CN101399693A - 基于arp应答的内网ip地址保护方法 - Google Patents

基于arp应答的内网ip地址保护方法 Download PDF

Info

Publication number
CN101399693A
CN101399693A CNA2007100463338A CN200710046333A CN101399693A CN 101399693 A CN101399693 A CN 101399693A CN A2007100463338 A CNA2007100463338 A CN A2007100463338A CN 200710046333 A CN200710046333 A CN 200710046333A CN 101399693 A CN101399693 A CN 101399693A
Authority
CN
China
Prior art keywords
address
host computer
online
host
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007100463338A
Other languages
English (en)
Other versions
CN101399693B (zh
Inventor
李刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Baosight Software Co Ltd
Original Assignee
Shanghai Baosight Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Baosight Software Co Ltd filed Critical Shanghai Baosight Software Co Ltd
Priority to CN2007100463338A priority Critical patent/CN101399693B/zh
Publication of CN101399693A publication Critical patent/CN101399693A/zh
Application granted granted Critical
Publication of CN101399693B publication Critical patent/CN101399693B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

一种基于ARP应答的内网IP地址保护方法,包括:1)监控主机启动网络监听程序,加载IP地址管理策略;2)当上线主机上线时,该上线主机发送一广播包,开始计时,等待回应;3)监控主机监听到该广播包后,根据该IP地址管理策略判断上线主机是否合法使用该IP地址;如果合法,则继续监听;如果非法,则进入步骤4);4)所述监控主机向上线主机发送一模拟应答包;5)上线主机如果在等待未超时的情况下,收到应答包,则IP地址启用失败;如果上线主机等待超时,并且未收到任何应答包,则上线主机启用该IP地址的操作成功。本发明在正常情况下阻断只需要通过一个应答包完成,被阻断机器无法获取相应的IP,阻断效果非常好,并且不会造成额外的网络流量。

Description

基于ARP应答的内网IP地址保护方法
技术领域
本发明属于IP地址资源管理技术领域,特别涉及一种内网IP地址保护方法。
背景技术
在一个单位的内网管理工作中,如何高效解决IP(互联网络协议)地址冲突问题往往是一个很常见但是很困扰的问题,特别是大量使用微软公司的windows操作系统的个人计算机,由于用户使用的不规范,导致IP资源被乱用、盗用,严重时会影响整体局域网的运行和重要服务器的运行。单位内部通常会制定相应的管理制度来规范IP地址资源的使用,并且配备相应的管理维护人员,但是由于缺少有效的技术手段,这种管理工作往往难以达到预期的效果,并且维护成本较高。
现有解决IP地址冲突的问题,通常有以下几种方案:
一、采用DHCP(Dynamic Host Configuration Protocol,动态主机分配协议)进行IP地址分配
这种方案有两个主要的问题,一是有些特定的网络运行环境要求必须使用静态IP的分配方式,此时无法使用DHCP分配;二是这种方案只可以避免IP资源分配混乱的情况,但是不能提供避免IP被滥用或盗用的情况。
二、采用软件进行诱骗
通过专业网络管理软件对盗用IP地址现象的追查和网络阻断,但也存在一些不足之处:第一,这类软件阻断的原理都是持续对违规网络节点发送欺骗包甚至是广播包,对网络的使用效率有一定的影响;第二,这种事后处理的方式并不符合当前信息安全管理规范的要求,无法预先制定一个系统的安全策略,并且没有符合审计规范的审计系统;第三,这种专业网管软件往往价格不菲,单纯为了解决此问题而购买该软件的成本太高。
三、采用交换机绑定方式
很多新型的可网关交换机提供了IP与交换机端口绑定的功能,但是对于早期型号的交换机产品,无法实现这种功能。所以要实现该管理目的,需要更新网络设备;并且交换机管理通常是针对单台设备进行管理,特别是对于具有不同品牌的产品的环境,无法建立起一个整体的安全管理中心进行策略统一管理和审计信息的维护。
发明内容
本发明的目的在于,提供一种基于ARP(Address Resolution Protocol,地址解析协议)应答的内网IP地址保护方法。以降低维护成本,提高维护效率。
为实现上述目的,本发明采用如下技术方案:
装有Windows操作系统的主机(以下简称为windows主机)在联网获取一个IP地址之前(不论是获取动态还是静态IP地址),首先将发送一个广播包,向所在网段询问要启用的IP地址是否已经被其他的主机使用。本发明利用此原理,模拟生成ARP应答包,使得windows主机在启用IP地址之前得到控制。
一种基于ARP应答的内网IP地址保护方法,其特征在于包括以下步骤:
1)监控主机启动网络监听程序,并加载IP地址管理策略;
2)当某一windows主机(简称上线主机)上线时,该上线主机发送一广播包,该广播包中包括该主机的硬件地址及其准备使用的IP地址,开始计时,等待回应;
3)监控主机监听到该广播包后,根据该IP地址管理策略判断上线主机是否合法使用该IP地址;如果合法,则监控主机不做任何处理,继续监听;如果非法,则进入步骤4);
4)所述监控主机向上线主机发送一模拟应答包,该模拟应答包表明该IP地址正在被其它主机使用;
5)上线主机如果在等待未超时的情况下,收到应答包,则上线主机会提示IP地址冲突,例如:“IP地址冲突,已经被其它主机使用”,IP地址启用失败;如果上线主机等待超时,并且未收到任何应答包,则上线主机启用该IP地址的操作成功。
进一步地,在所述步骤4)之后,所述监控主机还包括一模拟广播包发送步骤,该模拟广播包中包括有该IP地址及合法使用该IP地址的主机的硬件地址。
进一步地,在所述步骤3)之后所述步骤4)之前,还包括对合法使用该IP地址的主机是否在线的判断步骤,如果在线,则监控主机继续监听;如果不在线,则进入步骤4)。
进一步地,所述IP地址管理策略为主机网卡的物理地址与IP地址绑定的策略。
本发明具有以下优点:
1、可以部署在专业定制的硬件平台上,支持30×24小时不间断的运行,为IP地址管理提供可信赖的运行环境;
2、完全按照windows操作系统启用IP地址原理进行设计,不会对网络设备产生任何影响,对于原有网络环境和网络设备也没有特殊要求;
3、正常情况下阻断只需要通过一个应答包完成,被阻断机器无法获取相应的IP,无法使用网络,阻断效果非常好,并且不会造成额外的网络流量;
4、可通过统一的IP地址管理策略,进行IP地址接入策略的集中管理,并且对IP接入的违规事件进行审计,且符合国内外信息安全技术标准。
附图说明
图1为本发明方法实施示意图。
具体实施方式
如图1所示,一种基于ARP应答的内网IP地址保护方法,
假设有如下模拟参数表一:
 
主机 Mac地址(网卡的物理地址) 备注
主机1 11:11:11:11:11:11 合法使用IP192.168.0.1
主机2 22:22:22:22:22:22 违规使用IP192.168.0.1
监控主机 33:33:33:33:33:33 控制程序所在主机
表一
包括以下步骤:
1)监控主机启动网络监听程序,并加载IP地址管理策略;
2)当某一主机上线时,该主机广播一广播包,该广播包中包括该主机的硬件地址及其准备使用的IP地址,开始计时,例如启动定时器,等待回应;该广播包的格式如下表二所示:
 
主机 源地址 宿地址 ARP帧
主机1 11:11:11:11:11:11 广播 ARP:Opcode 1(ARP请求)ARP:发送端硬件地址(Sender’s hardwareaddress)=11:11:11:11:11:11ARP:发送端协议地址(Sender’s protocoladdress)=[192.168.0.1]ARP:目标端硬件地址(Target hardware address)=000000000000ARP:目标端协议地址(Target protocol address)=[192.168.0.1]
主机2 22:22:22:22:22:22 广播 ARP:Opcode 1(ARP request)ARP:发送端硬件地址=22:22:22:22:22:22ARP:发送端协议地址=[192.168.0.1]ARP:目标端硬件地址=000000000000ARP:目标端协议地址=[192.168.0.1]
表二
3)监控主机监听到该广播包后,根据该IP地址管理策略判断该主机是否合法使用该IP地址;如果合法,则监控主机继续监听;如果非法,则进入步骤4);
4)所述监控主机向该主机发送一模拟应答包,该模拟应答包中表明该主机属于非法使用该IP地址;该模拟应答包的格式如下表三所示:
 
源地址 宿地址 ARP帧
33:33:33:33:33:33 22:22:22:22:22:22 ARP:Opcode 2(ARP应答)ARP:发送端硬件地址=11:11:11:11:11:11ARP:发送端协议地址=[192.168.0.1]ARP:目标端硬件地址=22:22:22:22:22:22ARP:目标端协议地址=[192.168.0.1]
表三
5)该主机如果在等待未超时的情况下,收到该模拟应答包,则该主机提示启用该IP地址的操作失败,如果该主机等待超时,并且未收到该模拟应答包,则提示该主机启用该IP地址的操作成功。
其中,在所述步骤4)之后,所述监控主机还包括一模拟广播包发送步骤,该模拟广播包中包括有该IP地址及合法使用该IP地址的主机的硬件地址。该模拟广播包格式如表四所示,以告知网内其它主机该IP地址应该是被该广播包内的硬件地址对应的主机使用。
 
Source地址 Dest地址 ARP帧
33:33:33:33:33:33 广播 ARP:Opcode 1(ARP应答)ARP:发送端硬件地址=11:11:11:11:11:11ARP:发送端协议地址=[192.168.0.1]ARP:目标端硬件地址=000000000000ARP:目标端协议地址=[192.168.0.1]
表四
其中,在所述步骤3)之后所述步骤4)之前,还包括对合法使用该IP地址的主机是否在线的判断步骤,如果不在线,则监控主机继续监听;如果在线,则进入步骤4)。
其中,所述IP地址管理策略为主机网卡的物理地址与IP地址绑定的策略。
以管理一个标准C类网,平均200个在线节点,发现10个违规节点,阻断周期5秒为例,采用本技术方案后的IP控制效果和网络发包对比情况如表五所示:
Figure A200710046333D00061
表三
*注:被阻断节点平均10秒内有1秒可以连通内网。
本发明可广泛应用于具备内部局域网、并且具有内网IP地址资源管理需求的企事业单位。

Claims (4)

1、一种基于ARP应答的内网IP地址保护方法,其特征在于包括以下步骤:
1)监控主机启动网络监听程序,并加载IP地址管理策略;
2)当上线主机上线时,该上线主机发送一广播包,该广播包中包括该主机的硬件地址及其准备使用的IP地址,并开始计时,等待回应;
3)监控主机监听到该广播包后,根据该IP地址管理策略判断上线主机是否合法使用该IP地址;如果合法,则监控主机不做仟何处理,继续监听;如果非法,则进入步骤4);
4)所述监控主机向该上线主机发送一模拟应答包,该模拟应答包表明该IP地址正在被其它主机使用;
5)该上线主机如果在等待未超时的情况下,收到该模拟应答包,则上线主机提示IP地址冲突,IP地址启用失败;如果该上线主机等待超时,并且未收到任何应答包,则该上线主机启用该IP地址的操作成功。
2、根据权利要求1所述的基于ARP应答的内网IP地址保护方法,其特征在于:在所述步骤4)之后,所述监控主机还包括一模拟广播包发送步骤,该模拟广播包中包括有该IP地址及合法使用该IP地址的主机的硬件地址。
3、根据权利要求1所述的基于ARP应答的内网IP地址保护方法,其特征在于:在所述步骤3)之后所述步骤4)之前,还包括对合法使用该IP地址的主机是否在线的判断步骤,如果在线,则监控主机继续监听;如果不在线,则进入步骤4)。
4、根据权利要求1所述的基于ARP应答的内网IP地址保护方法,其特征在于:所述IP地址管理策略为主机网卡的物理地址与IP地址绑定的策略。
CN2007100463338A 2007-09-24 2007-09-24 基于arp应答的内网ip地址保护方法 Active CN101399693B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007100463338A CN101399693B (zh) 2007-09-24 2007-09-24 基于arp应答的内网ip地址保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007100463338A CN101399693B (zh) 2007-09-24 2007-09-24 基于arp应答的内网ip地址保护方法

Publications (2)

Publication Number Publication Date
CN101399693A true CN101399693A (zh) 2009-04-01
CN101399693B CN101399693B (zh) 2011-06-29

Family

ID=40517973

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100463338A Active CN101399693B (zh) 2007-09-24 2007-09-24 基于arp应答的内网ip地址保护方法

Country Status (1)

Country Link
CN (1) CN101399693B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333132A (zh) * 2011-09-13 2012-01-25 成都华迈通信技术有限公司 一种自动搜索摄像机和解决ip冲突的方法
CN104735080A (zh) * 2015-04-03 2015-06-24 山东华软金盾软件有限公司 一种服务器ip保护方法和系统
CN107257393A (zh) * 2017-06-29 2017-10-17 捷开通讯(深圳)有限公司 网络协议地址的获取方法、装置及计算机可读存储介质
CN107835264A (zh) * 2016-09-09 2018-03-23 鸿富锦精密电子(天津)有限公司 Ip地址自动分配系统、方法及客户端

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333132A (zh) * 2011-09-13 2012-01-25 成都华迈通信技术有限公司 一种自动搜索摄像机和解决ip冲突的方法
CN104735080A (zh) * 2015-04-03 2015-06-24 山东华软金盾软件有限公司 一种服务器ip保护方法和系统
CN104735080B (zh) * 2015-04-03 2017-12-08 山东华软金盾软件股份有限公司 一种服务器ip保护方法和系统
CN107835264A (zh) * 2016-09-09 2018-03-23 鸿富锦精密电子(天津)有限公司 Ip地址自动分配系统、方法及客户端
CN107257393A (zh) * 2017-06-29 2017-10-17 捷开通讯(深圳)有限公司 网络协议地址的获取方法、装置及计算机可读存储介质

Also Published As

Publication number Publication date
CN101399693B (zh) 2011-06-29

Similar Documents

Publication Publication Date Title
CN101047618B (zh) 获取网络路径信息的方法和系统
KR100886550B1 (ko) 아이피 어드레스 할당 장치 및 방법
CN101022394B (zh) 一种实现虚拟局域网聚合的方法及汇聚交换机
CN104010049B (zh) 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法
US20150172994A1 (en) Dynamic vlans in wireless networks
CN101222354A (zh) 一种智能终端管理方法
CN101179603B (zh) IPv6网络中用于控制用户网络接入的方法和装置
CN100499672C (zh) 基于终端物理位置发放业务的方法
CN102215158A (zh) 实现vrrp流量传输的方法和路由设备
CN101325554B (zh) 一种路由创建方法、转发芯片及三层交换机
CN101399693B (zh) 基于arp应答的内网ip地址保护方法
CN101895587A (zh) 防止用户私自修改ip地址的方法、装置和系统
CN1835514B (zh) Dhcp+客户端模式的宽带接入的管理方法
CN100589434C (zh) 在接入模式下实现业务服务器地址防欺骗的方法
CN104618522B (zh) 终端ip地址自动更新的方法及以太网接入设备
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
CN106506200A (zh) 一种基于sdn的arp协议辅助模型
CN1905495B (zh) 网络监视装置、网络监视方法、网络系统和网络通信方法
CN108234217A (zh) 组网设备自动配置方法、电子设备及存储介质
CN101197779B (zh) 一种提升地址解析协议代理发包效率的方法、装置和系统
CN102244620A (zh) 一种确定网关与设备关联关系的方法和系统
CN101783819A (zh) 一种利用IPv6过渡协议支持对等网络地址转换的系统及方法
CN106878481A (zh) 一种网络互连协议ip地址获取方法、装置和系统
CN102438051A (zh) 一种二层网络交换设备实现dhcp中继的方法和系统
CN105357332B (zh) 一种网络地址转换方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant