CN101193116B - 一种联动对抗地址解析协议攻击的方法、系统及路由器 - Google Patents
一种联动对抗地址解析协议攻击的方法、系统及路由器 Download PDFInfo
- Publication number
- CN101193116B CN101193116B CN2007101281680A CN200710128168A CN101193116B CN 101193116 B CN101193116 B CN 101193116B CN 2007101281680 A CN2007101281680 A CN 2007101281680A CN 200710128168 A CN200710128168 A CN 200710128168A CN 101193116 B CN101193116 B CN 101193116B
- Authority
- CN
- China
- Prior art keywords
- address
- mapping relations
- router
- access control
- media access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种联动对抗ARP攻击的方法、系统及路由器,所述方法包括:路由器生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;所述路由器将所述第一映射关系发给交换机;所述交换机接收所述第一映射关系;所述交换机根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。本发明的路由器能够自动生成三元素映射关系,并自动地把生成的三元素映射关系通知给交换机,以在交换机上自动进行三元素绑定,解决了手工配置工作量大的问题。
Description
技术领域
本发明关于网络安全技术领域,特别关于一种联动对抗ARP(Address Resolution Protocol:地址解析协议)攻击的方法、系统及路由器。
背景技术
ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中,将源IP、源MAC(Media Access Control:媒体接入控制)设为欺骗值或随机值以达到欺骗其它主机的目的,包括只修改源IP地址、只修改源MAC地址、同时修改源IP和源MAC等方法,达到阻断其它主机上网或充当其它主机的中间人的目的。
如1图所示,其中PC1为攻击主机,PC2为被冒充主机、PC4为被欺骗主机。路由器的IP地址和MAC地址分别为IP0和MAC0,PC1的IP地址和MAC地址分别为IP1和MAC1,PC2的IP地址和MAC地址分别为IP2和MAC2,PC4的IP地址和MAC地址分别为IP4和MAC4。PC1向PC4发送ARP应答的欺骗报文,该报文的源MAC为MAC1,源IP为IP2。PC4收到该ARP欺骗报文后,将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1,导致PC4和PC2之间通讯不正常,这样PC1可以选择进行中间人攻击或阻断攻击。
针对目前ARP攻击的问题,现有技术中有两种解决方案:配置静态ARP以及在交换机上绑定端口、IP和MAC。上述解决方法中,静态ARP绑定操作很繁琐,需要在网关和所有客户端(PC)上进行配置,配置工作量很大,而且不灵活。在交换机上配置绑定端口、IP和MAC是较好的解决办法,但手工配置同样存在配置工作量大、不灵活的缺点,现有技术中,需要手工收集正确的三元素映射关系,因通常交换机和主机的台数都很多,存在收集工作量大的问题,而且如果主机换网卡或换交换机端口后还要再手工配置相应的交换机,使用上很不灵活。
发明内容
本发明提供了一种联动对抗ARP攻击的方法、系统及路由器。本发明联动对抗ARP攻击的方法通过在路由器端生成三元素的映射关系(该三元素是指:交换机端口、与所述交换机口连接的所有主机的IP地址和MAC地址),并将该映射关系发给所述交换机,从而在交换机每个端口上完成主机IP地址和MAC地址的绑定,有效地防止的了ARP攻击。
本发明一实施例的目的在于提供一种联动对抗ARP攻击的方法,所述方法包括:路由器生成第一映射关系,所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;所述路由器将所述第一映射关系发给交换机;所述交换机接收所述第一映射关系;所述交换机根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址;所述路由器向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
本发明另一实施例的目的在于提供一种联动对抗ARP攻击的系统,所述系统包括路由器以及与所述路由器连接的交换机,所述交换机包含多个端口,每个端口连接多个主机,所述路由器包括:与所述多个主机连接的半静态ARP单元,生成第一映射关系,所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;连接所述半静态ARP单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机;所述交换机至少包括:交换机联动通信单元,所述交换机联动通信单元至少包括第一映射关系接收单元,接收所述第一映射关系;三元素绑定单元,根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。
本发明再一实施例的目的在于提供一种路由器,所述路由器至少包括:与多个主机连接的半静态ARP单元,生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;连接所述半静态ARP单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机。
本发明的路由器能够自动生成三元素映射关系,并自动地把生成的三元素映射关系通知给交换机,以在交换机上自动进行三元素绑定,解决了手工配置工作量大的问题。并且,路由器会根据ARP报文的变化自动更新三元素绑定映射关系并通告给交换机,解决了主机换网卡或换交换机端口后手工配置不灵活的问题。
附图说明
图1为本发明实施例完整的网络体系架构;
图2为图1的一种逻辑网络体系架构;
图3为图1的另一种的逻辑网络体系架构;
图4为本发明实施例系统的原理结构图;
图5为本发明实施例的三元素映射表;
图6为本发明实施例系统的细化结构图;
图7为本发明实施例半静态ARP生成单元的细化结构图;
图8为本发明实施例路由器ARP处理单元的细化结构图;
图8a为本发明实施例交换机电路图;
