配IP地址,并返回相應(yīng)的配置信息,客戶端在收到服務(wù)器分配的 IP地址后,發(fā)送地址解析協(xié)議(Address Resolution Protocol, ARP)來檢測 IP地址是否沖突,當(dāng)檢測到?jīng)_突后會向服務(wù)器發(fā)送DHCP拒絕(DECLINE ) 報文,服務(wù)器會把這個IP地址標(biāo)記為沖突,在較長一段時間以內(nèi)不會將該IP 地址再分配給其他用戶,并重新分配一個新的IP地址給請求的客戶端。
      DHCP服務(wù)器的安全性較差,很容易遭到非法用戶的惡意攻擊,例如, 發(fā)送大量源i某體4妻入控制(Media Access Control, MAC)地址變換的非法 DHCP請求報文或發(fā)送大量DHCP DECLINE報文時,都會造成DHCP服務(wù) 器IP地址的耗盡,導(dǎo)致正常用戶無法申請IP地址。
      DHCP監(jiān)聽(Snooping)協(xié)議棧通過監(jiān)聽DHCP中繼(Relay )報文建立 綁定表并發(fā)送給轉(zhuǎn)發(fā)引擎,轉(zhuǎn)發(fā)引擎利用綁定表對報文進(jìn)行有效性檢查,如 果報文在表中找不到匹配項時,該報文將被丟棄,可在一定程度上解決仿冒 攻擊。但是對于惡意DHCP攻擊,綁定表數(shù)量超過限制時,將很容易引發(fā)正 常用戶無法生成綁定表,導(dǎo)致用戶無法獲取到IP地址,造成網(wǎng)絡(luò)癱瘓。
      現(xiàn)有技術(shù)中,釆用設(shè)置端口或端口和虛擬局域網(wǎng)下的MAC學(xué)習(xí)限制, 或IP和MAC綁定表數(shù)量限制防止攻擊,源MAC地址變換的報文達(dá)到限制 規(guī)格后,攜帶新源MAC地址的報文將被丟棄,這樣后續(xù)的DHCP請求將不 會處理,因此,對于源MAC地址變換的攻擊報文可達(dá)到一定的防攻擊效果。
      在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)上述技術(shù)方案至少存在如下缺陷
      現(xiàn)有技術(shù)釆用的防止源MAC地址變換的攻擊報文的方法都無法解決源MAC地址不變的DHCP DECLINE才艮文攻擊。

      發(fā)明內(nèi)容
      本發(fā)明實施例提供了 一種防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備及通信系 統(tǒng),使用本發(fā)明實施例提供的技術(shù)方案,能夠防止源MAC地址不變的DHCP DECLINE報文攻擊。
      本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的
      一種防止^^艮文攻擊的方法,包括
      獲取動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識;
      判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;
      如果預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所 述客戶端標(biāo)識對應(yīng)的發(fā)送拒絕報文總次數(shù)增1;
      判斷所述發(fā)送拒絕報文總次數(shù)是否大于預(yù)置的允許發(fā)送拒絕報文的最大 次數(shù),如果所述發(fā)送拒絕報文總次數(shù)大于預(yù)置的允許發(fā)送拒絕報文的最大次 數(shù),將所述動態(tài)主機(jī)配置協(xié)議拒絕報文丟棄。
      一種數(shù)據(jù)通信設(shè)備,包括
      獲取單元,用于獲取動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識; 標(biāo)識判斷單元,用于判斷預(yù)置的預(yù)處理表中是否包含所述獲取單元獲取
      到的所述客戶端標(biāo)識;
      設(shè)置單元,用于在所述標(biāo)識判斷單元判斷預(yù)置的預(yù)處理表中包含所述客
      戶端標(biāo)識時,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo)識對應(yīng)的發(fā)送拒絕報文總
      次數(shù)增l;
      次數(shù)判斷單元,用于判斷所述設(shè)置單元得到的所述發(fā)送拒絕報文總次數(shù) 是否大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù);
      處理單元,用于在所述次數(shù)判斷單元判斷所述發(fā)送拒絕報文總次數(shù)大于 預(yù)置的允許發(fā)送拒絕報文的最大次數(shù)時,將所述動態(tài)主機(jī)配置協(xié)議拒絕報文 丟棄。
      一種通信系統(tǒng),包:fe:
