专利名称:使非法dhcp服务自动失效的方法和装置及dhcp服务器的制作方法
技术领域:
本发明涉及通信网络技术领域,尤其涉及一种使非法DHCP服务自动失 效的方法和装置,还涉及一种DHCP服务器。
背景技术:
随着网络规模的不断扩大和网络复杂度的提高,计算机的数量经常超过 可供分配的IP地址数量;同时,随着移动PC及无线网络的广泛使用,计算 机的位置也经常发生变化,其相应的IP地址也必须随之更新。
为了解决上述问题,可以采用DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)进行计算机IP地址和网关等参数的自动分配, 其工作原理为采用客户端/服务器通信模式,由客户端向DHCP服务器提 出配置申请,DHCP服务器向客户端返回为其分配的IP地址等配置信息,从 而实现了 IP地址等信息的动态分配。
但是在实际的组网环境中,并不能排除非法DHCP服务器(也称伪 DHCP服务器)的存在,其可能是私自架设的DHCP服务器,也可能是 原本作为客户端的用户不小心启用了计算机的DHCP服务功能。如图1 所示,显示了一个存在非法DHCP服务器的网络拓扑示意图;这种情况 下,当客户端申请IP地址时,这台非法DHCP服务器就会与DHCP客户 端进行交互,导致客户端获得错误的IP地址,从而影响网络的正常运行。 目前常用的解决方式为在合法DHCP服务器上使能DHCP服务器 检测功能进行DHCP报文侦听,并在侦听到siaddr字段不为0的DHCP offer报文时,在日志中记录该siaddr字段的值(即发送该DHCP offer报 文的DHCP服务器的IP地址)以及接收该DHCP offer报文的接口信息。 可以看出,在使能了 DHCP服务器检测功能以后,合法DHCP服务器会 在其日志中对网络中所有DHCP服务器都加以记录,其中既包括合法的 DHCP服务器,也包括非法的DHCP服务器;合法DHCP服务器定时将
4日志发送到日志服务器(k)g服务器),这样网络管理员通过査看日志服
务器,可以实现对非法DHCP服务器进行排查和处理。
上述处理方案虽然能够实现对非法DHCP服务器的识别和干预,但
是存在以下明显缺陷
1 、由于日志信息中同时记录了合法DHCP服务器和非法DHCP服务 器,因此需要网络管理员进行一-^核对,导致了非常庞大的工作量;
2、 网络调整必须由网络管理人员在识别出非法DHCP服务器后手工 进行,由于在出现非法DHCP服务器后网络管理员即时发现、即时处理 的可能性基本不存在,因此绝大多数情况下,在网络管理员进行网络调 整之前非法DHCP服务器已经为一些DHCP客户端提供了错误的IP地 址,导致这些客户端无法正常使用网络;
3、 现有的DHCP服务器检测功能仅仅针对每个DHCP服务器进行一 次日志记录,如果这唯一的记录在发送到日志服务器的过程中丢失,网 络管理员就无法获知非法DHCP服务器的存在,因此存在可靠性问题。
发明内容
本发明的实施例旨在克服上述现有技术中的缺陷,提供一种能够使非法 DHCP服务自动失效的技术方案,以简单、及时、可靠地实现对非法DHCP 服务器的自动处理。
为实现上述目的,本发明的实施例提供了一种使非法DHCP服务自动失 效的方法,一 DHCP服务器维护合法DHCP服务器列表,并执行以下步骤
步骤SI:周期性广播DHCP Discover并识别接收到的DHCP回应报
文;
步骤S2:如果一发送所述DHCP回应报文的节点不在所述合法 DHCP服务器列表中,则所述节点为非法DHCP服务器,启动DHCP报 文侦听;
歩骤S3:如果侦听到一客户端发送的、目的地址为所述节点的DHCP Request报文,则向所述客户端发送DHCP请求失败消息。 较佳的,所述DHCP服务器为主DHCP服务器。
5较佳的,还可以包括在网络配置的合法DHCP服务器间协商主DHCP 服务器的步骤;其中,如果网络中仅存在一台DHCP服务器,则所述DHCP 服务器为主DHCP服务器;如果网络中存在一台以上DHCP服务器,则 通过比较DHCP服务器优先级或者比较接口 IP地址大小,选择一DHCP 服务器为主DHCP服务器。
较佳的,所述DHCP服务器维护合法DHCP服务器列表的步骤可以 包括所述DHCP服务器将其他合法DHCP服务器的MAC地址和IP地 址信息记录到所述合法DHCP服务器列表中;其中,如果网络中仅存在 所述DHCP服务器,则所述合法DHCP服务器列表为空;
或者,所述DHCP服务器将网络中所有合法DHCP服务器的MAC 地址和IP地址信息记录到所述合法DHCP服务器列表中。
较佳的,还可以包括在步骤S2之后或者每隔预设时段,将识别出的 非法DHCP服务器信息发送到日志服务器的步骤。
本发明的实施例还提供了一种使非法DHCP服务自动失效的装置, 设置于DHCP服务器中,包括
IP地址请求广播单元,用于周期性广播DHCP Discover报文;
合法DHCP服务器列表维护单元,用于维护合法DHCP服务器列表;
接收识别单元,与所述合法DHCP服务器列表维护单元连接,用于 接收并识别DHCP回应报文,如果一发送所述DHCP回应报文的节点不 在所述合法DHCP服务器列表中,则触发DHCP报文侦听单元;
DHCP报文侦听单元,用于接受所述接收识别单元的触发,启动 DHCP报文侦听;如果侦听到一客户端发送的、目的地址为所述节点的 DHCP Request报文,则触发DHCP发送单元;
DHCP发送单元,用于接受所述DHCP报文侦听单元的触发,向所述客 户端发送DHCP请求失败消息。
较佳的,还包括主DHCP服务器协商单元,用于与网络中配置的合 法DHCP服务器协商主DHCP服务器,并在所在DHCP服务器为主服务 器时,触发所述IP地址请求广播单元和合法DHCP服务器列表维护单元;较佳的,所述合法DHCP服务器列表记录其他合法DHCP服务器的 MAC地址和IP地址信息;其中,如果网络中仅存在所述DHCP服务器, 则所述合法DHCP服务器列表为空;或者,所述合法DHCP服务器列表 记录网络中所有合法DHCP服务器的MAC地址和IP地址信息。
较佳的,还包括非法信息上报单元,与所述接收识别单元连接,用 于即时或者每隔预设时段,将所述接收识别单元识别出的非法DHCP服 务器信息发送到日志服务器。
本发明的实施例还提供了一种DHCP服务器,其设有上述使非法 DHCP服务自动失效的装置。
由上述技术方案可知,本发明的实施例通过合法DHCP服务器进行客户 端模拟来发现非法DHCP服务器,采用针对性发送DHCP请求失败消息来干 预非法DHCP服务器的DHCP功能,具有以下有益效果-
1、 无需核对大量日志即可实现对于非法DHCP服务器的识别和处理, 简单易行,有效降低了网络管理员的工作量;
2、 在网络管理员人工干预之前,即可及时有效的阻止非法DHCP服务 器提供DHCP服务,保证网络的连续可用性。
通过以下参照附图对优选实施例的说明,本发明的上述以及其它目的、 特征和优点将更加明显。
图1为现有技术中一存在伪DHCP服务器的网络拓扑图2为本发明提供的使非法DHCP服务自动失效的方法一实施例的流程
图3为图2所示方法一较佳实施例的流程图,由主DHCP服务器使非法 DHCP服务自动失效;
图4为图2所示方法一具体实施例的网络拓扑图5为本发明提供的使非法DHCP服务自动失效的装置一实施例的框
7图。
具体实施例方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只 用于举例说明,并不用于限制本发明。
本发明的主要构思在于简单有效的检测出网络中存在的非法DHCP 服务器,并在人为干预前对检测出的非法DHCP服务器进行自动干预处 理,使之不能有效的提供DHCP服务。这样,为帮助读者更好的理解本 发明下面将详细介绍本发明所提供的使非法DHCP服务自动失效的方案。
首先,对本发明提供的使非法DHCP服务自动失效的方法加以描述, 该方法应用于通过DHCP服务器动态提供IP地址等信息的网络环境。
请参考图2,示出了该使非法DHCP服务自动失效的方法一实施例 的流程图,需要在先加以说明的是,本实施例是以一台DHCP服务器的 处理过程为例加以描述的;但本领域技术人员可以了解,网络中可能存 在多台DHCP服务器同时进行非法DHCP服务的失效控制,那么每一台 的控制方案都如本实施例所示,在此不再赘述;
图2所示实施例包括以下步骤
步骤SO: — DHCP服务器维护合法DHCP服务器列表; 需要说明,网络中无论采用一台DHCP服务器还是采用多台DHCP 服务器来进行失效处理,其必须都是合法的DHCP服务器,即维护合法 DHCP服务器列表的必须是合法的DHCP服务器;
需要进一步加以说明的是,上述在合法DHCP服务器上维护合法 DHCP服务器列表的操作对于本领域技术人员而言是完全可以实现的。 这是由于,网络中的合法DHCP服务器由网络管理员指定;因此,合法 DHCP服务器列表既可以由网络管理员主动下发到各合法DHCP服务器, 也可以由网络管理员为合法DHCP服务器设置同样的密钥或者口令,这 样合法DHCP服务器间通过协商进行身份验证,从而一合法DHCP服务器能够获知网络中其它的合法DHCP服务器并加以记录和维护;
显然,当网络管理员更新了网络中的合法DHCP服务器时,维护有 合法DHCP服务器列表的DHCP服务器将随之刷新其合法DHCP服务器 列表,因此可以说,对于合法DHCP服务器列表的维护是根据网络中合 法DHCP服务器的变化情况动态进行的;
此外需要加以说明的是,DHCP服务器所维护的合法DHCP服务器 列表可以记录有网络中所有合法DHCP服务器的信息;但由于本发明的 技术方案是基于其它DHCP服务器的反馈实现的,需要使用到的仅仅是 其它合法DHCP服务器的信息,因此较佳的实现方式为合法DHCP服 务器列表仅记录本机以外的其它合法DHCP服务器的信息;具体的,可 以记录其他合法DHCP服务器的MAC地址和IP地址信息。这种情况下, 如果网络中仅存在一台DHCP服务器,显然该DHCP服务器的合法DHCP 服务器列表为空;
基于本步骤SO维护有合法DHCP服务器列表的任一台DHCP服务器 都可以通过以下歩骤实现对于非法DHCP服务的失效,具体如下
步骤SI:该DHCP服务器周期性广播DHCP Discover报文并识别接 收到的DHCP回应报文(DHCP offer报文);
具体来说,就是该DHCP服务器定时广播DHCP Discover报文,来 模拟DHCP客户端请求DHCP服务器;因此,网络中除本机以外的所有 合法DHCP服务器和非法DHCP服务器都会反馈DHCP offer报文,以便 后续为其分配IP地址等信息;通过识别DHCP offer报文的来源节点是否 合法,就可以判断网络中是否存在非法DHCP服务器;
其中,可以通过控制DHCP Discover报文的广播周期来调整对于非 法DHCP服务器的识别粒度;具体的广播周期可以由本领域技术人员根 据经验值设置,以达到系统资源消耗和识别实时性的平衡,比如,可以 采取每秒钟广播一次DHCP Discover报文,则新出现的非法DHCP服务 器就可以在 一 秒钟之内获得识另U 。
步骤S2:如果一发送所述DHCP offer报文的节点不在所述合法 DHCP服务器列表中,则可以判定该节点为非法DHCP服务器,本机启
9动DHCP报文侦听;
本步骤S2是基于合法DHCP服务器列表和DHCP客户端模拟,对 非法DHCP服务器的识别步骤。在本步骤S2中,对于DHCP offer报文 的判断过程可通过如下步骤实现
识别发送所述DHCP offer报文的节点源MAC地址是否为所述合法 DHCP服务器列表中记录的MAC地址;是则,发送所述DHCP offer报 文的节点在所述合法DHCP服务器列表中,所述节点为合法DHCP服务 器;否则,发送所述DHCP offer报文的节点不在所述合法DHCP服务器 列表中,则网络环境中存在非法DHCP服务器;
较佳的,在识别出存在非法DHCP服务器之后,可以即时向LOG服 务器发送非法DHCP服务器信息进行报警,或者,可以每隔预设时段将 这一段时间内识别出的非法DHCP服务器信息统一发送到LOG服务器; 前者更有利于网络管理员的及时处理,后者则占用更少的系统资源和带 见;
其中,发送的非法DHCP服务器信息包括非法DHCP服务器的MAC 地址和IP地址,网络管理员可以根据获得的非法DHCP服务器信息直接 对非法DHCP服务器进行针对性处理,而无需翻查海量的网络日志。
步骤S3:如果侦听到一客户端发送的、目的地址为所述节点的DHCP Request (DHCP Request报文),则向所述客户端发送DHCP请求失败消 息;
本步骤S3是基于对非法DHCP服务器的识别来对非法DHCP服务进 行干预,具体包括
侦听到DHCP Request类型的报文时,识别该报文中Server Identifier
字段携带的IP地址;
如果该IP地址为步骤S2检测出来的非法DHCP服务器的IP地址, 则发送DHCP请求失败消息(DHCPNAK报文),从而干扰DHCP客户 端与非法DHCP服务器之间的交互,使DHCP客户端无法从非法DHCP 服务器处获得IP地址;
具体来说,(1)即使非法DHCP服务器先发送了 DHCP ACK报文,由于DHCP客户端会发送ARP报文询问所分配的地址是否存在冲突,需 要等待一段时间;如果其在等待的这一段时间内又接收到了 DHCPNAK 报文,则会返回到重新申请DHCP地址的初试状态,开始新一轮的地址 申请;
(2)如果DHCP客户端首先接收到DHCP NAK报文,则会直接返 回到重新申请D HC P地址的初试状态,开始新 一 轮的地址申请;
可以看出,步骤S3中针对特定DHCP客户端进行DHCP NAK报文 的发送,能够有效避免其获得非法DHCP服务器分配的IP地址,让非法 DHCP服务器失去了为客户端提供DHCP服务的能力,从而达到保护网 络正常运行的目的;
相应的,如果该IP地址不是步骤S2检测出来的非法DHCP服务器 的IP地址,则其必定向合法DHCP服务器请求IP地址等信息,因此合 法DHCP服务器无需执行任何操作,DHCP客户端能够获得合法的IP地 址等信息。
通过上述步骤S0 S3可以看出,采用本发明提供的使非法DHCP服务自 动失效的方法,网络管理员无需核对大量日志即可实现对于非法DHCP服务 器的识别和处理,简单易行,有效降低了网络管理员的工作量;
特别是,在网络管理员人工干预之前,即可及时有效的阻止非法DHCP 服务器提供DHCP服务,保证网络的连续可用性;
正是基于对非法DHCP服务器的自动干预,即使非法DHCP服务器信息 在传送到LOG服务器的过程中发生丢失,其DHCP功能也会一直被合法 DHCP服务器所阻止,因此保证了网络环境的可靠性;
同时,上述使非法DHCP服务自动失效的方法仅针对非法DHCP功 能加以抑制,对于一些不小心启用DHCP服务的终端来说,是不会干预 非法DHCP服务以外的其他应用的;
此外,作为可能出现的情况之一,如果新启动的DHCP服务器尚未 被网络管理员进行有效DHCP服务器的配置,那么同样会被网络中的其 他合法DHCP服务器所阻止;但当管理员收到报警后,可以相应执行配 置,各合法DHCP服务器上的合法DHCP服务器列表相应刷新,该新启动的DHCP服务器可以正常投入工作;
作为可能出现的另一种情况,如果在下一次发送DHCP Discover报 文发现原有的非法DHCP服务器消失,其原因可能是网络管理员进行了 处置或者非法DHCP服务器被主动关闭,那么则停止DHCP侦听,直到 下一次发送DHCP Discover报文发现新的非法DHCP服务器。
进一步的,上述图2所示实施例并未局限是由某一个合法DHCP服 务器来进行非法DHCP服务功能的干涉,还是由多个合法DHCP服务器 同时进行。
