[发明专利]基于解析DHCP报文实现防IP地址欺诈的方法

说明书

技术领域

本发明涉及无源光网络上防IP地址欺诈领域，具体来讲是一种基于解析DHCP报文实现防IP地址欺诈的方法。

背景技术

GPON(Gigabit-Capable PON，吉兆比特无源光网络)技术是基于ITU-T G.984.x标准的最新一代宽带无源光综合接入标准，具有众多优点，被大多数运营商视为实现接入网业务宽带化、综合化改造的理想技术。GPON系统可以为用户提供数据、语音、IPTV等多种业务，真正实现三网融合。

互联网充满着各种安全威胁，其中之一就是IP地址欺诈，IP地址欺诈技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装，使得某台主机能够伪装成另外一台主机，而伪装后主机往往具有某种特权或者被另外的主机所信任。

防止IP地址欺诈的第一步就是阻止能造成风险的IP地址。虽然攻击者可以使用任何IP地址进行欺诈，但使用网络上用户正在使用的有效IP地址进行欺诈，往往最有效果，也是我们最需要防范的IP地址欺诈行为。最简单的防IP地址欺诈的方法就是静态的创建一个ACL(ACCESS CONTROL LIST，访问控制列表)，绑定到用户端口，对来自用户端口的IP报文进行过滤，以达到防IP地址欺诈的目的。但是目前的网络运用中，用户的IP通常都是使用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)动态获取的，这就造成了无法获得一个静态的ACL列表，如何解决这个问题，动态的实现防IP地址欺诈，就需要将创建ACL列表和用户动态获取IP这二者紧密联系起来。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于解析DHCP报文实现防IP地址欺诈的方法，动态的获取用户端口的合法IP地址表，动态的生成端口的IP地址白名单和黑名单，实现了防IP地址欺诈的功能。

为达到以上目的，本发明采取的技术方案是：基于解析DHCP报文实现防IP地址欺诈的方法，包括如下步骤：S1.光网络终端将其转发的DHCP报文捕获至CPU，解析注册的DHCP报文，获取光网络终端下联用户获取的用户IP地址IP_N，所述用户IP地址IP_N为用户和DHCP服务器IP租约正式生效时的IP地址；S2.光网络终端将所述用户IP地址IP_N产生访问控制列表，绑定到合法端口，同时设置拦截来自其余用户端口、源IP地址为用户IP地址IP_N的报文。

在上述技术方案的基础上，用户使用DHCP协议第一次获取IP地址，用户首先发送一个DHCP发现报文，网络上多台DHCP服务器回复给用户DHCP回复报文，用户挑选其中一个DHCP回复报文，并向网络发送一个DHCP请求报文，通知所有DHCP服务器它将指定接受所挑选的那台DHCP服务器提供的IP地址租约。

在上述技术方案的基础上，当DHCP服务器接收到用户发送的DHCP请求报文后，回复一个DHCP响应报文，确认用户的一个IP租约正式生效；当用户收到DHCP服务器回复的DHCP响应报文，表明IP租约正式生效，此时的IP地址为用户IP地址IP_N。