[发明专利]DHCP攻击防护方法和客户端设备

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种DHCP攻击防护方法和客户端设备。 

背景技术

当前，DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)协议的作用在TCP(Transmission Control Protocol，传输控制协议)/IP(InternetProtocol，因特网协议)网络中向Internet主机提供配置信息。DHCP采用Client/Server(客户端/服务器)模式，由客户端向服务器提出配置申请(包括分配的IP地址、子网掩码、缺省网关等参数)，服务器根据策略返回相应配置信息， 

DHCP协议一般采用终端的硬件地址来唯一标识一个终端设备，硬件地址对于以太网即为终端设备的MAC(Medium Access Control，媒体接入控制)地址。DHCP协议是基于UDP(User Datagram Protocol，用户数据报协议)层之上的应用，DHCP Client将采用知名端口号68，DHCP Server采用知名端口号67进行交互。DHCP协议基本上是一个单向驱动协议，DHCP Server完全是被动的，其动作行为基本由DHCP Client的请求行为而触发，即DHCP Server无法主动控制DHCP Client，因此交互性和安全性不是很完善。 

采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、DNS(Domain Name System，域名系统)、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些问题，常见的就是DHCP Server常常受到攻击，使得正常用户无法分配到IP地址，甚至威胁到用户的信息安全。 

以常见的DHCP泛洪攻击为例，攻击者向DHCP Server发出大量带有不同源MAC地址的DHCP请求，直到DHCP Server对应网段的所有可分配IP地址被占用，其既可以造成DOS(Denial Of Service，拒绝服务)的破坏，也 可和DHCP服务器欺诈结合向用户提供错误的IP地址、DNS服务器信息或默认网关信息，以此将流量重指到意图进行流量截取的恶意节点，实现流量的截取。 

除了常见的DHCP泛洪攻击以外，目前还存在一种新型的IP地址拒绝攻击，其攻击流程如下：攻击者向DHCP Server发送DHCP请求，DHCP Server针对该请求分配一个IP地址；攻击机马上向DHCP Server回复一个DHCPDecline(拒绝)报文消息，声明该IP地址已经被占用；DHCP Server收到此消息后，再分配一个新的IP，攻击机再次回复DHCP Server该IP已经被占用，该流程不断重复直到DHCP Server中IP地址池的IP地址被耗尽，达到对DHCPServer的攻击目的。 

现在技术中为了防止DHCP泛洪攻击，大多采用通过限制交换机端口的MAC地址的数目、防止CAM(Content Addressable Memory，内容可寻址存储器)表淹没的技术，以防止DHCP泛洪攻击，或者是采用限制单个PVC(Permanent Virtual Circuit，永久虚电路)/VLAN(Virtual Local Area Network，虚拟局域网)上的用户数目的方法。经过限制PVC/VLAN上的接入用户数目，使得攻击者无法获得很多IP地址。 

现有技术存在的问题在于，该方法是通过交换机来被动防御攻击者对DHCP服务器的泛洪攻击，对于网络中存在的DHCP病毒源无法跟踪发现，并且如果攻击源不停攻击还是会对网络产生一定影响，而无法彻底防止DHCP攻击。对于后一种新型的IP地址拒绝攻击，该方法无法防止DHCP Server被攻击。 

发明内容

本发明提供一种DHCP攻击防护方法和客户端设备，用于在客户端中实现对DHCP泛洪攻击和IP地址拒绝攻击的防护。 

为达到上述目的，本发明提供一种DHCP攻击防护方法，包括： 

客户端检测到向网络侧发送的DHCP请求报文时，获取所述DHCP请求报文中携带的客户端MAC地址； 

所述客户端判断获取到的所述客户端MAC地址与本设备真实的MAC地址是否一致，若不一致则判断所述DHCP请求报文为DHCP攻击报文，过滤所述DHCP请求报文并报警；所述判断结果为一致时，所述客户端向网络侧发送所述DHCP请求报文。