一种动态主机配置协议监听与防护方法和系统与流程

本发明涉及无线局域网领域，尤其涉及一种动态主机配置协议监听与防护方法和系统。

背景技术：

无线局域网(wlan)是指以无线信道作传输媒介的计算机局域网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网的功能，能够使用户真正实现随时、随地、随意的宽带网络接入，几乎每天我们都能体验到wlan给我们的生活带来的高效和便捷。

wlan之所以能够提供便捷的宽带网络，依赖于wlan架构建立，wlan有两种基本架构，一种是fatap架构，又叫自治式网络架构，家庭无线路由器采用的就是fatap架构，也就是很多人直接称的胖ap，胖ap不仅可以发射射频提供无线信号供无线终端接入，还能独立完成安全加密、用户认证和用户管理等管控功能。另一种是ac+fitap架构，又叫集中式网络架构，一般在中大型使用场景(如商场)中采用，所以由上可知ap就是无线网络与有线网络连接的介质，另外ap还可以通过无线桥接的方式连接有线网络连接下的ap，以突破距离限制，拓宽网络使用范围；相对于有线网络线路铺设的拓宽方式，上述无线桥接的方式是目前拓宽网络相对较便捷、低成本和更普遍的方式。

ap接入网络有一部分会采用动态主机配置协议(dhcp)交互信息，然由于dhcp用户获得的ip地址不是固定的，需要通过信息交互来获取，当信息交互时包含虚假信息而ap没有及时发现，那么dhcp用户的mac地址/ip地址就会被盗用,严重的会导致dhcp服务器地址池中的地址耗尽，无法为合法的dhcp客户端分配ip地址，或导致dhcp服务器消耗过多的系统资源，无法处理正常业务。解决上述问题，可以借鉴目前有限网络中的dhcp防欺骗及饿死攻击策略，设计相应的ap防欺骗及饿死攻击方法。

如公开号为cn101115063b的发明专利公开了一种“宽带接入设备中防止mac地址/ip地址欺骗的方法”，该方法包括：侦听dhcp客户端与dhcp服务器之间交互的dhcp报文；对应于当前侦听到的所述报文，以更新记录的方式建立dhcp绑定表；将所述dhcp绑定表中更新的记录设置到底层转发芯片中，由所述芯片根据所述记录对dhcp客户端的业务报文进行转发或丢弃处理。采用此发明，丢弃不被识别的报文，使dhcp用户的mac地址/ip地址无法被盗用，从而，能有效地防止针对dhcp用户的mac地址/ip地址欺骗。

又如公开号为cn101835145b的发明专利公开了一种“基于瘦ap的用户信息管理方法”，该方法包括：ap监听用户与dhcp服务器的dhcp请求和响应，获取和保存用户的ip地址和mac地址的对应关系以及其他用户信息；ap将包含关于所述对应关系和其他用户信息的信息上报到无线控制器ac；ac将所述对应关系和其他用户信息保存到用户信息列表中，向ap发送确认信息以响应ap上报的信息。通过此方法管理保存相应的用户信息，以便后期信息交互时核对，识别虚假信息，从而避免被欺骗。

技术实现要素：

本发明要解决的技术问题是针对上述现有技术的不足，提供一种能够兼容无线桥接和非无线桥接模式组网，帮助ap防止动态主机配置协议欺骗攻击与饿死攻击的动态主机配置协议监听与防护方法和系统。

为了实现上述目的，本发明采用的技术方案为：

一种动态主机配置协议监听与防护方法，应用于无线接入点，所述方法包括：

s10：检测到有用户建立连接后，创建用户信息记录项保存对应用户的物理地址以及用户连接时关联的无线接口；

s20：监听用户与动态主机配置协议服务器之间的动态主机配置协议报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的动态主机配置协议报文进行转发或丢弃处理；

