CN101009689A - 一种防止地址解析欺骗的方法 - Google Patents
一种防止地址解析欺骗的方法 Download PDFInfo
- Publication number
- CN101009689A CN101009689A CNA2006100026204A CN200610002620A CN101009689A CN 101009689 A CN101009689 A CN 101009689A CN A2006100026204 A CNA2006100026204 A CN A2006100026204A CN 200610002620 A CN200610002620 A CN 200610002620A CN 101009689 A CN101009689 A CN 101009689A
- Authority
- CN
- China
- Prior art keywords
- address
- list item
- address resolution
- local host
- cache table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及网络通信安全领域,具体的讲是一种防止地址解析欺骗的方法。本发明通过在本地主机的ARP缓存表的表项中加入状态位,接收远端主机的ARP报文,修改本地主机ARP缓存表相应表项中的状态位,根据ARP缓存表相应表项的状态位对与远端主机通信的报文进行相应处理。本发明的有益效果在于,能够防止局域网内ARP欺骗,增强计算机的安全性,并且不需要浪费太多网络资源,并且部署比较简单。
Description
技术领域
本发明涉及网络通信领域,特别涉及网络通信安全领域,具体的讲是一种防止地址解析欺骗的方法。
背景技术
随着国家信息化建设的不断深入,特别是国家制定的“以信息化带动工业化”产业政策,以及扩大内需、增加基础设施建设、西部大开发战略的实施和相关政策的出台,使国内的计算机及网络通信市场取得持续、健康、快速的发展。
网络的飞速发展促使社会信息化进程快速推进,电信、电力、电子政务、电子商务等信息化工程也在如火如荼地进行。然而,随着网络逐步完善,网络所面临的病毒、黑客威胁也在与日俱增,一套完善的网络安全解决方案成为保证各行各业网络健康发展的迫切需要。
在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的链路地址(MAC地址)。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。地址解析协议(ARP:Address Resolution Protocol)协议就是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。
ARP协议的作用是在处于同一个子网中的主机所构成的局域网部分中将IP地址映射到MAC地址。图1为现有技术中计算机正常通信的示意图,显示了在局域网中本地主机通过交换机与远端主机进行通信,同时在交换机上连接有一台攻击者计算机,但是并没有影响到本地主机与远端主机的通信。MAC地址是设备中网络接口卡的物理地址,它在该设备服务的寿命期限内不会发生改变。如果机器移动到网络的其它地方,IP地址就会发生改变,而MAC地址却不会改变。ARP用于将IP地址匹配到或解析至MAC地址(反之亦然)。ARP通过向连接到以太网中的所有主机发出一个数据包的办法进行工作。数据包中含有发送者需要连接的IP地址。大多数主机会忽略该数据包。目标机器识别出数据包中的IP地址与自己匹配,所以就会作出响应。ARR是一个非常简单的协议,仅有四种类型的基本信息组成:
ARP询问—计算机A发出询问:“哪台计算机拥有该IP地址?”
ARP响应—计算机B向计算机A发出信息:“我拥有那个IP地址,我的MAC地址是02:02:02:02:02:02″。
逆向ARP询问(RARP)—是与ARP询问类似的概念,但计算机A询问:“哪台计算机拥有该MAC地址?”
