[发明专利]一种地址池资源保护的方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种地址池资源保护的方法及装置。

背景技术

在TCP/IP网络中，每台工作站要能取得网上的资源，必须进行基本的网络资源配置。DHCP是一种简化主机IP配置管理的TCP/IP标准。DHCP分为DHCP服务器和DHCP客户端，DHCP服务器主要的功能是管理IP地址的分配以及网络上启用DHCP客户端的其他相关配置信息。DHCP支持三种不同的机制用于配置IP主机地址：自动配置、动态配置和人工配置。其中，在自动配置机制下，一旦DHCP客户端第一次成功的从DHCP服务器租用到IP地址之后，就永远的使用这个地址。在动态配置机制下，当DHCP客户端第一次从DHCP服务器租用到IP地址之后，并非永久地使用该地址，只要租约到期，DHCP客户端就需要释放这个IP地址。在人工配置机制下，DHCP客户端的IP地址可以由人工进行分配。目前使用最多的机制为动态配置机制。

现有技术中的一种地址池资源分配方法，如图1所示，当接收到客户发送的DHCP请求报文，DHCP服务器判断IP地址资源池中是否存在可用的IP地址，若是，则为所述客户端配置IP地址，并将配置的IP地址通过DHCPACR报文发送到所述客户端，否则，忽略请求或返回DHCP NACK报文到客户端。现有技术方案中DHCP服务器的实现方式是建立在所有DHCP请求报文的客户端都是可信的基础上，并没有考虑网络的安全问题。在如今复杂的网络环境中必然会存在安全隐患，例如某攻击者伪装成网络用户，发送大量的请求信息，会导致DHCP服务器端IP地址资源耗尽，后续真实的网络用户的需求则被DHCP服务器忽略，从而导致大面积的用户断网。

发明内容

有鉴于此，本发明提供一种地址池资源保护的方法和装置，应用于DHCP服务器，能够降低DHCP服务器地址池资源被耗尽的风险。

为实现本发明目的，本发明实现方案具体如下：

一种地址池资源保护的方法，应用于DHCP服务器，所述DHCP服务器设置有当前可用地址资源池和全局地址资源池，所述方法包括以下步骤：

获取与当前时间段对应的IP地址数量，从全局地址资源池中提取相应数量的IP地址，配置到所述当前可用地址资源池中；

接收客户端发送的DHCP请求报文，查询当前可用地址资源池中是否存在可配置IP地址，若是，为所述客户端配置IP地址，并将配置的IP地址通过DHCPACK报文发送到所述客户端，否则，忽略请求或返回DHCP NACK报文到所述客户端。

本发明同时提供一种地址池资源保护的装置，应用于DHCP服务器，所述DHCP服务器设置有当前可用地址资源池和全局地址资源池，所述装置包括：

地址资源分配单元，用于获取与当前时间段对应的IP地址数量，从全局地址资源池中提取相应数量的IP地址，配置到所述当前可用地址资源池中；

地址资源处理单元，用于接收客户端发送的DHCP请求报文，查询当前可用地址资源池中是否存在可配置IP地址，若是，为所述客户端配置IP地址，并将配置的IP地址通过DHCP ACK报文发送到所述客户端，否则，忽略请求或返回DHCP NACK报文到所述客户端。

与现有技术相比，本发明通过在DHCP服务器上设置当前可用地址资源池和全局地址资源池，通过根据不同的时间段IP地址需求数量不同，从全局地址资源池中提取相应数量的IP地址配置到所述当前可用地址资源池中，能够有效防止非法用户消耗大量的IP地址而导致正常用户无法获得IP地址，进而无法上网。

附图说明

图1为本发明现有技术中地址资源分配方法流程示意图。

图2为本发明地址池资源保护的方法流程示意图。

图3为本发明地址池资源保护的装置逻辑组成图。

具体实施方式

本发明提供一种地址池资源保护的方法和装置，应用于DHCP服务器。本发明的一般设计方案为：在DHCP服务器上设置当前可用地址资源池和全局地址资源池，根据网络内不同的时间段IP地址需求数量不同，从全局地址资源池中提取相应数量的IP地址配置到当前可用地址资源池中；当接收到客户端发送的DHCP请求报文时，查询当前可用地址资源池中是否存在可配置IP地址，若是，为所述客户端配置IP地址，并将配置的IP地址通过DHCP ACK报文发送到客户端，否则，忽略请求或返回DHCP NACK报文到客户端。