s30：检测到用户断开连接后，删除该用户对应的所述用户信息记录项。

进一步地，所述步骤s10之前包括：

s01：查看是否建立有无线桥接；

s02：根据无线桥接建立情况，设置信任端口。

进一步地，所述步骤s20中若监听到动态主机配置协议请求类报文，则执行以下步骤：

s21a：判断所述动态主机配置协议请求报文的入口是否为信任端口，若是则转发所述动态主机配置协议请求报文，若不是，则执行s22a；

s22a：判断所述动态主机配置协议请求报文的用户端物理地址与相应的以太网源物理地址是否一致，若不一致，则丢弃所述动态主机配置协议请求报文，若一致，则执行s23a；

s23a：比对所述用户信息记录项中的各项信息，均一致后转发所述动态主机配置协议请求报文，若有任一项不符合，则丢弃所述动态主机配置协议请求报文。

进一步地，所述步骤s20中若监听到动态主机配置协议应答类报文，则执行以下步骤：

s21b：判断所述动态主机配置协议应答报文的入口是否为信任端口，若不是则丢弃所述动态主机配置协议应答报文,若是，则执行s22b；

s22b：根据所述动态主机配置协议应答报文的客户端物理地址在所述用户信息记录项中查找是否存在相对应的物理地址，若不存在，则根据无线桥接建立情况进行丢弃或者转发处理，若存在，则执行步骤s23b；

s23b：转发所述动态主机配置协议应答报文，同时若所述动态主机配置协议应答报文为回应找到相应的租约记录的动态主机配置协议确认报文时，根据所述动态主机配置协议确认报文内容，添加其中相应的用户网际协议地址以及动态主机配置协议服务器的信息到所述用户信息记录项以更新内容。

进一步地，所述步骤s22b中所述根据无线桥接建立情况进行丢弃或者转发处理具体包括：

若没有建立无线桥接，则丢弃所述动态主机配置协议应答报文，若建立有无线桥接，则向无线桥接下所关联设备转发所述动态主机配置协议应答报文。

进一步地，所述步骤s30中所述删除该用户对应的所述用户信息记录项之前包括：

s31：根据断开连接的用户所对应的用户信息记录项，向动态主机配置协议服务器发送释放报文以释放对应的用户网际协议地址。

一种动态主机配置协议监听与防护系统，应用于无线接入点，所述系统包括：

创建模块：用于检测到有用户建立连接后，创建用户信息记录项保存对应用户的物理地址以及用户连接时关联的无线接口；

监听处理模块：用于监听用户与动态主机配置协议服务器之间的动态主机配置协议报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的动态主机配置协议报文进行转发或丢弃处理；

删除模块：用于检测到用户断开连接后，删除该用户对应的所述用户信息记录项。

进一步地，所述系统还包括：

信任端口模块：用于查看是否建立有无线桥接，根据无线桥接建立情况，设置信任端口。

进一步地，所述监听处理模块包括：

识别单元：用于识别动态主机配置协议报文的类型；

信息比对单元：用于将动态主机配置协议报文携带信息与所述用户信息记录项进行比对；

转发丢弃单元：根据所述信息比对单元比对结果，选择对监听的动态主机配置协议报文进行转发或丢弃。

进一步地，所述删除模块包括：

释放单元：用于根据断开连接的用户所对应的用户信息记录项，向动态主机配置协议服务器发送释放报文以释放对应的用户网际协议地址。

采用上述技术方案后，本发明的有益效果是：(1)通过在收到动态主机配置协议请求类报文时，核对用户信息记录项中mac地址以及关联时无线接口信息，可以防止有终端伪造动态主机配置协议报文被ap转发造成的饿死或欺骗攻击；

(2)通过在收到回应找到相应的租约记录的动态主机配置协议确认报文时，更新用户信息记录项以保障数据核对，以及在用户下线时释放相对应的ip地址，可以防止有终端通过修改本机物理地址频繁上下线造成的饿死攻击；