      客戶端,用于向數(shù)據(jù)通信設(shè)備發(fā)送動態(tài)主機(jī)配置協(xié)議拒絕報文; 數(shù)據(jù)通信設(shè)備,用于獲取所述客戶端發(fā)送的動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識;判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;如果預(yù) 置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo) 識對應(yīng)的發(fā)送拒絕報文總次數(shù)增1;判斷所述發(fā)送拒絕報文總次數(shù)是否大于 預(yù)置的允許發(fā)送拒絕報文的最大次數(shù),如果所述發(fā)送拒絕報文總次數(shù)大于預(yù) 置的允許發(fā)送拒絕報文的最大次數(shù),將所述動態(tài)主機(jī)配置協(xié)議拒絕報文丟棄。 從本發(fā)明實施例提供的以上技術(shù)方案可以看出,由于在判斷發(fā)送 DECLINE報文總次數(shù)大于預(yù)置的允許發(fā)送DECLINE報文的最大次數(shù)時,將 動態(tài)主機(jī)配置協(xié)議DECLINE報文丟棄,能夠防止動態(tài)主機(jī)配置協(xié)議 DECLINE報文耗盡網(wǎng)際協(xié)議地址池的攻擊,也節(jié)省了網(wǎng)絡(luò)資源。


      為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要#_用的附圖作簡單地介紹,顯而易見地,下面 描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講, 在不付出創(chuàng)造性勞動性的前提下,還可以才艮據(jù)這些附圖獲得其他的附圖。 圖l是本發(fā)明實施例一闡述的一種防止報文攻擊的方法流程圖; 圖2是本發(fā)明實施例闡述的一種預(yù)處理表定時處理流程圖; 圖3是本發(fā)明實施例二闡述的一種防止?艮文攻擊的方法流禾呈圖; 圖4是本發(fā)明實施例闡述的一種數(shù)據(jù)通信設(shè)備的組成示意圖; 圖5是本發(fā)明實施例闡述的一種通信系統(tǒng)的組成框圖。
      具體實施例方式
      下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而 不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。
      本發(fā)明實施例提供了一種防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備及通信系 統(tǒng),使用本發(fā)明實施例提供的技術(shù)方案,能夠防止源MAC地址不變的DHCP DECLINE報文攻擊。
      由于現(xiàn)有技術(shù)中采用的設(shè)置端口或端口與虛擬專用網(wǎng)絡(luò)下的MAC學(xué)習(xí) 限制或者采用IP與MAC綁定表數(shù)量限制的方法防止攻擊報文,而MAC學(xué)習(xí)是根據(jù)源MAC地址學(xué)習(xí)的,源MAC地址不同的報文才能學(xué)習(xí)到新的MAC 綁定表項。這種方法只能阻止源MAC地址變換的報文攻擊。而對于源MAC 地址不變的攻擊報文,上述方法并不能起作用。為了防止源MAC地址不變 的DHCP DECLINE報文攻擊,本發(fā)明實施例提出了 一種防止該4艮文攻擊的 方法。
      傳輸設(shè)備,上述用戶接入設(shè)備或傳輸設(shè)備可以是交換機(jī)或路由器等,其在網(wǎng) 絡(luò)中的位置是作為接入用戶節(jié)點或中間傳輸節(jié)點。 實施例一
      本實施例闡述了一種防止報文攻擊的方法,采用該方法,可以有效防止 源MAC地址不變的DHCP DECLINE報文攻擊,不會使DHCP服務(wù)器的IP 地址耗盡,從而不會使得正常用戶無法申請IP地址,另外,也可以節(jié)省網(wǎng)絡(luò) 資源。下面結(jié)合附圖進(jìn)行詳細(xì)^兌明。
      參見圖1,該方法可以包括以下步驟
      步驟IOI:獲取動態(tài)主機(jī)配置協(xié)議DECLINE報文中的客戶端標(biāo)識; 步驟101之前還可以包括一個步驟接收動態(tài)主機(jī)配置協(xié)議DECLINE報
      接收到上述動態(tài)主機(jī)配置協(xié)議DECLINE報文之后,根據(jù)所述動態(tài)主機(jī)配 置協(xié)議DECLINE報文,建立預(yù)處理表,所述預(yù)處理表包含客戶端標(biāo)識、與客 戶端標(biāo)識對應(yīng)的客戶端發(fā)送拒絕I艮文總次數(shù)和最近一次收到DHCP DECLINE 才艮文的時間。
      還可以預(yù)先設(shè)置上述預(yù)處理表的處理周期,例如可以設(shè)置為IO秒。
      還可以預(yù)先設(shè)置每個用戶在處理周期內(nèi)允許發(fā)送動態(tài)主機(jī)配置協(xié)議 DECLINE報文的最大次數(shù),例如可以設(shè)置為2次。
      步驟102:判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;如果預(yù)處理 表中包含所述客戶端標(biāo)識,執(zhí)行步驟103;
      如果預(yù)處理表中沒有包含動態(tài)主機(jī)配置協(xié)議DECLINE報文中攜帶的客戶 端標(biāo)識時,則需要創(chuàng)建與上述客戶端標(biāo)識對應(yīng)的預(yù)處理表項。
      步驟103:如果預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo)識對應(yīng)的發(fā)送動態(tài)主機(jī)配置協(xié)議DECLINE報文總次數(shù)增 1;
