CN101094235A - 一种防止地址解析协议攻击的方法 - Google Patents
一种防止地址解析协议攻击的方法 Download PDFInfo
- Publication number
- CN101094235A CN101094235A CN 200710122983 CN200710122983A CN101094235A CN 101094235 A CN101094235 A CN 101094235A CN 200710122983 CN200710122983 CN 200710122983 CN 200710122983 A CN200710122983 A CN 200710122983A CN 101094235 A CN101094235 A CN 101094235A
- Authority
- CN
- China
- Prior art keywords
- address
- authentication equipment
- protocol
- message
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止地址解析协议攻击的方法,包括以下步骤,首先鉴别设备收到被鉴别设备发送的ARP表项;然后鉴别设备根据收到的ARP表项向被鉴别设备发送IP地址鉴别请求帧,进行IP地址鉴别;最后被鉴别设备收到所述鉴别设备的IP地址鉴别请求帧后,所述被鉴别设备回复IP地址鉴别应答帧,如果所述IP地址鉴别成功,则形成主机路由条目;否则,所述IP地址鉴别失败,拒绝所述被鉴别设备。应用本发明,克服当前ARP协议的安全性问题和缺陷,提高了ARP协议应对已有各种攻击的安全性。
Description
技术领域
本发明涉及IP(因特网协议)网络通信安全技术,尤其涉及提供一种防止ARP(地址解析协议)攻击的方法。
背景技术
ARP协议存在缺少安全机制的设计缺陷,使其易受攻击和欺骗。常见的有ARP扫描攻击,ARP代理欺骗等。攻击者经常利用病毒程序或黑客程序对网络系统设备进行攻击,可导致网络性能严重下降甚至网络瘫痪。ARP协议的安全性弱点成为TCP/IP(传输控制协议/因特网协议)协议簇的短板,如ARP病毒使网络中的主机对网关设备进行ARP扫描攻击可使整个子网通讯中断。所以ARP协议的安全机制亟待加强。
对于ARP扫描攻击,已有的防范方法有限制一个端口的ARP数量,和限制一个MAC(媒体访问控制)的ARP数量等。这些方法没有解决ARP安全性问题,只是在一定程度上减小了ARP攻击的破坏程度。当网络中多台主机感染了ARP病毒,限制一个端口ARP数量的方法失效。如果进行ARP扫描时源MAC地址也随机变化,限制每个MAC地址的ARP数量方法也是形同虚设,这样的病毒变种一定会出现。
而对于ARP欺骗攻击和ARP代理攻击,现有安全机制完全不能发现。一个黑客程序能够轻而易举的欺骗正在进行IP通信的两台设备,从中进行IP分组的代理。
综上所述,当前需要一种有效防止ARP攻击的方案。
发明内容
本发明所要解决的技术问题是提供一种防止ARP攻击的方法,克服当前ARP协议的安全性问题和缺陷,提高了ARP协议应对已有各种攻击的安全性。
为了解决上述问题,本发明提供了一种防止地址解析协议攻击的方法,包括以下步骤,
a、鉴别设备收到被鉴别设备发送的ARP表项;
b、鉴别设备根据收到的ARP表项向被鉴别设备发送IP地址鉴别请求帧,进行IP地址鉴别;
c、所述被鉴别设备收到所述鉴别设备的IP地址鉴别请求帧后,所述被鉴别设备回复IP地址鉴别应答帧,如果所述IP地址鉴别成功,则形成主机路由条目;否则,所述IP地址鉴别失败,拒绝所述被鉴别设备。
进一步地,上述方法还可包括,所述步骤a中,所述ARP表项包括请求所述鉴别设备IP地址的ARP request地址解析协议请求报文或者发给所述鉴别设备IP地址的ARP reply地址解析协议应答报文。
进一步地,上述方法还可包括,所述步骤a中,如果所述鉴别设备收到的是请求自己IP地址的ARP request报文,则所述鉴别设备向所述被鉴别设备回复ARP reply报文。
进一步地,上述方法还可包括,所述步骤b中,所述IP地址鉴别请求帧包括ICMP echo request因特网控制消息协议请求回显报文、或ICMPtimestamp request因特网控制消息协议时戳请求报文。
进一步地,上述方法还可包括,所述步骤c中,所述进行IP地址鉴别,其协议包括使用TCP/IP协议簇的多种协议,所述使用TCP/IP协议簇的多种协议包括地址解析协议、因特网控制消息协议、传输控制协议;