逆向ARP响应—计算机B向计算机A发出信息:“我拥有那个MAC地址,我的IP地址是123.123.123.123″。
网络中出现了几种具有针对性的攻击方法。
服务拒绝:黑客很容易就可以将一个在操作上有效的IP地址与虚假的MAC地址联系起来。例如黑客可以发出ARP响应将用户的网络路由器IP地址与一个不存在的MAC地址联系起来。用户计算机认为它们知道其默认网关的位置,但实际上它们在发送目的地址不在本地的数据包,而是在天空中的一个巨大的“位存储桶”。只此一步,黑客就已经切断了用户网络与Internet的连接。
中间人攻击(MITM:Man-In-The-Middle):按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP响应并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP响应包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
这里举个例子,假定同一个局域网内,有3台主机通过交换机相连:
本地主机:IP地址为192.168.0.1,MAC地址为01:01:01:01:01:01;
攻击者主机:IP地址为192.168.0.2,MAC地址为02:02:02:02:02:02;
远端主机:IP地址为192.168.0.3,MAC地址为03:03:03:03:03:03。
攻击者主机对本地主机和远端主机进行欺骗的前奏就是发送假的ARP响应包,如图2所示在收到攻击者主机发来的ARP响应后,本地主机应知道:到192.168.0.3的数据包应该发到MAC地址为02:02:02:02:02:02的主机;远端主机也知道:到192.168.0.1的数据包应该发到MAC地址为02:02:02:02:02:02的主机。这样,本地主机和远端主机都认为对方的MAC地址是02:02:02:02:02:02,实际上这就是攻击者主机所需得到的结果。当然,因为ARP缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP映射项会自动去除。所以,攻击者主机还有一个“任务”,那就是一直连续不断地向这两个被攻击的主机发送这种虚假的ARP响应包,让其ARP缓存中一直保持被毒害了的映射表项。
现在,如果本地主机和远端主机要进行通信,实际上彼此发送的数据包都会先到达攻击者主机,这时,如果攻击者主机不做进一步处理,这两个被攻击主机之间的通信就无法正常建立,攻击者主机也就达不到“嗅探”通信内容的目的,因此,攻击者主机要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的MAC地址和源MAC地址进行替换。如此一来,在这两个被攻击主机看来,彼此发送的数据包都是直接到达对方的,但在攻击者主机来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作“Man-In-The-Middle”的方法。
思科动态ARP检测(DAI:Dynamic ARP Inspection)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加访问列表(ARP access-list)实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
DHCP监听(DHCP Snooping)技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。
目前,还可以通过网络安全协议(IPsec:Internet Protocol security)加密数据,就是出现攻击者计算机欺骗了交换机并且得到了发向原主机的数据包但是依然无法对数据包进行解密,从而无法获得该数据包的内容。但是由于IPsec通常应用于虚拟专用网络(VPN),并且IPsec的应用对于局域网交换机的工作也造成了不良影响,通常也是很难配置的。
发明内容
本发明的目的在于提供一种防止地址解析欺骗的方法,在现有通信过程中加入几个状态过程,以防止地址解析的欺骗。
一种防止地址解析欺骗的方法包括如下步骤:
步骤A01,在本地主机的地址解析缓存表的表项中加入状态位的步骤;
步骤A02,向远端主机发送数据包时,根据本地主机地址解析缓存表的相应表项和该表项的状态位,处理地址解析询问报文和数据包;
步骤A03,在发送地址解析询问报文时设定预定时间,根据本地主机地址解析缓存表的相应表项和该表项的状态位,处理远端主机的地址解析响应报文和确定相应表项的状态位;
步骤A04,在预定时间结束后,根据接收到的远端主机地址解析响应报文处理所述本地主机地址解析缓存表的相应表项和该表项的状态位。
所述步骤A02具体包括以下步骤:
步骤B01,判断所发送数据包的目的IP地址在本地主机地址解析缓存表中是否有相应表项,如果有则进入步骤B02,否则进入步骤B09;
步骤B02,判断所述表项的状态位,如果为报警状态则进入步骤B03,如果为有效状态则进入步骤B04,如果为过时状态则进入步骤B05,如果为检测状态则进入步骤B06;
步骤B03,丢弃要发送的数据包;
步骤B04,正常发送数据包;