      將與客戶端標(biāo)識對應(yīng)的發(fā)送動態(tài)主機(jī)配置協(xié)議DECLINE報文總次數(shù)增〗 即表示該用戶發(fā)送了 一次DHCP DECLINE才艮文,如果之后累積的發(fā)送DHCP DECLINE報文的次數(shù)超過預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù),
      上述發(fā)送動態(tài)主機(jī)配置協(xié)議DECLINE報文總次數(shù)增1時,如果超過了表項 中該字段最大值,則保持為最大值,在進(jìn)入下一處理周期時,確保不發(fā)生翻 轉(zhuǎn)或復(fù)位。
      步驟104:判斷所述發(fā)送DHCPDECLTNE報文總次數(shù)是否大于預(yù)置的允許 發(fā)送DHCP DECLINE報文的最大次數(shù);
      此時發(fā)送DHCP DECLINE報文總次數(shù)是已經(jīng)更新后的值,如果該值大于 預(yù)置的同 一處理周期內(nèi)允許發(fā)送DHCP DECLINE報文的最大次數(shù),則該DHCP DECLINE報文將被認(rèn)為是攻擊沖艮文,執(zhí)行步驟105 。
      步驟105:如果所述發(fā)送DHCP DECLTNE報文總次數(shù)大于預(yù)置的允許發(fā)送 DHCP DECLINE報文的最大次數(shù),將所述動態(tài)主機(jī)配置協(xié)議DECLINE報文丟 棄。
      如果步驟104中判斷所述發(fā)送DHCP DECLINE報文總次數(shù)不大于預(yù)置的 允許發(fā)送DHCP DECLINE報文的最大次數(shù)時,還可以包括一個步驟將所述 發(fā)送DHCP DECLINE報文總次數(shù)更新到預(yù)處理表中,將接收所述DHCP DECLINE報文的時間替換預(yù)處理表中的最近一次接收DHCP DECLINE才艮文
      的時間。
      上述更新和替換是為了下次能夠準(zhǔn)確判斷以及預(yù)處理表定時處理流程中 能夠準(zhǔn)確判斷。
      在判斷所述發(fā)送DHCP DECLINE報文總次數(shù)小于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù)時,即已經(jīng)判斷該MAC地址發(fā)送的DHCP DECLINE 報文不是攻擊報文,將所述發(fā)送DHCP DECLINE報文總次數(shù)更新到預(yù)處理表 中,將接收到所述DHCP DECLINE報文的時間替換為預(yù)處理表中的最近一次 接收DHCP DECLINE報文的時間之后,還可以包括向DHCP服務(wù)器轉(zhuǎn)發(fā)所述動態(tài)主機(jī)配置協(xié)議DECLINE報文。
      在判斷發(fā)送DHCP DECLINE報文總次數(shù)小于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù)時,繼續(xù)后面正常的轉(zhuǎn)發(fā)處理流程。
      步驟105之后還可以包括更新預(yù)處理表中的發(fā)送DHCP DECLINE報 文次lt和最近一次4妻收DHCP DECLINE凈艮文的時間。該更新是為了下次#丸 行步驟104時能夠準(zhǔn)確的判斷。
      建立預(yù)處理表之后為了更好的防止報文攻擊,還可以采用預(yù)處理表定時 處理流程,參見圖2,圖2為預(yù)處理表定時處理流程圖,該處理流程可以包括
      步驟201:定時檢測預(yù)處理表;
      可以預(yù)先設(shè)定一個周期檢測預(yù)處理表的時間,定時對預(yù)處理表進(jìn)行檢測。
      步驟202:判斷當(dāng)前時間與最近一次接收同一MAC地址發(fā)出的DHCP DECLINE報文的時間的差值是否大于預(yù)置的處理周期,如果是,執(zhí)行步驟203, 如果否,返回執(zhí)行步驟201;
      上述最近一次接收DHCP DECLINE報文的時間是指最近一次接收同 一個 MAC地址發(fā)送的DHCP DECLINE報文的時間,上述最近 一 次收到DHCP DECLINE報文的時間可以不斷更新,以便能夠準(zhǔn)確的判斷。
      步驟203:刪除預(yù)處理表項。
      如果所述差值大于預(yù)置的處理周期,刪除與所述最近一次收到DHCP DECLINE報文的時間對應(yīng)的預(yù)處理表項。
      刪除完預(yù)處理表項后,需要繼續(xù)對預(yù)處理表進(jìn)行定時^:測。
      本實施例的方法可以對源MAC地址不變的DHCP DECLINE報文起到防 止攻擊的作用,因為當(dāng)源MAC地址變化時,客戶端標(biāo)識就不相同了,那么就 不能通過判斷每一個客戶端發(fā)送DHCP DECLINE報文總次數(shù)是否大于預(yù)置的 允許發(fā)送DHCP DECLINE才艮文的最大次數(shù)來防止才艮文攻擊了 ,對于源MAC地 址變化的DHCPDECLINE才良文,可以采用現(xiàn)有技術(shù)中的方案來防止報文攻擊。
      本實施例由于在判斷發(fā)送DHCP DECLINE報文總次數(shù)大于預(yù)置的允許 發(fā)送DHCP DECLINE l艮文的最大次數(shù)時,將動態(tài)主才幾配置協(xié)i義DECLINE 報文丟棄,能夠防止動態(tài)主機(jī)配置協(xié)議DECLINE報文耗盡網(wǎng)際協(xié)議地址池 的攻擊,也節(jié)省了網(wǎng)絡(luò)資源。進(jìn)一步地,由于定時對預(yù)處理表進(jìn)行;險測,在判斷當(dāng)前時間與最近一次