所述进行IP地址鉴别选用所述使用TCP/IP协议簇的多种协议中的一种协议,或者选用所述使用TCP/IP协议簇的多种协议中多种协议同时联合鉴别;
所述进行IP地址的鉴别利用所述鉴别设备和所述被鉴别设备的TCP/IP协议栈的会话进行鉴别。
进一步地,上述方法还可包括,所述步骤c中包括,所述被鉴别设备收到所述鉴别设备的IP地址鉴别请求帧后,其TCP/IP协议栈能够做出应答,即成为所述IP地址鉴别应答帧;所述IP地址鉴别应答帧包括ICMP echoreply因特网控制消息协议回显应答报文。
进一步地,上述方法还可包括,所述步骤b中,所述鉴别设备启动一个定时器,同时根据收到的所述地址解析协议表项,向所述被鉴别设备发送一个所述ICMP echo request报文。
进一步地,上述方法还可包括,所述步骤c中,包括以下步骤,
步骤130、判断在定时器规定时间内是否收到了所述被鉴别设备回复的ICMP echo reply报文,如果是,则执行步骤140,否则,执行步骤150;
步骤140、如果收到的ICMP echo reply报文与地址解析协议表项无冲突,则执行步骤160,否则,执行步骤150;
步骤150、鉴别设备拒绝地址解析协议表项,丢弃所述地址解析协议表项;
步骤160、鉴别设备接收地址解析协议表项,收到的所述地址解析协议表项有效,用该地址解析协议表项形成一个主机路由条目。
进一步地,上述方法还可包括,所述步骤140中,所述ICMP echo reply报文包括报文的入端口、媒体访问控制地址、IP地址信息;
所述ICMP echo reply报文与地址解析协议表项无冲突,即报文的入端口、媒体访问控制地址、IP地址信息与地址解析协议表项无冲突。
进一步地,上述方法还可包括,当所述鉴别设备向所述被鉴别设备发送一个ICMP echo request报文时,要求所述被鉴别设备的TCP/IP协议栈进行响应;采用发送ICMP echo request大包的方式,而且每次进行IP地址鉴别发送的ICMP echo request包长不固定,只有收到的ICMP echo reply报文的长度也合格时,所述地址解析协议表项才能被接受。
与现有技术相比,应用本发明方法,对于ARP病毒攻击,这个IP网络具有了免疫能力,中毒的主机,不管是对网关进行ARP扫描,还是对其他主机进行ARP扫描,也不管是进行ARP request扫描攻击,还是进行ARPreply扫描攻击,由于其伪造的IP地址全部被识别出来从而被拒绝,因此不会对网关系统设备和其他主机的IP通信造成影响,同时,中毒的主机其IP通信也是正常的,因为其真正的IP地址也能够被识别出来从而被接受;对于ARP代理攻击,当前黑客程序还不能骗过利用ICMP(网际控制报文协议)协议进行的IP地址鉴别,即使可以进行IP地址鉴别时的ICMP ping欺骗,但是在主动IP地址鉴别的过程中,只要是利用被鉴别设备TCP/IP协议栈的正常的响应特性,可以根据本发明改变一下IP地址鉴别方法,比如系统可以主动发起ICMP timestamp request报文而等待ICMP timesamp reply报文等。由此看出,本发明通过引入主动IP地址鉴别方法,提高了ARP协议应对已有各种攻击的安全性。
附图说明
图1是本发明具体实施方式中鉴别设备利用ICMP协议形成主机路由的流程图;
图2是本发明具体实施方式中带主动IP地址检查的ARP协议状态图;
图3是本发明具体实施方式中网络通信设备ARP request响应报文交互示意图;
图4是本发明具体实施方式中网络通信设备ARP reply响应报文交互示意图;
图5是本发明具体实施方式中应用ICMP协议进行IP地址鉴别ARPrequest响应流程图;
图6是本发明具体实施方式中应用ICMP协议进行IP地址鉴别ARPreply响应流程图。
图7是本发明具体实施方式中防止地址解析协议攻击的方法的流程图。
具体实施方式
下面结合附图对本发明具体实施方式作进一步说明。
本发明具体实施方式适用于任何使用IP协议进行通信的领域,包括网络系统设备和网络终端设备,在本发明具体实施方式中简称为鉴别设备,如路由器,三层交换机,ATM(异步传输模式)交换机,服务器,工作站,桌面计算机等。
鉴别设备在ARP协议形成主机路由的过程中,可以有选择的增加一个主动的进行IP地址鉴别。其中主动的进行IP地址的鉴别的方法,就是要求该鉴别设备必须利用被鉴别的IP地址,与被鉴别设备进行至少一次成功的IP地址鉴别协议交互,其中
被鉴别设备的TCP/IP协议栈未被病毒程序完全感染或未被黑客程序完全控制;
利用鉴别设备和被鉴别设备的TCP/IP协议栈的会话进行IP地址的鉴别;
鉴别设备不立即采信ARP协议形成的表项,而是主动使用该ARP协议形成的表项与被鉴别设备进行TCP/IP协议簇中一种或几种协议的交互,进行证实。
本发明具体实施方式没有引入新的协议,而是通过组合使用了目前广泛使用的TCP/IP协议簇的已有协议达到IP地址鉴别的目的;本发明具体实施方式描述的主动的进行IP地址鉴别方法也是附加于ARP协议的,系统管理员可以根据需要将主动IP地址鉴别功能投入和退出运行。
本发明具体实施方式不要求网络中所有设备都实现主动的进行IP地址鉴别功能,因为主动的进行IP地址鉴别的方法是利用被鉴别设备TCP/IP协议栈的正常的协议应答响应特性达成的;网络设备即使不能进行主动IP地址鉴别,但完全可以成为被鉴别设备;只是实现了主动的进行IP地址鉴别功能的网络设备或主机,可以更有效的保护自己免受ARP攻击。
报文交互一定是由鉴别设备主动发起,交互过程中一定使用了被鉴别IP地址。如果被鉴别设备能够与鉴别设备进行正常的协议交互,那么IP地址可以被鉴别设备接受,形成主机路由;否则鉴别设备拒绝此IP地址,不形成主机路由,可以考虑打印告警或形成日志。
进行IP地址鉴别的协议可以使用TCP/IP协议簇的多种协议,如ARP,ICMP(因特网控制消息协议),甚至TCP(传输控制协议)协议等。其特点是鉴别设备发送所选用协议的一个请求报文,要求被鉴别设备进行协议应答,通过双方协议栈之间的会话摒除各种攻击造成的欺骗。可以只选用其中的一种协议,也可以同时选用多种协议联合鉴别。
ARP协议是可以选用的,而且也能起到一定的效果。选用ARP协议作为IP地址鉴别的协议一定是可用的,因为进行IP地址鉴别的协议步骤前,鉴别设备一定收到过被鉴别设备的ARP协议报文,即使该ARP协议报文来自被鉴别设备的病毒程序,也可以假定被鉴别设备支持ARP协议而不影响鉴别结果。但这里存在一个怪圈,进行IP地址鉴别的目的是为了提高ARP协议的安全性,同时ARP协议本身的安全机性缺陷,又使用ARP协议的IP地址鉴别变的不够可靠。
举例说明,一方面,对于ARP request(地址解析协议请求)扫描攻击,能起到较好防范效果。鉴别设备在收到ARP request报文后,会发送一个ARPreply(地址解析协议应答)报文,这是正常的ARP协议交互。然后进入IP地址鉴别步骤,鉴别设备向对方发送一个于ARP request,如果IP地址是伪造的,对方协议栈不会回应,一般ARP request扫描攻击程序也不会回应,能够鉴别出IP地址的真伪。换一个场合,假设一台主机受到ARP病毒感染,对网关设备进行ARP reply扫描攻击。网关设备在收到病毒程序发送的ARPreply报文后进入IP地址鉴别步骤,广播发送一个ARP request报文进行IP地址请求。即使感染病毒的主机的IP协议栈本来没有响应该ARP request报文,但是病毒程序反复发送ARP reply报文扫描子网,网关设备也很可能在规定时间内收到ARP reply报文。基于上面提到的基本假设,网关设备还是可能被欺骗。
ICMP协议是几乎所有IP通信设备广泛实现的协议,同时协议包都是单播的,是目前可选的最佳协议。
鉴别设备上可以用命令配置主机路由形成的方式,简单的ARP驱动,还是进行IP地址鉴别;可以在端口模式下增加一条命令,如:
ARP distinguish via ICMP echo
鉴别设备在收到大量ARP协议报文,或出现大量IP地址迁移时,也可以触发启动IP地址鉴别功能;同时主动IP地址鉴别功能不只能应用于新学的ARP表项,也可以对已经形成主机路由的ARP表项进行IP地址检查。
如图7所示,本发明具体实施方式中一种防止地址解析协议攻击的方法,其中被鉴别设备的TCP/IP协议栈未被病毒程序完全感染或未被黑客程序完全控制,包括以下步骤,
步骤10、鉴别设备收到被鉴别设备发送的ARP表项;
所述ARP表项包括请求所述鉴别设备IP地址的ARP request地址解析协议请求报文或者发给所述鉴别设备IP地址的ARP reply地址解析协议应答报文。
如果所述鉴别设备收到的是请求自己IP地址的ARP request报文,则所述鉴别设备根据ARP协议,向所述被鉴别设备回复ARP reply报文。
若鉴别设备收到发给自己IP地址的ARP reply报文,即使是攻击报文,也可以假设自己曾发过请求对方IP地址的ARP request报文,这是正常的ARP协议交互阶段。