图8b为本发明实施例路由器电路图;
图9为本发明实施例详细流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明如下:
图1-图3为本实施例的网络体系架构,其中图1是本实施例完整的网络体系架构。本实施例中三元素绑定是配置在最接近主机(PC)的设备上,即图1中的二层交换机,图1中的三层交换机只提供透明的数据通路,此时可以用图3的逻辑网络体系架构来表示图1。当图1中的二层交换机不具备三元素绑定功能时,本实施例在图1中的三层交换机上实现三元素绑定,此时可以用图2的逻辑网络体系架构来表示图1。
图4为本实施例联动对抗ARP攻击系统的原理结构图。如图所示,本实施例的系统包括路由器40、交换机41和交换机下连的多个主机42(图4中用一台主机来说明本实施例,实际网络架构参考图1-图3),路由器40分别连接交换机41和主机42。路由器40至少包括半静态ARP单元401和与其相连接的路由器联动通信单元402,交换机41至少包括交换机联动通信单元411和三元素绑定单元412。路由器的半静态ARP单元401和主机42相连,路由器联动通信单元402和交换机联动通信单元411相连。
半静态ARP单元401用于生成第一映射关系,该第一映射关系为交换机41的端口、与交换机41端口连接的主机42的IP地址和主机42的MAC地址这三者的映射关系,图5以交换机包含三个端口、每个端口下连三台主机为例,显示了由第一映射关系组成的三元素映射表的内容,实际映射表的规模取决于网络的容量。路由器联动通信单元402和半静态ARP单元401连接,用于获取图5所示的第一映射关系并将其发送给交换机41。交换机联动通信单元411接收该第一映射关系,并将其传给三元素绑定单元412,三元素绑定单元412根据该第一映射关系在交换机41的相应端口上绑定与该端口相连接的主机的IP地址和MAC地址。
图6为本实施例系统的细化结构图。如图所示,路由器联动通信单元402至少包括联动触发单元601,交换机联动通信单元至少包括联动准备单元611,这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601,用于向联动准备单元611发送联动触发报文,该联动触发报文为包含预设MAC地址的二层报文,该二层报文的具体格式可依实际产品需要设置,只要交换机和路由器之间能够进行协商即可。联动准备单元611,在收到联动触发报文之后,识别该特殊的二层报文,为交换机41生成和路由器40通信的三层接口和缺省的IP,该三层接口可以为SVI(Switch Virtual Interface:交换虚拟接口)。
如图6所示,在一种较佳实施方式中,交换机联动通信单元411还包括第二映射关系发送单元612,路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系是指:交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602;第二映射关系接收单元602,接收该第二映射关系后,将其发给半静态ARP单元401。
如图6所示,半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631,以及和第二映射接收单元602连接的三元素映射单元632。半静态ARP生成单元631通过和主机的ARP报文交互获取正确的主机IP地址和MAC地址的映射关系,该映射关系称为第三映射关系。三元素映射单元632,连接半静态ARP生成单元631和第二映射关系接收单元602,由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系),而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系),三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
如图6所示,路由器联动通信单元402中还包含第一映射关系发送单元,它和三元素映射单元632连接,用于获取第一映射关系,并将其发给交换机联动通信单元的第一映射关系接收单元613,然后第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412,从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
图7为半静态ARP生成单元的细化结构图。如图所示,半静态ARP生成单元631至少包括:连接主机42的路由器ARP数据单元701以及和路由器ARP数据单元701连接的路由器ARP处理单元702。路由器ARP数据单元701在收到源主机的ARP请求广播报文后,回发ARP请求广播报文以获取所述源主机的MAC地址,并接收所述源主机的ARP应答报文。路由器ARP处理单元702判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时,则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。
图8为路由器ARP处理单元702的细化结构图。如图所示,路由器ARP处理单元702至少包括嫌疑主机检测单元801,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:源MAC地址的主机进行了ARP扫描;源MAC地址对应多个IP;ARP报文头的源MAC和报文中源MAC不一致;路由器没有发出ARP请求却收到ARP应答;源主机的网卡处于混杂模式。在一较佳实施方式中,路由器ARP数据单元701还包括免费ARP单元(图中未示),当完成三元素绑定之后,用于向全网的所有网络设备和主机发送第一映射关系中对应主机和网关的免费ARP。当有三层交换机时,网关指的是三层交换机,当只有二层交换机时,网关为路由器本身。本实施例免费ARP单元发送2种免费ARP报文:路由器自身的免费ARP和已形成三元素绑定主机的免费ARP,目的是让受欺骗的PC得到正确的网关MAC和已确认正常PC的MAC。
图8a和图8b分别为本实施例交换机和路由器的电路图。如图8a所示,其中三元素绑定结果存放在MAC模块,交换机联动通信单元以及交换机的其他单元位于CPU中。如图8b所示,其中半静态ARP单元以及路由器联动通信单元位于管理模块,其中半静态ARP表、嫌疑主机列表存储于SDRAM或FLASH中。路由器以太口(图8b中的MAC+PHY模块)口连接交换机的RJ45模块的某个端口,交换机的RJ45模块的其它端口下连接多个主机。通过图8a和图8b的电路连接,能够实现本发明采用路由器和交换机联动抗击ARP攻击的目的。