步骤B05,发送数据包,并发送地址解析询问报文,修改所述表项状态位为检测状态,设定一第一预定时间;
步骤B06,判断在所述表项中是否存在与所发送数据包的目的IP地址相应的链路地址,如果有则进入步骤B07,否则进入步骤B08;
步骤B07,正常发送数据包;
步骤B08,将数据包放入缓冲区;
步骤B09,根据所述所发送数据包的目的IP地址在本地主机地址解析表中建立新表项,并发送地址解析询问报文,修改该表项的状态位为检测状态,设定一第二预定时间。
所述第一预定时间与所述第二预定时间相等或者不同。
所述第一预定时间为3秒,所述第二预定时间为5秒。
所述步骤A03具体包括以下步骤:
步骤C01,接收远端主机的地址解析响应报文,判断在本地主机的地址解析缓存表中是否有相应于该响应报文的表项,如果有则进入步骤C02,否则进入步骤C08;
步骤C02,判断所述本地主机地址解析缓存表相应表项的状态位,如果为检测状态则进入步骤C03,如果为过时状态或者告警状态则进入步骤C04,如果为有效状态则进入步骤C05;
步骤C03,在本地主机地址解析缓存表的相应表项中记录该地址解析响应报文的IP地址和链路地址的映射对;
步骤C04,丢弃接收到的地址解析响应报文;
步骤C05,判断本地主机地址解析缓存表的相应表项的IP地址和链路地址的映射是否与接收到的远端主机地址解析响应报文的映射相同,如果相同则进入步骤C06,否则进入步骤C07;
步骤C06,丢弃接收到的地址解析响应报文;
步骤C07,修改本地主机地址解析缓存表的相应表项状态位为过时状态,并进入步骤C08;
步骤C08,结束。
所述步骤A04,当预定时间结束后:
步骤D01,如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文,则将本地主机地址解析缓存表中相应表项的状态位修改为告警状态;
步骤D02,如果接收到的地址解析响应报文都相同,则将将本地主机地址解析缓存表中相应表项的状态位修改为有效状态;
步骤D03,如果没有收到地址解析响应报文,则删除本地主机地址解析缓存表中的相应表项。
在所述步骤D01中还包括一报警步骤,如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文则向网络管理员或者本地主机的使用者发送报警信息。
本发明的有益效果在于,能够防止局域网内ARP欺骗,增强计算机的安全性,并且不需要浪费太多网络资源,并且部署比较简单。
附图说明
图1为现有技术中计算机正常通信的示意图;
图2为中间人攻击的示意图;
图3为本发明发送数据包的流程图;
图4为本发明ARP表项检测状态启动预定时间的流程图;
图5为本发明接收ARP响应报文的流程图;
图6为本发明实施例示意图;
图7A-图7C为本发明方法的另一实施例示意图。
具体实施方式
下面,结合附图对于本发明进行如下详细说明。
在本地主机的地址解析缓存表中加入状态位,加入该状态位可以使用现有手段。
图3为本发明发送数据包的流程图。当本地主机需要向远端主机发送数据包时,即开始以下步骤,以防止ARP欺骗。步骤B01,在本地主机地址解析缓存表中查找是否有与接收到的远端主机ARP报文的IP地址相同的记录表项,如果有则进入步骤B02,否则进入步骤B09。步骤B02,判断该表项状态,如果为报警状态则进入步骤B03,如果为有效状态则进入步骤B04,如果为过时状态则进入步骤B05,如果为检测状态则进入步骤B06。步骤B03,丢弃要发送的数据包。步骤B04,正常发送数据包。步骤B05,发送数据包,并发送地址解析询问报文,修改所述表项状态位为检测状态,设定一第一预定时间。步骤B06,判断在所述表项中是否存在与所述IP地址相应的链路地址,如果有则进入步骤B07,否则进入步骤B08。步骤B07,发送数据包。步骤B08,将数据包放入缓冲区。步骤B09,根据所述目的IP地址在本地主机地址解析表中建立新表项,并发送地址解析询问报文,修改该表项的状态位为检测状态,设定一第二预定时间。
如图4所示,为本发明ARP表项检测状态启动预定时间的流程图。在发送地址解析询问报文后,在预定时间内接收远端主机地址解析响应报文,并且当预定时间结束时:
步骤D01,如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文,则将本地主机地址解析缓存表中相应表项的状态位修改为告警状态。
步骤D02,如果接收到的地址解析响应报文都相同,则将将本地主机地址解析缓存表中相应表项的状态位修改为有效状态。
步骤D03,如果没有收到地址解析响应报文,则删除本地主机地址解析缓存表中的相应表项。
在所述步骤D01中还包括一报警步骤,如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文则向网络管理员或者本地主机的使用者发送报警信息。
当本地主机发送数据包时,首先经过步骤B01,检查本地主机的ARP缓存表中是否有相关IP地址的ARP表项,例如,没有相关的表项,则进入步骤B09,建立新的表项,该表项的IP地址为发送数据包的目的地址,并发送ARP询问报文,启动一定时器,修改新建立表项的状态位为检测状态。如果在预定时间内本地主机还未接收到ARP响应报文,而又出现需要发送的数据包,则再次进入步骤B01,检查本地主机的ARP缓存表中是否有相关IP地址的ARP表项。这次检查的结果为存在这样的表项(因为上一个发送数据包的步骤中新建立的表项),则进入步骤B02,判断表项状态位,而该表项的状态位为检测状态,则进入步骤B08,进一步判断该表项中是否存在IP地址和MAC地址的映射对,在本例中由于还未收到ARP响应报文,所以不存在ARP映射,进入步骤B08将数据包放入缓冲区。
而如果在预定时间结束后接收到了多个(大于1个)关于同一ARP表项不同的ARP响应报文,则说明网络中有攻击存在,则进入步骤D01,将该表项状态位修改为告警状态,并向局域网内部的管理员或者本地主机的使用者发送报警信息。当本地主机再次有要数据包要发送,进入步骤B01,检查本地主机的ARP缓存表中是否有相关IP地址的ARP表项。这次检查的结果为存在这样的表项(因为上一个发送数据包的步骤中新建立的表项),则进入步骤B02,判断表项状态位,而该表项的状态位为告警状态,则进入步骤B03,丢弃数据包。
如图5所示,为本发明接收ARP响应报文的流程图。步骤C01,接收远端主机的地址解析响应报文,判断在本地主机的地址解析缓存表中是否有相应于该响应报文的表项,如果有则进入步骤C02,否则进入步骤C08;
步骤C02,判断所述表项的状态位,如果为检测状态则进入步骤C03,如果为过时状态或者告警状态则进入步骤C04,如果为有效状态则进入步骤C05;
步骤C03,在本地主机地址解析缓存表的相应表项中记录该地址解析响应报文的IP地址和链路地址的映射对;
步骤C04,丢弃接收到的地址解析响应报文;
步骤C05,判断本地主机地址解析缓存表的相应表项的IP地址和链路地址的映射关系是否与接收到的远端主机地址解析响应报文的映射相同,如果相同则进入步骤C06,否则进入步骤C07;
步骤C06,丢弃接收到的地址解析响应报文;
步骤C07,修改本地主机地址解析缓存表的相应表项状态位为过时状态,并进入步骤C08;
步骤C08,结束。
如果在预定时间结束后,只接收到同一ARP响应报文,则设置该表项的状态位为有效状态。在接收ARP响应报文时,进行步骤C01,判断在本地主机ARP缓存表中是否存在相应的ARP表项,如上面所述的,ARP缓存表中具有相应的ARP表项,进入步骤C02,判断表项状态,在本例中为有效状态,则进入步骤C05,判断所接收到的ARP响应报文的IP地址和MAC地址与ARP表项中IP地址和MAC地址的映射是否一样,在本例中为一样,则进入步骤C06,丢弃该ARP响应报文。
在进入到步骤C05时,当ARP响应报文信息与ARP表项的映射不相同时,则代表远端主机可能更换了MAC地址,或者网络中存在攻击,进入步骤C07,修改该表项状态位为过时状态,并结束ARP响应报文接收过程。如果很短时间内本地主机接收到ARP响应报文,由于该ARP表项状态位为过时状态,则进入步骤C04,丢弃该ARP响应报文。
根据上面所述的,ARP表项状态为过时状态,在有数据包要发送时,首先进行步骤B01,判断ARP缓存表中存在该表项。进入步骤B02,判断状态位为过时状态。进入步骤B05,发送数据包,并发送ARP询问报文,启动一预定时间,该预定时间可以为适合网络的数值,在这里定义为3秒或5秒,并修改状态位为检测状态,验证IP地址与MAC地址映射对是否安全。在预定时间内,接收ARP响应报文,由于存在该ARP表项,该表项的状态位为检测状态,则进入步骤C03,在本地主机ARP缓存表的相应表项中记录该ARP响应报文的ARP映射。在预定时间结束后,如果收到多个不相同的ARP响应报文,则进入步骤D01,修改状态位为告警状态,丢弃该要发送的数据包,并向网络管理员或者用户发出一报警信息。如果收到相同的ARP响应报文,则将状态位修改为有效状态,并更新ARP缓存表相应表项。如果再有数据包要向该IP地址的主机发送时,则根据该表项的告警状态位丢弃该数据包。
图6为本发明实施例示意图。当本地主机发出ARP询问报文,询问具有该IP地址主机的MAC地址是多少,在本地主机的地址解析缓存表中并没有这条记录,远端主机和攻击者主机都接收到了该ARP询问报文,本地主机在短时间内可能接收到来自远端主机和攻击者主机两方的响应报文,应用本发明方法的具体过程为:
在本地主机地址解析缓存表中建立一新表项,并将该表项的状态位设置为检测状态,具体格式为<远端主机IP地址,未知的MAC地址,检测状态>,发出ARP询问;
本地主机接收到第一个ARP响应报文,比如说是远端主机返回的响应报文,则本地主机地址解析缓存表的该表项修改为<远端主机IP地址,MAC1,检测状态>,启动一预定时间;
本地主机可能又接收到另一个来自于攻击者主机的ARP响应报文,当还在预定时间内时,则将本地主机地址解析缓存表的该表项修改为<远端主机IP地址,MAC1,告警状态>,并通知网络管理员或者本地主机的使用者在网络中可能有ARP攻击,该通知信息的内容包括相应的IP地址和MAC地址等信息;
对于状态位为告警状态的表项,本地主机采取的处理为不向该IP地址发送任何信息。
图7A-图7C为本发明方法的另一实施例示意图。本地主机地址解析缓存表中有远端主机的表项,具体为<远端主机IP地址IPs,远端主机MAC地址MAC1,有效状态>。
当远端主机的MAC地址从MAC1变换到MAC2,该远端主机将发送一未被要求的ARP响应报文,该报文的源IP地址为远端主机的IP地址IPs,源MAC地址为远端主机的MAC2地址,当本地主机接收到该ARP报文,保持原表项IP地址和MAC地址的对应关系,将该对应表项的状态位修改为过时状态;