步骤20、鉴别设备根据收到的ARP表项向被鉴别设备发送IP地址鉴别请求帧,进行IP地址鉴别;
IP地址鉴别请求帧可以是一个ICMP echo request(ICMP请求回显)报文,也可以是ICMP timestamp request报文,或其他协议报文。
进行IP地址鉴别的协议可以使用TCP/IP协议簇的多种协议,如ARP,ICMP(因特网控制消息协议),甚至TCP(传输控制协议)协议等;其特点是鉴别设备发送所选用协议的一个请求报文,要求被鉴别设备进行协议应答,通过双方协议栈之间的会话摒除各种攻击造成的欺骗;可以只选用其中的一种协议,也可以同时选用多种协议联合鉴别。
步骤30、被鉴别设备收到鉴别设备的IP地址鉴别请求帧后,所述被鉴别设备回复IP地址鉴别应答帧,如果所述IP地址鉴别成功,则形成主机路由条目;否则,所述IP地址鉴别失败,拒绝所述被鉴别设备。
被鉴别设备收到鉴别设备的IP地址鉴别请求帧后,其TCP/IP协议栈能够做出应答,即成为IP地址鉴别应答帧;所述IP地址鉴别应答帧包括ICMPecho reply报文。
如图1所示,当IP地址鉴别功能开启时,鉴别设备利用ICMP协议形成主机路由的流程,其中被鉴别设备的TCP/IP协议栈未被病毒程序完全感染或未被黑客程序完全控制,包括以下步骤,
步骤110、鉴别设备收到请求自己IP地址的ARP request报文,向发送者回复ARP reply报文;
鉴别设备根据ARP协议,向发送者回复ARP reply报文。
发送者即被鉴别设备。
若鉴别设备收到发给自己IP地址的ARP reply报文,即使是攻击报文,也可以假设自己曾发过请求对方IP地址的ARP request报文,这是正常的ARP协议交互阶段。
步骤120、鉴别设备启动一个定时器,同时根据收到的ARP表项,向被鉴别设备发送一个ICMP echo request报文;
在正常的ARP协议交互阶段成功完成后,进入IP地址鉴别阶段。新形成的ARP表项成为待鉴别ARP表项,其IP地址成为待鉴别IP地址,声称拥有该IP地址的对端设备成为待鉴别设备。
步骤130、判断在规定时间内是否收到了ICMP echo reply(ICMP回显应答)报文,如果是,则执行步骤140,否则,执行步骤150;
判断在定时器规定的时间内是否收到了ICMP echo reply报文,如果是,则执行步骤140,否则,执行步骤150。
步骤140、如果收到的ICMP echo reply报文与ARP表项无冲突,则执行步骤160,否则,执行步骤150;
ICMP echo reply报文包括报文的入端口、MAC地址、IP地址等信息。
ICMP echo reply报文与ARP表项无冲突,即报文的入端口、MAC地址、IP地址等信息与ARP表项无冲突。
步骤150、拒绝ARP表项,丢弃所述ARP表项;
在规定时间内没有收到ICMP echo reply报文,或收到的ICMP echo reply报文与待鉴别ARP表项有冲突,则认为新形成的ARP表项无效,拒绝ARP表项,丢弃该待鉴别ARP表项,可以考虑打印告警或形成日志。
步骤160、接受ARP表项,ARP表项有效,形成一个主机路由条目。
接受ARP表项,新形成的ARP表项有效,用该ARP表项形成一个主机路由条目。
为了加强安全性,当鉴别设备向被鉴别设备发送一个ICMP echo request报文时,希望被鉴别设备的TCP/IP协议栈进行响应;为了进一步增加安全性,可以采用发送ICMP echo request“大包”的方式,而且每次进行IP地址鉴别发送的ICMP echo request包长是不固定的,只有收到的ICMP echoreply报文的长度也合格时,待鉴别ARP表项才能被接受,这样又基本杜绝了病毒程序同时进行ARP reply扫描和ICMP echo reply扫描的攻击方式。
如图2,利用主动IP地址鉴别的功能,在启动IP地址鉴别的功能后,ARP协议不再直接形成主机路由条目(图中虚线部分),ARP表项必须通过IP地址鉴别才能形成主机路由条目,鉴别失败将导致该ARP表项被拒绝。
图3和图4分别显示了一台路由器和一台主机的报文交互过程,图3表示路由器和主机都使用了主动IP地址鉴别方法。图4则表示了只有路由器使用了主动IP地址鉴别方法时的报文交互过程。
