检测DHCP恶意事件方法及装置制造方法及图纸

本申请实施例提供的检测DHCP恶意事件的方法及装置，采用与DHCP系统的三层网关设备通信连接的服务器获取交互报文，并通过对交互报文进行检测确定DHCP服务器是否为发起恶意事件的非法DHCP服务器。与现有技术采用DHCP系统中的网络设备检测确定所述DHCP服务器是否非法相比，只需对检测服务器进行管理和维护，不需考虑因网络设备或DHCP服务器分散部署带来的管理维护难及成本增加的技术问题，更加容易管理和控制成本。

【技术实现步骤摘要】
检测DHCP恶意事件方法及装置
本申请涉及通信
，具体而言，涉及一种检测DHCP恶意事件的方法及装置。
技术介绍
在TCP/IP(TransmissionControlProtocol/InternetProtocol，传输控制协议/因特网互联协议)网络中，每台终端设备要与其他终端设备进行通信，都必须进行网络配置(比如，配置IP地址、子网掩码、缺省网关及DNS(DomainNameSystem，域名系统)等)。对于小型网络(比如，家庭网络)而言，采用人工方式为每台终端设备进行网络配置是可以接受的。但随着网络应用的发展，特别是电子商务、电子政务、办公自动化等新的网络应用的出现，网络规模也越来越大。采用人工方式对一个网络中成百上千个终端设备进行网络配置的工作量是相当巨大的，而且人工配置方式也不便于后续维护。为了便于统一规划和管理网络中的IP地址，DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)服务应运而生，这种服务有利于网络中的客户端自动进行网络配置，而不需要人工手动配置。然而，采用DHCP服务进行网络配置却存在DHCP恶意事件的技术问本文档来自技高网...

【技术保护点】
1.一种检测DHCP恶意事件的方法，其特征在于，应用于检测服务器，所述检测服务器与DHCP系统的三层网关设备通信连接，在所述DHCP系统中，DHCP客户端通过三层网关设备与DHCP服务器通信，所述方法包括：接收所述三层网关设备通过DHCP Relay技术转发的DHCP客户端与DHCP服务器之间的交互报文；对接收到的各交互报文进行解析，确定所述各交互报文中的DHCP‑REQUEST报文；根据所述DHCP‑REQUEST报文，检测DHCP客户端选用的DHCP服务器是否为非法的DHCP服务器。

【技术特征摘要】
1.一种检测DHCP恶意事件的方法，其特征在于，应用于检测服务器，所述检测服务器与DHCP系统的三层网关设备通信连接，在所述DHCP系统中，DHCP客户端通过三层网关设备与DHCP服务器通信，所述方法包括：接收所述三层网关设备通过DHCPRelay技术转发的DHCP客户端与DHCP服务器之间的交互报文；对接收到的各交互报文进行解析，确定所述各交互报文中的DHCP-REQUEST报文；根据所述DHCP-REQUEST报文，检测DHCP客户端选用的DHCP服务器是否为非法的DHCP服务器。2.如权利要求1所述的方法，其特征在于，所述根据所述DHCP-REQUEST报文，检测DHCP客户端选用的DHCP服务器是否为非法的DHCP服务器，包括：针对接收到的每一DHCP-REQUEST报文分别执行以下操作：获取一个DHCP-REQUEST报文的第一报文字段，其中，所述第一报文字段包括第一DHCP客户端选用的第一DHCP服务器的IP地址；确定预先存储的DHCP服务器的IP地址白名单中是否存在所述第一DHCP服务器的IP地址，若存在，则判定所述第一DHCP服务器为正常状态，所述第一DHCP服务器不是由DHCP客户端伪造的DHCP服务器；否则，判定所述第一DHCP服务器为异常状态，所述第一DHCP服务器是由DHCP客户端伪造的DHCP服务器。3.如权利要求2所述的方法，其特征在于，在检测DHCP客户端选用的DHCP服务器是否为非法的DHCP服务器的步骤之后，所述方法还包括：将获取到的各第一报文字段及其对应的第一DHCP服务器的状态存储到存储系统中。4.如权利要求3所述的方法，其特征在于，在所述第一DHCP服务器是由DHCP客户端伪造的DHCP服务器时，所述方法还包括：从所述存储系统中读取第一预设时间间隔内，所述第一DHCP服务器在异常状态时对应的第一报文字段；根据第一预设时间间隔内所述第一DHCP服务器在异常状态时对应的第一报文字段，生成所述第一DHCP服务器发起恶意事件的历史信息；根据第一DHCP服务器的IP地址从所述检测服务器中获得对应的DHCP客户端的MAC地址，并根据所述DHCP客户端的MAC地址从认证系统中获得对应的用户账号信息；其中，所述检测服务器中存储有从DHCP-REQUEST报文中获取的DHCP客户端的MAC地址及DHCP客户端申请的IP地址，所述认证系统存储有DHCP客户端在申请IP地址过程中保存的DHCP客户端的MAC地址及用户账号信息；将所述第一DHCP服务器发起恶意事件的历史信息及所述第一DHCP服务器的用户账号信息进行显示。5.如权利要求4所述的方法，其特征在于，所述存储系统还存有从各交互报文中的DHCP-DISCOVER报文中获取的第二报文字段，所述方法还包括：从所述存储系统中读取各交互报文中的第一报文字段和第二报文字段，其中，所述第一报文字段和第二报文字段均包括报文事务ID；检测各交互报文中是否存在报文事务ID与第二报文字段的报文事务ID相同的第一报文字段；若不存在，判定与第一DHCP客户端通信的DHCP服务器在该交互报文中没有反馈DHCP-OFFER报文；通过运行在DHCP服务器上的监控程序获取DHCP服务器的运行状态，并获取第二预设时间间隔内DHCP服务器没有反馈DHCP-OFFER报文的事件次数；并将DHCP服务器的运行状态及DHCP服务器没有反馈DHCP-OFFER报文的事件次数进行显示。6.一种检...

【专利技术属性】
技术研发人员：刘明伟，
申请(专利权)人：新华三大数据技术有限公司，
类型：发明
国别省市：河南,41