(3)通过在收到动态主机配置协议应答类报文时，检查报文数据包入口是否为信任端口，可以防止终端伪造动态主机配置协议服务器进行的欺骗攻击；

(4)通过查看无线桥接建立情况，在收到动态主机配置协议应答类报文判断核对时多考虑一步，可以保障无线桥接模式组网下的其他用户端的正常网络连接。

附图说明

为了更清楚地说明本发明实施例或现有技术的技术方案，附图如下：

图1为本发明实施例1提供的一种动态主机配置协议监听与防护方法流程图；

图2为本发明实施例2提供的一种动态主机配置协议监听与防护方法流程图；

图3为本发明实施例3提供的一种动态主机配置协议监听与防护方法流程图；

图4为本发明实施例4提供的一种动态主机配置协议监听与防护系统结构示意图。

具体实施方式

以下是本发明的具体实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

ap接入网络有一部分会采用动态主机配置协议(dhcp)交互信息，然由于dhcp用户获得的ip地址不是固定的，需要通过信息交互来获取，当信息交互时包含虚假信息而ap没有及时发现，那么dhcp用户的mac地址/ip地址就会被盗用,严重的会导致dhcp服务器地址池中的地址耗尽，无法提供网络服务。

本发明借鉴目前有限网络中的dhcp防欺骗及饿死攻击策略，利用ap能监测客户端上线或下线的特点，设计出相应的ap防欺骗及饿死攻击策略。

实施例1

如图1所示，本实施例提供一种动态主机配置协议监听与防护方法，应用于无线接入点，英文俗称ap，所述方法包括：

s10：检测到有用户建立连接后，创建用户信息记录项保存对应用户的物理地址以及用户连接时关联的无线接口；

本步骤中，检测到有用户建立连接后就是检测到有用户(sta)上线后，而不是之前已经连接好的sta。具体的：sta1找到ap1的无线网络名(ssid)并关联ap1的ssid，ap1会收到sta1上线的client_in消息，sta1上线(sta1关联上ap1)后，ap1会创建一个与sta1对应的用户信息记录项，其中保存有sta1的物理地址(也就是mac地址)以及sta1与ap1关联所用的无线接口信息，此处无线接口由ap1创建,每个sta与ap1通信时，均会被分配到一个无线接口，同一个无线接口下可以有多个不同sta。

ap创建了用户信息记录项，可以方便ap出现问题时进行跟踪分析，还可以方便后期信息交互时核对相关信息，具体表现为只有当信息交互中含有与用户信息记录项相同的信息，才会被ap认可放行，继续执行下一步操作；就好比是只有对的钥匙，才能开门。

s20：监听用户与动态主机配置协议服务器之间的动态主机配置协议报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的动态主机配置协议报文进行转发或丢弃处理；

本步骤中，ap监听sta与dhcp服务器之间的dhcp报文，监听保证各种携带有可以证明身份信息项均被准确识别并更新内容至用户信息记录项，此处所述更新为增加记录；通常情况下ap将监听到的dhcp报文分为两大类，一是请求类报文(即dhcpdiscover、dhcprequest、dhcpdecline、dhcprelease、dhcpinform等)，均由sta端发出；二是应答类报文(即dhcpoffer、dhcpnak、dhcpack等)，由dhcp服务器发出。除了识别，ap还会将报文中的内容与用户信息记录项一一核对，以此判断选择丢弃还是转发报文。

s30：检测到用户断开连接后，删除该用户对应的所述用户信息记录项。

本步骤中，sta主动或者被动断开连接时，ap会收到sta下线的client_out消息，此时ap就会找到该sta对应的用户信息记录项并删除它。

本实施例提供的方法可以识别恶意伪造的报文，因为恶意伪造的报文数据包包含的信息一般不会和用户信息记录项中的信息相符合，从而阻止了ap连接下的dhcp欺骗和饿死攻击。

实施例2

如图2所示，本实施例与之前实施例的区别在于，本实施例提供一种更加详细的能够防止终端伪造dhcp报文(包括伪造同一个无线接口下其他终端的dhcp报文)进行欺骗或饿死攻击的方法。

所述步骤s10之前包括：

s01：查看是否建立有无线桥接；

考虑到目前拓宽无线网络普遍采用无线桥接的方式将有线连接的ap与ap桥接，无线桥接的ap下有sta连接，也需要进行信息交互。但是由于数据传播距离的局限，无线桥接的ap无法主动监听到dhcp报文，只能通过有线连接的ap转达。

s02：根据无线桥接建立情况，设置信任端口。

本步骤中，无线桥接的建立有无，直接影响信任端口的设定；信任端口，顾名思义，是ap会无条件相信的接口，ap认为从信任端口进入的dhcp数据包是安全的，没有任何攻击的。如wan口和wds口，其中wan口(广域网接口)不用多说大家也都了解，而wds口就是当某一无线接口是供其他ap进行无线桥接的，则认为此无线接口是wds口，需要说明的是，wds口只关联ap不关联sta。

为何这两个接口可以被信任呢？因为sta不会连接在wan口和wds口，所以dhcp请求类报文不会从这两个接口进来，所以当然不会有恶意终端发送伪装报文从这两个接口进来，因此wan口和wds口值得信任。

步骤s02中，当无线桥接建立，则wan口和wds口均设置为信任端口；当没有建立无线桥接，则只有wan口设置为信任端口。

作为优选地，所述步骤s20中若监听到dhcp请求类报文，则执行以下步骤：

s21a：判断所述dhcp请求报文的入口是否为信任端口，若是则转发所述dhcp请求报文，若不是，则执行s22a；

本步骤中ap识别到报文为dhcp请求类报文，查看该报文的进入接口，若从信任端口进来的，则直接转发该报文，若不是，就需要进一步的判断。

s22a：判断所述dhcp请求报文的用户端mac与相应的以太网源mac是否一致，若不一致，则丢弃所述dhcp请求报文，若一致，则执行s23a；

本步骤中的dhcp请求报文不是从信任端口进来，所以ap需要判断它包含的mac是否与本报文数据包的以太网源mac一致，以此初步排除攻击者伪造的mac。

s23a：比对所述用户信息记录项中的各项信息，均一致后转发所述dhcp请求报文，若有任一项不符合，则丢弃所述dhcp请求报文。

本步骤中ap先根据dhcp报文中的用户端mac查找是否存在用户信息记录项中包含有与用户端mac对应的mac，如果不存在，则丢弃所述dhcp请求报文；如果存在，就查看dhcp报文的入口，看看是否有对应的用户信息记录项中sta关联的无线接口与之匹配，若没有，则丢弃，若有，则转发。

需要说明的是，本步骤中如果该dhcp请求报文不是同一sta第一次发出的dhcp请求报文，所述用户信息记录项的内容就会相对的更加完善，比对效果就会更准确。

综上所述，本实施例提供的方法可以更好的防止终端伪造dhcp报文(包括伪造同一个无线接口下其他终端的dhcp报文)进行的欺骗或饿死攻击。

实施例3

如图3所示，本实施例与实施例2的区别在于，本实施例还提供一种能够防止终端通过修改本机物理地址频繁上下线和防止终端伪造dhcp服务器的方法，所述步骤s20中若监听到dhcp应答类报文，则执行以下步骤：

s21b：判断所述dhcp应答报文的入口是否为信任端口，若不是则丢弃所述dhcp应答报文,若是，则执行s22b；

s22b：根据所述dhcp应答报文的客户端mac在所述用户信息记录项中查找是否存在相对应的mac，若不存在，则根据无线桥接建立情况进行丢弃或者转发处理，若存在，则执行步骤s23b；

s23b：转发所述dhcp应答报文，同时若所述dhcp应答报文为回应找到相应的租约记录的dhcpack报文时，根据所述dhcpack报文内容，添加其中相应的用户ip地址以及dhcp服务器的信息到所述用户信息记录项以更新内容。

本实施例中的dhcp应答报文一般为dhcpoffer、dhcpnak或dhcpack，首先ap判断所述dhcp应答报文的入口是否为信任端口，若不是则丢弃所述dhcp应答报文，因为终端可以伪造dhcp服务器发送应答类报文，不能伪造进入入口，故而判断入口是否为信任端口可以防止终端伪造dhcp服务器进行的欺骗攻击；

然后ap再根据所述dhcp应答报文的客户端mac在所述用户信息记录项中查找是否存在相对应的mac，如果不存在也不能直接丢弃，而是先查看无线桥接建立情况再判断丢弃或转发；特别的，若报文是回应找到相应的租约记录的dhcpack报文，ap则需要保存相应的clientip以及dhcp服务器中包含的其他租约信息以及客户端信息等，以更新所述用户信息记录项，同时以便后期找到对应的这些信息并通知dhcp服务器释放这些信息。

所述步骤s22b中所述根据无线桥接建立情况进行丢弃或者转发处理具体包括：

若没有建立无线桥接，则丢弃所述dhcp应答报文，若建立有无线桥接，则向无线桥接下所关联设备转发所述dhcp应答报文。

无线桥接下所关联设备一般也是ap，也称repeaterap，能够产生射频提供无线信号供无线终端接入，无线桥接的ap受数据传播距离的局限，无法主动监听到dhcp报文，只能通过有线连接的ap转达，故而要保障无线桥接的ap下sta的正常服务，必须进过本步骤处理，也是因为有了本步骤本实施例的方法才能兼容无线桥接和非无线桥接模式组网。

作为优选地，所述步骤s30中所述删除该用户对应的所述用户信息记录项之前包括：

s31：根据断开连接的用户所对应的用户信息记录项，向dhcp服务器发送释放报文以释放对应的用户ip地址。

相对之前实施例直接删除用户所对应的用户信息记录项，本步骤中增加了释放对应的用户ip地址步骤，根据下线sta的用户信息记录项中的ip地址相关信息，告知dhcp服务器sta需要释放此ip地址，该ip地址后续可以回到dhcp服务器地址池中，供以后分发给其他sta使用，而不是长期占用，损耗资源。

综上所述，本实施例可以较完善的防止终端通过修改本机物理地址频繁上下线进行饿死攻击和防止终端伪造dhcp服务器进行欺骗攻击。

实施例4

如图4所示，本实施例提供一种动态主机配置协议监听与防护系统，应用于无线接入点，需要说明的是，本系统就是上述实施例中方法的实际运用，所述系统包括：

创建模块100：用于检测到有用户建立连接后，创建用户信息记录项保存对应用户的mac以及用户连接时关联的无线接口；

监听处理模块200：用于监听用户与dhcp服务器之间的dhcp报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的dhcp报文进行转发或丢弃处理；

删除模块300：用于检测到用户断开连接后，删除该用户对应的所述用户信息记录项。

作为优选地，所述系统还包括：

信任端口模块400：用于查看是否建立有无线桥接，根据无线桥接建立情况，设置信任端口。

以上所述监听处理模块200包括：

识别单元210：用于识别dhcp报文的类型；

更新单元220：用于更新所述用户信息记录项内容。

信息比对单元230：用于将dhcp报文携带信息与所述用户信息记录项进行比对；

转发丢弃单元240：根据所述信息比对单元230比对结果，选择对监听的dhcp报文进行转发或丢弃。

所述删除模块300包括：

释放单元310：用于根据断开连接的用户所对应的用户信息记录项，向dhcp服务器发送释放报文以释放对应的用户ip地址。

上述系统的运行原理如下：sta关联上ap上线后，ap创建模块100创建用户信息记录项，sta为了实现上网功能还需要进行其他信息交互，信息交互一般采用报文的形式，ap监听处理模块200的识别单元210识别这些报文，信息比对单元230根据报文类型、用户信息记录项以及信任端口模块400设置的信任端口这些信息，按照之前实施例提到的比对方法比对，转发丢弃单元240根据信息比对单元230比对结果，选择对监听的动态主机配置协议报文进行转发或丢弃，需要指出的是，转发丢弃单元240发现本ap中没有用户信息记录项对应该报文时，还需要查看有无wds组网情况，若有，则要需要向组网中的其他无线ap转发这个报文，保证wds模式下的其他sta正常上网。

另外，在这些的报文中一定会有dhcpack报文，这个报文中携带有ip地址以及租约等信息，为了后期更准确的过滤掉虚假报文，更新单元220会将这些信息保存至对应sta下的用户信息记录项。

sta结束网络连接时，ap的释放单元310会向dhcp服务器发送dhcprelease报文，报文携带ip地址告知dhcp服务器这个ip地址现在可以分配给其他sta了，同时也会删除sta对应的用户信息记录项，释放内存。

综上可得，本实施例提供的系统能够帮助ap阻止多种类型的dhcp欺骗和饿死攻击，为用户提供更加稳定、安全以及优质的网络服务。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。