图3中路由器和主机在完成ARP协议交互后,都发送IP地址鉴别请求帧,这里的IP地址鉴别请求帧可以是一个ICMP echo request报文,也可以是ICMP timestamp request(ICMP时戳请求)报文,或其他协议报文;路由器和主机收到对方的IP地址鉴别请求帧后,其TCP/IP协议栈能够做出应答,即成为IP地址鉴别应答帧;路由器和主机如果都收到IP地址鉴别应答帧,这建立主机路由,然后双方可以进行正常的IP通信。
下面结合具体实例对本发明具体实施方式作进一步说明。
具体实例1
如图5所示,这里充当IP地址鉴别请求帧的是ICMP echo request报文,充当IP地址鉴别应答帧的是ICMP echo reply报文,其中被鉴别设备的TCP/IP协议栈未被病毒程序完全感染或未被黑客程序完全控制,包括以下步骤,
步骤210、鉴别设备收到请求自己IP地址的ARP request报文;
步骤220、向发送者回复ARP reply报文;
发送者即被鉴别设备。
步骤230、鉴别设备根据收到的ARP表项,向被鉴别设备发送一个ICMP echo request报文;
步骤240、鉴别设备启动一个定时器;
步骤250、如果在定时器规定时间内收到了所述被鉴别设备回复的ICMP echo reply报文,则执行步骤260,否则,执行步骤270;
步骤260、如果收到的ICMP echo reply报文与待鉴别ARP表项无冲突,则执行步骤160,否则,执行步骤270;
步骤270、拒绝ARP表项,ARP表项无效,丢弃所述ARP表项,打印告警或形成日志;
步骤280、接收ARP表项,ARP表项有效,形成一个主机路由条目。
具体实例2
如图6所示,若鉴别设备收到发给自己IP地址的ARP reply报文,即使是攻击报文,也可以假设自己曾发过请求对方IP地址的ARP request报文,其中被鉴别设备的TCP/IP协议栈未被病毒程序完全感染或未被黑客程序完全控制,包括以下步骤,
步骤310、鉴别设备收到发给自己IP地址的ARP reply报文;
步骤320、鉴别设备根据收到的ARP表项,向被鉴别设备发送一个ICMP echo request报文;
步骤330、鉴别设备启动一个定时器;
步骤340、如果在定时器规定时间内收到了所述被鉴别设备回复的ICMP echo reply报文,则执行步骤350,否则,执行步骤360;
步骤350、如果收到的ICMP echo reply报文与待鉴别ARP表项无冲突,则执行步骤370,否则,执行步骤360;
步骤360、拒绝ARP表项,ARP表项无效,丢弃所述ARP表项,打印告警或形成日志;
步骤370、接受ARP表项,ARP表项有效,形成一个主机路由条目。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1、一种防止地址解析协议攻击的方法,包括以下步骤,
a、鉴别设备收到被鉴别设备发送的地址解析协议表项;
b、鉴别设备根据收到的地址解析协议表项向被鉴别设备发送IP地址鉴别请求帧,进行IP地址鉴别;
c、所述被鉴别设备收到所述鉴别设备的IP地址鉴别请求帧后,所述被鉴别设备回复IP地址鉴别应答帧,如果所述IP地址鉴别成功,则形成主机路由条目;否则,所述IP地址鉴别失败,拒绝所述被鉴别设备。
2、如权利要求1所述的方法,其特征在于,所述步骤a中,所述地址解析协议表项包括请求所述鉴别设备IP地址的ARP request地址解析协议请求报文或者发给所述鉴别设备IP地址的ARP reply地址解析协议应答报文。
3、如权利要求2所述的方法,其特征在于,所述步骤a中,如果所述鉴别设备收到的是请求自己IP地址的ARP request报文,则所述鉴别设备向所述被鉴别设备回复ARP reply报文。
4、如权利要求3所述的方法,其特征在于,所述步骤b中,所述IP地址鉴别请求帧包括ICMP echo request因特网控制消息协议请求回显报文、或ICMP timestamp request因特网控制消息协议时戳请求报文。
5、如权利要求4所述的方法,其特征在于,所述步骤c中,所述进行IP地址鉴别,其协议包括使用TCP/IP协议簇的多种协议,所述使用TCP/IP协议簇的多种协议包括地址解析协议、因特网控制消息协议、传输控制协议;
所述进行IP地址鉴别选用所述使用TCP/IP协议簇的多种协议中的一种协议,或者选用所述使用TCP/IP协议簇的多种协议中多种协议同时联合鉴别;
所述进行IP地址的鉴别利用所述鉴别设备和所述被鉴别设备的TCP/IP协议栈的会话进行鉴别。
6、如权利要求5所述的方法,其特征在于,所述步骤c中包括,所述被鉴别设备收到所述鉴别设备的IP地址鉴别请求帧后,其TCP/IP协议栈能够做出应答,即成为所述IP地址鉴别应答帧;所述IP地址鉴别应答帧包括ICMP echo reply因特网控制消息协议回显应答报文。