由多个合法DHCP服务器同时进行非法DHCP服务功能的干涉时, 网络管理员仅需配置合法DHCP服务器即可,其他的工作由合法DHCP 服务器自动完成,因此实现上更为简单;但是,由多个合法DHCP服务 器分别进行DHCP Discover报文的广播,以及同时侦听并针对特定非法 DHCP服务器发送DHCP Request报文,其失效非法DHCP服务的效果与 由一个合法DHCP服务器完成上述操作相比并无不同,而且还会增加网 络的资源占用和处理开销;因此,较佳的技术方案为由网络中的某一个 合法DHCP服务器来进行非法DHCP服务的失效,该DHCP服务器被称 为主DHCP服务器,该主DHCP服务器可以由网络管理员指定,较佳的, 可以通过合法DHCP服务器之间的协商选举产生,这可以保证原有的主 DHCP服务器出现故障时,可以立即产生新的主DHCP服务器来保证网 络的正常运行。
如图3所示,显示了主DHCP服务器使非法DHCP服务自动失效的 方法的流程图,包括以下歩骤
(a) 在网络配置的合法DHCP服务器间协商主DHCP服务器; 其具体实现方式为如果网络中仅存在一台DHCP服务器,则所述
DHCP服务器为主DHCP服务器;如果网络中存在一台以上DHCP服务 器,则通过比较DHCP服务器优先级或者比较接口 IP地址大小,选择一 DHCP服务器为主DHCP服务器;
(b) 在协商选举出的主DHCP服务器维护合法DHCP服务器列表,
12记录整个网络中全部合法服务器的MAC地址和IP地址信息,或者,仅 记录其他合法DHCP服务器的MAC地址和IP地址信息;上述信息可以 在合法DHCP服务器交换信息选举主DHCP服务器的过程中获得;
需要指出,如果该合法DHCP服务器列表仅记录其他合法DHCP服 务器的MAC地址和IP地址信息,那么在网络环境中只存在一台DHCP 服务器(主DHCP服务器)的情况下,则合法DHCP服务器列表为空, 不需要维护该列表;
(c) 主DHCP服务器定时广播DHCP Discover报文来模拟DHCP客 户端,请求建立与网络中DHCP服务器的连接;这时会有两种情况发生
(d) 第一种情况没有收到DHCP offer报文回应,则说明该网络 中不存在非法DHCP服务器,只有一个主DHCP服务器;
(e) 第二种情况有DHCP offer报文回应,则査看该报文的源MAC 是否是合法DHCP服务器列表中的MAC地址;
是则,说明发送DHCP offer报文的节点是合法DHCP服务器; 否则,则说明网络中有非法DHCP服务器,即时或者每隔预设时段
向LOG服务器发送告警信息,告之该非法DHCP服务器的MAC地址和
IP地址;
(f) 以及,开始侦听DHCP报文;当侦听到DHCP R叫uest类型的 报文且该报文中Server Identifier字段的IP地址为非法DHCP服务器的IP 地址时,就向DHCP R叫uest报文的客户端发送DHCP NAK报文,使 DHCP客户端与非法DHCP服务器交互失败,从而达到保护网络正常运 行的目的;
可以看出,在采用主DHCP服务器来使非法DHCP服务自动失效时, 同样能够简单有效的检测出非法DHCP服务器,无需人工介入即可使非 法DHCP服务器失去DHCP服务器的功能,因此即使网络中存在非法 DHCP服务器,如果有DHCP客户端进行IP地址的申请,也只有合法 DHCP服务器能够进行地址分配,保证网络的连续可用。
再进一歩的,为了更形象的描述本发明所提供的使非法DHCP服务自动失效的方法,通过下述具体实施例来加以示例性说明,其网络拓扑 如图4所示
在拓扑中存在两个合法的DHCP服务器A和B; 选举主DHCP服务器,选举的方法包括但不仅限于比较A和B的优 先级或接口IP地址的大小;假设在此实施例中DHCP服务器A是主DHCP
服务器;
在选举的过程中,DHCP服务器A和DHCP服务器B通过交互报文 得知彼此的MAC地址和IP地址,那么在主DHCP服务器中也就是DHCP 服务器A中建立一张合法DHCP服务器列表,该表项的内容记录了其他 合法DHCP服务器的IP地址和MAC地址,即记录着DHCP服务器B的 IP地址和MAC地址;
主DHCP服务器也就是DHCP服务器A间隔一段时间就发送DHCP Discover报文,来探测网络中是否存在非法DHCP服务器;
假设此时网络中因为某种原因存在了一台非法DHCP服务器;
非法DHCP服务器和DHCP服务器B收到该DHCP Discover报文后, 它们都会回应DHCP Offer报文;
主DHCP服务器收到DHCP Offer报文,查看该报文的源MAC地址, 由于非法DHCP服务器发送的DHCP Offer报文,其源MAC地址在合法 DHCP地址列表中不存在,因此意味着网络中存在非法DHCP服务器;
主DHCP服务器也就是DHCP服务器A把该非法DHCP服务器的 MAC地址和IP地址发送到LOG日志服务器中,通知网络管理员进行处 理;
由于此时网络中存在非法DHCP服务器,假设管理员尚未处理,如 果有DHCP客户端来通过DHCP服务器申请IP地址,为了使DHCP客户 端不至于获得非法DHCP服务器提供的错误地址,主DHCP服务器还要 采取如下措施
主DHCP服务器侦听网络中的DHCP报文;
如果发现DHCP R叫uest报文,则识别该报文中Server Identifier字段 的IP地址是否为检测出来的非法DHCP服务器的IP地址;如果是,就向该客户端发送DHCPNAK报文,这样就会导致DHCP 客户端与非法DHCP服务器交互失败,让DHCP客户端无法从伪DHCP 服务器处获得IP地址;
间隔一段时间后,主DHCP服务器重复发送DHCP Discover报文, 如果还存在非法DHCP服务器,就再向LOG日志服务器发送该非法 DHCP服务器的IP地址和MAC地址;如果不再存在非法DHCP服务器, 则取消DHCP报文侦听。
上面通过几个实施例对本发明提供使非法DHCP服务自动失效的方 法进行了描述。同时,本领域普通技术人员可以理解实现上述方法实 施例的全部或部分步骤可以通过程序指令相关的硬件来完成,所述的程 序可以存储于一计算机可读取存储介质中,该程序在执行时,在一DHCP 服务器中维护合法DHCP服务器列表,并执行以下步骤
步骤SI:周期性广播DHCP Discover报文并识别接收到的DHCP回 应报文;
步骤S2:如果一发送所述DHCP回应报文的节点不在所述合法 DHCP服务器列表中,则所述节点为非法DHCP服务器,启动DHCP报 文侦听;
步骤S3:如果侦听到一客户端发送的、目的地址为所述节点的DHCP Request报文,则向所述客户端发送DHCP请求失败消息;
所述的存储介质包括ROM/RAM ( Read Only Memory/ Random-Access Memory,只读存储器/随机访问内存)、磁碟或者光盘等。
继续。下面对本发明提供的使非法DHCP服务自动失效的装置加以 描述。
图5显示了一使非法DHCP服务自动失效的装置500的框图,其设 置于DHCP服务器中,包括
IP地址请求广播单元510,用于周期性广播DHCP Discover报文, 其他的合法/非法DHCP服务器反馈DHCP Offer报文;
15合法DHCP服务器列表维护单元520,用于维护合法DHCP服务器 列表;其中,合法DHCP服务器列表可以仅记录其他合法DHCP服务器 的MAC地址和IP地址信息,如果网络中仅存在所述DHCP服务器,则 所述合法DHCP服务器列表为空;或者,合法DHCP服务器列表记录网 络中所有合法DHCP服务器的MAC地址和IP地址信息;进一步的,合 法DHCP服务器列表维护单元520可以根据网络管理员的配置刷新合法 DHCP服务器列表;
接收识别单元530,与合法DHCP服务器列表维护单元520连接, 用于接收并识别DHCP Offer报文,如果一发送DHCP Offer报文的节点 不在合法DHCP服务器列表中,则触发DHCP报文侦听单元540;
DHCP报文侦听单元540,用于接受接收识别单元530的触发,启动 DHCP报文侦听;如果侦听到一客户端发送的、目的地址为所述节点的 DHCP Request报文,则触发DHCP发送单元550;
DHCP发送单元550,用于接受DHCP报文侦听单元540的触发,向 所述客户端发送DHCP NAK消息,从而使DHCP客户端与该非法DHCP 服务器之间的交互失败;
上述使非法DHCP服务自动失效的装置500中各单元的工作原理请 参见本发明提供的使非法DHCP服务自动失效的方法,在此不再赘述。
上述使非法DHCP服务自动失效的装置500能够简单有效的实现对 于非法DHCP服务器的识别,降低了网络管理员的工作量;同时,即使 网络管理员的人为干预滞后,也能够通过对非法DHCP服务器与DHCP 客户端之间交互的干扰,保护网络正常运行。
较佳的,还可以包括非法信息上报单元560,与接收识别单元530 连接,用于即时或者每隔预设时段,将接收识别单元530识别出的非法 DHCP服务器信息发送到日志服务器,以便网络管理员对非法DHCP服 务器加以处理;
由于可能有新的非法DHCP服务器出现,以及,原有的非法DHCP
服务器可能由于网络管理员的处理或者其他原因消失,因此,接收识别 单元530当识别出原有的非法DHCP服务器不再存在时,触发关闭DHCP
16报文侦听单元540,直至下一次检测出新的DHCP服务器。
进一步的,上述实施例并未限定DHCP服务器中使非法DHCP服务 自动失效的装置500的使能场合,因此,如果网络中存在多台DHCP服 务器且都使能了其使非法DHCP服务自动失效的装置500时,将有多台 DHCP服务器同时作用于非法DHCP服务器,不但不会带来效果的更加 优化,同时还会增加网络开销;
因此,较佳的实施例是,使能某一个DHCP服务器的使非法DHCP 服务自动失效的装置500;
该DHCP服务器可以由网络管理员指定,但更佳的实施例是使非法 DHCP服务自动失效的装置500可以包括主DHCP服务器协商单元570, 用于与网络中配置的合法DHCP服务器协商主DHCP服务器,并在所在 DHCP服务器为主服务器时,触发IP地址请求广播单元510和合法DHCP 服务器列表维护单元520。
再接下来,本发明还提供了一种设有上面任一所述的使非法DHCP 服务自动失效的装置的DHCP服务器,当网络中设有这种DHCP服务器 时,能够简单有效的无效非法DHCP服务器为客户端提供DHCP服务的 功能,从而保护网络的正常运行。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是 说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而 不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细 节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利 要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
权利要求
1. 一种使非法DHCP服务自动失效的方法,其特征在于,一DHCP服务器维护合法DHCP服务器列表,并执行以下步骤步骤S1周期性广播DHCP Discover报文并识别接收到的DHCP回应报文;步骤S2如果一发送所述DHCP回应报文的节点不在所述合法DHCP服务器列表中,则所述节点为非法DHCP服务器,启动DHCP报文侦听;步骤S3如果侦听到一客户端发送的、目的地址为所述节点的DHCPRequest报文,则向所述客户端发送DHCP请求失败消息。
2. 根据权利要求1所述的使非法DHCP服务自动失效的方法,其特征在于,所述DHCP服务器为主DHCP服务器。
3. 根据权利要求2所述的非法DHCP服务自动失效的方法,其特征在于,还包括在网络配置的合法DHCP服务器间协商主DHCP服务器的步骤;其中,如果网络中仅存在一台DHCP服务器,则所述DHCP服务器为主DHCP服务器;如果网络中存在一台以上DHCP服务器,则通过比较DHCP服务器优先级或者比较接口 IP地址大小,选择一DHCP服务器为主DHCP服务器。
4. 根据权利要求1-3任一所述的使非法DHCP服务自动失效的方法,其特征在于,所述DHCP服务器维护合法DHCP服务器列表的歩骤包括所述DHCP服务器将其他合法DHCP服务器的MAC地址和IP地址信息记录到所述合法DHCP服务器列表中;其中,如果网络中仅存在所述DHCP服务器,则所述合法DHCP服务器列表为空;或者,所述DHCP服务器将网络中所有合法DHCP服务器的MAC地址和IP地址信息记录到所述合法DHCP服务器列表中。
5. 根据权利要求1-3任一所述的使非法DHCP服务自动失效的方法,其特征在于,还包括在步骤S2之后或者每隔预设时段,将识别出的非法DHCP服务器信息发送到日志服务器的步骤。
6. —种使非法DHCP服务自动失效的装置,设置于DHCP服务器中,其特征在于,包括IP地址请求广播单元,用于周期性广播DHCP Discover报文;合法DHCP服务器列表维护单元,用于维护合法DHCP服务器列表;接收识别单元,与所述合法DHCP服务器列表维护单元连接,用于接收并识别DHCP回应报文,如果一发送所述DHCP回应报文的节点不在所述合法DHCP服务器列表中,则触发DHCP报文侦听单元;DHCP报文侦听单元,用于接受所述接收识别单元的触发,启动DHCP报文侦听;如果侦听到一客户端发送的、目的地址为所述节点的DHCP Request报文,则触发DHCP发送单元;DHCP发送单元,用于接受所述DHCP报文侦听单元的触发,向所述客户端发送DHCP请求失败消息。
7. 根据权利要求6所述的使非法DHCP服务自动失效的装置,其特征在于,还包括主DHCP服务器协商单元,用于与网络中配置的合法DHCP服务器协商主DHCP服务器,并在所在DHCP服务器为主服务器时,触发所述IP地址请求广播单元和合法DHCP服务器列表维护单元。
8. 根据权利要求6或7所述的使非法DHCP服务自动失效的装置,其特征在于,所述合法DHCP服务器列表记录其他合法DHCP服务器的MAC地址和IP地址信息;其中,如果网络中仅存在所述DHCP服务器,则所述合法DHCP服务器列表为空;或者,所述合法DHCP服务器列表记录网络中所有合法DHCP服务器的MAC地址和IP地址信息。
9. 根据权利要求6或7所述的使非法DHCP服务自动失效的装置,其特征在于,还包括非法信息上报单元,与所述接收识别单元连接,用于即时或者每隔预设时段,将所述接收识别单元识别出的非法DHCP服务器信息发送到日志服务器。
10. —种设有权利要求6-9任一所述的使非法DHCP服务自动失效的装置的DHCP服务器。
全文摘要
本发明公开了一种使非法DHCP服务自动失效的方法和装置。该方法包括一DHCP服务器维护合法DHCP服务器列表,周期性广播DHCP Discover报文并识别接收到的DHCP回应报文;如果一发送DHCP回应报文的节点不在合法DHCP服务器列表中,则该节点为非法DHCP服务器,启动DHCP报文侦听;如果侦听到一客户端发送的、目的地址为该节点的DHCP Request报文,则向该客户端发送DHCP请求失败消息。本发明还公开了一种DHCP服务器。本发明有效降低了网络管理员的工作量,可及时有效的阻止非法DHCP服务器提供DHCP服务。
文档编号H04L12/24GK101465756SQ20091000023
公开日2009年6月24日 申请日期2009年1月14日 优先权日2009年1月14日
发明者军 王 申请人:杭州华三通信技术有限公司