专利名称:基于解析dhcp报文实现防ip地址欺诈的方法
技术领域:
本发明涉及无源光网络上防IP地址欺诈领域���,具体来讲是一种基于解析DHCP报文实现防IP地址欺诈的方法����。
背景技术:
GPON(Gigabit-Capable Ρ0Ν��,吉兆比特无源光网络)技术是基于 ITU-T G. 984. x标准的最新一代宽带无源光综合接入标准���,具有众多优点����,被大多数运营商视为实现接入网业务宽带化����、综合化改造的理想技术�。GPON系统可以为用户提供数据�、语音�����、IPTV等多种业务�,真正实现三网融合����?��;チ渎鸥髦职踩?����,其中之一就是IP地址欺诈��,IP地址欺诈技术就是伪 造某台主机的IP地址的技术�����。通过IP地址的伪装�����,使得某台主机能够伪装成另外一台主机��,而伪装后主机往往具有某种特权或者被另外的主机所信任�。防止IP地址欺诈的第一步就是阻止能造成风险的IP地址�。虽然攻击者可以使用任何IP地址进行欺诈�,但使用网络上用户正在使用的有效IP地址进行欺诈�����,往往最有效果�����,也是我们最需要防范的IP地址欺诈行为��。最简单的防IP地址欺诈的方法就是静态的创建一个ACL(ACCESS CONTROL LIST�,访问控制列表)��,绑定到用户端口�����,对来自用户端口的IP报文进行过滤�����,以达到防IP地址欺诈的目的���。但是目前的网络运用中�����,用户的IP通常都是使用DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)动态获取的,这就造成了无法获得一个静态的ACL列表�,如何解决这个问题��,动态的实现防IP地址欺诈���,就需要将创建ACL列表和用户动态获取IP这二者紧密联系起来����。
发明内容
针对现有技术中存在的缺陷���,本发明的目的在于提供一种基于解析DHCP报文实现防IP地址欺诈的方法���,动态的获取用户端口的合法IP地址表�,动态的生成端口的IP地址白名单和黑名单�����,实现了防IP地址欺诈的功能��。为达到以上目的���,本发明采取的技术方案是基于解析DHCP报文实现防IP地址欺诈的方法�,包括如下步骤si.光网络终端将其转发的DHCP报文捕获至CPU�,解析注册的DHCP报文����,获取光网络终端下联用户获取的用户IP地址IPn�����,所述用户IP地址IPn为用户和DHCP服务器IP租约正式生效时的IP地址���;S2.光网络终端将所述用户IP地址IPn产生访问控制列表����,绑定到合法端口����,同时设置拦截来自其余用户端口�����、源IP地址为用户IP地址IPn的报文��。在上述技术方案的基础上�����,用户使用DHCP协议第一次获取IP地址��,用户首先发送一个DHCP发现报文�����,网络上多台DHCP服务器回复给用户DHCP回复报文����,用户挑选其中一个DHCP回复报文���,并向网络发送一个DHCP请求报文����,通知所有DHCP服务器它将指定接受所挑选的那台DHCP服务器提供的IP地址租约���。在上述技术方案的基础上�����,当DHCP服务器接收到用户发送的DHCP请求报文后��,回复一个DHCP响应报文���,确认用户的一个IP租约正式生效��;当用户收到DHCP服务器回复的DHCP响应报文���,表明IP租约正式生效���,此时的IP地址为用户IP地址IPN���。在上述技术方案的基础上�����,所述步骤SI的详细步骤为S11.解析出DHCP请求报文�����,记录DHCP请求报文中的用户请求序列号IDn����,同时获取DHCP请求报文的用户端口号Portn����,生成一个用户序列号-用户端口号表项����,添加到一个记录表中���;S12.解析出DHCP响应报文����,记录DHCP响应报文中的用户响应序列号IDm����、用户IP地址IPn及其租用时间Tn��,查找所述记录表中是否存在与用户响应序列号IDn^B同的用户请求序列号IDn�����,若存在��,将用户IP地址IPn和租用时间Tn添加到所述记录表中����,在记录表中生成完整的表项����,其包含相互匹配的用户端口号Portn�、用户请求序列号IDn�����、用户IP地址IPn和租用时间Tn�。S13.解析DHCP释放报文�,记录其中的IP地址����,查找所述记录表中是否有与IP地址相匹配的用户IP地址IPn表项���,如果有��,则删除此用户IP地址1 1<表项����;S14.定时刷新所述记录表中的表项�,查看是否有租用时间到期的用户IP地址IPn��,如果有���,则删除此用户IP地址IPn表项�����;�����。在上述技术方案的基础上�����,所述第一次获取IP地址后��,整个DHCP协议期间����,用户 和DHCP服务器之间的DHCP协议交互��,依然通过发送DHCP请求报文给DHCP服务器���,均使用用户请求序列号IDn标识��。在上述技术方案的基础上��,所述用户在发送DHCP请求报文后��,若得不到回应��,则重复发送多次DHCP请求报文�����,但多次发送的DHCP请求报文的用户请求序列号IDn相同�,保存用户请求序列号IDn时要判断用户端口列表中是否已保存此次记录�����,如果保存了此次记录�,则无需再保存���。在上述技术方案的基础上��,在生成用户端口号Portn的合法用户IP地址IPn表项的时候���,要判断该表项是否存在��,若存在����,则刷新这个表项的租用时间Tn����,若不存在��,则增加新的用户IP地址IPn的表项����。在上述技术方案的基础上�,所述步骤S2中���,根据所述记录表中的表项����,通过表项中的用户端口号Portn所对应的用户IP地址IPn生成访问控制列表�����,在用户端口号Portn的地址白名单中添加这个用户IP地址IPn��,同时在相同光网络终端的其它用户端口�,将所述用户IP地址IPn设为其他端口的地址黑名单���,保证此IP地址IPn的TCP/IP报文只能从它所绑定的用户端口转发���,除该用户端口外的其他端口均不转发此TCP/IP报文��。在上述技术方案的基础上���,当所述记录表中有表项删除时����,及时更新访问控制列表�����,更新用户端口的IP地址白名单和黑名单�����。在上述技术方案的基础上��,设定每个用户IP地址IPnA数限制�,一旦光网络终端端口绑定的用户IP地址IPn达到了所述个数限制�,则新的IP地址覆盖已经存在的用户IP地址IPn表项�。本发明的有益效果在于本发明基于解析DHCP报文实现防IP地址欺诈的方法��,通过解析DHCP报文����,动态的获取用户端口的合法IP地址表�����,生成ONU(Optical NetworkUnit����,光网络终端)的用户端口的IP地址白名单和黑名单�����,拦截非法的IP报文��,实现防IP地址欺诈的功能���。从而可以更好的保证网络安全��,?�;ふS没У囊滴癫换岜幌嗔诘挠没в跋旎虻劣?。
图I为本发明实施例基于解析DHCP报文实现防IP地址欺诈的方法的流程图�����;图2为本发明用户首次申请IP时的DHCP协议流程图��;图3为本发明用户续约时的DHCP协议流程图�;图4为本发明实施例的应用系统框图����。
具体实施例方式以下结合附图对本发明作进一步详细说明��。本发明基于解析DHCP报文实现防IP地址欺诈的方法����,如图I所示�����,包括步骤SI.光网络终端将其转发的DHCP报文捕获至CPU����,解析注册的DHCP报文���,获取ONU下联用户获取的用户IP地址IPn���,所述用户IP地址IPn为用户和DHCP服务器IP租约正式生效时的IP地址�����。 其中�����,如图2所示��,用户使用DHCP协议第一次获取IP地址的整个过程����,用户首先发送一个DHCP发现报文(DHCP discover报文)��,这个报文是一个广播报文��,网络上会有多台DHCP服务器回复给用户回复报文(DHCP offer报文)��,用户只会挑选其中一个DHCPoffer报文���,通常是挑选最先抵达用户的那个DHCP offer报文���。此时�����,用户向网络发送一个DHCP请求报文(DHCP request报文)���,通知所有DHCP服务器它将指定接受所挑选的那台DHCP服务器提供的IP地址租约����。当DHCP服务器接收到用户发送的DHCP request报文后�,回复一个DHCP响应报文(DHCP ACK报文)��,表明IP租约正式生效���,此时的IP地址为用户IP地址IPN����。确认用户的一个IP租约正式生效���,也就结束了一个完整的DHCP IP申请过程�����,这个过程可能发生在用户第一次申请IP地址的过程中����,也可能发生在用户申请续约IP地址的过程中�����。所述SI的具体步骤如下Sll.解析出DHCP request报文,记录DHCP request报文中的用户请求序列号IDn (Transaction ID),同时获取DHCP request报文的用户端口号Portn,生成一个“用户序列号_用户端口号”表项�,添加到一个记录表M中���。S12.解析出DHCP ACK报文����,记录DHCP ACK报文中的用户响应序列号IDni����、用户IP地址IPn及其租用时间Tn�,查找所述记录表M中是否存在与用户响应序列号IDm相同的用户请求序列号IDn����,若存在��,将用户IP地址IPn和租用时间Tn添加到记录表M中�����,在记录表M中生成完整的表项��,其包含相互匹配的用户端口号Portn���、用户请求序列号IDn���、用户IP地址IPn和租用时间Tn�����,即给出这4个表项其中的I个���,就能能记录表M中找出与其相互匹配的另外3个表项���。S13.如图2所示����,解析DHCP释放报文(DHCP release报文)�����,记录其中的用户IP地址����,查找所述记录表中是否有与IP地址相匹配的用户IP地址IPn表项���,如果有����,则删除此用户IP地址IPn表项��,原因是用户主动释放IP地址����,因此需要删除相应的表项���。S14.定时刷新记录表M中的表项����,查看是否有租用时间到期的用户IP地址IPN���,如果有�,则删除此用户IP地址IPn表项�。当用户没有主动释放获取的IP�,就需要定时刷新纪录表M中的表项来清理这些用户IP地址IPn表项���,避免用户IP地址IPn表项只会增加����,不会减少�����,最后造成这个IP地址表溢出����。在生成用户端口号Portn的用户IP地址IPn表项的时候�,需要判断这个表项是否存在����,若存在�,则刷新这个表项的租用时间Tn ;若不存在�����,则在记录表M中增加新的用户IP地址IPn的表项���。在第一次获取IP地址后��,整个DHCP协议期间�����,用户和DHCP服务器之间的DHCP协议交互�,依然通过发送DHCP请求报文给DHCP服务器�����,均使用用户请求序列号IDn标识�。而DHCP报文的用户请求序列号IDn是唯一用来标识一次DHCP请求的标识符�����,在用户发起一次DHCP请求后����,整个协议期间�����,用户和服务器之间的DHCP交互报文都会使用这个用户请求序列号IDn标识�。实际中可能出现���,用户在发送DHCP request报文后����,一直得不到DHCP服务器回复的DHCP ACK报文��,这表明用户的请求还没有正式生效�����,所以还需要定时清理记录表M中长时间没有得到确认的DHCP申请����。而用户在发送DHCP请求报文后�,若得不到回应�,则重复发送多次DHCP请求报文�,DHCP request报文在得不到回应的情况下可能会重复发送多次�����,但多次的用户请求序列号10 是相同的�,保存用户请求序列号IDn时要判断用户端口列表中是否已保存此次记录����,如果保存了此次记录�����,则无需再保存�����。如图3所示��,用户在续约IP地址时的协议交互����,用户依然是通过发送DHCP request报文来续约IP地址�����。所以���,不论是用户第一次申请IP地址����,还是用户续约IP地址���,都会发送DHCP request报文给DHCP服务器��,接受DHCP服务器的IP租约��。S2. ONU将用户IP地址IPn产生ACL例表���,绑定到合法端口�����,同时设置拦截来自其余用户端口���、源IP地址为用户IP地址IPn的报文���。其中�����,根据记录表M中的表项����,通过表项中的用户端口号Portn所对应的用户IP地址IPn生成ACL列表���,在用户端口号Portn的地址白名单中添加这个用户IP地址IPN���,同时在相同ONU的其它用户端口����,将所述IP地址IPn设为其它端口的地址黑名单��,保证此用户IP地址IPn的DHCP报文只能从它所绑定的用户端口转发��,除该用户端口外的其它端口均不转发此DHCP报文��。当记录表M中有表项删除时�����,及时更新ACL列表����,更新用户端口的IP地址白名单和黑名单���。为了提高效率����,在上述步骤中����,可以设定每个用户IP地址IPn个数限制��,一旦ONU端口绑定的用户IP地址IPn达到了所述个数限制�,则新的IP地址可以覆盖已经存在的用户IP地址IPn表项�。下面通过具体的应用实例对本发明作进一步详细说明����。如图4所示�,本实施例的应用系统中�,ONU有4个用户端口�,分别为UNI (User nodeinterface,用户接口 ) I UNI4 口�,ONU 和 OLT(optical line terminal,光线路终端)组成一个GPON系统�����,其中PCl和PC2分别是连接到ONU的UNIl 口和UNI2 口����,且属于同一个VLAN(Virtual Local Area Network,虚拟局域网)中���。OLT上联口连接DHCP服务器和PC3�����,DHCP服务器提供的租用IP范围为192. 168. I. I 192. 168. I. 10��,PC3的IP地址设为192. 168. I. 18����。在实施中��,首先关闭ONU的防IP地址欺诈功能��,PCl使用DHCP方式从DHCP服务器获取到IP 192. 168. I. 1����,然后PCl使用TCP/IP协议访问PC3��,此时TCP/IP协议访问一切正常���。将PC2设为静态IP模式�,IP设为192. 168. I. 1����,在PC2上也是用TCP/IP协议访问PC3�����,这时可以发现PCl和PC2的都会断断续续出现无法使用TCP/IP协议访问PC3的情况发生��,一旦PCl停止使用TCP/IP协议访问PC3��,PC2马上就可以持续使用TCP/IP协议访问PC3 了���,PC2的IP欺诈成功�����。打开ONU的防IP地址欺诈功能��,同样让PCl重新使用DHCP方式获取到IP192. 168. I. 1��,这时ONU设置拦截UNI2 UNI4 口拦截源IP为192. 168. I. I的报文���,只有UNIl 口让IP 192. 168. I. I的报文通过��,这时将PC2电脑的IP设为静态的IP 192. 168. I. 1��,然后同时在PCl和PC2上使用TCP/IP协议访问PC3�,可以发现PCl使用TCP/IP协议访问PC3不受影响�����,而PC2则无法使用TCP/IP协议访问PC3�。PCl释放掉IP192. 168. I. 1�����,这时PC2就可以使用TCP/IP协议访问PC3 了���。本发明不局限于上述实施方式����,对于本技术领域的普通技术人员来说����,在不脱离本发明原理的前提下����,还可以做出若干改进和润饰�����,这些改进和润饰也视为本发明的?;し段е?。本说明书中未作详细描述的内 容属于本领域专业技术人员公知的现有技术�����。
权利要求
1.一种基于解析DHCP报文实现防IP地址欺诈的方法��,其特征在于��,包括如下步骤 51.光网络终端将其转发的DHCP报文捕获至CPU���,解析注册的DHCP报文�,获取光网络终端下联用户获取的用户IP地址IPn���,所述用户IP地址IPn为用户和DHCP服务器IP租约正式生效时的IP地址�����; 52.光网络终端将所述用户IP地址IPn产生访问控制列表�����,绑定到合法端口�,同时设置拦截来自其余用户端口�、源IP地址为用户IP地址IPn的报文����。
2.如权利要求I所述的基于解析DHCP报文实现防IP地址欺诈的方法��,其特征在于用户使用DHCP协议第一次获取IP地址���,用户首先发送一个DHCP发现报文��,网络上多台DHCP服务器回复给用户DHCP回复报文�����,用户挑选其中一个DHCP回复报文����,并向网络发送一个DHCP请求报文��,通知所有DHCP服务器它将指定接受所挑选的那台DHCP服务器提供的IP地址租约����。
3.如权利要求2所述的基于解析DHCP报文实现防IP地址欺诈的方法����,其特征在于当DHCP服务器接收到用户发送的DHCP请求报文后��,回复一个DHCP响应报文�,确认用户的一个IP租约正式生效�����;当用户收到DHCP服务器回复的DHCP响应报文��,表明IP租约正式生效�����,此时的IP地址为用户IP地址IPN����。
4.如权利要求3所述的基于解析DHCP报文实现防IP地址欺诈的方法���,其特征在于所述步骤SI的详细步骤为 511.解析出DHCP请求报文��,记录DHCP请求报文中的用户请求序列号IDn���,同时获取DHCP请求报文的用户端口号Portn�,生成一个用户序列号-用户端口号表项�����,添加到一个记录表中�����; 512.解析出DHCP响应报文����,记录DHCP响应报文中的用户响应序列号IDm�、用户IP地址IPn及其租用时间Tn�����,查找所述记录表中是否存在与用户响应序列号IDm相同的用户请求序列号IDn�����,若存在��,将用户IP地址IPn和租用时间Tn添加到所述记录表中���,在记录表中生成完整的表项�����,其包含相互匹配的用户端口号Portn�����、用户请求序列号IDn����、用户IP地址IP1^P租用时间Tn����。
513.解析DHCP释放报文���,记录其中的IP地址�,查找所述记录表中是否有与IP地址相匹配的用户IP地址IPn表项��,如果有���,则删除此用户IP地址IPn表项�����; 514.定时刷新所述记录表中的表项����,查看是否有租用时间到期的用户IP地址ΙΡΝ�,如果有��,则删除此用户IP地址IPn表项��。
5.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法�,其特征在于所述第一次获取IP地址后�����,整个DHCP协议期间��,用户和DHCP服务器之间的DHCP协议交互�,依然通过发送DHCP请求报文给DHCP服务器����,均使用用户请求序列号IDn标识�。
6.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法���,其特征在于所述用户在发送DHCP请求报文后��,若得不到回应���,则重复发送多次DHCP请求报文����,但多次发送的DHCP请求报文的用户请求序列号IDn相同�����,保存用户请求序列号IDn时要判断用户端口列表中是否已保存此次记录�����,如果保存了此次记录�����,则无需再保存����。
7.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法���,其特征在于在生成用户端口号Portn的合法用户IP地址IPn表项的时候��,要判断该表项是否存在��,若存在���,则刷新这个表项的租用时间Tn��,若不存在���,则增加新的用户IP地址IPn的表项�����。
8.如权利要求4所述的基于解析DHCP报文实现防IP地址欺诈的方法��,其特征在于所述步骤S2中�,根据所述记录表中的表项��,通过表项中的用户端口号Portn所对应的用户IP地址IPn生成访问控制列表���,在用户端口号Portn的地址白名单中添加这个用户IP地址IPn,同时在相同光网络终端的其它用户端口���,将所述用户IP地址IPn设为其他端口的地址黑名单����,保证此IP地址IPn的TCP/IP报文只能从它所绑定的用户端口转发��,除该用户端口外的其他端口均不转发此TCP/IP报文�。
9.如权利要求8所述的基于解析DHCP报文实现防IP地址欺诈的方法���,其特征在于当所述记录表中有表项删除时��,及时更新访问控制列表��,更新用户端口的IP地址白名单和黑名单�。
10.如权利要求I��、4或8所述的基于解析DHCP报文实现防IP地址欺诈的方法����,其特征在于设定每个用户IP地址0\个数限制�����,一旦光网络终端端口绑定的用户IP地址0\达到了所述个数限制���,则新的IP地址覆盖已经存在的用户IP地址IPn表项����。
全文摘要
一种基于解析DHCP报文实现防IP地址欺诈的方法����,涉及无源光网络上防IP地址欺诈领域��,包括如下步骤S1.光网络终端将其转发的DHCP报文捕获至CPU�����,解析注册的DHCP报文��,获取光网络终端下联用户获取的用户IP地址IPN����,所述用户IP地址IPN为用户和DHCP服务器IP租约正式生效时的IP地址���;S2.光网络终端将所述用户IP地址IPN产生访问控制列表��,绑定到合法端口��,同时设置拦截来自其余用户端口�、源IP地址为用户IP地址IPN的报文���。该方法动态的获取用户端口的合法IP地址表�����,动态的生成端口的IP地址白名单和黑名单����,实现了防IP地址欺诈的功能�����。
文档编号H04L29/12GK102882861SQ20121034684
公开日2013年1月16日 申请日期2012年9月19日 优先权日2012年9月19日
发明者钱凯, 吴军平, 刘新峰, 王信奎 申请人:烽火通信科技股份有限公司