專利名稱:一種防止ip地址泄露的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及國(guó)際互聯(lián)網(wǎng)(Internet)技術(shù)領(lǐng)域和接入網(wǎng)技術(shù)領(lǐng)域����,具體涉及一種防止IP地址泄露的方法��。
背景技術(shù):
動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP��,Dynamic Host Configuration Protocol)是一種終端自動(dòng)配置協(xié)議�����,RFC2131�����、2132、1542給出了其實(shí)現(xiàn)標(biāo)準(zhǔn)��。DHCP協(xié)議采用client-server方式實(shí)現(xiàn)�����,DHCP協(xié)議是基于UDP層之上的應(yīng)用�����,DHCP終端(也可稱為DHCP客戶端�,DHCP client)采用知名端口號(hào)68進(jìn)行標(biāo)識(shí)�,DHCP服務(wù)器(DHCP server)采用知名端口號(hào)67進(jìn)行標(biāo)識(shí)。DHCP協(xié)議能夠支持多種終端設(shè)備�,整個(gè)配置過程自動(dòng)實(shí)現(xiàn),終端無需配置����,能夠?qū)崿F(xiàn)用戶開機(jī)就能上網(wǎng)的目標(biāo);所有配置信息由DHCP服務(wù)器統(tǒng)一管理��,不僅能夠分配IP地址�,還可以配置其他大量網(wǎng)絡(luò)配置參數(shù)和系統(tǒng)配置信息;通過IP地址租期管理�,實(shí)現(xiàn)IP地址分時(shí)復(fù)用����,節(jié)省有限的IP地址資源�����;采用廣播方式實(shí)現(xiàn)報(bào)文交互�,報(bào)文一般不能跨網(wǎng)段,若要跨網(wǎng)段���,需要DHCP Relay(動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備)�����。
表1給出了DHCP報(bào)文的格式
表1DHCP報(bào)文作為整個(gè)IP報(bào)文的靜荷進(jìn)行封裝��。
op字段表示當(dāng)前報(bào)文是DHCP client的請(qǐng)求還是DHCP server的應(yīng)答�����,該字段的值為1時(shí)表示是DHCP client的請(qǐng)求����,為2時(shí)表示是DHCPserver的應(yīng)答���。
htype字段和hlen字段hardware type����、hardware length,分別表示DHCPclient的網(wǎng)絡(luò)硬件地址類型�����、長(zhǎng)度���,如htype字段的值為1����,表示DHCPclient的網(wǎng)絡(luò)硬件是10MB的以太網(wǎng)類型��,hlen字段的值為6�,表示DHCPclient的網(wǎng)絡(luò)硬件地址長(zhǎng)度是6bytes(即以太網(wǎng)類型的6bytes的MAC地址)��。
hops字段表示當(dāng)前的DHCP報(bào)文經(jīng)過的DHCP Relay的數(shù)目�,類似于IP頭中的跳數(shù)字段,但含義完全不同����,DHCP client或DHCP server發(fā)出DHCP報(bào)文時(shí)��,此字段都初始化為0���,每經(jīng)過一個(gè)DHCP Relay,此字段就會(huì)加1����,此字段的作用是限制DHCP報(bào)文不要經(jīng)過太多的DHCP Relay,DHCP協(xié)議規(guī)定��,當(dāng)hops字段的值大于4(現(xiàn)在也有規(guī)定為16)時(shí)����,這個(gè)DHCP報(bào)文就不能再進(jìn)行處理,而是丟棄�����。
ciaddr字段client ip address��,表示DHCP client自己的IP地址�。可以是DHCP server分配給DHCP client的IP地址����,也可以是DHCP client已有的IP地址�。DHCP client能夠使用此IP地址接收IP報(bào)文�����,DHCP server發(fā)現(xiàn)此字段不為0時(shí)�����,可以直接將響應(yīng)報(bào)文單播給DHCP client���。
yiaddr字段your ip address���,表示DHCP server分配給DHCP client的IP地址。當(dāng)DHCP server響應(yīng)DHCP client的DHCP請(qǐng)求時(shí)����,將把分配給DHCP client的IP地址填入此字段。
giaddr字段gateway ip address��,記錄第一個(gè)DHCP Relay的IP地址��。當(dāng)DHCP client發(fā)出DHCP請(qǐng)求報(bào)文后�,如果網(wǎng)絡(luò)中存在DHCP Relay,則第一個(gè)DHCP Relay轉(zhuǎn)發(fā)這個(gè)DHCP請(qǐng)求報(bào)文時(shí)����,就會(huì)把自己的IP地址填入此字段(隨后的DHCP Relay將不再改寫此字段,只是把hops字段的值加1)���。DHCP server將會(huì)根據(jù)此字段為用戶分配IP地址�,并把響應(yīng)報(bào)文轉(zhuǎn)發(fā)給此DHCP Relay�����,由DHCP Relay再轉(zhuǎn)發(fā)給DHCP client�����。
chaddr字段client hardware address��,記錄DHCP client的實(shí)際硬件地址內(nèi)容���。當(dāng)DHCP client發(fā)出DHCP請(qǐng)求報(bào)文時(shí)��,將把自己的網(wǎng)卡硬件地址填入此字段���,DHCP server一般都會(huì)使用此字段來唯一標(biāo)識(shí)一個(gè)DHCPclient。而且此字段與前面的htype、hlen字段必須一致����,例如當(dāng)htype、hlen字段的值分別為1和6時(shí)���,此字段必須填入6bytes的以太網(wǎng)MAC地址�����。
DHCP共有8種報(bào)文類型�����,是通過option 53 DHCP Message Type字段來標(biāo)識(shí)的�。
1����、DHCP DISCOVER此報(bào)文是DHCP client開始DHCP過程的第一個(gè)報(bào)文;2��、DHCP OFFER此報(bào)文是DHCP server對(duì)DHCPDISCOVER報(bào)文的響應(yīng)�����;
3����、DHCP REQUEST此報(bào)文是DHCP client開始DHCP過程中對(duì)DHCPserver的DHCP OFFER報(bào)文的回應(yīng),或者是DHCP client續(xù)延IP地址租期時(shí)發(fā)出的報(bào)文���;4�����、DHCP DECLINE當(dāng)DHCP client發(fā)現(xiàn)DHCP server分配給它的IP地址無法使用�����,如IP地址沖突時(shí)���,將發(fā)出此報(bào)文,通知DHCP server禁止使用IP地址�����;5���、DHCP ACKDHCP server對(duì)DHCP client的DHCPREQUEST報(bào)文的確認(rèn)響應(yīng)報(bào)文�����,DHCP client收到此報(bào)文后���,才真正獲得了IP地址和相關(guān)的配置信息�;6���、DHCP NAKDHCP server對(duì)DHCP client的DHCPREQUEST報(bào)文的拒絕響應(yīng)報(bào)文�,DHCP client收到此報(bào)文后�����,一般會(huì)重新開始新的DHCP過程����;7、DHCP RELEASEDHCP client主動(dòng)釋放server分配給它的IP地址的報(bào)文�����,當(dāng)DHCP server收到此報(bào)文后�,就可以回收這個(gè)IP地址,能夠分配給其他的DHCP client�����;8、DHCP INFORMDHCP client已經(jīng)獲得了IP地址��,發(fā)送此報(bào)文�,只是為了從DHCP server處獲取其他的一些網(wǎng)絡(luò)配置信息�,如route IP、DNS IP等����,這種報(bào)文的應(yīng)用非常少見。
DSLAM(Digital Subscriber Line Access Multiplexers����,數(shù)字用戶線路接入復(fù)用器)設(shè)備位于寬帶網(wǎng)絡(luò)邊緣接入層,主要提供xDSL接入���,支持VDSL����、ADSL�、G.SHDSL接入;在以xDSL接入為主的同時(shí)��,也能夠支持一定的Ethernet接入;同時(shí)還提供IP組播業(yè)務(wù)�����,具有豐富的寬帶接入業(yè)務(wù)和良好的可運(yùn)營(yíng)�����、可管理功能�。DSLAM的結(jié)構(gòu)圖如圖1所示。
由于DHCP報(bào)文都大多采用廣播方式�����,是無法穿越多個(gè)子網(wǎng)的��,當(dāng)DHCP報(bào)文要穿越多個(gè)子網(wǎng)時(shí)�����,就要有DHCP Relay的存在���。DHCP Relay可以是路由器�,也可以是一臺(tái)主機(jī)�,總之,DHCP Relay要監(jiān)聽UDP目的端口號(hào)為67的所有報(bào)文��。當(dāng)DHCP Relay收到一個(gè)這樣的報(bào)文時(shí),會(huì)首先判斷是否是用戶的請(qǐng)求報(bào)文�,如果是�����,而且giaddr字段的值為0,則把自己的IP地址填入此字段�,并把此報(bào)文單播給真正的DHCP server,以實(shí)現(xiàn)DHCP報(bào)文穿越多個(gè)子網(wǎng)的目的�����。當(dāng)DHCP Relay發(fā)現(xiàn)這是DHCPserver的響應(yīng)報(bào)文時(shí)�����,會(huì)根據(jù)flag字段中的廣播標(biāo)記來決定是廣播或單播封裝好的報(bào)文。DSLAM接入設(shè)備完全可以承擔(dān)DHCP Relay的角色���,目前很多廠商的DSLAM設(shè)備都提供DHCP Relay服務(wù)���。
DHCP協(xié)議一個(gè)比較大的問題就是安全性比較差�����,其中比較突出的一點(diǎn)就是對(duì)于非法用戶盜取合法用戶的IP地址�����,或是非法用戶仿冒合法用戶的MAC地址無法進(jìn)行防范,后果是合法用戶無法正常上網(wǎng)��。非法用戶獲取合法用戶IP地址和MAC地址的方法有很多,比較常見的一種就是采用網(wǎng)絡(luò)嗅探工具竊聽DHCP client和DHCP server之間的DHCP廣播報(bào)文����,從DHCP報(bào)文中通過chaddr域獲取用戶的硬件地址�����,通過ciaddr域獲取DHCP server向DHCP client分配的IP地址����,然后進(jìn)行仿冒和攻擊����。假如DHCP server或是DHCP Relay相應(yīng)用戶的報(bào)文都可以用單播報(bào)文的話,那么在很大程度上可以防止用戶的IP地址以及硬件地址被IP層同子網(wǎng)或是鏈路層同廣播域的仿冒攻擊者竊聽到����。但是實(shí)際情況是,DHCP協(xié)議為了兼顧各種類型的DHCP client����,在DHCP報(bào)文的flags字段的最左的bit位設(shè)置了報(bào)文廣播標(biāo)記,flags字段的編碼格式如圖2所示����。如果客戶端在未分配到IP地址的情況下無法接受單播報(bào)文,那么就在發(fā)送報(bào)文中設(shè)置廣播標(biāo)記為1��,否則設(shè)置為0���,DHCP server或者DHCP Relay根據(jù)此廣播標(biāo)記決定向用戶發(fā)送單播相應(yīng)報(bào)文或是廣播相應(yīng)報(bào)文����。目前DHCP server或者啟動(dòng)了DHCP Relay服務(wù)的路由器�����,以及三層交換機(jī)或者具有三層功能的DSLAM設(shè)備對(duì)于用戶(DHCPclient)的報(bào)文處理并不一樣��,最簡(jiǎn)化的處理就是在用戶IP地址未完全分配到的情況下都用廣播報(bào)文進(jìn)行響應(yīng),忽略用戶報(bào)文中的flags字段中的廣播標(biāo)記���;比較規(guī)范的做法是對(duì)于廣播標(biāo)記設(shè)置為1的DHCP client用廣播響應(yīng)��,設(shè)置為0的用單播響應(yīng)��;兩種情況下都存在廣播響應(yīng)的問題,無法做到完全的單播響應(yīng)�,這就使得仿冒攻擊者偵測(cè)報(bào)文有了可趁之機(jī)��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種防止IP地址泄露的方法����,克服現(xiàn)有技術(shù)單純使用廣播標(biāo)記來確定DHCP Relay對(duì)DHCP報(bào)文的轉(zhuǎn)發(fā)方式,從而造成DHCP服務(wù)器分配的IP地址容易泄露的缺點(diǎn)��。
本發(fā)明采用如下的技術(shù)方案一種防止IP地址泄露的方法,包括步驟A1�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議報(bào)文后�,記錄發(fā)送該報(bào)文的用戶端口地址��;從該報(bào)文的客戶硬件地址字段查找到動(dòng)態(tài)主機(jī)配置協(xié)議客戶端的介質(zhì)訪問控制地址,建立介質(zhì)訪問控制地址和用戶端口地址的對(duì)應(yīng)關(guān)系�;A2�、在接收到動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器發(fā)送的響應(yīng)報(bào)文后����,動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)該響應(yīng)報(bào)文中的客戶硬件地址字段�����,查找到介質(zhì)訪問控制地址;根據(jù)該介質(zhì)訪問控制地址和用戶端口地址的對(duì)應(yīng)關(guān)系查找到相應(yīng)的用戶端口地址����;然后直接將該響應(yīng)報(bào)文發(fā)送到用戶端口地址確定的用戶端口上���。
所述的防止IP地址泄露的方法���,其中所述步驟A1包括步驟B1、動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文�,尋找動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器�����;B2、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲該動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文���,從該報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址,記錄發(fā)送報(bào)文的用戶端口地址����,并將該介質(zhì)訪問控制地址和用戶端口地址填入對(duì)應(yīng)關(guān)系表;B3�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)配置選擇動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器���,將封裝動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器地址���,然后發(fā)送該動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文��。
