[发明专利]宽带接入设备中防止MAC地址/IP地址欺骗的方法

说明书

技术领域

本发明涉及一种防止媒体接入控制(MAC)地址/IP地址欺骗的技术，尤其 涉及一种宽带接入设备中防止MAC地址/IP地址欺骗的方法。

背景技术

宽带接入网络的快速发展有利有弊，有利的方面是使宽带用户的数量随之 成倍增加，不利的方面是同时也使宽带接入网络遭受安全攻击的可能性大大增 加。通常，宽带接入网络遭受安全攻击是由MAC地址/IP地址的盗用所造成的， MAC地址/IP地址被盗用是一种常见的网络安全问题。目前，针对静态IP地址 的用户，可以通过静态配置MAC地址/IP地址的绑定来解决这个问题。也就是 说，通过预先设置MAC地址与IP地址一一对应的绑定关系，并形成保存在宽 带接入设备中的MAC地址表，来达到静态绑定MAC地址/IP地址的目的，从 而，防止静态IP地址用户MAC地址/IP地址的盗用。但是，目前，针对采用动 态主机配置协议(DHCP)的用户，由于DHCP用户获得的IP地址不是固定的， 因此，无法通过预先建立MAC地址与IP地址的绑定关系，来达到绑定MAC 地址/IP地址的目的，使DHCP用户的MAC地址/IP地址常常被盗用。从而， 不能有效地防止针对DHCP用户的MAC地址/IP地址欺骗。

发明内容

有鉴于此，本发明所要解决的技术问题在于提供一种宽带接入设备中防止 MAC地址/IP地址欺骗的方法，能有效地防止针对DHCP用户的MAC地址/IP 地址欺骗。

为达到上述目的，本发明的技术方案是这样实现的：

一种宽带接入设备中防止媒体接入控制MAC地址/IP地址欺骗的方法，该 方法包括步骤：

A、侦听DHCP客户端与DHCP服务器之间交互的DHCP报文；

B、对应于当前侦听到的所述DHCP报文的类型，以更新记录的方式动态 构建DHCP绑定表；将所述DHCP绑定表中更新的记录设置到底层转发芯片中， 由所述芯片根据所述记录对DHCP客户端的业务报文进行转发或丢弃处理；

C、根据定时器中设置的老化时间，将所述DHCP绑定表中的记录老化；

其中，在获取IP地址、IP地址租用期、以及获得IP地址时间戳后启用所 述定时器，且在所述DHCP绑定表中记录完整的情况下，所述底层转发芯片只 处理以所述记录中MAC地址信息为源地址的上行DHCP报文，和以所述记录 中MAC地址信息为目的地址的下行DHCP报文。

其中，在通过所述DHCP报文获得IP地址之前，所述方法还包括：

将所述底层转发芯片的IP地址绑定为全零，从而仅发送和接收DHCP报文 而丢弃其它报文。

其中，所述更新记录的方式包括：增加、修改或删除记录。

其中，所述DHCP绑定表中的记录以所述DHCP客户端的MAC地址信息 为索引。

其中，所述步骤B进一步为：

如果当前侦听到的所述DHCP报文的类型为DHCP Request或者DHCP Inform报文，则包括以下步骤：

B1、在所述DHCP绑定表中增加记录，并将所述DHCP客户端的用户端口 信息、MAC地址信息、DHCP会话事务标识Transaction ID信息写入记录中；

B2、调用底层转发芯片，将所述DHCP Request报文或者DHCP Inform报 文转发给所述DHCP服务器。

其中，所述步骤B进一步为：

如果当前侦听到的所述DHCP报文的类型为DHCP ACK报文，则包括以下 步骤：

B3、相应于所述DHCP服务器从所述DHCP客户端获取的当前MAC地址 信息，查找、修改所述DHCP绑定表中的相应记录，将所述DHCP客户端的IP 地址信息、IP地址租用期信息、以及获得IP地址时间戳信息写入所述相应记录 中；

B4、根据与所述当前MAC地址信息相应的记录中所包含的信息，调用底 层转发芯片的接口设置所述DHCP客户端的用户端口和MAC地址或/和IP地址 的绑定关系；

B5、调用所述底层转发芯片，将所述DHCP ACK报文转发给所述DHCP 客户端。

其中，所述步骤B进一步为：

如果当前侦听到的所述DHCP报文的类型为DHCP NAK报文、DHCP Decline报文或DHCP Release报文，则包括以下步骤：