      接收DHCP DECLINE報文的時間相差超過一個處理周期以上時,則判定為 攻擊結(jié)束,刪除該表項,從而節(jié)省了表項空間。
      實施例一闡述了 一種防止才艮文攻擊的方法,實施例二將闡述另 一種防止 凈艮文攻擊的方法。
      實施例二
      本實施例闡述一種防止報文攻擊的方法,下面結(jié)合附圖進(jìn)行詳細(xì)說明。
      參見圖3,本實施例的方法可以包括
      步驟301:接收動態(tài)主機(jī)配置協(xié)議DECLINE報文;
      步驟302:根據(jù)收到的報文建立預(yù)處理表項;
      數(shù)據(jù)通信設(shè)備在4妻收到動態(tài)主機(jī)配置協(xié)議DECLINE才艮文后,建立與該 報文中攜帶的信息相對應(yīng)的預(yù)處理表項,表項內(nèi)容可以是如表1所示
      表1
      Client ID
      發(fā)送DECLINE報文總次數(shù)最近一次接收DECLINE報文的時間
      其中,Client ID是客戶端標(biāo)識,可以包括用戶的網(wǎng)紹^更件地址類型、長 度及網(wǎng)絡(luò)硬件地址等。發(fā)送DECLINE才艮文總次數(shù)是指該客戶端發(fā)送DHCP DECLINE報文的總次數(shù),如果再次收到該客戶端發(fā)送的DHCP DECLINE報 文,該數(shù)值會增1;最近一次接收DECLINE報文的時間是指最近一次收到 該客戶端發(fā)送的DHCP DECLINE報文的時間,該時間值也會由于再次接收 到該客戶端發(fā)送的DHCP DECLINE才良文后及時更新。
      建立好預(yù)處理表后,可以設(shè)置該表的處理周期,并且該處理周期可以根 據(jù)實際情況調(diào)整其數(shù)值大小,例如,可以缺省設(shè)置為10秒。
      還可以設(shè)置每個用戶在上述處理周期內(nèi)允許發(fā)送DHCP DECLINE報文 的最大次數(shù)(MAX—DECLINE—NUM ),允許發(fā)送DHCP DECLINE報文的最 大次數(shù)也可以根據(jù)實際情況調(diào)整其數(shù)值的大小,例如可以缺省設(shè)置為2次。
      步驟303:提取收到的報文中的客戶端標(biāo)識;
      當(dāng)數(shù)據(jù)通信設(shè)備收到用戶的DHCP DECLINE報文后,提取該DHCP DECLINE報文中攜帶的客戶端標(biāo)識。
      步驟304:判斷預(yù)處理表中是否包含上述客戶端標(biāo)識;如果包含,執(zhí)行步驟305,如果不包含,執(zhí)行步驟306;
      當(dāng)提取到報文中攜帶的客戶端標(biāo)識后,在預(yù)置的預(yù)處理表中進(jìn)行搜索, 看是否有該客戶端標(biāo)識,如果預(yù)處理表中沒有該客戶端標(biāo)識說明是第一次收 到該客戶端發(fā)送的DHCP DECLINE報文,如果預(yù)處理表中包含該客戶端標(biāo) 識,說明該客戶端已經(jīng)發(fā)送過DHCP DECLINE報文,為了防止報文攻擊, 可以執(zhí)行步驟305。
      步驟305:將預(yù)處理表中與客戶端標(biāo)識對應(yīng)的發(fā)送DECLINE才良文總次 數(shù)增1后轉(zhuǎn)步驟307;
      步驟304中判斷的結(jié)果是預(yù)處理表中包含該客戶端標(biāo)識,說明該客戶端 已經(jīng)發(fā)送過DHCP DECLINE報文,則需要將預(yù)處理表中與該客戶端標(biāo)識對 應(yīng)的發(fā)送DHCP DECLINE 4艮文總次數(shù)增1 。
      上述發(fā)送動態(tài)主機(jī)配置協(xié)議DECLINE報文總次數(shù)增1時,如果超過了表項 中該字段最大值,則保持為最大值,在進(jìn)入下一處理周期時,確保不發(fā)生翻 轉(zhuǎn)或復(fù)位。
      步驟306:創(chuàng)建該用戶的預(yù)處理表后轉(zhuǎn)步驟310;
      如果步驟304中判斷的結(jié)果是預(yù)處理表中沒有包含該客戶端標(biāo)識,說明 該客戶端是第 一次發(fā)送DHCP DECLINE報文,則需要創(chuàng)建該客戶端的預(yù)處 理表項,建立該表的方法以及該表包括的內(nèi)容與步驟302中相同,此處不再 贅述。
      步驟307:判斷發(fā)送拒絕報文總次數(shù)是否大于允許發(fā)送拒絕報文的最大 次數(shù),如果大于,執(zhí)行步驟308,如果小于,執(zhí)行步驟309;
      發(fā)送DHCP DECLINE才艮文總次數(shù)是在預(yù)置的處理周期內(nèi)的計數(shù)值,在 處理周期內(nèi)它會不斷更新。此步驟中的發(fā)送DHCP DECLINE報文總次數(shù)是 最新的值, 一旦該值大于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù), 就認(rèn)為該DHCP DECLINE報文是攻擊報文,可以執(zhí)行步驟308,如果發(fā)送 DHCP DECLINE報文總次數(shù)不大于,即小于或等于允許發(fā)送DHCP DECLINE才艮文的最大次數(shù),則認(rèn)為該DHCP DECLINE才艮文不是攻擊凈艮文, 執(zhí)行步驟309。
