專利名稱:一種防止地址耗盡型攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種寬帶接入網(wǎng)中防止DHCP(Dynamic Host ConfigurationProtocol����,動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器受攻擊的方法,尤其涉及一種采用DHCP寬帶接入方式中針對(duì)DHCP服務(wù)器進(jìn)行地址耗盡型攻擊的防范方法���。
背景技術(shù):
在寬帶接入技術(shù)中���,采用DHCP接入方式時(shí),DHCP服務(wù)器往往會(huì)受到非法用戶大量請(qǐng)求分配地址�,從而耗盡DHCP服務(wù)器的地址資源的攻擊。DHCP協(xié)議本身并無(wú)認(rèn)證授權(quán)機(jī)制�����,無(wú)法判別合法申請(qǐng)或非法申請(qǐng)��,因此�,一般來(lái)說(shuō)DHCP服務(wù)器本身不能抵御非法用戶的攻擊。
目前����,寬帶接入網(wǎng)的組網(wǎng)形式一般如圖1和圖2所示��,用戶通過(guò)ATM電路或Dotlq電路連接到寬帶接入服務(wù)器(寬帶接入服務(wù)器BAS)��,通過(guò)寬帶接入服務(wù)器BAS的管理和控制接入互聯(lián)網(wǎng)�����。接入時(shí)�,用戶通過(guò)DHCP協(xié)議經(jīng)二層以太網(wǎng)的以太網(wǎng)交換機(jī)或ATM交換機(jī)+數(shù)字用戶線接入復(fù)用器(DSLAM)�,然后經(jīng)寬帶接入服務(wù)器BAS進(jìn)行DHCP代理進(jìn)而向所述DHCP服務(wù)器請(qǐng)求地址分配。
現(xiàn)有技術(shù)的簡(jiǎn)要協(xié)議交互流程如圖3所示����,用戶發(fā)起IP地址分配請(qǐng)求時(shí),經(jīng)過(guò)所述寬帶接入服務(wù)器BAS的代理�,該請(qǐng)求傳遞給所述DHCP服務(wù)器;該DHCP服務(wù)器相應(yīng)該請(qǐng)求并分配了IP地址后����,經(jīng)過(guò)所述寬帶接入服務(wù)器BAS的代理返回到所述用戶個(gè)人電腦PC上��。當(dāng)用戶終止上網(wǎng)時(shí)����,IP地址釋放的請(qǐng)求與分配請(qǐng)求一樣���,也通過(guò)所述寬帶接入服務(wù)器BAS代理傳遞給所述DHCP服務(wù)器。
正因?yàn)楝F(xiàn)有的DHCP協(xié)議和DHCP代理協(xié)議都認(rèn)證授權(quán)機(jī)制���,因此無(wú)法防止非法用戶進(jìn)行重復(fù)的地址申請(qǐng)��,同時(shí)也難以區(qū)分合法請(qǐng)求和非法請(qǐng)求����,目前常用的接入控制列表(ACL)技術(shù)也難以用于寬帶接入服務(wù)器BAS和DHCP服務(wù)器以防止非法請(qǐng)求���。因此一旦發(fā)生地址耗盡型的DHCP攻擊���,即非法用戶不停的發(fā)送地址分配請(qǐng)求,DHCP服務(wù)器因?yàn)橐獙?duì)每一請(qǐng)求進(jìn)行處理并分配地址資源�,因此,當(dāng)沒有相應(yīng)的釋放請(qǐng)求時(shí)�����,地址資源很快就會(huì)被耗光��,這樣合法用戶因?yàn)榉峙洳坏降刂范荒芙尤耄瑥亩斐蔀?zāi)難性后果�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種防止地址耗盡型攻擊的方法,通過(guò)寬帶接入服務(wù)器BAS對(duì)用戶接入電路上的用戶所請(qǐng)求的地址數(shù)進(jìn)行限制�����,從而達(dá)到抑制非法用戶攻擊所述DHCP服務(wù)器�,從而克服現(xiàn)有寬帶接入網(wǎng)中采用DHCP接入形式時(shí),DHCP服務(wù)器容易遭到非法用戶攻擊的缺點(diǎn)�����。
本發(fā)明的技術(shù)方案如下一種防止地址耗盡型攻擊的方法��,用于寬帶接入網(wǎng)中防止DHCP服務(wù)器受到攻擊��,所述方法在寬帶接入服務(wù)器上的處理步驟包括b1)����、在該寬帶接入服務(wù)器上對(duì)每條接入形式為DHCP的電路,配置最大DHCP在線會(huì)話數(shù)和最大DHCP請(qǐng)求頻率兩個(gè)參數(shù)����,并對(duì)電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率初始化為0��;b2)、該寬帶接入服務(wù)器對(duì)該電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率進(jìn)行監(jiān)控和維護(hù)�。
所述的方法����,其中���,所述步驟b2)還包括以下步驟b201)、所述DHCP在線會(huì)話數(shù)是指該電路中通過(guò)DHCP協(xié)議申請(qǐng)成功的IP地址數(shù)���,用戶申請(qǐng)成功一次�����,該計(jì)數(shù)加1�����,釋放一次����,則計(jì)數(shù)減1����;b202)���、所述寬帶接入服務(wù)器一旦發(fā)現(xiàn)某電路DHCP在線會(huì)話數(shù)到達(dá)其最大會(huì)話數(shù)時(shí),終止該電路上后續(xù)的一切DHCP請(qǐng)求的處理���,直到有釋放請(qǐng)求到來(lái)使得DHCP在線會(huì)話數(shù)小于其最大會(huì)話數(shù)���。
所述的方法,其中�,所述步驟b2)還包括以下步驟b203)、所述DHCP請(qǐng)求頻率是指每秒從該電路收到的請(qǐng)求數(shù)���;b204)���、所述寬帶接入服務(wù)器如果發(fā)現(xiàn)某段時(shí)間該電路的DHCP請(qǐng)求頻率持續(xù)大于最大DHCP請(qǐng)求頻率,即發(fā)出告警并關(guān)閉電路�,等待維護(hù)人員處理。
所述的方法���,其中���,所述方法還包括在所述DHCP服務(wù)器的處理步驟如下a1)、配置其接入控制列表,使其只接受來(lái)自合法寬帶接入服務(wù)器的DHCP協(xié)議包�����;a2)�����、所述DHCP服務(wù)器在收到DHCP請(qǐng)求包時(shí)��,匹配其接入控制列表�����,根據(jù)匹配結(jié)果接受來(lái)自合法寬帶接入服務(wù)器的DHCP協(xié)議包�����,拒絕來(lái)自其他地方的DHCP協(xié)議包�。
所述的方法����,其中,所述步驟a2)包括以下步驟當(dāng)所述DHCP服務(wù)器收到DHCP包時(shí)��,根據(jù)包的源IP地址匹配所述配置的接入控制列表,如果不匹配����,丟棄此包;否則��,根據(jù)DHCP協(xié)議對(duì)包進(jìn)行相應(yīng)處理����。
本發(fā)明所提供的一種防止地址耗盡型攻擊的方法,采用本發(fā)明所述方法后���,利用所述DHCP服務(wù)器的接入控制列表和所述寬帶接入服務(wù)器對(duì)電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率的監(jiān)控和維護(hù)��,有效地防止了非法用戶對(duì)DHCP服務(wù)器的地址耗盡型攻擊���,同時(shí)該方法配置簡(jiǎn)單,實(shí)現(xiàn)容易�,一旦實(shí)施,極大地提高了寬帶接入網(wǎng)絡(luò)的可靠性���。
附圖中�,圖1是現(xiàn)有技術(shù)中的基于以太網(wǎng)寬帶接入網(wǎng)的組網(wǎng)示意圖����;圖2是現(xiàn)有技術(shù)中的基于ATM的寬帶接入網(wǎng)的組網(wǎng)示意圖����;圖3是現(xiàn)有技術(shù)的DHCP接入時(shí)的時(shí)序和流程示意圖�����;圖4是本發(fā)明方法在所述寬帶接入服務(wù)器BAS上的處理流程示意圖�;
圖5是本發(fā)明方法在所述DHCP服務(wù)器上的處理流程示意圖����。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述本發(fā)明的核心思想是通過(guò)寬帶接入服務(wù)器BAS對(duì)用戶接入電路上的用戶所請(qǐng)求的地址數(shù)進(jìn)行限制,從而達(dá)到抑制非法用戶攻擊���。在寬帶接入網(wǎng)中���,用戶個(gè)人計(jì)算機(jī)PC與所述寬帶接入服務(wù)器BAS之間是通過(guò)一條二層電路進(jìn)行連接的,該二層電路可以是ATM電路(ATM接入)��,也可以是基于VLAN標(biāo)記的Dotlq電路(以太網(wǎng)接入)�。在一條電路上的用戶可以接入多個(gè)會(huì)話,一個(gè)會(huì)話占用一個(gè)IP地址��。根據(jù)用戶類型,可以在所述寬帶接入服務(wù)器上預(yù)先確定一條電路上可以接入的會(huì)話個(gè)數(shù)��,比如一般家庭用戶通常是一條電路一個(gè)會(huì)話�,企業(yè)用戶則一條電路多個(gè)會(huì)話,具體數(shù)目可由運(yùn)營(yíng)商與用戶通過(guò)協(xié)商方式確定���。具體做法如下在所述寬帶接入服務(wù)器BAS上�,對(duì)需要進(jìn)行DHCP接入的用戶電路設(shè)置兩個(gè)參數(shù)���,即最大DHCP在線會(huì)話數(shù)和最大DHCP請(qǐng)求頻率��;其中所述DHCP在線會(huì)話數(shù)是指該電路通過(guò)DHCP協(xié)議申請(qǐng)成功的IP地址數(shù)��,如果用戶申請(qǐng)成功一次���,則該計(jì)數(shù)加1;如果釋放一次�����,則計(jì)數(shù)減1�;所述DHCP請(qǐng)求頻率是指每秒從該電路收到的DHCP請(qǐng)求數(shù);所述寬帶接入服務(wù)器BAS對(duì)這兩個(gè)計(jì)數(shù)器進(jìn)行監(jiān)控和維護(hù)���。所述寬帶接入服務(wù)器BAS一旦發(fā)現(xiàn)某電路的DHCP在線會(huì)話數(shù)到達(dá)其最大會(huì)話數(shù)時(shí)����,就終止對(duì)該電路上后續(xù)的一切DHCP請(qǐng)求的處理,直到有釋放請(qǐng)求到來(lái)使得該DHCP在線會(huì)話數(shù)小于其最大會(huì)話數(shù)后才恢復(fù)對(duì)來(lái)自該電路的DHCP請(qǐng)求的處理����。同時(shí),如果發(fā)現(xiàn)某段時(shí)間該電路的DHCP請(qǐng)求頻率持續(xù)大于最大DHCP請(qǐng)求頻率���,即發(fā)出告警并關(guān)閉電路,等待維護(hù)人員處理��。另外���,為了防止來(lái)自其他地方的攻擊��,在所述DHCP服務(wù)器上配置了接入控制列表ACL���,使得其只對(duì)來(lái)自合法的寬帶接入服務(wù)器BAS的DHCP請(qǐng)求進(jìn)行處理。
通過(guò)以上處理�,所述DHCP服務(wù)器即可避免非法用戶的地址耗盡型攻擊,同時(shí)��,所述寬帶接入服務(wù)器BAS還能及時(shí)發(fā)現(xiàn)非法用戶所在的電路,從而給對(duì)攻擊源的排除帶來(lái)便利�����。
本發(fā)明在所述寬帶接入服務(wù)器BAS上對(duì)每條電路預(yù)先設(shè)置有一最大DHCP在線會(huì)話數(shù)和一最大DHCP請(qǐng)求頻率兩個(gè)門限參數(shù)�,同時(shí)對(duì)每條電路設(shè)置DHCP在線會(huì)話數(shù)和當(dāng)前DHCP請(qǐng)求頻率兩個(gè)計(jì)數(shù)變量;通過(guò)監(jiān)測(cè)比較發(fā)現(xiàn)攻擊電路�����,并采取停止服務(wù)�、告警、關(guān)閉電路等措施來(lái)抑制攻擊源的方法來(lái)防止所述DHCP服務(wù)器受到地址耗盡型攻擊��。
所說(shuō)電路是指從用戶個(gè)人計(jì)算機(jī)PC到所述寬帶接入服務(wù)器BAS的ATM連接����,如ATM PVC,或者是從用戶PC到所述寬帶接入服務(wù)器BAS的打VLAN標(biāo)記的Dotlq PVC�。所述DHCP請(qǐng)求頻率是指單位時(shí)間內(nèi)DHCP請(qǐng)求的次數(shù)。所述DHCP在線會(huì)話數(shù)是指一個(gè)電路上經(jīng)DHCP協(xié)議申請(qǐng)成功并正在用的IP地址數(shù)��,一個(gè)會(huì)話占用一個(gè)IP地址���。
本發(fā)明所述防攻擊方法分別在所述寬帶接入服務(wù)器BAS和所述DHCP服務(wù)器上實(shí)施�����,其流程分別如如圖4和圖5所示���。
如圖4所示的����,本發(fā)明方法在所述寬帶接入服務(wù)器BAS上的處理流程如下步驟1在所述寬帶接入服務(wù)器BAS上對(duì)每條采用DHCP接入方式的電路配置最大DHCP在線會(huì)話數(shù)max_session和最大DHCP請(qǐng)求頻率max_freq兩個(gè)門限參數(shù)��,以及對(duì)DHCP在線會(huì)話數(shù)online_session和當(dāng)前DHCP請(qǐng)求頻率cur_freq設(shè)置兩個(gè)計(jì)數(shù)變量��,并初始置0��;步驟2當(dāng)所述寬帶接入服務(wù)器BAS收到來(lái)自用戶的DHCP請(qǐng)求時(shí)��,重新計(jì)算當(dāng)前DHCP請(qǐng)求頻率��,并且判斷在線會(huì)話數(shù)是否大于等于最大DHCP在線會(huì)話門限(online_session��?>=max_session)以及當(dāng)前DHCP請(qǐng)求頻率是否大于等于最大DHCP請(qǐng)求頻率門限(cur_freq���?>=max_freq);如果兩者都不滿足����,則把該DHCP請(qǐng)求經(jīng)DHCP代理處理后送往所述DHCP服務(wù)器�;否則����,如果是后者,則告警并關(guān)閉電路���;如果是前者�,則丟棄此請(qǐng)求包�����,不做任何處理或反應(yīng)�����;步驟3當(dāng)所述寬帶接入服務(wù)器BAS收到DHCP應(yīng)答包后���,建立DHCP會(huì)話��,并對(duì)所述在線DHCP會(huì)話數(shù)加1�,然后把包轉(zhuǎn)發(fā)給用戶;步驟4當(dāng)所述寬帶接入服務(wù)器BAS收到來(lái)自用戶的DHCP釋放請(qǐng)求時(shí)���,釋放DHCP會(huì)話����,并對(duì)所述在線DHCP會(huì)話數(shù)減1���,然后把包轉(zhuǎn)發(fā)給DHCP服務(wù)器��。
如圖5所示的���,本發(fā)明方法在所述DHCP服務(wù)器上的處理流程如下步驟1在所述DHCP服務(wù)器配置所述接入控制列表ACL,只允許來(lái)自合法寬帶接入服務(wù)器BAS的DHCP協(xié)議包得到服務(wù)��;步驟2當(dāng)所述DHCP服務(wù)器收到DHCP包時(shí)�,根據(jù)包的源IP地址匹配所述配置的接入控制列表,如果不匹配��,丟棄此包�����;否則�,根據(jù)DHCP協(xié)議對(duì)包進(jìn)行相應(yīng)處理。
通過(guò)以上步驟�����,所述DHCP服務(wù)器即可有效防止了非法用戶的地址耗盡型攻擊����,保證DHCP服務(wù)器地址資源的安全和有效使用,提高寬帶接入網(wǎng)絡(luò)的可靠性和穩(wěn)定性�。
應(yīng)當(dāng)理解的是,本發(fā)明的上述對(duì)具體實(shí)施例的詳細(xì)描述不能作為本發(fā)明的專利保護(hù)范圍請(qǐng)求依據(jù)���,而應(yīng)以本發(fā)明所附權(quán)利要求書為準(zhǔn)��。
權(quán)利要求
1.一種防止地址耗盡型攻擊的方法��,用于寬帶接入網(wǎng)中防止DHCP服務(wù)器受到攻擊�����,所述方法在寬帶接入服務(wù)器上的處理步驟包括b1)�、在該寬帶接入服務(wù)器上對(duì)每條接入形式為DHCP的電路��,配置最大DHCP在線會(huì)話數(shù)和最大DHCP請(qǐng)求頻率兩個(gè)參數(shù)���,并對(duì)電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率初始化為0�����;b2)��、該寬帶接入服務(wù)器對(duì)該電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率進(jìn)行監(jiān)控和維護(hù)�����。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述步驟b2)還包括以下步驟b201)��、所述DHCP在線會(huì)話數(shù)是指該電路中通過(guò)DHCP協(xié)議申請(qǐng)成功的IP地址數(shù)�,用戶申請(qǐng)成功一次,該計(jì)數(shù)加1�����,釋放一次�,則計(jì)數(shù)減1;b202)�、所述寬帶接入服務(wù)器一旦發(fā)現(xiàn)某電路DHCP在線會(huì)話數(shù)到達(dá)其最大會(huì)話數(shù)時(shí),終止該電路上后續(xù)的一切DHCP請(qǐng)求的處理����,直到有釋放請(qǐng)求到來(lái)使得DHCP在線會(huì)話數(shù)小于其最大會(huì)話數(shù)。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于�����,所述步驟b2)還包括以下步驟b203)�����、所述DHCP請(qǐng)求頻率是指每秒從該電路收到的請(qǐng)求數(shù)�;b204)、所述寬帶接入服務(wù)器如果發(fā)現(xiàn)某段時(shí)間該電路的DHCP請(qǐng)求頻率持續(xù)大于最大DHCP請(qǐng)求頻率����,即發(fā)出告警并關(guān)閉電路,等待維護(hù)人員處理�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述方法還包括在所述DHCP服務(wù)器的處理步驟如下a1)�、配置其接入控制列表,使其只接受來(lái)自合法寬帶接入服務(wù)器的DHCP協(xié)議包��;a2)、所述DHCP服務(wù)器在收到DHCP請(qǐng)求包時(shí)�����,匹配其接入控制列表����,根據(jù)匹配結(jié)果接受來(lái)自合法寬帶接入服務(wù)器的DHCP協(xié)議包,拒絕來(lái)自其他地方的DHCP協(xié)議包�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于����,所述步驟a2)包括以下步驟當(dāng)所述DHCP服務(wù)器收到DHCP包時(shí),根據(jù)包的源IP地址匹配所述配置的接入控制列表���,如果不匹配�����,丟棄此包��;否則�����,根據(jù)DHCP協(xié)議對(duì)包進(jìn)行相應(yīng)處理�。
全文摘要
本發(fā)明的一種防止地址耗盡型攻擊的方法,所述方法結(jié)合DHCP服務(wù)器和寬帶接入服務(wù)器防止受到攻擊���,在所述寬帶接入服務(wù)器上的處理步驟包括在該寬帶接入服務(wù)器上對(duì)每條接入形式為DHCP的電路,配置最大DHCP在線會(huì)話數(shù)和最大DHCP請(qǐng)求頻率兩個(gè)參數(shù)��,并對(duì)電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率初始化為0����;該寬帶接入服務(wù)器對(duì)該電路的DHCP在線會(huì)話數(shù)和DHCP請(qǐng)求頻率進(jìn)行監(jiān)控和維護(hù)。本發(fā)明方法有效地防止了非法用戶對(duì)DHCP服務(wù)器的地址耗盡型攻擊����,同時(shí)該方法配置簡(jiǎn)單,實(shí)現(xiàn)容易��,一旦實(shí)施�����,極大地提高了寬帶接入網(wǎng)絡(luò)的可靠性�。
文檔編號(hào)H04L29/06GK1642107SQ20041001514
公開日2005年7月20日 申請(qǐng)日期2004年1月15日 優(yōu)先權(quán)日2004年1月15日
發(fā)明者田洪亮 申請(qǐng)人:中興通訊股份有限公司