本地主机发送一ARP询问报文,询问网络中具有该IP地址的远端主机的MAC地址是多少,该报文的目的IP地址为远端主机的IP地址IPs,目的MAC地址为全零,并启动一定时器;
在定时器规定的时间内本地主机只接收到了来自一个远端主机的ARP响应报文,该报文的源IP地址为远端主机IP地址IPs,源MAC地址为远端主机新的MAC地址MAC2;
更新本地主机地址解析缓存表相应表项,将原MAC1改为MAC2,并将状态位修改为有效状态;
对于状态位为有效状态的表项,本地主机与相应的远端主机正常通信。
本发明的有益效果在于,能够防止局域网内ARP欺骗,增强计算机的安全性,并且不需要浪费太多网络资源,并且部署比较简单。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。
Claims (7)
1.一种防止地址解析欺骗的方法,其特征在于包括如下步骤:
步骤A01,在本地主机的地址解析缓存表的表项中加入状态位的步骤;
步骤A02,向远端主机发送数据包时,根据本地主机地址解析缓存表的相应表项和该表项的状态位,处理地址解析询问报文和数据包;
步骤A03,在发送地址解析询问报文时设定预定时间,根据本地主机地址解析缓存表的相应表项和该表项的状态位,处理远端主机的地址解析响应报文和确定相应表项的状态位;
步骤A04,在预定时间结束后,根据接收到的远端主机地址解析响应报文处理所述本地主机地址解析缓存表的相应表项和该表项的状态位。
2.根据权利要求1所述的一种防止地址解析欺骗的方法,其特征在于所述步骤A02具体包括以下步骤:
步骤(B01),判断所发送数据包的目的IP地址在本地主机地址解析缓存表中是否有相应表项,如果有则进入步骤(B02),否则进入步骤(B09);
步骤(B02),判断所述表项的状态位,如果为报警状态则进入步骤(B03),如果为有效状态则进入步骤(B04),如果为过时状态则进入步骤(B05),如果为检测状态则进入步骤(B06);
步骤(B03),丢弃要发送的数据包;
步骤(B04),正常发送数据包;
步骤(B05),发送数据包,并发送地址解析询问报文,修改所述表项状态位为检测状态,设定一第一预定时间;
步骤(B06),判断在所述表项中是否存在与所发送数据包的目的IP地址相应的链路地址,如果有则进入步骤(B07),否则进入步骤(B08);
步骤(B07),正常发送数据包;
步骤(B08),将数据包放入缓冲区;
步骤(B09),根据所述所发送数据包的目的IP地址在本地主机地址解析表中建立新表项,并发送地址解析询问报文,修改该表项的状态位为检测状态,设定一第二预定时间。
3.根据权利要求2所述的一种防止地址解析欺骗的方法,其特征在于,所述第一预定时间与所述第二预定时间相等或者不同。
4.根据权利要求3所述的一种防止地址解析欺骗的方法,其特征在于,所述第一预定时间为3秒,所述第二预定时间为5秒。
5.根据权利要求1所述的一种防止地址解析欺骗的方法,其特征在于所述步骤A03具体包括以下步骤:
步骤(C01),接收远端主机的地址解析响应报文,判断在本地主机的地址解析缓存表中是否有相应于该响应报文的表项,如果有则进入步骤(C02),否则进入步骤(C08);
步骤(C02),判断所述本地主机地址解析缓存表相应表项的状态位,如果为检测状态则进入步骤(C03),如果为过时状态或者告警状态则进入步骤(C04),如果为有效状态则进入步骤(C05);
步骤(C03),在本地主机地址解析缓存表的相应表项中记录该地址解析响应报文的IP地址和链路地址的映射对;
步骤(C04),丢弃接收到的地址解析响应报文;
步骤(C05),判断本地主机地址解析缓存表的相应表项的IP地址和链路地址的映射是否与接收到的远端主机地址解析响应报文的映射相同,如果相同则进入步骤(C06),否则进入步骤(C07);
步骤(C06),丢弃接收到的地址解析响应报文;
步骤(C07),修改本地主机地址解析缓存表的相应表项状态位为过时状态,并进入步骤(C08);
步骤(C08),结束。
6.根据权利要求1所述的一种防止地址解析欺骗的方法,其特征在于所述步骤A04,当预定时间结束后:
步骤(D01),如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文,则将本地主机地址解析缓存表中相应表项的状态位修改为告警状态;
步骤(D02),如果接收到的地址解析响应报文都相同,则将将本地主机地址解析缓存表中相应表项的状态位修改为有效状态;
步骤(D03),如果没有收到地址解析响应报文,则删除本地主机地址解析缓存表中的相应表项。
7.根据权利要求6所述的一种防止地址解析欺骗的方法,其特征在于在所述步骤(D01)中还包括一报警步骤,如果接收到至少两个具有相同IP地址和不同链路地址的地址解析响应报文则向网络管理员或者本地主机的使用者发送报警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610002620A CN100581162C (zh) | 2006-01-26 | 2006-01-26 | 一种防止地址解析欺骗的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610002620A CN100581162C (zh) | 2006-01-26 | 2006-01-26 | 一种防止地址解析欺骗的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101009689A true CN101009689A (zh) | 2007-08-01 |