所述的防止IP地址泄露的方法�,其中所述步驟Al包括步驟C1�����、動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文;C2��、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲該動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文,從該報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址�����,記錄發(fā)送報(bào)文的用戶端口地址����,并將該介質(zhì)訪問控制地址和用戶端口地址填入對(duì)應(yīng)關(guān)系表;C3�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)配置選擇動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器�,將封裝動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器地址,然后發(fā)送該動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文��。
所述的防止IP地址泄露的方法���,其中所述步驟A2包括步驟D1�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備接收動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器的動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文��;D2��、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址��,根據(jù)該介質(zhì)訪問控制地址查找對(duì)應(yīng)關(guān)系表���,得到用戶端口地址;D3�、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備重新生成動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文,不改變?cè)搱?bào)文中的廣播標(biāo)記��;直接將該報(bào)文發(fā)送到用戶端口地址確定的用戶端口上�����。
所述的防止IP地址泄露的方法�,其中所述步驟A2包括步驟E1、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備接收動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文�����;E2��、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址�����,根據(jù)該介質(zhì)訪問控制地址查找對(duì)應(yīng)關(guān)系表,得到用戶端口地址��;E3��、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備重新生成動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文���,不改變?cè)搱?bào)文中的廣播標(biāo)記�����;直接將該報(bào)文發(fā)送到用戶端口地址確定的用戶端口上��。
所述的防止IP地址泄露的方法�����,其中動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備為數(shù)字用戶線路接入復(fù)用器�。
本發(fā)明的技術(shù)方案通過記錄DHCP client的MAC地址和端口地址���,建立MAC地址和端口地址的對(duì)應(yīng)關(guān)系�����,保證所有經(jīng)過DHCP Relay或者DSLAM設(shè)備的DHCP服務(wù)器響應(yīng)報(bào)文都能只發(fā)送到發(fā)起請(qǐng)求的用戶����,不會(huì)造成報(bào)文廣播,有效防止了用戶竊聽����,增加了DHCP協(xié)議應(yīng)用的安全性����;同時(shí)減少了二層網(wǎng)絡(luò)的廣播報(bào)文發(fā)送,節(jié)省了網(wǎng)絡(luò)帶寬資源����。
本發(fā)明包括如下附圖圖1是現(xiàn)有技術(shù)DSLAM結(jié)構(gòu)圖;圖2是現(xiàn)有技術(shù)DHCP報(bào)文的flags字段編碼格式����;圖3是本發(fā)明對(duì)DHCP報(bào)文進(jìn)行處理的流程圖。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明