      步驟308:丟棄該報文;丟棄被認(rèn)為是攻擊報文的DHCP DECLINE報文后,還可以包括一個步 驟將發(fā)送拒絕報文總次數(shù)和最近一次接收拒絕報文的時間更新到預(yù)處理表 中,不再進(jìn)行后續(xù)處理,即不轉(zhuǎn)發(fā)該才艮文。
      步驟309:更新發(fā)送拒絕報文總次數(shù)和最近一次接收拒絕報文的時間; 在該報文被認(rèn)為不是DHCP DECLINE報文時,更新預(yù)處理表中的發(fā)送 DHCP DECLINE報文總次數(shù)和最近一次接收DHCP DECLINE報文的時間, 繼續(xù)后面正常的轉(zhuǎn)發(fā)處理流程。
      在步驟306和步驟309之后,還包括步驟310:轉(zhuǎn)發(fā)該報文。 步驟310可以是向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP DECLINE報文,轉(zhuǎn)發(fā)凈艮文 可以在判斷該客戶端第 一次發(fā)送DHCP DECLINE報文后,創(chuàng)建該客戶端的 預(yù)處理表后執(zhí)行,也可以是在將發(fā)送DHCP DECLINE報文總次數(shù)和允許發(fā) 送DHCP DECLINE ^艮文的最大次數(shù)進(jìn)^于比較后,并判斷該一艮文不是攻擊才艮 文后,更新預(yù)處理表中發(fā)送DHCP DECLINE報文總次數(shù)和最近一次接收 DHCP DECLINE才艮文的時間后執(zhí)4亍。
      本實施例由于在判斷發(fā)送DHCP DECLINE報文總次數(shù)大于預(yù)置的允許 發(fā)送DHCP DECLINE報文的最大次lt時,將動態(tài)主才兒配置協(xié)議DECLINE 報文丟棄,能夠防止動態(tài)主機(jī)配置協(xié)議DECLINE報文耗盡網(wǎng)際協(xié)議地址池 的攻擊,由于在認(rèn)為報文是攻擊報文時,丟棄該報文,可以節(jié)省有限的網(wǎng)絡(luò) 資源。
      需要說明的是,對于前述的各方法實施例,為了簡單描述,故將其都表 述為一系列的動作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本發(fā)明并不受所描 述的動作順序的限制,因為依據(jù)本發(fā)明,某些步驟可以采用其他順序或者 同時進(jìn)行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說明書中所描述的實施例 均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的。
      在上述實施例中,對各個實施例的描述都各有側(cè)重,某個實施例中沒有 詳述的部分,可以參見其他實施例的相關(guān)描述。
      以上提供了 一種防止報文攻擊的方法,本發(fā)明實施例還提供一種數(shù)據(jù)通 信設(shè)備和一種通信系統(tǒng)。
      首先闡述一種數(shù)據(jù)通信設(shè)備,參見圖4,該設(shè)備可以包括以下單元獲取單元401,用于獲取動態(tài)主機(jī)配置協(xié)議DECLINE報文中的客戶端標(biāo)
      識;
      帶的客戶端標(biāo)識。
      標(biāo)識判斷單元402,用于判斷預(yù)置的預(yù)處理表中是否包含所述獲取單元 401獲取到的所述客戶端標(biāo)識;
      標(biāo)識判斷單元402可以是采用在預(yù)置的預(yù)處理表中搜索上述客戶端標(biāo)識 的方法來判斷預(yù)處理表中是否包含該客戶端標(biāo)識。
      設(shè)置單元403,用于在所述標(biāo)識判斷單元402判斷預(yù)置的預(yù)處理表中包含 所述客戶端標(biāo)識時,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo)識對應(yīng)的發(fā)送DHCP DECLINE報文總次數(shù)增1;
      設(shè)置單元403可以是采用自增l的算法來實現(xiàn)將置的預(yù)處理表中與所述客 戶端標(biāo)識對應(yīng)的發(fā)送DHCP DECLTNE報文總次數(shù)增1 。
      次數(shù)判斷單元404,用于判斷所述設(shè)置單元403得到的所述發(fā)送DHCP DECLINE報文總次數(shù)是否大于預(yù)置的允許發(fā)送DHCP DECLTNE報文的最大 次數(shù);
      當(dāng)設(shè)置單元403更新了發(fā)送DHCP DECLINE報文總次數(shù)后,次數(shù)判斷單元 404是判斷經(jīng)過設(shè)置單元403設(shè)置后的發(fā)送DHCP DECLINE報文總次數(shù)。
      處理單元405,用于在所述次數(shù)判斷單元404判斷所述發(fā)送DHCP DECLINE報文總次數(shù)大于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù) 時,將所述動態(tài)主機(jī)配置協(xié)議DECLINE^艮文丟棄。
      其中,上述數(shù)據(jù)通信設(shè)備還包括接收單元,用于接收動態(tài)主機(jī)配置協(xié) 議DECLINE報文。
      其中,上述數(shù)據(jù)通信設(shè)備還包括建立單元,用于根據(jù)所述接收單元接 收到的所述動態(tài)主4幾配置協(xié)議DECLINE才艮文,建立預(yù)處理表,所述預(yù)處理 表包含客戶端標(biāo)識、與客戶端標(biāo)識對應(yīng)的客戶端發(fā)送DHCP DECLINE報文 總次數(shù)和最近一次收到DHCP DECLINE報文的時間。
      其中,上述數(shù)據(jù)通信設(shè)備還包括
      定時;險測單元,用于定時檢測所述預(yù)處理表;時間判斷單元,用于判斷當(dāng)前時間與所述定時檢測單元得到的所述最近
      一次收到DHCP DECLINE報文的時間的差值是否大于預(yù)置的處理周期;
      刪除單元,用于在所述時間判斷單元判斷所述差值大于預(yù)置的處理周期
      時,刪除與所述最近一次收到DHCP DECLINE報文的時間對應(yīng)的預(yù)處理表項。 其中,上述數(shù)據(jù)通信設(shè)備還包括
      文總次數(shù)不大于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù)時,更新預(yù) 處理表中的發(fā)送DHCP DECLINE報文次數(shù)和最近一次接收DHCP DECLINE報 文的時間。
      其中,上述數(shù)據(jù)通信設(shè)備還包括
      創(chuàng)建單元,用于在判斷預(yù)置的預(yù)處理表中沒有包含所述客戶端標(biāo)識時, 創(chuàng)建與所述客戶端標(biāo)識對應(yīng)的預(yù)處理表項。 其中,上述數(shù)據(jù)通信設(shè)備還包括
      轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述動態(tài)主機(jī)配置協(xié)議DECLTNE報文。 上述數(shù)據(jù)通信設(shè)備可以用于實現(xiàn)本發(fā)明實施例中闡述的防止報文攻擊的 方法,但不限于實現(xiàn)該方法。
      上面闡述了一種數(shù)據(jù)通信設(shè)備,下面闡述一種通信系統(tǒng)。 參見圖5, 一種通信系統(tǒng),可以包括
      客戶端501,用于向數(shù)據(jù)通信設(shè)備發(fā)送動態(tài)主機(jī)配置協(xié)議DECLINE報文; 數(shù)據(jù)通信設(shè)備502,用于獲取所述客戶端501發(fā)送的動態(tài)主機(jī)配置協(xié)議 DECLINE報文中的客戶端標(biāo)識;判斷預(yù)置的預(yù)處理表中是否包含所述客戶端 標(biāo)識;如果預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與 所述客戶端標(biāo)識對應(yīng)的發(fā)送DHCP DECLINE報文總次數(shù)增1;判斷所述發(fā)送 DHCP DECLINE報文總次數(shù)是否大于預(yù)置的允許發(fā)送DHCP DECLINE報文的 最大次數(shù),如果所述發(fā)送DHCP DECLINE報文總次數(shù)大于預(yù)置的允許發(fā)送 DHCP DECLINE報文的最大次數(shù),將所述動態(tài)主機(jī)配置協(xié)議DECLINE報文丟 棄。
      其中,上述數(shù)據(jù)通信設(shè)備502還用于定時檢測所述預(yù)處理表,判斷當(dāng)前時 間與所述最近一次收到DHCP DECLINE才艮文的時間的差值是否大于預(yù)置的處理周期,如果所述差值大于預(yù)置的處理周期,刪除與所述最近一次收到DHCP
      DECLINE報文的時間對應(yīng)的預(yù)處理表項;如果所述差值不大于預(yù)置的處理周 期,執(zhí)行所述定時檢測所述預(yù)處理表的步驟。
      本發(fā)明實施例由于在判斷發(fā)送DHCP DECLINE報文總次數(shù)大于預(yù)置的 允許發(fā)送DHCP DECLINE報文的最大次數(shù)時,將動態(tài)主機(jī)配置協(xié)議 DECLINE報文丟棄,能夠防止動態(tài)主機(jī)配置協(xié)議DECLINE報文耗盡網(wǎng)際協(xié) 議地址池的攻擊,也節(jié)省了網(wǎng)絡(luò)資源。
      進(jìn)一步地,由于定時對預(yù)處理表進(jìn)行檢測,在判斷當(dāng)前時間與最近一次 接收DHCP DECLINE報文的時間相差超過一個處理周期以上時,則判定為 攻擊結(jié)束,刪除該表項,從而節(jié)省了表項空間。
      是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計算機(jī) 可讀存儲介質(zhì)中,該程序在執(zhí)行時,包括如下步驟
      獲取DHCP DECLINE報文中的客戶端標(biāo)識;
      判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;
      如果預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所 述客戶端標(biāo)識對應(yīng)的發(fā)送DHCP DECLINE報文總次數(shù)增1;
      判斷所述發(fā)送DHCP DECLINE報文總次數(shù)是否大于預(yù)置的允許發(fā)送 DHCP DECLINE報文的最大次數(shù),如果所述發(fā)送DHCP DECLINE報文總次 數(shù)大于預(yù)置的允許發(fā)送DHCP DECLINE報文的最大次數(shù),將所述DHCP DECLINE報文丟棄。
      上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤、網(wǎng)絡(luò)處理器、專 用集成電路芯片等。
      以上對本發(fā)明實施例所提供的一種防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備 及通信系統(tǒng)進(jìn)行了詳細(xì)介紹,以上實施例的說明只是用于幫助理解本發(fā)明的 方法及其思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實施方式
      及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng) 理解為對本發(fā)明的限制。
      權(quán)利要求
      1、一種防止報文攻擊的方法,其特征在于,包括獲取動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識;判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;如果預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo)識對應(yīng)的發(fā)送拒絕報文總次數(shù)增1;判斷所述發(fā)送拒絕報文總次數(shù)是否大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù),如果所述發(fā)送拒絕報文總次數(shù)大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù),將所述動態(tài)主機(jī)配置協(xié)議拒絕報文丟棄。
      2、 根據(jù)權(quán)利要求l所述的防止報文攻擊的方法,其特征在于,所述獲取 動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識之前還包括接收動態(tài)主機(jī)配置協(xié)議拒絕報文。
      3、 根據(jù)權(quán)利要求2所述的防止報文攻擊的方法,其特征在于,所述接收 動態(tài)主機(jī)配置協(xié)議拒絕報文之后還包括根據(jù)所述動態(tài)主機(jī)配置協(xié)議拒絕報文,建立預(yù)處理表,所述預(yù)處理表包 含客戶端標(biāo)識、與客戶端標(biāo)識對應(yīng)的客戶端發(fā)送拒絕報文總次數(shù)和最近一次 收到拒絕才艮文的時間。
      4、 根據(jù)權(quán)利要求3所述的防止報文攻擊的方法,其特征在于,所述建立 預(yù)處理表之后還包括定時檢測所述預(yù)處理表;判斷當(dāng)前時間與所述最近一次收到拒絕報文的時間的差值是否大于預(yù)置 的處理周期,如果所述差值大于預(yù)置的處理周期,刪除與所述最近一次收到 拒絕報文的時間對應(yīng)的預(yù)處理表項;如果所述差值不大于預(yù)置的處理周期, 執(zhí)行所述定時檢測所述預(yù)處理表的步驟。
      5、 根據(jù)權(quán)利要求3所述的防止報文攻擊的方法,其特征在于,所述將所 述動態(tài)主機(jī)配置協(xié)議拒絕報文丟棄之后還包括更新預(yù)處理表中的發(fā)送拒絕報文次數(shù)和最近一次接收拒絕報文的時間。
      6、 根據(jù)權(quán)利要求1至5任一項所述的防止報文攻擊的方法,其特征在于, 在判斷預(yù)置的預(yù)處理表中沒有包含所述客戶端標(biāo)識時,還包括創(chuàng)建與所述客戶端標(biāo)識對應(yīng)的預(yù)處理表項。
      7、 根據(jù)權(quán)利要求1至5任一項所述的防止報文攻擊的方法,其特征在于, 在判斷所述發(fā)送拒絕報文總次數(shù)不大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù)時,還包括將所述發(fā)送拒絕報文總次數(shù)更新到預(yù)處理表中,將接收所述拒絕報文的 時間替換預(yù)處理表中的最近一次接收拒絕報文的時間。
      8、 根據(jù)權(quán)利要求7所述的防止報文攻擊的方法,其特征在于,所述將所 述發(fā)送拒絕報文總次數(shù)更新到預(yù)處理表中,將接收所述拒絕報文的時間替換 預(yù)處理表中的最近一次接收拒絕報文的時間之后還包括轉(zhuǎn)發(fā)所述動態(tài)主機(jī)配置協(xié)議拒絕報文。
      9、 一種數(shù)據(jù)通信設(shè)備,其特征在于,包括獲取單元,用于獲取動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識; 標(biāo)識判斷單元,用于判斷預(yù)置的預(yù)處理表中是否包含所述獲取單元獲取到的所述客戶端標(biāo)識;設(shè)置單元,用于在所述標(biāo)識判斷單元判斷預(yù)置的預(yù)處理表中包含所述客戶端標(biāo)識時,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo)識對應(yīng)的發(fā)送拒絕報文總次數(shù)增l;次數(shù)判斷單元,用于判斷所述設(shè)置單元得到的所述發(fā)送拒絕報文總次數(shù) 是否大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù);處理單元,用于在所述次數(shù)判斷單元判斷所述發(fā)送拒絕報文總次數(shù)大于 預(yù)置的允許發(fā)送拒絕報文的最大次數(shù)時,將所述動態(tài)主機(jī)配置協(xié)議拒絕報文 丟棄。
      10、 根據(jù)權(quán)利要求9所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括 接收單元,用于接收動態(tài)主機(jī)配置協(xié)議拒絕報文。
      11、 根據(jù)權(quán)利要求10所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括 建立單元,用于根據(jù)所述接收單元接收到的所述動態(tài)主機(jī)配置協(xié)議拒絕報文,建立預(yù)處理表,所述預(yù)處理表包含客戶端標(biāo)識、與客戶端標(biāo)識對應(yīng)的 客戶端發(fā)送拒絕報文總次數(shù)和最近一次收到拒絕報文的時間。
      12、 根據(jù)權(quán)利要求ll所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括 定時檢測單元,用于定時檢測所述預(yù)處理表;時間判斷單元,用于判斷當(dāng)前時間與所述定時檢測單元得到的所述最近 一次收到拒絕報文的時間的差值是否大于預(yù)置的處理周期;刪除單元,用于在所述時間判斷單元判斷所述差值大于預(yù)置的處理周期 時,刪除與所述最近一次收到拒絕報文的時間對應(yīng)的預(yù)處理表項。
      13、 根據(jù)權(quán)利要求]l所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括 更新單元,用于在所述次數(shù)判斷單元判斷所述發(fā)送拒絕報文總次數(shù)不大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù)時,更新預(yù)處理表中的發(fā)送拒絕報文 次數(shù)和最近一次接收拒絕報文的時間。
      14、 根據(jù)權(quán)利要求9至13任一項所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括創(chuàng)建單元,用于在判斷預(yù)置的預(yù)處理表中沒有包含所述客戶端標(biāo)識時, 創(chuàng)建與所述客戶端標(biāo)識對應(yīng)的預(yù)處理表項。
      15、 根據(jù)權(quán)利要求9至13任一項所述的數(shù)據(jù)通信設(shè)備,其特征在于,還包括轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述動態(tài)主機(jī)配置協(xié)議拒絕報文。
      16、 一種通信系統(tǒng),其特征在于,包括客戶端,用于向數(shù)據(jù)通信設(shè)備發(fā)送動態(tài)主機(jī)配置協(xié)議拒絕報文; 數(shù)據(jù)通信設(shè)備,用于獲取所述客戶端發(fā)送的動態(tài)主機(jī)配置協(xié)議拒絕報文 中的客戶端標(biāo)識;判斷預(yù)置的預(yù)處理表中是否包含所述客戶端標(biāo)識;如果預(yù) 置的預(yù)處理表中包含所述客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與所述客戶端標(biāo) 識對應(yīng)的發(fā)送拒絕報文總次數(shù)增1;判斷所述發(fā)送拒絕報文總次數(shù)是否大于預(yù) 置的允許發(fā)送拒絕報文的最大次數(shù),如果所述發(fā)送拒絕報文總次數(shù)大于預(yù)置 的允許發(fā)送拒絕報文的最大次數(shù),將所述動態(tài)主機(jī)配置協(xié)議拒絕報文丟棄。
      17、 根據(jù)權(quán)利要求16所述的通信系統(tǒng),其特征在于,所述數(shù)據(jù)通信設(shè)備 還用于定時檢測所述預(yù)處理表,判斷當(dāng)前時間與所述最近一次收到拒絕報文 的時間的差值是否大于預(yù)置的處理周期,如果所述差值大于預(yù)置的處理周期, 刪除與所述最近一次收到拒絕報文的時間對應(yīng)的預(yù)處理表項;如果所述差值 不大于預(yù)置的處理周期,執(zhí)行所述定時檢測所述預(yù)處理表的步驟。
      全文摘要
      本發(fā)明實施例公開了一種防止報文攻擊的方法、數(shù)據(jù)通信設(shè)備及通信系統(tǒng),該方法包括獲取動態(tài)主機(jī)配置協(xié)議拒絕報文中的客戶端標(biāo)識;判斷預(yù)置的預(yù)處理表中是否包含客戶端標(biāo)識;如果預(yù)置的預(yù)處理表中包含客戶端標(biāo)識,將預(yù)置的預(yù)處理表中與客戶端標(biāo)識對應(yīng)的發(fā)送拒絕報文總次數(shù)增1;判斷發(fā)送拒絕報文總次數(shù)是否大于預(yù)置的允許發(fā)送拒絕報文的最大次數(shù),如果大于,將該報文丟棄。本發(fā)明實施例由于在判斷發(fā)送拒絕報文總次數(shù)大于允許發(fā)送拒絕報文的最大次數(shù)時,將報文丟棄,能夠防止動態(tài)主機(jī)配置協(xié)議拒絕報文耗盡網(wǎng)際協(xié)議地址池的攻擊。
      文檔編號H04L29/06GK101415002SQ20081017273
      公開日2009年4月22日 申請日期2008年11月11日 優(yōu)先權(quán)日2008年11月11日
      發(fā)明者楊新江 申請人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1