一种基于DHCP旁路阻断方法.pdf

《一种基于DHCP旁路阻断方法.pdf》由会员分享，可在线阅读，更多相关《一种基于DHCP旁路阻断方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102904902 A (43)申请公布日 2013.01.30 C N 1 0 2 9 0 4 9 0 2 A *CN102904902A* (21)申请号 201210427377.6 (22)申请日 2012.10.31 H04L 29/06(2006.01) H04L 12/70(2013.01) (71)申请人北京锐安科技有限公司 地址 100044 北京市海淀区中关村南大街乙 56号方圆大厦9层 (72)发明人曹爽 (74)专利代理机构北京君尚知识产权代理事务 所(普通合伙) 11200 代理人余功勋 (54) 发明名称 一种基于DHCP旁路阻断方法 (5。

2、7) 摘要 本发明涉及一种DHCP旁路阻断方法，其步骤 包括：1）在需要监控的DHCP网段中设置具有镜 像接口的交换机，得到该DHCP网段中所有上网 机的数据包；2）对数据包进行处理得到上网机的 MAC地址并与用户自定义的安全机上网名单进行 对比，找出不安全上网机；3）当不安全上网机发 包进行接入网络请求时，根据所述入网请求方式 处理发包，伪造DHCPACK包或者DHCPOFFER包，对 不安全上网机进行阻断；4）循环进行步骤2)-3）， 对DHCP网段中的上网机进行连续阻断。在本发明 中，采取底层协议的特性实施阻断，可移植性好， 并且相对于基于应用协议的阻断方式而言，维护 成本低、实时性好，。

3、可在任何网络环境下使用，不 需改变原有的网络结构。保密性强，在上网机无法 察觉的情况下，实施有效阻断。 (51)Int.Cl. 权利要求书2页 说明书5页 附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 2 页 说明书 5 页 附图 3 页 1/2页 2 1.一种基于DHCP旁路阻断方法，其步骤包括： 1）在需要监控的DHCP网段中设置具有镜像接口的交换机，得到该DHCP网段中所有上 网机的数据包； 2）对所述数据包进行处理得到上网机的MAC地址并与用户自定义的安全机上网名单 进行对比，找出不安全上网机； 3）当所述不安全上网机发包进行接入网络请求时，根据所述。

4、入网请求方式处理发包， 伪造DHCPACK包或者DHCPOFFER包，对所述不安全上网机进行阻断。 2.权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述入网请求方式为采用 动态获取网络配置信息时，阻断方法如下： 2-1）不安全上网机发送DISCOVER数据包，查找网段中DHCP服务器； 2-2)旁路服务器在所述DHCP服务器发送OFFER前，向该不安全上网机发送伪造DHCP OFFER包； 2-3)所述不安全上网机向旁路服务器发送request包请求网络配置，所述旁路服务器 截获request包之后，根据截获的request包信息伪造DHCP ACK包，同时分配一个已经存 在的IP地。

5、址给该不安全上网机； 2-4)所述不安全上网机在接受到伪造DHCP ACK包后，验证分配IP地址是否存在； 2-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。 3.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述入网请求方式为手 动配置网络信息时，阻断方法如下： 3-1）不安全上网机发送inform包，查找网段中DHCP服务器； 3-2）旁路服务器在所述DHCP服务器发送inform前，向该不安全上网机发送伪造DHCP inform包； 3-3）所述不安全上网机接收到该伪造DHCP inform包向旁路服务器发送request包 请求网络配置，所述旁路服务器截获reques。

6、t包之后，根据截获的request包信息伪造DHCP NACK包， 3-4)所述不安全上网机接受到伪造DHCP NACK包后，重新请求IP地址； 3-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。 4.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，所述具有镜像接口的交 换机中提取的交换机镜像包需满足：包含物理层的数据包。 5.如权利要求2或3所述的基于DHCP旁路阻断方法，其特征在于，对于所述上网机两 种不同的处理过程可放在同一台旁路服务器单独处理，或分为两台旁路服务器分别处理。 6.如权利要求2所述的基于DHCP旁路阻断方法，其特征在于，所述不安全上网机接收 伪造DHCP 。

7、inform包后，该不安全上网机接受第一个到达OFFER包和匹配XID值，丢弃其他 发包，直到接受到伪造DHCP ACK包。 7.如权利要求3所述的基于DHCP旁路阻断方法，其特征在于，所述步骤2-5）对于不同 的上网机采用不同的处理方式：无法上网，需要再次手动配置网络；或者重新开始DHCP请 求过程请求正确的IP地址，所述旁路服务器可采取动态获取网络配置信息实现对不安全 上网机阻断。 8.如权利要求2或3所述的基于DHCP旁路阻断方法，其特征在于，所述不安全上网机 权 利 要 求 书CN 102904902 A 2/2页 3 采用UDP协议广播形式发包。 9.如权利要求2所述的基于DHCP旁。

8、路阻断方法，其特征在于，旁路服务器伪造DHCP服 务器两种类型的数据包：ACK包和NACK包；所述ACK包的作用为告知所述不安全上网机设 置的IP地址及网络配置可以使用，所述NACK包的作用为告知所述不安全上网机设置的IP 地址及网络配置不可用，需要重新申请。 10.如权利要求1所述的基于DHCP旁路阻断方法，其特征在于，在需要监控的DHCP网 段中设置一或多个具有镜像接口的交换机，至少包括一个以上旁路服务器。 权 利 要 求 书CN 102904902 A 1/5页 4 一种基于 DHCP 旁路阻断方法 技术领域 0001 本发明涉及计算机网络安全领域，具体地说，是在特定场所，特别是公共场所。

9、的局 域网内对特定的上网机实施有效的网络阻断，阻止其任何网络服务。 背景技术 0002 对于公共场所或非经营场所的局域网，一般采取一定的措施来阻断局域网内的上 网机，就是设置防火墙，建立过滤表。这种措施采用的方法是：在网络的边界安装防火墙等 访问控制设备。防火墙的作用是设置一定的访问权限，只有访问权限之内的用户才能够通 过防火墙进行访问，如果不在访问权限之内，就被防火墙档住。这种方法的缺点是：只能实 现预设的上网机的阻断，无法对上网机实现实时阻断；便携性差，无法满足客户需求。 0003 为了实现对特定场所的局域网内的上网机的阻断，采用的方式一般是旁路阻断， 并一般有两种方式：一是通过TCP协议。

10、的特性，对TCP连接实施阻断。这种方法的缺点是只 能对基于TCP协议的网络应用产生效果，而对基于UDP协议的网络应用无能为力。并且，随 着科技的发展，各种网络应用层出不穷，很多网络应用能很好的解决TCP协议的某些特性， 从而使得连接能够顺利执行。另一种方法是通过ICMP协议，向特定上网机发送阻断信息， 从而实现阻断相应的网络连接。这种方法的缺点除了很多网络应用能够忽略ICMP信息，继 续建立连接外，还较大程度的增加了网络负载，使得网络性能下降。 0004 动态主机设置协议（Dynamic Host Configuration Protocol,DHCP）是一个局域 网的网络协议，使用UDP协议。

11、工作，主要有两个用途：给内部网络或网络服务供应商自动分 配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。 0005 无论是动态分配的IP还是手动配置的IP均要通过DHCP服务器对IP进行认证。 根据检索结果，在本领域中还未有使用DHCP网络协议来监控局域网上的计算机，并对其实 施阻断的方法。 发明内容 0006 本发明的目的是提供一种通过旁路实时阻断局域网内特定上网机的网络服务内 容，并阻断其所有网络服务的方法。 0007 为实现上述目的，本发明的解决方案是： 0008 一种基于DHCP旁路阻断方法，其步骤包括： 0009 1）在需要监控的DHCP网段中设置具有镜像接口的交换。

12、机，得到该DHCP网段中所 有上网机的数据包； 0010 2）对所述数据包进行处理得到上网机的MAC地址并与用户自定义的安全机上网 名单进行对比，找出不安全上网机； 0011 3）当所述不安全上网机发包进行接入网络请求时，根据所述入网请求方式处理发 包，伪造DHCPACK包或者DHCPOFFER包，对所述不安全上网机进行阻断。 0012 所述入网请求方式为采用动态获取网络配置信息时，阻断方法如下： 说 明 书CN 102904902 A 2/5页 5 0013 2-1）不安全上网机发送DISCOVER数据包，查找网段中DHCP服务器； 0014 2-2)旁路服务器在所述DHCP服务器发送OFF。

13、ER前，向该不安全上网机发送伪造 DHCPOFFER包； 0015 2-3)所述不安全上网机向旁路服务器发送request包请求网络配置，所述旁路服 务器截获request包之后，根据截获的request包信息伪造DHCP ACK包，同时分配一个已 经存在的IP地址给该不安全上网机； 0016 2-4)所述不安全上网机在接受到伪造DHCP ACK包后，验证分配IP地址是否存 在； 0017 2-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。 0018 所述入网请求方式为手动配置网络信息时，阻断方法如下： 0019 3-1）不安全上网机发送inform包，查找网段中DHCP服务器； 00。

14、20 3-2）旁路服务器在所述DHCP服务器发送inform前，向该不安全上网机发送伪造 DHCPinform包； 0021 3-3）所述不安全上网机接收到该伪造DHCP inform包向旁路服务器发送request 包请求网络配置，所述旁路服务器截获request包之后，根据截获的request包信息伪造 DHCP NACK包， 0022 3-4)所述不安全上网机接受到伪造DHCP NACK包后，重新请求IP地址； 0023 3-5)所述上网机无法获取到正确的IP地址，旁路实现阻断。 0024 所述具有镜像接口的交换机中提取的交换机镜像包需满足：包含物理层的数据 包。 0025 对于所述上网。

15、机两种不同的处理过程可放在同一台旁路服务器单独处理，或分为 两台旁路服务器分别处理。 0026 所述不安全上网机接收伪造DHCP inform包后，该不安全上网机接受第一个到达 OFFER包和匹配XID值，丢弃其他发包，直到接受到伪造DHCP ACK包。 0027 所述步骤2-5）对于不同的上网机采用不同的处理方式：无法上网，需要再次手动 配置网络；或者重新开始DHCP请求过程请求正确的IP地址，所述旁路服务器可采取动态获 取网络配置信息实现对不安全上网机阻断。 0028 所述不安全上网机采用UDP协议广播形式发包。 0029 所述旁路服务器伪造DHCP服务器两种类型的数据包：ACK包和NAC。

16、K包；所述ACK 包的作用为告知所述不安全上网机设置的IP地址及网络配置可以使用， 0030 所述NACK包的作用为告知所述不安全上网机设置的IP地址及网络配置不可用， 需要重新申请。 0031 在所述需要监控的DHCP网段中设置一或多个具有镜像接口的交换机，至少包括 一个以上旁路服务器。 0032 本发明的优点和积极效果 0033 由于本发明中，采取底层协议的特性实施阻断，所以可移植性好，并且相对于基于 应用协议的阻断方式而言，维护成本低，不需要根据应用协议的更新而更新。 0034 实时性好，可在任何网络环境下使用，不需要改变原有的网络结构。保密性强，在 上网机无法察觉的情况下，实施有效阻断。

17、。 说 明 书CN 102904902 A 3/5页 6 附图说明 0035 图1是本发明一实施例中基于DHCP阻断方法流程示意图； 0036 图2a是本发明一实施例中DHCP协议头结构示意图； 0037 图2b本发明一实施例中OPTION格式示意图； 0038 图3为本发明基于DHPC旁路阻断方法流程图。 具体实施方式 0039 下面将结合本发明实施例中的附图，对本分买那个实施例中的技术方案进行清 除、完整地描述，可以理解的是，所描述的实施例仅仅是本发明一部分实施例，而不是全部 的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得 的所有其他实施例，都属于本发明保护。

18、的范围。 0040 如图3所示，一种基于DHCP实现旁路阻断的方法流程图，它包括： 0041 a.在需要监控的网段中设置具有镜像口的交换机，将交换机的镜像口连接到旁路 服务器的检测口，用于分析镜像数据包，将交换机的上联口，也就是上网口串联到网络拓扑 中，要确保需要监控的上网机的数据包均要通过具有镜像口的交换机，用于获得被监控的 所有上网机的数据包，将旁路服务器的发送口接到交换机的端口上，若条件许可，也可接到 路由的端口上。（具有镜像口的交换机不需要任何配置） 0042 b.连接在具有镜像口的交换机的旁路服务器，用于对上网机的数据包进行处理。 根据从交换机上获取的实时用户数据包，记录上网机的MA。

19、C地址，并与用户可自定义的安 全上网机名单进行比对，若在名单中，则对数据包不做任何处理，若不在名单中，则根据截 获的数据包类型进行有效阻断。上网机在一开始请求上网时有两种方式：一种是自动获取 IP地址，另一种是手动获取IP地址。对于自动获取IP地址的上网机，通过旁路服务器伪 造DHCP OFFER包使上网机对真实的DHCP OFFER包忽略，然后上网机会向旁路服务器发送 request数据包，旁路服务器可再向上网机发送NACK包使得上网机无法获得正确IP地址及 上网配置，从而达到阻断的效果。对于手动获取IP地址的上网机，通过伪造DHCP NACK包 使上网机无法获得正确的IP地址及上网配置，从。

20、而达到阻断的效果。 0043 对于DHCP阻断流程如图1所示，说明如下： 0044 对于不属于安全上网机名单中的上网机请求，对于刚接入网络的上网机有两种上 网方式：一种是动态获取网络配置信息；另一种是手动配置网络信息。对于采取动态获取 网络配置的上网机，上网机首先使用UDP协议，通过端口68，以广播的形式发送DISCOVER 数据包，其目的是在其所在的局域网中查找DHCP服务器。根据DHCP协议，在一个局域网 中可以有多个DHCP服务器，当DHCP服务器接收到上网机发送的DISCOVER数据包后，这些 DHCP服务器均会向上网机回复一个OFFER包。上网机根据接收的OFFER包的时间顺序及 X。

21、ID的值，只接受第一个到达的及XID的值与之相匹配的OFFER包，其它的后到达的由其它 DHCP服务器发出的OFEER包将被丢弃，并且在随后的交互过程中，只识别这一台DHCP服务 器，直到这台DHCP服务器发送NACK包为止。当上网机接受到NACK包之后，将会重新广播 DISCOVER数据包。由于存在于网络中的真实DHCP服务器在应答之前以ARP的方式广播确 定网络内IP的使用情况，所以对于旁路服务器来说，有充足的时间在真实的DHCP服务器之 说 明 书CN 102904902 A 4/5页 7 前向上网机发送offer包。只要上网机确认接受了阻断服务器的OFFER包，对于后续的其 他的DHC。

22、P服务器发送的offer包，上网机会将其忽略，这样，上网机会认为旁路服务器为当 前网络的DHCP服务器。之后，上网机将发送request包，向旁路服务器请求网络配置，阻断 服务器截获request包之后，根据截获的request包信息，构造ACK包，分配一个已经存在 的IP地址给上网机，上网机在接受到ACK包之后，会通过ARP的方式验证分配的IP地址是 否存在，这时，由于IP地址已经存在，上网机会不断的重新发送request包。最终，上网机 会因为无法获取到正确的IP地址，从而达到阻断的目的。 0045 对于手动配置网络设置的上网机，上网机会在设置完之后以广播的形式发送 inform包，其目的。

23、在于请求DHCP服务器验证其IP地址的正确性。根据DHCP协议，当DHCP 服务器接收到inform包之后，DHCP服务器可回复两种类型的数据包，分别为ACK包和NACK 包。ACK包的作用是告诉上网机，其设置的IP地址及网络配置可以使用，而NACK包的作用 是告诉上网机，其设置的IP地址及网络配置不可用，需要重新申请。旁路服务器通过截获 的inform包，向上网机发送NACK包，上网机在接收到NACK包之后，会认为IP地址已经被 使用，对于不同的上网机可有不同的处理方式，一种是直接造成无法上网的效果，需要再次 手动配置网络，另一种则是重新开始DHCP请求过程请求正确的IP地址，这时，旁路服务。

24、器 可采取与动态获取IP同样的操作实现对上网机的阻断。 0046 DHCP的协议格式如图2a所示： 0047 Op是信息操作码，用来表示是请求还是应答，htype是硬件地址类型，hlen是硬件 地址长度，hops在有中转的情况下使用，本发明中设置为0，xid为随机数，用来标识不同的 会话期，sec为IP使用期限，当超过此期限，上网机会重新向DHCP服务器发送请求，flags 为标志位，在用中转的情况下使用，本发明中设置为0，ciaddr为上网机IP地址，在上网机 特殊状态下使用，可选项，本发明中设置为0.0.0.0。yiaddr为用户的IP地址，用于DHCP 服务器回复，为上网机提供IP地址。。

25、Siaddr,giaddr在有中转的情况下使用，本发明中设 置为0.0.0.0。chaddr为上网机MAC地址，sname为DHCP服务器名称，可选。File为可选 域，在本发明中设置为NULL。 0048 如图2b所示OPTION为配置选项，上网机通过读取配置选项信息设置网络，其 格式如图2下方所示。配置选项必须以4字节的magic number开始，其十进制值为 99.130.83.99，以end option结束，其十进制值为255。不同选项用不同的code标识，其大 小为1个字节，其后紧跟着的1个字节表示该选项配置信息的大小，用1个字节表示。Info 表示配置信息，长度为len。 00。

26、49 对于DHCP OFFER包的构造，根据截获的数据包，将op类型设置为应答，并将 xid设置为与截获的数据包相同。对于选项域，其中code 53message type必须包含，用 于表示信息类型，数值2表示DHCP OFFER包，除此之外还必须包含code 54DHCP server Identifier，用于表示该DHCP服务器，构造的DHCP OFFER包，可将此值修改为需要的值。当 上网机接收到构造的DHCP OFFER包，会以此作为局域网内的DHCP服务器的IP地址，对其 他的DHCP服务器的DHCP OFFER包将忽略，从而达到阻断的目的。 0050 对于DHCP NACK包的。

27、构造，除了上述的设置之外，须把code 53message type的数 值设置为6，表示DHCP NACK包。当上网机接收到构造的DHCP NACK包，上网机会重新请求 获取IP地址，继而可用上述方式实现阻断。 说 明 书CN 102904902 A 5/5页 8 0051 本发明对交换机镜像包的要求是：必须为包含物理层的数据包。只有这样的数据 包，才能够获取MAC地址，并伪造DHCP包。对于上网机两种不同的处理过程可放在同一台 旁路服务器上，也可以分成两台分别处理相应请求。 说 明 书CN 102904902 A 1/3页 9 图1 说 明 书 附 图CN 102904902 A 2/3页 10 图2a 说 明 书 附 图CN 102904902 A 10 3/3页 11 图2b 图3 说 明 书 附 图CN 102904902 A 11 。