一种DHCP监听方法及其装置制造方法及图纸

本发明专利技术公开了一种ＤＨＣＰ监听方法，当由于ＤＨＣＰ绑定表非正常丢失而使收到的用户报文不能命中ＤＨＣＰ绑定表时，仿照ＤＨＣＰ服务器向该用户发送ＤＨＣＰＮＡＫ报文，使该用户在收到ＤＨＣＰＮＡＫ报文后发起首次地址申请。本发明专利技术还公开了一种ＤＨＣＰ监听装置。通过本发明专利技术，可以在用户觉察不到的情况下自动重新建立起ＤＨＣＰ绑定表，保持用户照常上网。

【技术实现步骤摘要】
一种DHCP监听方法及其装置
本专利技术涉及通信网络
，具体地涉及一种DHCP监听方法及其装置。
技术介绍
随着网络规模的扩大和网络复杂度的提高，动态主机配置协议(DynamicHost Configuration Protocol，DHCP)得到了广泛的应用。但DHCP协议在应用的过程中遇到很多安全方面的问题，为解决这些问题，目前通用的办法是在接入用户的网络设备处，如网关交换机上使能DHCP监听(Snooping)功能。DHCP Snooping协议栈通过监听DHCP报文，建立DHCP绑定表，该DHCP绑定表的表项包括：IP地址、MAC地址、入端口号和虚拟局域网(Virtual LAN，VLAN)号。在转发报文时，利用DHCP绑定表对地址解析协议(AddressResolution Protocol，ARP)报文、IP报文进行检查，从而解决上述的欺骗攻击安全问题。其基本方案示意图如图1所示，用户B的MAC地址及IP地址为：B，10.1.1.2；用户C的MAC地址及IP地址为：C，10.1.1.3；网络设备A的MAC地址及IP地址为：A，10.1.1.1。在接入用户的网关交换机上使能DHCPSnooping功能，则无论是正常用户如用户B还是其它可能有攻击行为的用户如用户C，首先必须进行DHCP首次地址申请。网关交换机监听申请过程中的所有DHCP报文，通过分析往来的DHCP报文，建立如下所示的DHCP绑定表。              表1 DHCP绑定表 MAC地址    IP地址 入端口号 VLAN号 B    10.1.1.2    E2    1 C    10.1.1.3    E2    3当攻击者发起欺骗攻击时，比如用户C发起一个免费ARP报文给B，欺骗用户B说，IP地址为10.1.1.1网关的MAC为C，那么在网关交换机处将对此-->ARP报文进行检测，拿本ARP报文携带的信息，包括其源MAC地址，源IP地址(或ARP净荷中声明的IP地址)以及入端口信息，本例中MAC地址为C、IP地址为10.1.1.1、入端口号为E2、VLAN号为3，去查找DHCP绑定表，发现其无法命中DHCP绑定表，则网关交换机会把该报文丢弃。所以，此欺骗ARP报文将无法到达其它任何用户包括用户B，从而制止了用户C的攻击行为。而对于正常用户，比如用户B，使用网络则没有任何问题，因为其发送的所有报文，都将遵循其DHCP地址申请时的信息，即MAC地址为B，源IP地址为10.1.1.2，正常情况下，将能在网关交换机处正确命中DHCP绑定表，从而正常访问外部网络。采用DHCP Snooping方案，一旦用户通过DHCP动态申请IP地址成功以后，能否上网，完全取决于用户报文能否命中网关交换机的某一DHCP绑定表(即，从该用户报文中提取出的相关信息与网关交换机上的某一DHCP绑定表的表项完全一致)，如果没有任何一个DHCP绑定表与之匹配，该用户报文将被丢弃。按照正常情况，只要用户还能使用这个IP地址(比如申请的IP地址在租期内)，那么与之对应的DHCP绑定表就应该存在于网关交换机上，然而DHCP绑定表是有可能非正常丢失的，比如：1、由于一个网关上要接入大量的用户，而用于存放DHCP绑定表的空间有限，因此，需要将长期没有命中的DHCP绑定表老化掉，即，使该DHCP绑定表无效，或新用户的DHCP Snooping绑定表因为空间不够的原因无法正常创建。2、由于使能DHCP Snooping功能的网络设备重启，原DHCP绑定表在保存恢复过程中部分丢失。3、使能DHCP Snooping功能的网络设备由于自身内部通信原因，也可能造成DHCP绑定表丢失。4、网络设备上一个端口上一旦使能DHCP Snooping功能，那么在使能前已经通过DHCP获得IP地址的用户将在该网络设备上没有对应的DHCP绑定表，此时也可以理解为该用户的DHCP绑定表异常丢失。一旦某DHCP绑定表丢失，与之对应的用户将无法发送任何报文通过网关交换机，只能等待通过DHCP申请的地址过期或者手工进行地址释放，并再次发起DHCP地址申请并成功申请地址后，该用户才能上网。如图1所示，假如由于某种原因，针对用户B的DHCP绑定表丢失了，用-->户B的报文由于在网关交换机上没有对应的DHCP绑定表，从而导致网关交换机查找DHCP绑定表失败而丢弃用户B发出的除DHCP首次地址申请报文以外的所有报文。此时，如果用户B需要继续上网，则只能有两种办法：1、手工触发网卡重新进行DHCP首次地址申请，即先释放现有地址，然后再进行首次地址申请。通过首次地址申请，用户B重新获得新的IP地址，同时在网关交换机上建立起对应的绑定表。2、等目前申请的地址过期后再上网，此时由于地址过期，DHCP客户端软件将检测到该事件，然后自动进行首次地址申请。跟1一样，用户B重新获得新的IP地址，同时在网关交换机上建立起对应的绑定表。上述两种方法都会使用户中断上网，甚至丢失报文。
技术实现思路
本专利技术实施例所要解决的技术问题在于，提供一种DHCP监听方法，当DHCP绑定表非正常丢失时，在用户几乎不感知的情况下，快速恢复上网功能。为了解决上述技术问题，本专利技术实施例提出了一种DHCP监听方法，包括：接收用户报文并判断其是否命中DHCP绑定表，如果判断结果为是，则转发所述用户报文，否则，执行下一步；仿照DHCP服务器向所述用户发送DHCPNAK报文。相应地，本专利技术实施例提供一种DHCP监听装置，用于监听网络设备收到的用户报文，包括有：绑定表存储单元，用于存储DHCP绑定表；命中判断单元，用于根据所述网络设备接收的用户报文中的信息查找存储于所述绑定表存储单元中的DHCP绑定表，判断所述用户报文是否命中一DHCP绑定表，并在判断结果为是时命令所述网络设备转发所述用户报文；DHCP反确认单元，用于当所述命中判断单元的判断结果为否时，仿照DHCP服务器向所述用户发送DHCPNAK报文。综上，本专利技术实施例提供的一种DHCP监听方法及其装置，通过当收到的用户报文不能命中DHCP绑定表时仿照DHCP服务器向该用户发送DHCPNAK报文，使该用户在收到DHCPNAK报文后发起首次地址申请，从而重新建立起DHCP绑定表，在用户觉察不到的情况下保持继续上网。-->附图说明图1是现有技术中DHCP监听方法的应用示意图；图2是本专利技术中DHCP监听方法实施例一的流程示意图；图3是本专利技术中DHCP监听方法实施例三的流程示意图；图4是图3中步骤S3003的一实施方式的流程示意图；图5是本专利技术中DHCP监听装置实施例一的功能模块组成示意图；图6是本专利技术中DHCP监听装置实施例二的功能模块组成示意图；图7是本专利技术中DHCP监听装置实施例三的功能模块组成示意图。具体实施方式下面结合附图对本专利技术作进一步详细清楚的说明。图2示出了本专利技术DHCP监听方法实施例一的流程示意图，该实施例包括以下步骤：步骤S2001：接收用户报文并判断其是否命中DHCP绑定表，如果判断结果为是，则按照现有技术转发所述用户报文，否则，执行步骤S2002。步骤S2002：仿照DHCP服务器向所述用户发送DHCPNAK报文。在该实施例中，当用户报文不能命中DHCP绑定表时，不再本文档来自技高网...

【技术保护点】
一种ＤＨＣＰ监听方法，其特征在于，包括：接收用户报文并判断其是否命中ＤＨＣＰ绑定表，如果判断结果为是，则转发所述用户报文，否则，执行下一步；仿照ＤＨＣＰ服务器向所述用户发送ＤＨＣＰＮＡＫ报文。

【技术特征摘要】
1、一种DHCP监听方法，其特征在于，包括：接收用户报文并判断其是否命中DHCP绑定表，如果判断结果为是，则转发所述用户报文，否则，执行下一步；仿照DHCP服务器向所述用户发送DHCPNAK报文。2、如权利要求1所述的DHCP监听方法，其特征在于，所述发送DHCPNAK报文的步骤还包括：提取所述用户报文的入端口信息及其源MAC、源IP地址信息创建DHCP黑名单绑定表。3、如权利要求2所述的DHCP监听方法，其特征在于，所述创建DHCP黑名单绑定表步骤之后还包括：接收后续用户报文并判断其是否命中DHCP绑定表，如果判断结果为否，则仿照DHCP服务器向所述用户发送DHCPNAK报文，否则，执行下一步；判断所述用户报文命中的DHCP绑定表是否为DHCP黑名单绑定表，如果判断结果为否，则转发所述用户报文，否则，执行下一步；记录所述DHCP黑名单绑定表被命中的频率信息，并按照预定的配置策略处理所述用户报文。4、如权利要求3所述的DHCP监听方法，其特征在于，所述记录命中频率信息并处理所述用户报文的步骤具体包括：记录所述DHCP黑名单绑定表被命中的频率信息；根据所述频率信息计算所述用户报文的发送速度值，并比较所述发送速度值与预设限速值的大小，如果所述发送速度值大于所述限速值，则丢弃所述用户报文，否则，执行下一步；仿照DHCP服务器向所述用户发送DHCPNAK报文。5、一种DHCP监听装置，用于监听网络设备收到的用户报文，其特征在于，包括有：绑定表存储单元，用于存储DHCP绑定表；命中判断单元，用于根据所述网络设备接收的用户报文中的信息查找存储于所述绑定表存储单元中的DHCP绑定表，判断所述用户报文是否命中一DHCP绑定表，并在判断结果为是时命令所述网络设备转发所述用户报文；DHCP反确认单元，用于当所述命中判断单元的判断结果为否时，仿照DHCP服务器向所述用户发送DHCPNAK报文。6、如权利要求5所述的DHCP监听装置，其特征在于，还包括有：DHCP黑名单绑定表单元，用于当所述命中判...

【专利技术属性】
技术研发人员：谭学飞，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]