7、如权利要求6所述的方法,其特征在于,所述步骤b中,所述鉴别设备启动一个定时器,同时根据收到的所述地址解析协议表项,向所述被鉴别设备发送一个所述ICMP echo request报文。
8、如权利要求7所述的方法,其特征在于,所述步骤c中,包括以下步骤,
步骤130、判断在定时器规定时间内是否收到了所述被鉴别设备回复的ICMP echo reply报文,如果是,则执行步骤140,否则,执行步骤150;
步骤140、如果收到的ICMP echo reply报文与地址解析协议表项无冲突,则执行步骤160,否则,执行步骤150;
步骤150、鉴别设备拒绝地址解析协议表项,丢弃所述地址解析协议表项;
步骤160、鉴别设备接收地址解析协议表项,收到的所述地址解析协议表项有效,用该地址解析协议表项形成一个主机路由条目。
9、如权利要求8所述的方法,其特征在于,所述步骤140中,所述ICMP echo reply报文包括报文的入端口、媒体访问控制地址、IP地址信息;
所述ICMP echo reply报文与地址解析协议表项无冲突,即报文的入端口、媒体访问控制地址、IP地址信息与地址解析协议表项无冲突。
10、如权利要求9所述的方法,其特征在于,当所述鉴别设备向所述被鉴别设备发送一个ICMP echo request报文时,要求所述被鉴别设备的TCP/IP协议栈进行响应;采用发送ICMP echo request大包的方式,而且每次进行IP地址鉴别发送的ICMP echo request包长不固定,只有收到的ICMPecho reply报文的长度也合格时,所述地址解析协议表项才能被接受。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101229836A CN101094235B (zh) | 2007-07-04 | 2007-07-04 | 一种防止地址解析协议攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101229836A CN101094235B (zh) | 2007-07-04 | 2007-07-04 | 一种防止地址解析协议攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101094235A true CN101094235A (zh) | 2007-12-26 |
| CN101094235B CN101094235B (zh) | 2010-11-24 |
Family
ID=38992261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101229836A Expired - Fee Related CN101094235B (zh) | 2007-07-04 | 2007-07-04 | 一种防止地址解析协议攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101094235B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010060246A1 (zh) * | 2008-11-25 | 2010-06-03 | 中兴通讯股份有限公司 | 实现arp请求广播限制的方法和装置 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN103916359A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 防止网络中arp中间人攻击的方法和装置 |
| CN104243413A (zh) * | 2013-06-14 | 2014-12-24 | 航天信息股份有限公司 | 对局域网中的arp中间人攻击进行防范的方法和系统 |
| CN112165537A (zh) * | 2020-09-17 | 2021-01-01 | 广州锦行网络科技有限公司 | 一种用于ping回复的虚拟IP的方法 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN100484132C (zh) * | 2003-09-29 | 2009-04-29 | 华为技术有限公司 | 一种防范网际协议以太网中假冒主机的方法 |
| CN100563245C (zh) * | 2005-04-27 | 2009-11-25 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
-
2007
- 2007-07-04 CN CN2007101229836A patent/CN101094235B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010060246A1 (zh) * | 2008-11-25 | 2010-06-03 | 中兴通讯股份有限公司 | 实现arp请求广播限制的方法和装置 |
| CN103916359A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 防止网络中arp中间人攻击的方法和装置 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN104243413A (zh) * | 2013-06-14 | 2014-12-24 | 航天信息股份有限公司 | 对局域网中的arp中间人攻击进行防范的方法和系统 |
| CN112165537A (zh) * | 2020-09-17 | 2021-01-01 | 广州锦行网络科技有限公司 | 一种用于ping回复的虚拟IP的方法 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101094235B (zh) | 2010-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| US7523485B1 (en) | System and method for source IP anti-spoofing security | |
| CN101094235B (zh) | 一种防止地址解析协议攻击的方法 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN100586106C (zh) | 报文处理方法、系统和设备 | |
| US20060280121A1 (en) | Frame-transfer control device, DoS-attack preventing device, and DoS-attack preventing system | |
| WO2002035795A1 (en) | Transparent proxy server | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
| CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
| US20070220256A1 (en) | Electronic mechanical device | |
| KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN102137073A (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| JP2001326696A (ja) | アクセス制御方法 | |
| JP4922620B2 (ja) | ネットワークシステム | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| CN101197809B (zh) | 一种阻断蠕虫传播的方法及实现该方法的装置 | |
| CN106506410B (zh) | 一种安全表项建立方法及装置 | |
| US20040228357A1 (en) | Receiver, connection controller, transmitter, method, and program | |
| Kaur et al. | Analysing dupes-algorithm to detect and prevent DoS attack | |
| CN100356722C (zh) | 应用协议数据安全交换的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101124 Termination date: 20160704 |