CN101345743A - 防止利用地址解析协议进行网络攻击的方法及其系统 - Google Patents
防止利用地址解析协议进行网络攻击的方法及其系统 Download PDFInfo
- Publication number
- CN101345743A CN101345743A CNA2007101281676A CN200710128167A CN101345743A CN 101345743 A CN101345743 A CN 101345743A CN A2007101281676 A CNA2007101281676 A CN A2007101281676A CN 200710128167 A CN200710128167 A CN 200710128167A CN 101345743 A CN101345743 A CN 101345743A
- Authority
- CN
- China
- Prior art keywords
- address
- gateway
- information
- main frame
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种防止利用地址解析协议进行网络攻击的方法和系统。该方法包括:当主机接入网络时,主机的安全认证客户端通过网络与认证计费单元进行1X认证;认证通过后,认证计费单元将获得的主机信息和该主机所在网关的IP地址传送至安全管理单元;安全管理单元判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若为接入网络信息类型,则安全管理单元查找该主机对应的网关信息,并将该网关信息传送至所述主机;主机的安全认证客户端通过网络接收所述网关信息后,进行网关IP地址和MAC地址的静态绑定。通过在主机绑定网关IP地址和MAC地址,并且在网关正确的端口上绑定正确的主机IP地址和MAC地址,从而彻底的阻止现有技术中的存在的ARP攻击的问题。
Description
技术领域
本发明涉及数据通信网络,特别涉及数据通信网络的通信安全,具体地讲涉及一种防止利用地址解析协议进行网络攻击的方法及其系统。
背景技术
目前,局域网中通过地址解析协议(ARP:Address Resolution Protocol)将IP地址转换为二层物理地址,即媒体访问控制(MAC:MediaAccess Control)地址。在局域网中,网络中实际传输的是“帧”,帧里有目标主机的MAC地址。在以太网中,一个主机要与另一个主机直接通信,必须获知目标主机的MAC地址,此目标主机的MAC地址通过地址解析协议ARP获得。所谓“地址解析”就是主机在发送“帧”之前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
在每台主机中都有一个地址解析协议ARP缓存表,表内的IP地址与MAC地址一一对应,如表一所示:
表一
| 主机 | IP地址 | MAC地址 |
| A | 192.168.203.4 | aa-aa-aa-aa-aa-aa |
| B | 192.168.203.5 | bb-bb-bb-bb-bb-bb |
| C | 192.168.203.6 | cc-cc-cc-cc-cc-cc |
下面以主机A(192.168.203.4)向主机B(192.168.203.5)发送数据为例进行说明。当发送数据时,主机A会在自己的ARP缓存表中寻找是否存在目标IP地址。如果存在,则直接把该目标IP地址所对应的MAC地址作为目标MAC地址写入帧里面,然后发出该帧。如果在ARP缓存表中不存在对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:
“192.168.203.5的MAC地址是什么?”,网络上的其它主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.203.5的MAC地址是bb-bb-bb-bb-bb-bb”。通过这种方式,主机A可获得主机B的MAC地址,主机A就可向主机B发送信息。同时主机A还进行自学习,更新其ARP缓存表,当主机A再向主机B发送信息时,可从ARP缓存表里直接查找MAC地址。
ARP缓存表采用老化机制,在一段时间内如果表中的某一行没有使用,该行的数据就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
但是,因为上述地址解析和自学习动态进行,所以网络中存在着利用该特性进行欺骗的现象,例如,主要是通过发送虚假的IP,MAC映射关系,以达到欺骗目的主机或者网络设备的目的。通过该方式,就能够窃取或者阻断该用户的报文通信。
以下分别对现有技术中存在的ARP欺骗攻击方式进行详细说明。
第一种:局域网主机冒充网关进行ARP欺骗
如图1所示,主机A101,其IP地址表示为IP A,MAC地址标识为MAC A;主机B102,其IP地址表示为IP B,MAC地址标识为MAC B;主机C103,其IP地址表示为IP C,MAC地址标识为MAC C。
主机A101与网关C103通信时,需要知道网关C103的MAC地址,如果主机B102假冒网关C103时,告诉主机A101网关C103的MAC地址是MAC B,或者干脆告诉主机A101,网关C103的MAC地址是MAC X。这样,主机A101就受骗了,主机A101的数据就无法发送到网关C103,造成主机A101上网断线。
例如,主机B102发送ARP欺骗报文给主机A101,则主机A101在ARP表中保存了网关C103的IP地址IP C,但是MAC地址却是MAC B。当主机A101要同网关C103进行通信时,例如上网,则主机A101通过网关C103的IP地址IP C检索到相应的MAC地址MAC B,则主机A101就无法同真正的网关C通信,因为所有的网络报文都被发送到主机B102的网卡了。这样,主机B就实现了对主机A的网关欺骗。
第二种:局域网主机冒充其它主机欺骗网关
网络通信是一个双向的过程,也就是说,只有保证主机A101到网关C103,以及网关C103到主机A101都没有问题,才能保证通信正常。假如,主机B102冒充主机A101,且告诉网关C103主机A的MAC地址是MAC B,网关就受骗了。那么,主机A101到网关C103没有问题,可是,网关C103的报文到不了主机A101,因而造成网络断线。
例如,如图1所示,合法主机A101通过网关C103与外界通信,在网关C103上建立动态ARP表项IP A-MAC A。攻击者主机B102伪造合法主机A101的ARP,假设其伪造的IP地址为IP A,而MAC地址为MAC B或其它无效MAC地址,当网关C103收到主机B102的ARP报文后,根据该报文学习到IP地址为IP A对应的MAC地址为MAC B,从而修改ARP表项,即主机B102通过伪造的ARP报文篡改网关C103上的主机A101对应的ARP表项,这样,网关C103收到需要发送主机A101的报文后,根据该篡改后的ARP表项就会发送至主机B102,从而使网关C103与主机B102的通信失败。
第三种:ARP泛洪攻击
该攻击能够通过不断的往网关设备发送不同IP(带有虚假MAC地址)的ARP欺骗报文,使网关设备的ARP表项耗尽,从而使网关设备不再具有ARP学习能力,达到ARP欺骗攻击的目的。
以上几种ARP欺骗攻击,尤其是第二种类型的欺骗,目前更为常见。
在现有技术中,针对ARP欺骗攻击,目前主要的保护方法有以下两种:
现有技术一:发送免费ARP
由交换机、路由器等网络设备,不停地向局域网以广播方式发送ARP响应报文,使局域网中的个人PC不停地刷新自己的网关IP、MAC对应关系。使用这种方式,能够缓解局域网中主机冒充网关进行的ARP欺骗,即告诉将要被欺骗的主机一个假的网关MAC地址。
虽然现有技术一能够缓解局域网中主机冒充网关进行的ARP欺骗,即告诉将要被欺骗的主机一个假的网关MAC地址,但是上述方式还存在以下缺点:如果局域网主机冒充网关进行ARP欺骗的频率高于免费ARP的广播,则还是无法避免局域网主机冒充网关进行ARP欺骗。如果提高免费ARP的发送频率,则最终将导致局域网中充满了免费ARP报文,严重影响网络的报文转发和传输。同时,使用这种方式无法解决局域网主机冒充其它主机欺骗网关的问题。
现有技术二:静态配置地址解析协议映射关系(以下简称静态ARP绑定)
如上所述,地址解析协议映射关系是动态生成的,正因为是动态生成的,所以给恶意攻击提供了机会,恶意攻击者可以发送虚假的地址解析报文,使动态生成的地址解析协议映射关系是假的。
而配置静态的地址解析协议映射关系,是指由用户手动配置生成IP地址和硬件地址的映射关系,而这个关系不会随着时间的改变,也不会随着ARP报文中所携带的信息而改变,静态ARP优先级高于动态的地址解析协议映射。
静态配置的地址解析协议映射关系,虽然可以有效的解决ARP欺骗攻击造成的数据报文转发被阻断的问题,但是,现有技术二的缺点在于:静态配置的地址解析协议映射关系必须要由人工生成,需要维护大量的IP地址和MAC地址映射,并且还具有以下问题:
1)对于大规模的网络来说,由于要维护的数据量巨大,要管理员维护正确的IP地址和硬件地址映射关系几乎是不可操作的。
2)静态绑定的地址解析协议映射关系,无论是在个人PC还是在网关设备上,不管用户是否使用网络,是否在线均会占用相应的ARP表项。由于使用地址解析协议的设备允许配置的静态绑定地址有限,导致静态绑定的地址解析表项可能无法覆盖网络中的所有设备地址。
3)当网络中的拓扑或者网卡等设备发生变更,如网关设备发生变更、个人PC的网络拓扑,网卡硬件地址发生变更,均需要重新进行静态地址解析协议的映射,对于网络管理员来说,维护的工作量将是巨大的。
4)当前,越来越多的网关设备采用将第一次学习到的IP、MAC、端口等信息作为正确的信息进行静态绑定,但是使用这种方式学习到的信息是不可靠的,有可能导致更加严重的ARP欺骗后果,即如果静态绑定了错误的信息,则用户完全无法上网,除非在网关设备手动进行删除该静态绑定,个人PC即使是重新进行ARP动态更新也没有作用。
5)使用静态绑定地址解析协议映射关系,最多只能够使恶意的ARP攻击报文失效,但是还是无法杜绝ARP欺骗报文在网络中传播,影响网络带宽、用户网络使用和网络设备性能。
发明内容
本发明实施例的目的在于提供一种防止利用地址解析协议进行网络攻击的方法及其系统。通过本发明实施例,可防止局域网主机冒充网关进行ARP欺骗,防止局域网主机冒充其它主机欺骗网关和ARP洪泛攻击。
本发明实施例提供一种防止利用地址解析协议进行网络攻击的方法,该方法包括:
当主机接入网络时,所述主机的安全认证客户端通过网络与认证计费单元进行1X认证;
认证通过后,认证计费单元将获得的主机信息和该主机所在网关的IP地址传送至安全管理单元,其中该主机信息至少包括IP地址和MAC地址;
安全管理单元判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则所述安全管理单元根据该网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至所述主机,其中,所述网关信息至少包括网关IP地址和MAC地址;
所述主机的安全认证客户端通过网络接收所述网关信息后,进行网关IP地址和MAC地址的静态绑定。
本发明实施例还提供一种防止利用地址解析协议进行网络攻击的系统,该系统还包括至少一个主机、认证计费单元和安全管理单元;其中,
所述主机,至少包括安全认证客户端,该安全认证客户端用于发出1X认证请求至所述认证计费单元;通过网络接收所述安全管理单元发送的网关信息,进行所述网关IP地址和MAC地址的静态绑定;
所述认证计费单元,用于通过网络对所述主机进行认证,获得主机信息和该主机所在网关的IP地址,并且认证通过后,将所述主机信息和该主机所在网关的IP地址传送至安全管理单元;
所述安全管理单元,用于接收所述主机信息和该主机所在网关的IP地址,判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则所述安全管理单元根据所述网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至所述主机;其中,所述网关信息至少包括网关IP地址和MAC地址。
本发明实施例的有益效果在于,通过在主机绑定正确的网关IP地址和MAC地址,并且在网关正确的端口上绑定正确的主机IP地址和MAC地址,从而彻底的阻止现有技术中的存在的ARP攻击的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1是现有技术中利用ARP报文进行ARP攻击的示意图;
图2是本发明实施例的防止利用地址解析协议进行网络攻击的系统结构示意图;
图3是图2中的安全管理单元的构成示意图;
图4是本发明实施例的防止利用地址解析协议进行网络攻击的方法的流程示意图;
图5为本发明实施例主机进行1X认证流程图;
图6为本发明实施例的交换机的结构示意图;
图7为本发明实施例的网关的结构示意图;
图8为本发明实施例的安全认证客户端的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明实施例提供一种防止利用地址解析协议进行网络攻击方法和系统。以下结合附图对本发明进行详细说明。
首先对本发明实施例中的几个概念进行说明:
1.ARP表项:为IP和MAC的映射关系,即通过IP地址索引到相应的MAC地址。在标准网络协议中,ARP表项有两种类型:动态ARP表项,即能够通过ARP请求或者响应报文来更新IP和MAC的映射关系;静态ARP表项,即无法通过ARP请求或者响应报文来更新IP和MAC的映射关系。
2.可信任ARP:可信任ARP也是一种IP和MAC的映射关系,为本发明实施例定义的一类特殊ARP,添加在安全网关的ARP表中。只用于防范ARP欺骗攻击,该类型的IP和MAC映射关系有不能被ARP请求和响应报文动态更新,能够被静态ARP覆盖的特性。因此,可信任ARP同时具有静态ARP和动态ARP两者的特征,其优先级高于动态ARP表项,并且低于静态ARP表项。可信任ARP具有类似于动态ARP的老化机制:通过记录和刷新每个表项的老化时间来判断该表项是否需要老化。可信任ARP具有静态ARP的相关特征,即不被动态ARP所覆盖。3.1X认证:主机安全接入交换机和认证计费单元使用802.1x和Radius协议进行用户网络接入认证和计费。在主机进行认证的过程交换机和认证计费单元均能够获取主机的IP地址,MAC地址和网关IP地址。
实施例一
本发明实施例提供一种防止利用地址解析协议进行网络攻击的系统,如图2所示,该系统还包括至少一个主机、认证计费单元204和安全管理单元205;其中,
主机,至少包括安全认证客户端,该安全认证客户端用于发出1X认证请求至认证计费单元204;通过网络接收安全管理单元205发送的网关信息,进行网关IP地址和MAC地址的静态绑定;
认证计费单元204,用于通过网络对主机进行认证,获得主机信息和该主机所在网关的IP地址,并且在认证通过后,将主机信息和该主机所在网关的IP地址传送至安全管理单元205;
安全管理单元205,用于接收主机信息和该主机所在网关的IP地址,判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则安全管理单元205根据该主机所在网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至主机;其中,网关信息至少包括网关IP地址和MAC地址;
上述实施例中,如果主机和认证计费单元204同在一个子网的情况下,则主机在认证时不需要经过网关,本实施例中,主机可通过交换机202直接与认证计费单元204进行认证,如图2所示。
另外,上述实施例中,如果认证计费单元204同主机不在同一个子网的情况下,则进行认证时,交换机202使用的RADIUS报文需要通过网关转发到认证计费单元204上。此时网关203起到路由的作用,该路由作用同具体认证没有关系,网关起的作用就是将报文转发到正确的子网。对于网关203来说,RADIUS只是普通的UDP报文。因此,在这种情况下,该系统还包括网关203。
以下以认证计费单元204与主机属于同一个子网的情况进行说明。因此,该系统还包括交换机202,至少包括1X认证单元,该1X认证单元与主机和认证计费单元204连接,用于接收主机的安全认证客户端发出的认证请求,启动认证过程,在认证过程中所述认证计费单元204通过该交换机202与主机进行信息交互;并且认证过程中,学习主机信息,其中主机信息至少包括IP地址和MAC地址。
本实施例中,如图2所示,主机为多个,如主机A 201a和主机B 201b,每个主机都安装有安全认证客户端,并且当主机的安全认证客户端接收到安全管理单元205发送的网关信息时,进行静态ARP绑定。其中,本实施例中,安全认证客户端在进行静态ARP绑定时,因为考虑到主机对于ARP报文的处理时通过操作系统的ARP协议进行的,所以将静态ARP绑定到主机的Windows操作系统的存储单元的ARP表中。同时,为了进行静态ARP绑定的检查,安全认证客户端也将网关的IP和MAC映射关系放到该安全认证客户端的ARP表中,而且类型是静态的,以避免该IP和MAC的对应关系被ARP攻击报文动态更新,以达到防范ARP攻击的目的。如表1所示,为IP和MAC的映射关系:
表1
| IP | MAC | 类型 |
| 192.168.203.1 | 00-d0-f8-a6-5a-f7 | dynamic |
| 192.168.203.101 | 00-18-8b-7b-c1-2a | Static |
| 192.168.203.159 | 02-bf-c0-a8-c4-08 | dynamic |
表1中static类型就是静态绑定,无法被动态更新。dynamic就是能够动态被ARP攻击报文更新。
若主机A 201a认证通过后,认证计费单元204发送该主机IP地址、MAC地址和网关IP地址给安全管理单元205,安全管理单元205判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则下发该用户所对应的网关IP和MAC地址给主机A201a,由主机A 201a进行网关IP地址、MAC地址的ARP静态绑定。通过在主机A201a进行网关的静态ARP绑定,使用这种静态ARP绑定方式,能够防止局域网主机冒充网关进行ARP欺骗。
本实施例中,该静态ARP绑定为主机自动进行的静态绑定,该绑定是自动进行的,并且该网关信息能够自动更新,每次主机接入网络时,都会进行自动的静态ARP绑定,相对于以往的手动绑定并且需要手动更新的方式,本发明上述实施例的自动静态ARP绑定不需要主机用户的干预,并且绑定的网关信息由安全管理单元204下发,完全可靠。
如图3所示,安全管理单元205至少包括:接收单元301、静态ARP绑定通知单元302;其中,
接收单元301,用于接收认证计费单元204发送的主机信息和该主机所在网关的IP地址,并判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则传送所述主机信息和该主机所在网关的IP地址至静态ARP绑定通知单元302;
静态ARP绑定通知单元302,用于根据所述网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息通过网络,本发明实施例中,通过交换机202传送至主机A201a。
如图3所示,安全管理单元205还包括安全网关配置单元305和存储单元304;其中,
安全网关配置单元305,用于配置所要管理的网关信息,并将该网关信息存储于存储单元304中;其中,该网关MAC地址可为管理员手动配置,但不限于此,并且还可以采用如下方式,如管理员在安全管理单元上添加安全网关的IP地址,并且通过网络协议从安全网关上获取到该安全网关的MAC地址,然后保存在存储单元304中;
存储单元304,用于储存安全网关配置单元305配置的所述网关信息,并且储存接收单元301传送的主机信息和该主机所在网关的IP地址。
本实施例中,存储单元304将接收到的主机信息和该主机所在网关的IP地址储存在该存储单元304中的数据库表中,如表2所示:
表2
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| userIndex | bigint | 8 | 0 | 用户索引PK | |
| userID | varchar | 32 | 0 | 用户ID,PK | |
| userMac | varchar | 17 | 0 | 用户MAC | |
| userIP | varchar | 15 | 0 | 用户IP | |
| nasIP | varchar | 15 | 0 | NAS ip | |
| nasPort | int | 4 | 0 | NAS port | |
| vlanID | int | 4 | 0 | 用户的vlanid | |
| gatewayIp | varchar | 15 | 0 | 用户所在网关的Ip |
本实施中,配置网关信息时,管理员在安全管理单元205上添加网关的IP地址,并且通过网络协议从该网关上获取该网关对应的网关MAC地址,或者手动输入网关MAC地址,然后保存在安全管理单元205的存储单元304的数据库表中,如表3所示。
表3
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| gatewayIndex | bigint | 8 | 0 | 网关索引,主键 | |
| gatewayIp | Varchar | 15 | 0 | 网关IP | |
| gatewayMac | Varchar | 12 | 0 | 网关MAC地址 | |
| gatewayCommuntiy | Varchar | 64 | 0 | 网关公共体名称 | |
| snmpVersion | smallint | 2 | 0 | 0 | SNMP协议版本号,0表示V1,1表示V2c,3表示V3 |
| gatewayType | varchar | 255 | 0 | 网关类型 |
| isSupportArp | Smallint | 2 | 0 | 是否支持arp欺骗,0表示不支持,1表示支持 | |
| isPreventArp | Smallint | 2 | 0 | 是否开启防arp欺骗功能。0表示不开启,1表示开启 | |
| Location | Varchar | 32 | 1 | 网关位置 | |
| Remark | Varchar | 255 | 1 | 备注 |
本发明实施例中,如图2所示,该系统还包括网关203,与交换机202和安全管理单元205连接;
其中,如图3所示,安全管理单元205还包括可信任ARP操作单元303,该可信任ARP操作单元303与接收单元301连接,用于接收该接收单元301传送的主机信息和该主机所在网关的IP地址,根据该主机所在网关的IP地址,将该主机信息发送至相应的网关203;
网关203,用于接收主机信息,判断是否进行绑定操作类型,若判断的结果为是,则进行该主机IP地址和MAC地址的绑定,此绑定的类型为可信任ARP绑定。
若所述接收单元301判断接收的所述主机信息和该主机所在网关的IP地址的信息类型为离开网络的信息类型,则删除存储单元304中储存的主机信息和该主机所在网关的IP地址;并且发送该主机的主机信息至所述网关203;网关203接收主机信息,判断是否进行绑定删除操作类型,若判断结果为是,则网关203删除该主机IP地址和MAC地址的绑定,即删除该主机对应的可信任ARP绑定,即存在于ARP表中的IP地址和MAC地址的映射关系。
本实施例中,网关203相应的端口,即接入主机间接(通过网线或其它网络设备)或直接(通过网线)同网关连接的端口进行主机的IP地址、MAC地址的绑定为可信任的ARP绑定,该绑定自动进行,而且绑定的是可信任的ARP绑定,并且绑定的主机IP地址和MAC地址是可靠的,通过此方式可防止局域网主机冒充其它主机欺骗网关。此方式同主机静态ARP绑定相结合,能够达到双绑定的效果。
在上述实施例中,安全管理单元205判断接收的该主机IP地址、MAC地址和网关IP地址的信息类型时,采用上线标识或下线标识进行判断,该上线标识或下线标识与主机信息和该主机对应的网关IP地址一起由认证计费单元204传送至安全管理单元205中,本实施例中由接收单元301根据该上线标识或下线标识进行判断,若为上线标识,则说明该信息类型为接入网络的信息类型,若为下线标识,则说明该信息类型为离开网络的信息类型。
图6为本发明实施例的交换机的构成示意图。如图6所示,交换机202至少包括1X认证单元605,用于接收所述主机发出的认证请求,启动认证过程,并在认证过程中与认证计费单元204和主机进行信息交互,并且在认证成功后学习主机信息。
此外,如图6所示,该交换机202还包括信息操作单元606,与1X认证单元605连接,接收1X认证单元605传送的主机信息和端口信息并传送至存储单元607。
该交换机202还包括存储单元607,储存信息绑定表,用于接收信息操作单元传送的所述主机信息和该端口信息,并将所述主机信息和该端口信息存入所述信息绑定表中。
另外,在主机离开网络,即主机下线时,该1X认证单元605进行主机下线处理,并将相应的主机信息和端口信息发送给信息操作单元606,该信息操作单元606将该主机信息和端口信息从存储单元607中的信息绑定表中删除。
该交换机202还包括过滤单元603和报文转发单元604;其中,
过滤单元603,与存储单元607连接,根据存储单元607存储的端口信息获取相应的主机信息,将接收到的ARP报文中源IP地址和源MAC地址与所获取的主机信息进行比较,若比较结果不一致,则丢弃该ARP报文;若比较结果一致,则将该ARP报文送入报文转发单元604;报文转发单元604,与过滤单元603相连接,接收过滤单元603传送的ARP报文,并发送该ARP报文至相应的端口。
上述实施例中,通过设置ARP过滤单元603来过滤从认证口发送上来的ARP欺骗报文。
如图6所示,交换机202还包括ARP限速单元601和ARP数据单元602;其中,
ARP限速单元603,用于接收ARP报文,检查该ARP报文处理速率是否超过限制值,若检查的结果为超过,则直接丢弃该ARP报文;若检查的结果为未超过,则将该ARP报文送入ARP数据单元602;
ARP数据单元602,与ARP限速单元601和603过滤单元连接,用于接收ARP限速单元601传送的报文,并将该ARP报文传送至ARP过滤单元603。
上述实施例中,当由ARP报文进入时,ARP限速单元601首先检查ARP报文处理速率是否已经超过最大限制值,如本实施例中是否已经超过100个/秒,若超过则丢弃,通过该限速功能,可防止由于ARP欺骗攻击报文过多影响网络设备性能。
图7为本发明实施例的网关构成示意图。如图7所示,网关203至少包括可信任ARP命令接收单元706、可信任ARP操作单元705和存储单元704;其中,
可信任ARP命令接收单元706,用于接收安全管理单元中的可信任ARP操作单元303传送的主机信息;
网关的可信任ARP操作单元705,与可信任ARP命令接收单元706连接,用于接收可信任ARP命令接收单元706传送的主机信息,判断是否为绑定操作类型,若为绑定操作类型,则将该主机信息送入存储单元704中的可信任ARP地址表704b中;若为绑定删除操作类型,则可信任ARP操作单元704将该主机信息从存储单元中的可信任ARP地址表704b中删除;
存储单元704,与可信任ARP操作单元705连接,用于储存可信任ARP地址表、静态ARP地址表和动态ARP地址表。
如图7所示,网关还包括ARP限速单元701、ARP数据单元702和ARP处理单元703;其中,
ARP限速单元701,用于接收ARP报文,检查该ARP报文处理速率是否超过限制值,若检查的结果为超过,则直接丢弃该ARP报文;若检查的结果为未超过,则将该ARP报文送入ARP数据单元702;
ARP数据单元702,用于接收ARP限速单元701传输的所述ARP报文,并传送至ARP处理单元703;
ARP处理单元703,用于接收ARP数据单元702传送的ARP报文,ARP处理单元703以该ARP报文中的源IP地址为索引到所述静态ARP地址表704a中进行查询,若在静态ARP地址表704a中存在以该IP地址为索引的静态ARP,则ARP处理单元703结束该ARP报文的处理,不进行任何后续动作;
若不存在以该IP地址为索引的静态ARP,则该ARP处理单元703以该ARP报文中的源IP地址为索引到所述可信任ARP地址表704b中进行查询,若在可信任ARP地址表704b中存在以该IP地址为索引的可信任ARP,则该ARP处理单元703结束该ARP报文的处理;
若不存在以该IP地址为索引的可信任ARP,则该ARP处理单元703以该ARP报文中的源IP地址为索引到所述动态ARP地址表704c中进行查询,若在动态ARP地址表704c中存在以该IP地址为索引的动态ARP,则该ARP处理单元703使用该ARP报文中的源IP地址和源MAC地址覆盖该动态ARP,如果不存在以该IP地址为索引的动态ARP,该ARP处理单元703将该ARP报文中的源IP地址和源MAC地址以动态ARP的类型存入动态ARP表704c中。
通过ARP限速单元701的限速功能,可防止由于ARP欺骗攻击报文过多影响网络设备性能。
图8为本发明实施例主机的安全认证客户端的构成示意图。如图8所示,安全认证客户端至少包括1X认证单元801和静态ARP操作单元802;其中,
1X认证单元801,用于发出1X认证请求至所述认证计费单元;
静态ARP操作单元802,通过网络接收所述安全管理单元发送的网关信息,进行所述网关IP地址和MAC地址的静态绑定,因为考虑到主机对于ARP报文的处理时通过操作系统的ARP协议进行的,所以本实施例中,将静态ARP绑定到主机的Windows操作系统的存储单元的静态ARP绑定表中。
在本实施例中,该安全认证客户端还包括存储器803,该存储器803储存静态ARP绑定表,用于接收的所述网关信息并储存在所述静态绑定表中,以定时检查ARP静态绑定信息是否被更改。
在本实施例中,安全认证客户端还包括ARP绑定检查单元804,用于检查检测所绑定的所述网关网关信息是否被更改;若检测的结果为被更改,则重新进行所述网关IP地址和MAC地址的绑定。其中,本实施例中,定时1分钟对存储器803中储存的网关IP地址、MAC地址进行检查,若发现已经绑定到该主机的Windows操作系统中的网关IP地址、MAC地址与存储器803中的IP地址、MAC地址不一致,则重新进行一次静态绑定。
若主机离开网络,即下线时,静态ARP操作单元802还用于删除绑定的网关IP地址和MAC地址。
此外,若在网关203上对可信任ARP的地址空间进行了预留,足够支持本网络的所有主机,以保证交换机即使遭受“ARP洪泛攻击”,主机也能够正常上网。
实施例二
本发明实施例还提供一种防止利用地址解析协议进行网络攻击方法。以下以实施例一的系统为例,对本发明实施例的方法进行详细说明。
预备工作:管理员通过安全管理单元205上的安全网关配置单元305添加网关的IP地址,并且通过网络协议从该网关上获取该网关对应的网关MAC地址,或者手动输入网关MAC地址,然后保存在安全管理单元205的存储单元304的数据库表中,如表3所示。
下面以主机A 201a为例进行说明。该方法包括:当主机A 201a接入网络,即主机A 201a上线时,主机201a的安全认证客户端的1X认证单元801通过交换机203的1X认证单元605与认证计费单元204进行1X认证;
认证通过后,认证计费单元204将获得的主机信息和该主机所在网关的IP地址传送至安全管理单元205,其中该主机信息至少包括IP地址和MAC地址;
安全管理单元205接收所述主机信息和该主机所在网关的IP地址,判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则根据该网关的IP地址从存储单元304中存储的预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至主机A201a,其中,网关信息至少包括网关IP地址和MAC地址;其中,安全管理单元205的接收单元301接收所述主机信息和该主机所在网关的IP地址,判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则根据该网关的IP地址从存储单元304中存储的预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息通过静态ARP绑定单元302传送至主机A201a的静态ARP操作单元802;
主机A 201a的安全认证客户端的静态ARP操作单元802接收到网关信息后,进行网关IP地址和MAC地址的静态绑定,因为考虑到主机对于ARP报文的处理时通过操作系统的ARP协议进行的,所以本实施例中,将静态ARP绑定到主机的Windows操作系统的存储单元的静态ARP绑定表中,而且类型是静态的,以避免该IP和MAC的对应关系被ARP攻击报文动态更新,以达到防范ARP攻击的目的,如表1所示。
由上述实施例可知,若主机A 201a认证通过后,认证计费单元204发送该主机IP地址、MAC地址和网关IP地址给安全管理单元205,安全管理单元205判断接收的该主机IP地址、MAC地址和网关IP地址为接入网络信息类型,则下发该用户所对应的网关IP和MAC地址给主机A 201a,由主机A 201a的静态ARP操作单元802进行网关IP地址、MAC地址的ARP静态绑定。通过在主机A 201a进行网关的静态ARP绑定,使用这种静态ARP绑定方式,能够防止局域网主机冒充网关进行ARP欺骗。
本实施例中,该静态ARP绑定为主机自动进行的静态绑定,该绑定是自动进行的,并且该网关信息能够自动更新,每次主机接入网络时,都会进行自动的静态ARP绑定,相对于以往的手动绑定并且需要手动更新的方式,本发明上述实施例的自动静态ARP绑定不需要主机用户的干预,并且绑定的网关信息由安全管理单元204下发,完全可靠。
本实施例中,安全管理单元205的接收单元301判断接收的该主机IP地址、MAC地址和网关IP地址的信息类型时,采用上线标识进行判断,该上线标识与主机信息和该主机对应的网关IP地址一起由认证计费单元204传送至安全管理单元205中。
本实施例中,安全管理单元205的接收单元301判断接收到的主机IP地址、MAC地址和网关IP地址为接入网络信息类型后,即接收到上线标识后,还包括步骤:储存所述主机信息和该网关的IP地址至存储单元304中,如表2中。
本实施例中,主机A 201a进行网关IP地址和MAC地址的绑定后,还包括步骤:将网关IP地址和MAC地址存储在该安全认证客户端的存储器803中,该存储器803储存静态ARP绑定表,用于接收的所述网关IP地址和MAC地址并储存在所述静态绑定表中,以定时检查ARP静态绑定信息是否被更改。
此外,在本实施例中,还包括步骤:安全认证客户端的ARP绑定检查单元804,用于检查检测所绑定的所述网关网关信息是否被更改;若检测的结果为被更改,则重新进行所述网关IP地址和MAC地址的绑定。其中,本实施例中,定时1分钟对存储器803中储存的网关IP地址、MAC地址进行检查,若发现已经绑定到该主机的Windows操作系统中的网关IP地址、MAC地址与存储器803中的IP地址、MAC地址不一致,则重新进行一次静态绑定。
其中,主机A 201a定时对该静态绑定进行检测,以防止一些木马程序以合法的方式对该静态绑定进行更改。
本实施例中,如表1所示,只要IP地址、MAC地址和ARP类型其中之一改变,均认为该静态绑定被更改,该更改可以是用户使用软件进行改变,也可能是由病毒引起的改变。
本实施例中,当主机A 201a离开网络,即下线时,认证计费单元204将主机信息和该主机所在网关的IP地址传送至安全管理单元205;安全管理单元205的接收单元301判断是否属于离开网络的信息类型;若判断结果为是,则删除储存在存储单元304中的主机信息和该网关的IP地址。
本实施例中,安全管理单元205的接收单元301判断接收的该主机IP地址、MAC地址和网关IP地址的信息类型,采用下线标识进行判断,该下线标识与主机信息和该主机对应的网关IP地址一起由认证计费单元204传送至安全管理单元205中。
本实施例中,若主机A201a离开网络,还包括步骤,主机A 201a的安全认证客户端的静态ARP操作单元802自动删除所述网关IP地址和MAC地址的绑定。
本实施例中,安全管理单元205接收到主机信息和该主机所在网关的IP地址后,还包括步骤:可信任ARP操作单元303根据主机A 201a所在网关的IP地址,将主机信息发送至相应的网关203;
网关203的可信任ARP命令接收单元706收到所述主机信息后,判断是否为绑定操作类型;若判断的结果为是,则将该主机信息送至可信任ARP操作单元705进行所述主机IP地址和MAC地址的可信任ARP绑定,并将绑定信息送至存储单元704中的可信任ARP地址表704b中。
由上述实施例可知,网关203相应的端口,即接入主机间接(通过网线或其它网络设备)或直接(通过网线)同网关203连接的端口进行主机的IP地址、MAC地址的绑定为可信任的ARP绑定,该绑定自动进行,而且绑定的是可信任的ARP绑定,并且绑定的主机IP地址和MAC地址是可靠的,通过此方式可防止局域网主机冒充其它主机欺骗网关。并且,此方式与主机静态ARP绑定相结合,能够达到双绑定的效果。
本实施例中,当主机A 201a离开网络,即下线时,认证计费单元204将主机A 201a离开网络的消息通知安全管理单元205,并将主机信息和该主机所在网关的IP地址传送至安全管理单元205;安全管理单元205的接收单元301判断是否属于离开网络的信息类型;若判断结果为是,发送所述主机信息至网关203;网关203接收到主机信息后,可信任ARP命令接收单元706判断是否进行删除绑定操作类型;若判断结果为是,则通过可信任ARP操作单元705删除储存在可信任ARP地址表704b中所述主机IP地址和MAC地址的可信任ARP绑定。其中,判断是否为离开网络的信息类型的判断方式如上所述,此处不再赘述。
此外,在本实施例中,在主机A 201a认证过程中,交换机202的1X认证单元605还学习所述IP地址和MAC地址,并将学习到的IP地址和MAC地址通过信息操作单元606存入存储单元606中。在主机A 201a进行认证通过后,交换机202的ARP过滤单元603还能够根据在1X认证时主机A 201a获取的主机IP地址和MAC地址,即存储单元607存储的主机IP地址和MAC地址进行相应端口的ARP报文合法性校验,其中,相应端口是指交换机202上的所有端口,校验可采用如下方式进行校验:
交换机202会在所有端口上接收ARP报文,如果在某个端口接收到ARP报文后,交换机202的ARP过滤单元603根据在认证过程中获得的主机信息对相应端口的ARP报文的各个字段进行校验;若校验的结果为该ARP报文中源IP地址和源MAC地址不符合获得的IP地址和MAC地址,即发现这些字段的内容同获得的IP地址和MAC地址不一致,则认为所述ARP报文非法;此时,交换机202丢弃该ARP报文。由此可知,交换机202对通过1X认证所获取的用户信息进行接入认证主机各种类型的ARP欺骗报文过滤,由于该用户信息是从主机获得,因此完全可靠。
为了解决ARP欺骗报文所引起的网络设备性能问题,彻底消除ARP欺骗对网络带来的任何影响,本实施中还对交换机202和网关203进行ARP报文限速。交换机202的ARP限速单元601、网关203的ARP限速单元601对ARP报文进行限速,具体如实施例一所述,此处不再赘述。
为了解决ARP洪泛攻击,本发明实施例采用如下方式:
在网关203上预留ARP表项数量,足够支持本网络的所有用户,以保证交换机202即使遭受ARP洪泛攻击,主机也能够正常上网。因为对于网关等网络设备而言,因为性能或者带宽的原因,能够支持的上网用户和设备都是有限的。而且网络设备的硬件资源,如cpu和内存也是有限的,因此所有的网络设备都只会预先分配一定的内存给ARP表。比如每个IP地址和MAC地址的映射关系需要耗费1k的内存,如果分配1M的内存给ARP表,则该ARP表能够保存1024个IP和MAC的映射关系(即ARP表项)。
举例说明如下:
1.某安全网关设备支持4000的ARP表项。
2.某恶意用户使用工具发送了4000个假的动态ARP表项。根据ARP协议和动态ARP自动学习的特点。则该网关设备的4000个ARP表项已经被用完。
3.此时,有真正的用户要上网,并且发出了ARP请求报文。但是由于网关设备的ARP表项已经用完,网关设备无法将该用户的IP和MAC映射关系存入ARP表中,则后续该用户的所有报文均无法通过网关进行转发。这样,该用户就不能上网了。
使用可信任ARP的容量预留:
1.某安全网关设备支持4000的ARP表项,同时预留了4000个可信任ARP表项。
2.某恶意用户使用工具发送了8000个假的动态ARP表项。根据ARP协议和动态ARP自动学习的特点。则该网关设备的4000个ARP表项已经被用完,其余的4000个假的动态ARP表项被丢弃。可信任ARP表项是预留给可信任ARP的,所以不会被这种动态ARP表项使用。
3.此时,有真正的用户要上网。通过1X进行认证后,在预留的可信任ARP表中添加该用户的可信任ARP信息。该用户已经有了网关的IP和MAC映射信息,网关也有了该用户的IP和MAC映射信息,则根本就不需要进行ARP请求。该用户已经能够上网了,使用ARP欺骗方案,相当于由本发明的方案接管了IP和MAC对应关系的学习功能,能够从根本上解决ARP欺骗攻击。
由上述可知,本发明实施例中,针对ARP协议动态学习,自动更新的缺陷,在主机进行静态ARP绑定,在网关进行可信任ARP绑定,并且在网关预留ARP地址空间,可解决现有技术中局域网主机冒充网关进行ARP欺骗、局域网主机冒充其它主机欺骗网关、ARP洪泛攻击的问题。
以下结合附图2、3、4对该方法进行详细说明。
步骤401,预备阶段,管理员在安全管理单元205上添加网关的IP地址,并且通过网络协议从该网关上获取该网关对应的网关MAC地址,或者手动输入网关MAC地址,然后保存在安全管理单元205的存储单元304的数据库表中,如表3所示。
步骤402、403、404,当主机A 201a接入网络,即主机A 201a上线时,主机A 201a通过交换机203与认证计费单元204进行1X认证;其中,主机A201a发出认证请求,交换机202启动认证过程,认证计费单元204完成主机认证,并且在认证过程中获得该主机A 201a的IP地址、MAC地址和网关IP地址,并且认证通过后将该IP地址和MAC地址、网关IP地址发送至安全管理单元205。同时,交换机还进行自学习,将学习到的主机IP地址、MAC地址进行储存。
并且,本实施例中,交换机202学习主机A 201a的IP地址和MAC地址。
步骤405、406,安全管理单元205判断为接入网络的信息类型时,将接收到的主机IP地址、MAC地址传送至主机A 201a,该主机A 201a收到主机IP地址、MAC地址后,进行主机IP地址、MAC地址的静态ARP绑定;其中,可采用如下步骤:
安全管理单元205中的接收单元301接收主机IP地址、MAC地址和网关IP地址,判断是否为接入网络的信息类型,若判断结果为是,则传送主机IP地址、MAC地址和网关IP地址至静态ARP绑定单元302中,静态ARP绑定单元302根据该网关的IP地址从存储单元304中存储的预先配置的网关IP地址、MAC地址中查找该主机对应的网关IP地址、MAC地址,并将该网关IP地址、MAC地址通过交换机202传送至主机A 201a;主机A 201a接收到网关IP地址、MAC地址后,进行网关IP地址和MAC地址的静态绑定。通过在主机A 201a进行网关的静态ARP绑定,使用这种静态ARP绑定方式,能够防止局域网主机冒充网关进行ARP欺骗。
步骤407、408,安全管理单元205判断为离开网络的信息类型时,将接收到的主机IP地址、MAC地址发送至网关203,网关203进行可信任ARP绑定。本实施例中,可采用如下方式:
安全管理单元205中的接收单元301接收主机IP地址、MAC地址和网关IP地址后,判断是否为离开网络的信息类型,若判断结果为是,则将该主机IP地址、MAC地址和网关IP地址传送至可信任ARP操作单元303,可信任ARP操作单元303获知该主机所在网关的IP地址后,通过网络协议发送主机IP地址和MAC地址至网关203;网关203收到主机IP地址、MAC地址后,判断是否为绑定操作类型;若判断的结果为是,则进行主机IP地址和MAC地址的绑定。
由上述实施例可知,网关203相应的端口,即与主机直接或间接相连的端口进行主机的IP地址、MAC地址的绑定为可信任的ARP绑定,该绑定自动进行,而且绑定的是可信任的ARP绑定,并且绑定的主机IP地址和MAC地址是可靠的,通过此方式可防止局域网主机冒充其它主机欺骗网关。并且,此方式与主机静态ARP绑定相结合,能够达到双绑定的效果。
在步骤405、407中,还可包括步骤:安全管理单元205判断属于接入网络的信息类型时,还包括步骤:储存所述主机信息和该网关的IP地址至存储单元304中。
在步骤406主机A 201a进行网关IP地址和MAC地址的绑定后,还包括步骤:检测所述静态绑定是否被更改;若检测的结果为被更改,则重新进行所述网关IP地址和MAC地址的静态绑定。其中,主机A 201a定时对该静态绑定进行检测,以防止一些木马程序以合法的方式对该静态绑定进行更改。
步骤409,当主机A 201a离开网络,即下线时,主机自动删除静态ARP绑定,网关203也删除可信任ARP绑定。本实施例中,可采用如下步骤:
主机A 201a通过1x认证的下线报文,在认证计费单元204上发起下线的流程,此流程可采用现有技术中的一种来实现,此处不再赘述。
认证计费单元204在处理完下线流程后,将主机A 201a下线消息发送至安全管理单元205,安全管理单元205的接收单元301接收该下线主机A 201a的IP地址、MAC地址和网关IP地址,并解析到是主机下线的信息类型;
安全管理单元205的可信任ARP操作单元303通过网络协议发送下线主机的IP地址、MAC地址给网关203,网关203在接收到主机的IP地址、MAC地址后,进行解析后若发现是可信任ARP删除操作类型,则进行可信任ARP的删除。
此外,主机A 201a下线成功,自动将其静态ARP绑定删除。
本实施例中,在步骤409中,还可包括:若安全管理单元205的接收单元301判断接收到的主机IP地址、MAC地址和网关IP是否属于离开网络的信息类型;若判断结果为是,则删除储存在存储单元304中的主机信息和该网关的IP地址。
本实施例中,上述主机的1X认证过程可采用现有技术中的任意一种,本实施例中采用MD5-Challenge的认证方式,如图5所示,即使用由几种报文交互方式来实现,但不限于上述方式,可采用其它方式。
如图5所示,为认证会话流程图,采用的认证机制是MD5-Challenge。
(1)主机发送一个EAPoL-Start报文发起认证过程。
(2)交换机202收到EAPoL-Start后,发送一个EAP-Request报文响应主机的认证请求,请求用户ID。
(3)主机以一个EAP-Response报文响应EAP-Request,将用户ID封装在EAP报文中发给交换机202。
(4)交换机202将主机送来的EAP-Request报文与本交换机202的IP和端口信息一起封装在RADIUS Access-Request报文中发给认证计费单元204,本实施例中可为认证服务器(Authentication Server)。
(5)认证计费单元204收到RADIUS Access-Request报文后,将用户ID提取出来在数据库中进行查找。如果找不到该用户ID,则直接丢弃该报文;如果该用户ID存在,认证计费单元204会提取出用户的密码等信息,用一个随机生成的加密字进行MD5加密,生成密文。同时,将这个随机加密字封装在一个EAP-Challenge Request报文中,再将该EAP报文封装在RADIUSAccess-Challenge报文的EAP-Message属性中发给交换机202。
(6)交换机202收到RADIUS Access-Challenge报文后,将封装在该报文中的EAP-Challenge Request报文发送给主机。
(7)主机用认证计费单元204发来的随机加密字对用户名密码等信息进行相同的MD5加密运算生成密文,将密文封装在一个EAP-Challenge Response报文中发给交换机202。
(8)交换机202收到EAP-Challenge Response报文后,将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证计费单元204。
(9)认证计费单元204拆开封装,将主机发回的密文与自己在第(5)步中生成的密文进行对比。如果不一致,则认证失败,认证计费单元204将返回一条RADIUS Access-Reject信息,同时保持端口关闭状态;如果一致,则认证通过,认证计费单元204将一条EAP-Success消息封装在RADIUSAccess-Accept报文的属性中发送给交换机202。
(10)交换机202在接到认证计费单元发来的RADIUS Access-Accept之后,将端口状态更改为“已授权”,同时将RADIUS Access-Accept中的EAP-Success报文拆出来发送给主机。
上述实施例中,主机安装有安全认证客户端(RG-Supplicant),用于使用1X进行认证。
交换机202为认证者(Authenticator),本实施例中可为支持802.1X的网络设备,并进行ARP报文过滤,还提供限速功能,可采用锐捷网络的S2100系列交换机。
认证计费单元204,根据交换机202传达的认证信息对用户合法性进行验证,可采用锐捷网络公司的RG-SAM认证服务器。作为1X认证的服务器,可采用认证服务器(Authentication Server),使用RADIUS协议完成主机的认证和计费。在本实施例中,保证主机只有通过1X认证后才能接入网络,并且提供主机的网络配置信息给安全管理单元205。
安全管理单元205,作为核心服务器,通过与交换机202、网关203、认证计费单元204、主机等交互信息,控制主机和网关设备的可信任ARP的绑定和删除。
由上述实施例可知,将基于1X认证的主机信息认为是可信任的,通过主机的上线和下线,由可信任的安全管理单元动态的在主机和网关绑定和删除非动态ARP(个人PC上绑定静态ARP,网关设备上绑定可信任ARP),并且通过在交换机上进行基于1X认证信息的ARP报文过滤,在交换机和网关设备进行ARP报文限速功能,达到完全防止ARP欺骗,阻止ARP欺骗报文在网络中传播影响网络带宽和网络设备的性能。
通过本实施例,由认证计费单元收集接入主机的IP,MAC和网关IP地址等信息。然后由安全管理单元通过简单的配置,将接入用户的IP、MAC和端口绑定到网关上,将网关的IP、MAC在主机上进行静态绑定。以防止由于恶意的ARP欺骗攻击导致的用户上网掉线,信息被窃取的问题。
对于大规模的网络来说,由于1X认证能够提供接入主机的IP,MAC,网关等信息,因此管理员不需要手动维护IP地址和MAC地址的映射关系。
由于使用安全管理单元进行主机ARP静态绑定,网关可信任ARP绑定。因此只有当前在线的主机的IP,MAC映射关系才会添加到网关上。因此,网关的地址解析表项能够完全覆盖网络中的所有设备地址。
由于主机上线时才进行IP,MAC映射关系的绑定,接入主机每次进行1X认证均能够提供正确的IP,MAC和网关地址。因此网关设备发生变更,主机的网络拓扑,网卡硬件地址发生变更时,相应的IP,MAC地址的映射关系也会发生改变。不需要用户手动干预。
由于1X认证时,主机的IP地址,MAC地址和网关IP地址。因此所有的这些信息都是可信的,不可能出现IP地址,MAC地址出现错误,导致IP,MAC地址解析协议映射关系错误的情况。
在交换机,由于采用了基于1X认证的ARP报文过滤,由于1X能够提供可信的接入用户IP,MAC地址信息,因此交换机所进行的ARP报文过滤是完全可靠的。通过过滤,能够完全阻断ARP欺骗报文在网络中的传播和泛滥。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括上述方法的步骤;所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种防止利用地址解析协议进行网络攻击的方法,其特征在于,该方法包括:
当主机接入网络时,所述主机的安全认证客户端通过网络与认证计费单元进行1X认证;
认证通过后,认证计费单元将获得的主机信息和该主机所在网关的IP地址传送至安全管理单元,其中该主机信息至少包括IP地址和媒体访问控制地址;
安全管理单元判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则所述安全管理单元根据该网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至所述主机,其中,所述网关信息至少包括网关IP地址和媒体访问控制地址;
所述主机的安全认证客户端通过网络接收所述网关信息后,进行网关IP地址和媒体访问控制地址的静态绑定。
2.根据权利要求1所述的方法,其特征在于,所述安全管理单元判断为接入网络信息类型后,还包括步骤:储存所述主机信息和该网关的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述主机的安全认证客户端进行网关IP地址和媒体访问控制地址的静态绑定后,还包括步骤:
检测所绑定的所述网关IP地址和媒体访问控制地址是否被更改;
若检测的结果为被更改,则重新进行所述网关IP地址和媒体访问控制地址的绑定。
4.根据权利要求2所述的方法,其特征在于,还包括步骤:
当所述主机离开网络时,认证计费单元将所述主机信息和该主机所在网关的IP地址传送至所述安全管理单元;
所述安全管理单元判断是否属于离开网络的信息类型;
若判断结果为是,则删除储存的所述主机信息和该网关的IP地址。
5.根据权利要求4所述的方法,其特征在于,若所述主机成功离开网络,还包括步骤,所述主机自动删除所述网关IP地址和媒体访问控制地址的绑定。
6.根据权利要求1所述的方法,其特征在于,所述安全管理单元接收到所述主机信息和该主机所在网关的IP地址后,还包括步骤:
根据所述主机所在网关的IP地址,将所述主机信息发送至相应的网关;
所述网关收到所述主机信息后,判断是否为绑定操作类型;
若判断的结果为是,则进行所述主机IP地址和媒体访问控制地址的可信任ARP绑定。
7.根据权利要求6所述的方法,其特征在于,还包括步骤:
当所述主机离开网络时,认证计费单元将所述主机离开网络的消息通知所述安全管理单元,并将所述主机信息和该主机所在网关的IP地址传送至所述安全管理单元;
所述安全管理单元判断是否属于离开网络的信息类型;
若判断结果为是,发送所述主机信息至所述网关;
所述网关接收到所述主机信息后,判断是否进行删除绑定操作类型;
若判断结果为是,则删除所述主机IP地址和媒体访问控制地址的可信任地址解析协议绑定。
8.根据权利要求1所述的方法,其特征在于,所述认证计费单元通过交换机对所述主机进行1X认证。
9.根据权利要求8所述的方法,其特征在于,还包括步骤:认证成功后,所述交换机学习所述IP地址和媒体访问控制地址。
10.根据权利要求8所述的方法,其特征在于,所述主机认证成功后,还包括步骤:
所述交换机根据在认证过程中获得的所述主机信息对接收到的地址解析协议报文进行校验;
若校验的结果为该地址解析协议报文中源IP地址和源媒体访问控制地址不符合获得的IP地址和媒体访问控制地址,则认为所述地址解析协议报文非法;
所述交换机丢弃该ARP报文。
11.根据权利要求1或6所述的方法,其特征在于,还包括步骤:对所述交换机和所述网关进行地址解析协议报文限速。
12.根据权利要求1所述的方法,其特征在于,还包括步骤:在所述网关上预留地址解析协议表项数量。
13.一种防止利用地址解析协议进行网络攻击的系统,其特征在于,该系统还包括至少一个主机、认证计费单元和安全管理单元;其中,
所述主机,至少包括安全认证客户端,该安全认证客户端用于发出1X认证请求至所述认证计费单元;通过网络接收所述安全管理单元发送的网关信息,进行所述网关IP地址和媒体访问控制地址的静态绑定;
所述认证计费单元,用于通过网络对所述主机进行认证,获得主机信息和该主机所在网关的IP地址,并且认证通过后,将所述主机信息和该主机所在网关的IP地址传送至安全管理单元;
所述安全管理单元,用于接收所述主机信息和该主机所在网关的IP地址,判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若该信息类型为接入网络信息类型,则所述安全管理单元根据所述网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息传送至所述主机;其中,所述网关信息至少包括网关IP地址和媒体访问控制地址。
14.根据权利要求13所述的系统,其特征在于,还包括交换机,该交换机至少包括1X认证单元,与所述主机和认证计费单元连接,用于接收所述主机的安全认证客户端发出的认证请求,启动认证过程,在认证过程中所述认证计费单元通过该交换机与所述主机进行信息交互;并且认证过程中,学习所述主机信息。
15.根据权利要求13所述的系统,其特征在于,所述安全管理单元至少包括:接收单元、静态地址解析协议绑定通知单元;其中,
所述接收单元,用于接收所述主机信息和该主机所在网关的IP地址,并判断接收的所述主机信息和该主机所在网关的IP地址的信息类型,若为接入网络信息类型,则传送所述主机信息和该主机所在网关的IP地址至所述静态地址解析协议绑定通知单元;
所述静态地址解析协议绑定通知单元,用于根据所述网关的IP地址从预先配置的网关信息中查找该主机对应的网关信息,并将该网关信息通过网络传送至所述主机。
16.根据权利要求15所述的系统,其特征在于,所述安全管理单元还包括安全网关配置单元和存储单元;其中,
所述安全网关配置单元,用于配置所要管理的网关信息,并将所述网关信息储存至所述存储单元;
所述存储单元,用于储存预先配置的所述网关信息,并储存所述接收单元传送的所述主机信息和该主机所在网关的IP地址。
17.根据权利要求14所述的系统,其特征在于,该系统还包括网关,与所述交换机和安全管理单元连接;
所述安全管理单元还包括可信任地址解析协议操作单元,所述可信任地址解析协议操作单元与所述接收单元连接,用于接收所述接收单元传送的主机信息和该主机所在网关的IP地址,并根据所述主机所在网关的IP地址,将所述主机信息发送至相应的网关;
所述网关,用于接收所述主机信息,判断是否进行绑定操作类型,若判断的结果为是,则进行所述主机IP地址和媒体访问控制地址的可信任地址解析协议绑定;若判断的结果为绑定删除操作类型,则所述网关删除所述主机IP地址和媒体访问控制地址的绑定。
18.根据权利要求14所述的系统,其特征在于,所述交换机还包括:
信息操作单元,与所述1X认证单元连接,接收所述1X认证单元传送的所述主机信息和该交换机的端口信息并传送至存储单元;
存储单元,储存信息绑定表,用于接收所述信息操作单元传送的所述主机信息和该端口信息,并将所述主机信息和该端口信息存入所述信息绑定表中;
并且,在主机离开网络时,所述1X认证单元将所述主机信息和端口信息发送给信息操作单元,该信息操作单元将该主机信息和端口信息从存储单元中的信息绑定表中删除。
19.根据权利要求18所述的系统,其特征在于,所述交换机还包括过滤单元和报文转发单元;其中,
所述过滤单元,与所述存储单元连接,根据所述存储单元存储的端口信息获取相应的主机信息,将接收到的地址解析协议报文中源IP地址和源媒体访问控制地址与所获取的主机信息进行比较,若比较结果不一致,则丢弃该地址解析协议报文;若比较结果一致,则将该地址解析协议报文送入报文转发单元;
所述报文转发单元,与所述过滤单元相连接,接收所述过滤单元传送的地址解析协议报文,并发送该地址解析协议报文至相应的端口。
20.根据权利要求19所述的系统,其特征在于,所述交换机还包括地址解析协议限速单元和地址解析协议数据单元;其中,
所述地址解析协议限速单元,用于接收所述地址解析协议报文,检查该地址解析协议报文处理速率是否超过限制值,若检查的结果为超过,则直接丢弃该地址解析协议报文;若检查的结果为未超过,则将该地址解析协议报文送入地址解析协议数据单元;
所述地址解析协议数据单元,与所述地址解析协议限速单元和所述过滤单元连接,用于接收所述地址解析协议限速单元传送的报文,并将该地址解析协议报文传送至所述地址解析协议过滤单元。
21.根据权利要求17所述的系统,其特征在于,所述网关至少包括可信任地址解析协议命令接收单元、网关的可信任地址解析协议操作单元和存储单元;其中,
可信任地址解析协议命令接收单元,用于接收所述安全管理单元中的可信任地址解析协议操作单元传送的所述主机信息;
网关的可信任地址解析协议操作单元,用于接收可信任地址解析协议命令接收单元传送的所述主机信息,判断是否为绑定操作类型,若为绑定操作类型,则将该主机信息送入存储单元中的可信任地址解析协议地址表中;若为绑定删除操作类型,则所述网关的可信任地址解析协议操作单元将该主机信息从所述存储单元中的可信任地址解析协议地址表中删除;
存储单元,与所述网关的可信任地址解析协议操作单元连接,用于储存可信任地址解析协议地址表、静态地址解析协议地址表和动态地址解析协议地址表。
22.根据权利要求21所述的系统,其特征在于,所述网关还包括地址解析协议限速单元、地址解析协议数据单元和地址解析协议处理单元;其中,
所述地址解析协议限速单元,用于接收地址解析协议报文,检查该地址解析协议报文处理速率是否超过限制值,若检查的结果为超过,则直接丢弃该地址解析协议报文;若检查的结果为未超过,则将该地址解析协议报文送入地址解析协议数据单元;
所述地址解析协议数据单元,用于接收所述地址解析协议限速单元传输的所述地址解析协议报文,并传送至地址解析协议处理单元;
所述地址解析协议处理单元,用于接收所述地址解析协议数据单元传送的所述地址解析协议报文,地址解析协议处理单元以该地址解析协议报文中的源IP地址为索引到所述静态地址解析协议地址表中进行查询,若在静态地址解析协议地址表中存在以该IP地址为索引的静态地址解析协议,则地址解析协议处理单元结束该地址解析协议报文的处理;
若不存在以该IP地址为索引的静态地址解析协议,则该地址解析协议处理单元以该地址解析协议报文中的源IP地址为索引到所述可信任地址解析协议地址表中进行查询,若在可信任地址解析协议地址表中存在以该IP地址为索引的可信任地址解析协议,则该地址解析协议处理单元结束该地址解析协议报文的处理;
若不存在以该IP地址为索引的可信任地址解析协议,则该地址解析协议处理单元以该地址解析协议报文中的源IP地址为索引到所述动态地址解析协议地址表中进行查询,若在动态地址解析协议地址表中存在以该IP地址为索引的动态地址解析协议,则该地址解析协议处理单元使用该地址解析协议报文中的源IP地址和源媒体访问控制地址覆盖该动态地址解析协议,如果不存在以该IP地址为索引的动态地址解析协议,该地址解析协议处理单元将该地址解析协议报文中的源IP地址和源媒体访问控制地址以动态地址解析协议的类型存入动态地址解析协议表中。
23.根据权利要求13所述的系统,其特征在于,所述安全认证客户端至少包括1X认证单元和静态地址解析协议操作单元;其中,
所述1X认证单元,用于发出1X认证请求至所述认证计费单元;
所述静态地址解析协议操作单元,通过网络接收所述安全管理单元发送的网关信息,进行所述网关IP地址和媒体访问控制地址的静态绑定。
24.根据权利要求14所述的系统,其特征在于,所述安全认证客户端还包括存储器,储存静态绑定表,用于接收的所述网关信息并储存在所述静态绑定表中。
25.根据权利要求24所述的系统,其特征在于,所述安全认证客户端还包括地址解析协议绑定检查单元,用于检查检测所绑定的所述网关网关信息是否被更改;若检测的结果为被更改,则重新进行所述网关IP地址和媒体访问控制地址的绑定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101281676A CN101345743B (zh) | 2007-07-09 | 2007-07-09 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101281676A CN101345743B (zh) | 2007-07-09 | 2007-07-09 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101345743A true CN101345743A (zh) | 2009-01-14 |
| CN101345743B CN101345743B (zh) | 2011-12-28 |
Family
ID=40247632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101281676A Active CN101345743B (zh) | 2007-07-09 | 2007-07-09 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101345743B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820432A (zh) * | 2010-05-12 | 2010-09-01 | 中兴通讯股份有限公司 | 无状态地址配置的安全控制方法及装置 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
| CN101635628B (zh) * | 2009-08-28 | 2012-01-04 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN103905582A (zh) * | 2014-03-18 | 2014-07-02 | 汉柏科技有限公司 | 一种ip/mac自动探测绑定的方法及系统 |
| CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
| CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
| CN106209907A (zh) * | 2016-08-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种检测恶意攻击的方法及装置 |
| CN106506536A (zh) * | 2016-12-14 | 2017-03-15 | 杭州迪普科技股份有限公司 | 一种防御arp攻击的方法及装置 |
| CN107172103A (zh) * | 2017-07-14 | 2017-09-15 | 迈普通信技术股份有限公司 | 一种arp认证方法、装置及系统 |
| CN107294989A (zh) * | 2017-07-04 | 2017-10-24 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN109714767A (zh) * | 2019-02-25 | 2019-05-03 | 陈超 | 一种网络安全通信装置 |
| CN110061977A (zh) * | 2019-03-29 | 2019-07-26 | 国网山东省电力公司邹城市供电公司 | 一种有效监控并防范arp病毒的系统 |
| CN113014693A (zh) * | 2021-03-31 | 2021-06-22 | 贵州航天电子科技有限公司 | 一种多客户端温控组合服务器 |
| TWI744047B (zh) * | 2020-10-23 | 2021-10-21 | 飛泓科技股份有限公司 | 利用網路arp協定進行終端設備認證方法 |
| CN114363067A (zh) * | 2022-01-04 | 2022-04-15 | 北京字节跳动网络技术有限公司 | 一种网络准入控制方法、装置、计算机设备及存储介质 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7346057B2 (en) * | 2002-07-31 | 2008-03-18 | Cisco Technology, Inc. | Method and apparatus for inter-layer binding inspection to prevent spoofing |
| CN100437550C (zh) * | 2002-09-24 | 2008-11-26 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
| CN1310467C (zh) * | 2003-06-24 | 2007-04-11 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN100581162C (zh) * | 2006-01-26 | 2010-01-13 | 西门子(中国)有限公司 | 一种防止地址解析欺骗的方法 |
-
2007
- 2007-07-09 CN CN2007101281676A patent/CN101345743B/zh active Active
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635628B (zh) * | 2009-08-28 | 2012-01-04 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
| CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
| CN101820432A (zh) * | 2010-05-12 | 2010-09-01 | 中兴通讯股份有限公司 | 无状态地址配置的安全控制方法及装置 |
| CN103905582A (zh) * | 2014-03-18 | 2014-07-02 | 汉柏科技有限公司 | 一种ip/mac自动探测绑定的方法及系统 |
| CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
| CN106130985B (zh) * | 2016-06-24 | 2019-09-06 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
| CN106209907A (zh) * | 2016-08-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种检测恶意攻击的方法及装置 |
| CN106209907B (zh) * | 2016-08-30 | 2021-04-30 | 新华三技术有限公司 | 一种检测恶意攻击的方法及装置 |
| CN106506536A (zh) * | 2016-12-14 | 2017-03-15 | 杭州迪普科技股份有限公司 | 一种防御arp攻击的方法及装置 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN107294989A (zh) * | 2017-07-04 | 2017-10-24 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN107294989B (zh) * | 2017-07-04 | 2020-02-11 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN107172103A (zh) * | 2017-07-14 | 2017-09-15 | 迈普通信技术股份有限公司 | 一种arp认证方法、装置及系统 |
| CN107172103B (zh) * | 2017-07-14 | 2019-09-17 | 迈普通信技术股份有限公司 | 一种arp认证方法、装置及系统 |
| CN109714767A (zh) * | 2019-02-25 | 2019-05-03 | 陈超 | 一种网络安全通信装置 |
| CN110061977A (zh) * | 2019-03-29 | 2019-07-26 | 国网山东省电力公司邹城市供电公司 | 一种有效监控并防范arp病毒的系统 |
| TWI744047B (zh) * | 2020-10-23 | 2021-10-21 | 飛泓科技股份有限公司 | 利用網路arp協定進行終端設備認證方法 |
| CN113014693A (zh) * | 2021-03-31 | 2021-06-22 | 贵州航天电子科技有限公司 | 一种多客户端温控组合服务器 |
| CN113014693B (zh) * | 2021-03-31 | 2023-05-26 | 贵州航天电子科技有限公司 | 一种多客户端温控组合服务器 |
| CN114363067A (zh) * | 2022-01-04 | 2022-04-15 | 北京字节跳动网络技术有限公司 | 一种网络准入控制方法、装置、计算机设备及存储介质 |
| CN114363067B (zh) * | 2022-01-04 | 2023-05-16 | 抖音视界有限公司 | 一种网络准入控制方法、装置、计算机设备及存储介质 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101345743B (zh) | 2011-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| CN100539501C (zh) | 基于域名的统一身份标识和认证方法 | |
| US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| US20090126002A1 (en) | System and method for safeguarding and processing confidential information | |
| CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
| EP2417747B1 (en) | Authenticating a node in a communication network | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| CN101651696A (zh) | 一种防止nd攻击的方法及装置 | |
| CN101378395A (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN101436934A (zh) | 一种控制用户上网的方法、系统及设备 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| Tripathi et al. | Analysis of various ARP poisoning mitigation techniques: A comparison | |
| CN110611682A (zh) | 一种网络访问系统及网络接入方法和相关设备 | |
| CN105162763B (zh) | 通讯数据的处理方法和装置 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
| US7631344B2 (en) | Distributed authentication framework stack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |