[发明专利]网关及其避免受攻击的方法

说明书

技术领域

本发明涉及网络设备，尤其涉及网关及其避免受攻击的方法。

背景技术

目前，越来越多的网关(Gateway)中集成了动态主机设置协议(Dynamic Host Configuration Protocol，DHCP)模组的功能，其中，该DHCP模组主要用于为动态主机设置协议客户端(DHCP Client)分配因特网协议(Internet Protocol，IP)地址，当DHCP Client有访问因特网的请求时，其首先会向DHCP模组发送请求封包以请求分配IP地址，并根据所分配的IP地址来实现访问因特网，而且请求封包一般包括该DHCP Client的介质访问控制(Medium Access Control，MAC)地址，DHCP模组则根据请求封包中的MAC地址分配IP地址给DHCP Client。

在实际应用中，有一些网关攻击者会通过特定程序不停修改DHCP Client的MAC地址，并将每次修改后的MAC地址设置于发送给DHCP模组的请求封包中，这样一来，网关在短时间内会接收到大量的请求封包并分配出大量的IP地址，这会导致DHCP模组中所存储的能分配的IP地址很快被耗尽，从而影响到该网关所连接的其他用户的正常通信。

因此，如何降低网关被攻击而导致IP地址的分配很快被耗尽的现象，以致影响了服务质量是当前业界急需改进的目标。

发明内容

有鉴于此，需要提供一种网关，以减少网关受攻击进而提高通信的服务质量。

还需要提供一种避免网关受攻击的方法，以提高通信的服务质量。

本发明实施方式的网关，与局域网内的多个客户端相连，所述网关用于将所述局域网内的多个客户端接入因特网，所述网关包括存储媒介、分配模块、查询模块、记录模块、发送模块及确认模块。存储媒介用于存储地址列表，所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址。分配模块接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述地址列表中存储的所述因特网协议地址。查询模块发送第一地址解析协议请求封包至所述局域网内的其他的客户端，以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址。记录模块在当前状态下其他的客户端没有使用所述因特网协议地址时，记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中，并启动一计时器开始计时。发送模块在预设的计时时间结束时，向所述客户端发送第二地址解析协议请求封包，并判断是否从所述客户端接收到地址解析协议响应封包。确认模块在没有从所述客户端接收到所述地址解析协议响应封包时，确认所述客户端为攻击者，并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。

优选的，所述确认模块还用于在从所述客户端接收到所述地址解析协议响应封包时，判断所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址是否存在于所述对应关系表中。

优选的，所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址存在于所述对应关系表中时，确认所述客户端不是攻击者。

优选的，所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址不存在于所述对应关系表中时，确认所述客户端为攻击者，并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。

本发明实施方式的避免网关攻击的方法，其中所述网关与局域网内的多个客户端相连，用于将所述局域网内的多个客户端接入因特网，所述方法包括以下步骤：提供一个地址列表，其中所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址；接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述因特网协议地址；发送第一地址解析协议请求封包至所述局域网内的其他的客户端，以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址；在当前状态下所述其他的客户端没有使用所述因特网协议地址时，记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中，并启动一计时器开始计时；在预设的计时时间结束时，向所述客户端发送第二地址解析协议请求封包，并判断是否从所述客户端接收到地址解析协议响应封包；及在没有从所述客户端接收到所述地址解析协议响应封包时，确认所述客户端为攻击者，并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。