图8a中其他模块分别解释如下:光电复用口PHY:光电复用物理接口;GT端口PHY:电物理接口;SFP:小型可拔插光模块;LED:发光二极管指示灯;2*4RJ45*3个:24个以太网端口。图8b中其他模块分别解释如下:I2C:芯片间串行总线;10/100/1000MAC:10M/100M/1000M自适应媒体接入控制器;10/100MAC:10M/100M自适应媒体接入控制器;千兆PHY:千兆以太网物理接口;百兆PHY:百兆以太网物理接口;1*GE:1个千兆以太网端口;1*FE:1个百兆以太网端口。
图9为本实施例的详细流程图,该流程图的两个支路表示这两个支路的步骤是独立进行的,步骤S914需要用到步骤S903的结果。以下结合图6-图8详细说明本实施例联动抗击ARP攻击的工作原理:
步骤S901,路由器与主机进行ARP报文交互。路由器在收到源主机的ARP请求广播报文后,回发ARP请求广播报文以获取所述源主机的MAC地址,并接收所述源主机的ARP应答报文。如图7所示,该交互工作由半静态ARP生成单元631与主机ARP单元621完成。半静态ARP生成单元631至少包括路由器ARP数据单元701和路由器ARP处理单元702,路由器ARP数据单元701在收到源主机的AR
P请求广播报文后,回发ARP请求广播报文以获取所述源主机的MAC地址,并接收所述源主机的ARP应答报文。
步骤S902,路由器生成嫌疑主机列表。路由器通过分析所接收的ARP报文的特征及源主机的特征,来确定嫌疑主机,并生成嫌疑主机列表。如图8所示,该步骤由路由器ARP处理单元中的嫌疑主机检测单元801完成,具体的检测原则详见对图8的描述,此处不再重复。
步骤S903,路由器根据嫌疑主机列表生成第三映射关系。路由器判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时,则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。如图7所示,该工作由路由器ARP处理单元702完成。
前三个步骤用于在路由器端生成第三映射关系,以下步骤用于路由器和交换机之间联动抗击ARP攻击。
步骤S911,路由器向交换机发送联动触发报文。该联动触发报文为包含预设MAC地址的二层报文,该二层报文的具体格式可依实际产品需要设置,只要交换机和路由器之间能够进行协商即可。如图6所示,路由器联动通信单元402至少包括联动触发单元601,交换机联动通信单元至少包括联动准备单元611,这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601向联动准备单元611发送联动触发报文。
步骤S912,交换机生成三层接口和缺省IP地址。交换机在收到联动触发报文之后,识别该特殊的二层报文,并生成和路由器通信的三层接口和缺省的IP,该三层接口可以为SVI接口。如图6所示,该步骤由联动准备单元611完成。
步骤S913,交换机向路由器发送第二映射关系。该第二映射关系是指:交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。如图6所示,交换机联动通信单元411还包括第二映射关系发送单元612,路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602;第二映射关系接收单元602,接收该第二映射关系后,将其发给半静态ARP单元401。
步骤S914,路由器根据第二映射关系和第三映射关系生成第一映射关系。所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系。如图6所示,半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631,以及和第二映射接收单元602连接的三元素映射单元632。三元素映射单元632,连接半静态ARP生成单元631和第二映射关系接收单元602,由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系),而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系),三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
步骤S915,路由器将该第一映射关系发给交换机。如图6所示,路由器联动通信单元402中还包含第一映射关系发送单元603,用于获取第一映射关系,并将其发给交换机联动通信单元的第一映射关系接收单元613。
步骤S916,交换机根据该第一映射关系在其端口上进行三元素绑定。如图6所示,第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412,从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
步骤S917,绑定成功后,路由器向全网的所有网络设备和主机发送免费ARP报文。包括2种免费ARP报文:路由器自身的免费ARP和已形成三元素绑定主机的免费ARP,目的是让受欺骗的PC得到正确的网关MAC和已确认正常PC的MAC。
以下根据图1-3所示的网络结构给出一个详细的路由器和交换机联动抗击ARP攻击的实例。
1.攻击主机PC1为进行攻击开始扫描整个网段,即PC1向本网段所有PC发出ARP请求报文。
2.路由器收到PC1大量的ARP请求报文后将PC1列入嫌疑主机列表。
3.PC1向PC4发送ARP应答的欺骗报文,该报文的源MAC为MAC1,源IP为IP2。
4.PC4收到该ARP欺骗报文后,将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1,导致PC4和PC2之间通讯不正常。
5.路由器收到PC1的ARP请求广播后,路由器回发ARP请求广播报文,PC1向路由器发送ARP应答,路由器的半静态ARP单元判断30秒内IP1只有唯一的ARP应答,在半静态ARP表中生成PC1对应的三元素映射关系(根据IP1、MAC1及半静态ARP表中已有的交换机端口和MAC对应信息)。生成绑定关系后路由器通知交换机进行三元素绑定,并向全网发送IP1的免费ARP广播和网关(三层交换机)的免费ARP广播。
6.路由器收到PC4的ARP请求广播后,路由器回发ARP请求广播报文,一段时间后路由器收到IP4的ARP应答(可能不唯一),路由器的半静态ARP单元判断PC4不在嫌疑主机列表中,在30秒后在半静态ARP表中生成PC4对应的三元素映射关系。生成绑定关系后路由器通知交换机进行三元素绑定,并向全网发送IP4的免费ARP广播和网关(三层交换机)的免费ARP广播。
7.PC2的三元素绑定工作过程同PC4。
8.经过上述过程,在port1、port2、port4都自动完成了正确的三元素绑定,PC1的ARP攻击报文已被阻断,PC2、PC4的ARP表也由路由器发送的免费ARP修复,PC之间、PC和网关之间的通讯恢复正常。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。
Claims (17)
1.一种联动对抗地址解析协议攻击的方法,其特征在于,所述方法包括:
路由器生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系;
所述路由器将所述第一映射关系发给所述交换机;
所述交换机接收所述第一映射关系;
所述交换机根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和媒体接入控制地址;
所述路由器向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述路由器向所述交换机发送联动触发报文,所述联动触发报文为包含预设媒体接入控制地址的二层报文;
所述交换机在收到所述联动触发报文之后,生成和所述路由器通信的三层接口和缺省的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述路由器生成第一映射关系进一步包括:
所述交换机将所存储的第二映射关系发给所述路由器,所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系;
所述路由器接收所述第二映射关系;
所述路由器生成第三映射关系,所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系;
所述路由器根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
4.根据权利要求3所述的方法,其特征在于,所述路由器生成第三映射关系进一步包括:
所述路由器在收到源主机的地址解析协议请求广播报文后,回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址,并接收所述源主机的地址解析协议应答报文;
所述路由器如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地址解析协议报文的源媒体接入控制地址不是嫌疑主机时,则将所接收的主机的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为第三映射关系。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:所述路由器分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:
所述源媒体接入控制地址的主机进行了地址解析协议扫描;或
所述源媒体接入控制地址对应多个IP地址;或
所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控制地址不一致;或
所述路由器没有发出地址解析协议请求却收到地址解析协议应答;或
所述源主机的网卡处于混杂模式。
6.一种联动对抗地址解析协议攻击的系统,所述系统包括路由器以及与所述路由器连接的交换机,所述交换机包含多个端口,每个端口连接多个主机,其特征在于,
所述路由器至少包括:与所述多个主机连接的半静态地址解析协议单元,生成第一映射关系,所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系;连接所述半静态地址解析协议单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机;
所述交换机至少包括:交换机联动通信单元,所述交换机联动通信单元至少包括第一映射关系接收单元,接收所述第一映射关系;三元素绑定单元,根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和媒体接入控制地址。
7.根据权利要求6所述的系统,其特征在于,
所述路由器联动通信单元还包括:联动触发单元,向所述交换机的联动通信单元发送联动触发报文,所述联动触发报文为包含预设媒体接入控制地址的二层报文;
所述交换机联动通信单元还包括:联动准备单元,在收到所述联动触发报文之后,为所述交换机生成和所述路由器通信的三层接口和缺省的IP地址。
8.根据权利要求7所述的系统,其特征在于,
所述交换机联动通信单元还包括:第二映射关系发送单元,将所述交换机存储的第二映射关系发给所述路由器联动通信单元,所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系;
所述路由器联动通信单元还包括:第二映射关系接收单元,接收所述第二映射关系,并将所述第二映射关系传给所述半静态地址解析协议单元;
所述半静态地址解析协议单元包括,连接多个主机的半静态地址解析协议生成单元,生成第三映射关系,所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系;三元素映射单元,根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
9.根据权利要求8所述的系统,其特征在于,所述半静态地址解析协议生成单元包括:
连接所述主机的路由器地址解析协议数据单元,在收到源主机的地址解析协议请求广播报文后,回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址,并接收所述源主机的地址解析协议应答报文;
连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单元,如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地址解析协议报文的源媒体接入控制地址不是嫌疑主机时,则将所接收的主机的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为第三映射关系。
10.根据权利要求9所述的系统,其特征在于,所述路由器地址解析协议处理单元包括:嫌疑主机检测单元,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:
所述源媒体接入控制地址的主机进行了地址解析协议扫描;或
所述源媒体接入控制地址对应多个IP地址;或
所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控制地址不一致;或
所述路由器没有发出地址解析协议请求却收到地址解析协议应答;或
所述源主机的网卡处于混杂模式。
11.根据权利要求9所述的系统,其特征在于,所述路由器地址解析协议数据单元还包括:免费地址解析协议单元,向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
12.一种路由器,其特征在于,所述路由器至少包括:
与多个主机连接的半静态地址解析协议单元,生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系;
连接所述半静态地址解析协议单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机。
13.根据权利要求12所述的路由器,其特征在于,
所述路由器联动通信单元还包括:联动触发单元,向所述交换机发送联动触发报文,所述联动触发报文为包含预设媒体接入控制地址的二层报文。
14.根据权利要求13所述的路由器,其特征在于,
所述路由器联动通信单元还包括:第二映射关系接收单元,接收所述交换机发送的第二映射关系,并将所述第二映射关系传给所述半静态地址解析协议单元,所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系;
所述半静态地址解析协议单元包括:连接多个主机的半静态地址解析协议生成单元,生成第三映射关系,所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系;三元素映射单元,根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
15.根据权利要求14所述的路由器,其特征在于,所述半静态地址解析协议生成单元包括:
连接所述主机的路由器地址解析协议数据单元,在收到源主机的地址解析协议请求广播报文后,回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址,并接收所述源主机的地址解析协议应答报文;
连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单元,如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地址解析协议报文的源媒体接入控制地址不是嫌疑主机时,则将所接收的主机的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为第三映射关系。
16.根据权利要求15所述的路由器,其特征在于,所述路由器地址解析协议处理单元包括:嫌疑主机检测单元,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:
所述源媒体接入控制地址的主机进行了地址解析协议扫描;或
所述源媒体接入控制地址对应多个IP地址;或
所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控制地址不一致;或
所述路由器没有发出地址解析协议请求却收到地址解析协议应答;或
所述源主机的网卡处于混杂模式。
17.根据权利要求15所述的路由器,其特征在于,所述路由器地址解析协议数据单元还包括:免费地址解析协议单元,向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101281680A CN101193116B (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101281680A CN101193116B (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101193116A CN101193116A (zh) | 2008-06-04 |
| CN101193116B true CN101193116B (zh) | 2010-07-28 |
Family
ID=39487863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101281680A Active CN101193116B (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101193116B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582745B (zh) * | 2009-03-31 | 2012-09-05 | 中兴通讯股份有限公司 | 一种防止数据包丢失的方法及路由器 |
| CN101635628B (zh) * | 2009-08-28 | 2012-01-04 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN101888575B (zh) * | 2010-07-28 | 2015-04-01 | 中兴通讯股份有限公司 | 一种实现端口地址绑定的配置方法和系统 |
| CN102694771A (zh) * | 2011-03-22 | 2012-09-26 | 上海艾泰科技有限公司 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
| CN103401706B (zh) * | 2013-07-26 | 2017-07-21 | 迈普通信技术股份有限公司 | 一种配置端口安全的方法及装置 |
| CN103560914B (zh) * | 2013-11-01 | 2017-10-17 | 国网安徽省电力公司铜陵供电公司 | 一种基于命令模板的交换机arp表操作方法 |
| CN105024949A (zh) * | 2014-04-28 | 2015-11-04 | 国网山西省电力公司电力科学研究院 | 端口自动绑定方法及系统 |
| CN105704036B (zh) * | 2014-11-27 | 2019-05-28 | 华为技术有限公司 | 报文转发方法、装置和系统 |
| US9900247B2 (en) * | 2015-12-30 | 2018-02-20 | Juniper Networks, Inc. | Media access control address and internet protocol address binding proxy advertisement for network devices of a network |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN111770210B (zh) * | 2020-06-05 | 2021-09-21 | 深圳爱克莱特科技股份有限公司 | 一种多控制器分组方法及可读介质 |
| CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
| CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
-
2007
- 2007-07-09 CN CN2007101281680A patent/CN101193116B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
| CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101193116A (zh) | 2008-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101193116B (zh) | 一种联动对抗地址解析协议攻击的方法、系统及路由器 | |
| US8108454B2 (en) | Address assignment in Fibre Channel over Ethernet environments | |
| CN107257291B (zh) | 一种网络设备数据交互方法和系统 | |
| US20120300782A1 (en) | Triple-tier anycast addressing | |
| US20060256814A1 (en) | Ad hoc computer network | |
| EP3113427B1 (en) | Method for sending multicast packet and switch | |
| CN103650430A (zh) | 报文处理方法、装置、主机和网络系统 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN103763407A (zh) | 二层虚拟局域网实现地址解析协议代理方法及局域网系统 | |
| CN201063651Y (zh) | 一种联动对抗地址解析协议攻击的系统与路由器 | |
| CN107872368B (zh) | 一种网络节点集群中网关可达性的检测方法、装置及终端 | |
| US20180159758A1 (en) | Virtual media access control addresses for hosts | |
| CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN104363243A (zh) | 一种防网关欺骗的方法及装置 | |
| CN105635335B (zh) | 社会资源接入方法、装置及系统 | |
| CN101035012A (zh) | 基于dhcp和ip的以太网多层交换机安全防护方法 | |
| GB2324000A (en) | A hybrid distributed broadcast and unknown server for emulated local area networks | |
| US10581740B2 (en) | Packet forwarding method and related apparatus | |
| CN101009692A (zh) | 硬件地址解析方法及通信处理设备及报文处理方法 | |
| CN101179515A (zh) | 一种抑制黑洞路由的方法和装置 | |
| CN102281263B (zh) | 一种建立iSCSI会话的方法和iSCSI发起方 | |
| CA2570711A1 (en) | Apparatus and method for supporting multiple traffic categories at a single networked device | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| US20060256717A1 (en) | Electronic packet control system | |
| US20060256770A1 (en) | Interface for configuring ad hoc network packet control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING Z-GOOD TECHNOLOGY SERVICE CO., LTD. Free format text: FORMER OWNER: FUJIAN XINGWANGRUIJIE NETWORK CO., LTD. Effective date: 20140821 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 350015 FUZHOU, FUJIAN PROVINCE TO: 100085 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140821 Address after: 100085 Beijing city Haidian District No. 33 Xiaoying Road 1 1F06 room Patentee after: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Address before: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee before: Fujian Xingwangruijie Network Co., Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20080604 Assignee: Fujian Xingwangruijie Network Co., Ltd. Assignor: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Contract record no.: 2014990000853 Denomination of invention: A method, system and router for coordinated prevention from address parsing protocol attack Granted publication date: 20100728 License type: Common License Record date: 20141105 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |