一种动态主机配置协议数据包过滤方法和系统技术方案

本发明专利技术公开了一种动态主机配置协议数据包过滤方法和系统，应用于无线接入点，所述方法包括：S10：丢弃部分从广域网接口收到的动态主机配置协议报文；S20：选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文。本发明专利技术能够明确转发路径，过滤DHCP垃圾广播数据包和虚假DHCP数据包，从而实现网络洁净以及网络资源的合理利用。

A dynamic host configuration protocol data packet filtering method and system

The invention discloses a dynamic host configuration protocol data packet filtering method and system applied to the wireless access point, wherein the method comprises the following steps: S10: discarded packets from a dynamic host configuration protocol WAN interface received; S20: dynamic host configuration protocol selection WAN interface and forwarding is not discarded. The invention can clear the forwarding path, filter DHCP garbage broadcast packets and false DHCP packets, so as to realize the clean network and reasonable utilization of network resources.

【技术实现步骤摘要】
一种动态主机配置协议数据包过滤方法和系统
本专利技术涉及无线局域网络，特别涉及一种动态主机配置协议数据包过滤方法和系统。
技术介绍
网络通信中，为了简化IP地址的配置操作，防止IP地址的冲突，并且由于IP资源有限，不能给每台连接到互联网上的主机配置一个固定的IP地址，因此通常使用动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)方式对连接网络的主机配置临时的、唯一的IP地址。由于IP地址是被分配的，而且是由主机连接网络时发出需要上网的数据包告知DHCP服务器，才有可能收到IP地址分配，期间，如果数据包的安全性不高，被截取或者被其他终端伪造，那么最终就无法获取到IP地址。所以这个过程需要设置自己的识别过滤机制，过滤垃圾报文和虚假报文，防止外来数据盗取攻击，同时尽量简化数据包转发过程，提高转发效率。DHCP监听(DHCPSnooping)技术就是一种DHCP的安全机制的体现，通过监控DHCP用户和DHCP服务器之间的DHCP报文，建立和维护DHCPSnooping绑定表，在转发报文时，利用绑定表对地址解析协议(AddressResolutionProtocol，ARP)报文、网际协议(InternetProtocol，IP)报文进行检查，过滤非法报文，实现网络安全功能。DHCPSnooping绑定表包含用户IP地址、媒体接入控制(MediaAccessControl，MAC)地址、入端口号和虚拟局域网(VirtualLAN，VLAN)号等信息。理解上述监听技术后，其实我们也可以利用DHCP数据包交互的必经过程，过滤数据包，减少不必要的转发，节约网络资源。如公开号为CN103888481B的专利技术专利公开了“一种局域网DHCP数据包过滤方法”，该方法通过在网卡驱动与协议驱动之间的中间层对局域网中发送到DHCP客户机的网络数据包进行过滤，以此设计了包括网络数据包采集、网络数据包筛选、DHCP数据包分析、网络数据包处理四个过滤步骤，从发送到DHCP客户机的数据包中逐步分离出DHCP数据包，并对DHCP数据包进行分析，接收指定DHCP服务器发送的合法数据包，丢弃非法DHCP服务器发送的数据包，从而实现DHCP客户机从指定的DHCP服务器获取IP地址，防止非法DHCP服务器为DHCP客户机分配IP地址，只是实现过程相对复杂。又如公开号为CN103944867A的专利文献公开了一种“动态主机配置协议报文的处理方法、装置和系统”，接收携带有虚拟机的MAC地址信息的第一DHCP请求报文；对第一DHCP请求报文进行解封装处理后发送至DHCP服务器；接收DHCP服务器发送的第一DHCP响应报文；其中，第一DHCP响应报文为广播报文，并且携带有分配给虚拟机的IP地址；封装第一DHCP响应报文为第二DHCP响应报文；其中，第二DHCP响应报文为单播报文，发送第二DHCP响应报文至对端隧道端点设备，以此实现了隧道协议中以单播形式发送DHCP响应报文，提高了网络资源的利用率，但是没有识别虚假报文的能力，可能会将虚假报文封装转发。
技术实现思路
本专利技术要解决的技术问题是针对上述现有技术的不足，提供一种能够过滤垃圾报文和虚假报文，减少不必要的数据包广播转发，净化网络，节约网络资源的动态主机配置协议数据包过滤方法和系统。为了实现上述目的，本专利技术采用的技术方案为：一种动态主机配置协议数据包过滤方法，应用于无线接入点，所述方法包括：S10：丢弃部分从广域网接口收到的动态主机配置协议报文；过滤掉通过广域网接口收到的各类动态主机配置协议垃圾报文。S20：选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文。指定转发路径，便于追踪查源以及提高转发效率，节约网络资源。进一步地，所述步骤S10之前还包括：S01：保存用户的物理地址以及用户关联时接入的无线接口信息，以此创建用户信息记录项。进一步地，所述步骤S10中包括：S11：根据动态主机配置协议报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址，若不存在，则丢弃，若存在，则执行步骤S20。进一步地，所述步骤S10中包括：S11：判断动态主机配置协议报文类型；S12：若为动态主机配置协议请求类报文，则全部丢弃；若为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址，若不存在，则丢弃，若存在，则执行步骤S20。进一步地，所述步骤S20中包括：若报文类型为动态主机配置协议请求类报文，则从广域网接口转发所述动态主机配置协议请求类报文；若报文类型为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中用户物理地址，在包含有相对应的物理地址的所述用户信息记录项中查看对应无线接口，并从对应无线接口处转发所述动态主机配置协议应答类报文。一种动态主机配置协议数据包过滤系统，应用于无线接入点，所述系统包括：丢弃模块：用于丢弃部分从广域网接口收到的动态主机配置协议报文；转发模块：用于选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文。进一步地，所述系统还包括：创建模块：用于保存用户的物理地址以及用户关联时接入的无线接口信息，以此创建用户信息记录项。进一步地，所述丢弃模块包括：查看单元：用于根据动态主机配置协议报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址。进一步地，所述丢弃模块包括：判断单元：用于判断动态主机配置协议报文类型；查看单元：用于若为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址。进一步地，所述转发模块包括：广域网接口转发单元：用于若报文类型为动态主机配置协议请求类报文，则从广域网接口转发所述动态主机配置协议请求类报文；无线接口转发单元：用于若报文类型为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中用户物理地址，在包含有相对应的物理地址的所述用户信息记录项中获取对应无线接口，并从对应无线接口处转发所述动态主机配置协议应答类报文。采用上述技术方案后，本专利技术的有益效果是：(1)通过丢弃部分从广域网接口收到的动态主机配置协议报文，可以过滤掉通过广域网接口收到的各类动态主机配置协议垃圾广播报文；(2)通过选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文，以指定转发路径的方式转发报文，便于追踪查源以及减少不必要的广播转发提高转发效率，节约网络资源；(3)通过创建用户信息记录项，根据用户信息记录项信息比对，可以过滤掉部分虚假攻击类的动态主机配置协议报文。附图说明为了更清楚地说明本专利技术实施例或现有技术的技术方案，附图如下：图1为本专利技术实施例1中提供的一种动态主机配置协议数据包过滤方法流程图；图2为本专利技术实施例2中提供的一种动态主机配置协议数据包过滤方法流程图；图3为本专利技术实施例3中提供的一种动态主机配置协议数据包过滤方法流程图；图4为本专利技术实施例5中提供的一种动态主机配置协议数据包过滤系统结构示意图。具体实施方式以下是本专利技术的具体实施例并结合附图，对本专利技术的技术方案作进一步的描述，但本专利技术并不限于这些实施例。无线接入点(AP)通本文档来自技高网...

【技术保护点】
一种动态主机配置协议数据包过滤方法，其特征在于，应用于无线接入点，所述方法包括：S10：丢弃部分从广域网接口收到的动态主机配置协议报文；S20：选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文。

【技术特征摘要】
1.一种动态主机配置协议数据包过滤方法，其特征在于，应用于无线接入点，所述方法包括：S10：丢弃部分从广域网接口收到的动态主机配置协议报文；S20：选择广域网接口或无线接口转发未被丢弃的动态主机配置协议报文。2.根据权利要求1所述的一种动态主机配置协议数据包过滤方法，其特征在于，所述步骤S10之前还包括：S01：保存用户的物理地址以及用户关联时接入的无线接口信息，以此创建用户信息记录项。3.根据权利要求2所述的一种动态主机配置协议数据包过滤方法，其特征在于，所述步骤S10中包括：S11：根据动态主机配置协议报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址，若不存在，则丢弃，若存在，则执行步骤S20。4.根据权利要求2所述的一种动态主机配置协议数据包过滤方法，其特征在于，所述步骤S10中包括：S11：判断动态主机配置协议报文类型；S12：若为动态主机配置协议请求类报文，则全部丢弃；若为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中的用户物理地址信息，查看所述用户信息记录项中是否存在对应的物理地址，若不存在，则丢弃，若存在，则执行步骤S20。5.根据权利要求1所述的一种动态主机配置协议数据包过滤方法，其特征在于，所述步骤S20中包括：若报文类型为动态主机配置协议请求类报文，则从广域网接口转发所述动态主机配置协议请求类报文；若报文类型为动态主机配置协议应答类报文，则根据动态主机配置协议应答类报文中用户物理地址，在包含有相对应的物理地址的所述用户信息记录项中查看对应无线接口，并从对应无线接口处...

【专利技术属性】
技术研发人员：李俊奎，
申请(专利权)人：上海斐讯数据通信技术有限公司，
类型：发明
国别省市：上海,31