本發(fā)明的要點(diǎn)是當(dāng)DHCP client(動(dòng)態(tài)主機(jī)配置協(xié)議客戶端)和DHCPserver(動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器)不在一個(gè)IP子網(wǎng)內(nèi)��,DHCP Relay(動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備)或者啟動(dòng)了DHCP Relay agent(動(dòng)態(tài)主機(jī)配置協(xié)議中繼代理)服務(wù)的DSLAM��,根據(jù)DHCP client發(fā)送的DHCPDISCOVER/REQUEST報(bào)文記錄DHCP client的MAC地址����,并在接收到DISCOVER/REQUESTIP報(bào)文時(shí)記錄發(fā)送報(bào)文的用戶端口地址��;然后建立MAC地址和用戶端口地址的對(duì)應(yīng)關(guān)系�����,在接收到DHCP server發(fā)送的響應(yīng)報(bào)文后����,DHCP Relay或者DSLAM設(shè)備根據(jù)DHCP報(bào)文中的chaddr字段���,查找到MAC地址��;根據(jù)MAC地址和用戶端口地址的對(duì)應(yīng)關(guān)系查找到響應(yīng)的用戶端口���;然后直接將該DHCP報(bào)文發(fā)送到該用戶端口上,不廣播到其它用戶端口����;這樣就保證了DHCP server分配給DHCP client的IP地址和DHCP client的MAC地址不會(huì)被三層同子網(wǎng)、二層同廣播域的其它用戶竊聽到��。
本發(fā)明對(duì)DHCP報(bào)文的處理過程包括如圖3所示的步驟�����;下面通過對(duì)圖3所示步驟的具體說明,闡述本發(fā)明的實(shí)現(xiàn)過程�。
步驟1、DHCP client(DHCP客戶端)發(fā)送DHCP DICORVER(動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文)���,尋找DHCP server(動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器)����;步驟2��、DHCP Relay(動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備)或者DSLAM設(shè)備捕獲該DHCP DISCOVER報(bào)文�,從DHCP DISCOVER報(bào)文的chaddr字段(客戶硬件地址字段)查找到DHCP client的MAC(Media AccessControl����,介質(zhì)訪問控制)地址,記錄發(fā)送報(bào)文的用戶端口地址�����,并將該MAC地址和用戶端口地址填入對(duì)應(yīng)關(guān)系表�����;步驟3、根據(jù)在DHCP Relay或者DSLAM設(shè)備上配置的DHCP服務(wù)器(可能的方式是固定配置��、或者根據(jù)用戶入接口綁定服務(wù)器配置�、根據(jù)用戶的MAC地址段選擇服務(wù)器,根據(jù)DHCP報(bào)文的OPTION60域選擇服務(wù)器)��,DHCP Relay或者DSLAM設(shè)備向DHCP server單播發(fā)送DHCP DISCOVER報(bào)文(封裝DHCP DISCOVER報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的DHCP服務(wù)器地址)����;步驟4、DHCP Relay或者DSLAM設(shè)備接收DHCP server響應(yīng)的DHCP OFFER(動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文)����;步驟5、DHCP Relay或者DSLAM設(shè)備根據(jù)DHCP OFFER報(bào)文的chaddr字段得到用戶的MAC地址��,根據(jù)該MAC地址查找對(duì)應(yīng)關(guān)系表���,得到用戶端口地址���;步驟6、DHCP Relay或者DSLAM設(shè)備重新生成DHCP OFFER報(bào)文�����,不改變DHCP OFFER報(bào)文中的廣播標(biāo)記;只將DHCP OFFER報(bào)文發(fā)送到步驟5中得到的用戶端口地址���;步驟7����、DHCP客戶端發(fā)送DHCP REQUEST報(bào)文(動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文)�����;步驟8���、DHCP Relay或者DSLAM設(shè)備捕獲該DHCP REQUEST報(bào)文,從DHCP REQUEST報(bào)文的chaddr字段查找到DHCP client的MAC地址�,將該MAC地址與對(duì)應(yīng)關(guān)系表中的MAC地址進(jìn)行比較,若對(duì)應(yīng)關(guān)系表中已有該MAC地址��,則執(zhí)行步驟9���,否則將該MAC地址和相應(yīng)的用戶端口地址存入對(duì)應(yīng)關(guān)系表���;步驟9、根據(jù)在DHCP Relay或者DSLAM設(shè)備上配置的DHCP服務(wù)器���,DHCP Relay或者DSLAM設(shè)備向DHCP server單播發(fā)送DHCPREQUEST報(bào)文(封裝DHCP REQUEST報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的DHCP server地址)���;步驟10�����、DHCP Relay或者DSLAM設(shè)備接收DHCP server發(fā)送的DHCP ACK報(bào)文(動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文)��;步驟11�����、DHCP Relay或者DSLAM設(shè)備根據(jù)DHCP ACK報(bào)文的chaddr字段得到用戶的MAC地址�����,根據(jù)用戶MAC地址查找對(duì)應(yīng)關(guān)系表�,得到相應(yīng)的用戶端口地址����;
步驟12、DHCP Relay或者DSLAM設(shè)備重新生成DHCP ACK報(bào)文����,不改變DHCP ACK報(bào)文中的廣播標(biāo)記����;只將DHCP ACK報(bào)文發(fā)送到步驟11中得到的用戶端口地址����。
在上面的實(shí)施例中,DHCP Relay或者DSLAM設(shè)備上設(shè)置有報(bào)文接收監(jiān)控模塊�����,對(duì)每一個(gè)用戶端口進(jìn)行實(shí)時(shí)監(jiān)控���,當(dāng)有DHCP報(bào)文來時(shí)�����,報(bào)文接收監(jiān)控模塊就將DHCP報(bào)文和發(fā)送報(bào)文的用戶端口信息一起轉(zhuǎn)發(fā)給主處理模塊����,主處理模塊就會(huì)將用戶端口地址和從DHCP報(bào)文中查到的相應(yīng)的MAC地址一起存入對(duì)應(yīng)關(guān)系表����。
雖然通過參照本發(fā)明的優(yōu)選實(shí)施例��,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白����,可以在形式上和細(xì)節(jié)上對(duì)其作各種各樣的改變,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍�����。
權(quán)利要求
1.一種防止IP地址泄露的方法����,其特征在于,包括步驟A1����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議報(bào)文后,記錄發(fā)送該報(bào)文的用戶端口地址�;從該報(bào)文的客戶硬件地址字段查找到動(dòng)態(tài)主機(jī)配置協(xié)議客戶端的介質(zhì)訪問控制地址,建立介質(zhì)訪問控制地址和用戶端口地址的對(duì)應(yīng)關(guān)系�;A2、在接收到動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器發(fā)送的響應(yīng)報(bào)文后����,動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)該響應(yīng)報(bào)文中的客戶硬件地址字段,查找到介質(zhì)訪問控制地址;根據(jù)該介質(zhì)訪問控制地址和用戶端口地址的對(duì)應(yīng)關(guān)系查找到相應(yīng)的用戶端口地址�;然后直接將該響應(yīng)報(bào)文發(fā)送到用戶端口地址確定的用戶端口上。
2.根據(jù)權(quán)利要求1所述的防止IP地址泄露的方法���,其特征在于��,所述步驟A1包括步驟B1�、動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文��,尋找動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器�����;B2�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲該動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文����,從該報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址,記錄發(fā)送報(bào)文的用戶端口地址��,并將該介質(zhì)訪問控制地址和用戶端口地址填入對(duì)應(yīng)關(guān)系表�;B3��、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)配置選擇動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器,將封裝動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器地址���,然后發(fā)送該動(dòng)態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文���。
3.根據(jù)權(quán)利要求1所述的防止IP地址泄露的方法,其特征在于��,所述步驟A1包括步驟C1����、動(dòng)態(tài)主機(jī)配置協(xié)議客戶端發(fā)送動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文;C2���、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備捕獲該動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文����,從該報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址����,記錄發(fā)送報(bào)文的用戶端口地址,并將該介質(zhì)訪問控制地址和用戶端口地址填入對(duì)應(yīng)關(guān)系表��;C3、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)配置選擇動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器��,將封裝動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文的IP報(bào)文的目標(biāo)IP地址設(shè)置為選定的動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器地址����,然后發(fā)送該動(dòng)態(tài)主機(jī)配置協(xié)議請(qǐng)求報(bào)文。
4.根據(jù)權(quán)利要求2所述的防止IP地址泄露的方法����,其特征在于,所述步驟A2包括步驟D1����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備接收動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器的動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文;D2�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址��,根據(jù)該介質(zhì)訪問控制地址查找對(duì)應(yīng)關(guān)系表����,得到用戶端口地址;D3����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備重新生成動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)發(fā)現(xiàn)報(bào)文,不改變?cè)搱?bào)文中的廣播標(biāo)記���;直接將該報(bào)文發(fā)送到用戶端口地址確定的用戶端口上�����。
5.根據(jù)權(quán)利要求3所述的防止IP地址泄露的方法�����,其特征在于�,所述步驟A2包括步驟E1���、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備接收動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文�����;E2�����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備根據(jù)動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文的客戶硬件地址字段查找到介質(zhì)訪問控制地址�����,根據(jù)該介質(zhì)訪問控制地址查找對(duì)應(yīng)關(guān)系表��,得到用戶端口地址�����;E3����、動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備重新生成動(dòng)態(tài)主機(jī)配置協(xié)議響應(yīng)請(qǐng)求報(bào)文,不改變?cè)搱?bào)文中的廣播標(biāo)記��;直接將該報(bào)文發(fā)送到用戶端口地址確定的用戶端口上�����。
6.根據(jù)權(quán)利要求1至5任一所述的防止IP地址泄露的方法��,其特征在于動(dòng)態(tài)主機(jī)配置協(xié)議中繼設(shè)備為數(shù)字用戶線路接入復(fù)用器��。
全文摘要
本發(fā)明公開了一種防止IP地址泄露的方法���,包括步驟DHCP Relay捕獲DHCP client發(fā)送的DHCP報(bào)文后���,記錄發(fā)送該報(bào)文的用戶端口地址��;從該報(bào)文的客戶硬件地址字段查找到DHCP client的MAC地址���,建立MAC地址和用戶端口地址的對(duì)應(yīng)關(guān)系����;在接收到DHCP server發(fā)送的響應(yīng)報(bào)文后,DHCP Relay根據(jù)該響應(yīng)報(bào)文中的客戶硬件地址字段��,查找到MAC地址�;根據(jù)該MAC地址和用戶端口地址的對(duì)應(yīng)關(guān)系查找到相應(yīng)的用戶端口地址;然后直接將該響應(yīng)報(bào)文發(fā)送到用戶端口地址確定的用戶端口上��。本發(fā)明的技術(shù)方案有效防止了用戶竊聽����,增加了DHCP協(xié)議應(yīng)用的安全性;同時(shí)減少了二層網(wǎng)絡(luò)的廣播報(bào)文發(fā)送��,節(jié)省了網(wǎng)絡(luò)帶寬資源����。
文檔編號(hào)H04L29/06GK1885763SQ20061006159
公開日2006年12月27日 申請(qǐng)日期2006年7月6日 優(yōu)先權(quán)日2006年7月6日
發(fā)明者鄧雄, 袁遠(yuǎn) 申請(qǐng)人:華為技術(shù)有限公司