| CN100581162C CN100581162C (zh) | 2010-01-13 |
Family
ID=38697821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610002620A Expired - Fee Related CN100581162C (zh) | 2006-01-26 | 2006-01-26 | 一种防止地址解析欺骗的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100581162C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197828B (zh) * | 2007-12-25 | 2010-12-15 | 华为技术有限公司 | 一种安全arp的实现方法及网络设备 |
| CN101540733B (zh) * | 2009-05-08 | 2011-01-05 | 深圳市维信联合科技有限公司 | Arp报文的处理方法及网络侧设备 |
| CN102197627A (zh) * | 2008-08-29 | 2011-09-21 | 极进网络有限公司 | 组播流量收敛的改善 |
| CN101345743B (zh) * | 2007-07-09 | 2011-12-28 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
| CN105704036A (zh) * | 2014-11-27 | 2016-06-22 | 华为技术有限公司 | 报文转发方法、装置和系统 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| WO2017140080A1 (zh) * | 2016-02-16 | 2017-08-24 | 乐视控股(北京)有限公司 | 基于媒体访问控制地址的寻址通信方法及装置 |
| CN110401616A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种提高mac地址和ip地址安全性和稳定性的方法和系统 |
| CN110445887A (zh) * | 2019-08-12 | 2019-11-12 | 北京百佑科技有限公司 | 重复ip识别方法、装置及智能对讲设备 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN112996077A (zh) * | 2021-02-23 | 2021-06-18 | 新华三技术有限公司 | 报文处理方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427460B (zh) * | 2011-12-29 | 2015-03-11 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6771649B1 (en) * | 1999-12-06 | 2004-08-03 | At&T Corp. | Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning |
| KR100424613B1 (ko) * | 2002-04-22 | 2004-03-27 | 삼성전자주식회사 | 로컬 네트워크에서 도메인 네임 시스템 스푸핑 방법 및그를 이용한 로컬 네트워크 시스템 |
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| US7234163B1 (en) * | 2002-09-16 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
-
2006
- 2006-01-26 CN CN200610002620A patent/CN100581162C/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345743B (zh) * | 2007-07-09 | 2011-12-28 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN101197828B (zh) * | 2007-12-25 | 2010-12-15 | 华为技术有限公司 | 一种安全arp的实现方法及网络设备 |
| CN102197627A (zh) * | 2008-08-29 | 2011-09-21 | 极进网络有限公司 | 组播流量收敛的改善 |
| CN102197627B (zh) * | 2008-08-29 | 2016-02-17 | 极进网络有限公司 | 组播流量收敛的改善 |
| CN101540733B (zh) * | 2009-05-08 | 2011-01-05 | 深圳市维信联合科技有限公司 | Arp报文的处理方法及网络侧设备 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
| CN105704036A (zh) * | 2014-11-27 | 2016-06-22 | 华为技术有限公司 | 报文转发方法、装置和系统 |
| CN105704036B (zh) * | 2014-11-27 | 2019-05-28 | 华为技术有限公司 | 报文转发方法、装置和系统 |
| WO2017140080A1 (zh) * | 2016-02-16 | 2017-08-24 | 乐视控股(北京)有限公司 | 基于媒体访问控制地址的寻址通信方法及装置 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN110401616A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种提高mac地址和ip地址安全性和稳定性的方法和系统 |
| CN110445887A (zh) * | 2019-08-12 | 2019-11-12 | 北京百佑科技有限公司 | 重复ip识别方法、装置及智能对讲设备 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111147382B (zh) * | 2019-12-31 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN112996077A (zh) * | 2021-02-23 | 2021-06-18 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN112996077B (zh) * | 2021-02-23 | 2022-07-12 | 新华三技术有限公司 | 报文处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100581162C (zh) | 2010-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100581162C (zh) | 一种防止地址解析欺骗的方法 | |
| JP5790827B2 (ja) | 制御装置、制御方法、及び通信システム | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| EP3400682B1 (en) | Network sanitization for dedicated communication function and edge enforcement | |
| US10397111B2 (en) | Communication device, communication system, and communication method | |
| KR20170013298A (ko) | 장치들에 네트워크 구성 매개변수들의 향상된 할당 및 분배 | |
| CN101170515B (zh) | 一种处理报文的方法、系统和网关设备 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| JP2020137006A (ja) | アドレス解決制御方法、ネットワークシステム、サーバ装置、端末及びプログラム | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| US20140082693A1 (en) | Updating security bindings in a network device | |
| KR20040109985A (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101599889A (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
| CN102752266B (zh) | 访问控制方法及其设备 | |
| Singh et al. | A detailed survey of ARP poisoning detection and mitigation techniques | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| Cisco | setsn_su |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100113 Termination date: 20200126 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |