CN101488951A - 一种地址解析协议攻击防范方法、设备和通信网络 - Google Patents
一种地址解析协议攻击防范方法、设备和通信网络 Download PDFInfo
- Publication number
- CN101488951A CN101488951A CNA200810191760XA CN200810191760A CN101488951A CN 101488951 A CN101488951 A CN 101488951A CN A200810191760X A CNA200810191760X A CN A200810191760XA CN 200810191760 A CN200810191760 A CN 200810191760A CN 101488951 A CN101488951 A CN 101488951A
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- list item
- information
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种ARP攻击防范方法、设备和通信网络,所述方法包括以下步骤:接收ARP报文,根据所述ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;当存在所述ARP表项时,判断所述ARP表项的第二信息是否与所述ARP报文的第二信息相同;当所述ARP表项的第二信息与所述ARP报文的第二信息不同时,丢弃所述ARP报文,并记录攻击日志。通过应用本发明的技术方案,实现了根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要进行人工维护,达到了降低网络维护难度,提高网络安全性的效果。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种地址解析协议攻击防范方法、设备和通信网络。
背景技术
ARP(Address Resolution Protocol,地址解析协议)由于本身过于简单和开放,没有任何的安全手段,为非法攻击留下了广阔的空间。ARP攻击可以造成大面积的局域网用户掉线而上不了网,还可以窃听用户数据,偷取网上银行的用户名和密码等一些重要数据。所以,对于防止ARP攻击,保证用户正常上网,隐私数据不被非法分子窃取,成了当前局域网攻击防范的重中之重。
目前,ARP的攻击方式包括针对用户网关的攻击方式和针对用户主机的攻击方式,针对用户网关的攻击方式主要是改变真实用户的IP(InternetProtocol,因特网协议)地址和MAC(Media Access Control,介质访问控制)地址的对应关系,导致用户无法接收返回的数据报文;针对用户主机的攻击方式主要是改变用户网关的IP地址和MAC地址的对应关系,导致用户往外发送数据时,不能正确发送到网关,从而,造成用户数据被窃取或者断线。
现有技术中,主要是通过ARP双向静态绑定的方法防范以上ARP攻击方式,该方法是在接入设备(类似于小区或学校的接入设备)和主机上分别进行ARP静态绑定,可以防止ARP攻击。在主机上绑定网关的IP地址和MAC地址,可以采取手动绑定的方式,也可以采取软件辅助绑定。该方法可以抵御现在所有的ARP攻击方式,包括通过网络剪刀手,网络执法官的攻击方式。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
现有技术所提供的ARP双向静态绑定的技术方案中,配置和维护的工作量太大,容易出错,而且不容易维护,新用户加入和老用户退出都需要人工在网关设备上进行操作,无形中增加了维护成本和工作量。
发明内容
本发明实施例提供了一种ARP攻击防范方法、设备和通信网络,降低网络维护难度,提高网络安全性。
为达到上述目的,本发明实施例一方面提出一种ARP攻击防范方法,包括以下步骤:
接收ARP报文,根据所述ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;
当存在所述ARP表项时,判断所述ARP表项中的第二信息是否与所述ARP报文的第二信息相同;
当所述ARP表项的第二信息与所述ARP报文的第二信息不同时,丢弃所述ARP报文,并记录攻击日志。
另一方面,本发明实施例还提出一种接入网关,包括:
接收模块,用于接收ARP报文;
第一检测模块,根据所述接收模块所接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;
第一判断模块,用于当所述第一检测模块检测到存在所述ARP表项时,判断所述ARP表项中的第二信息是否与所述ARP报文的第二信息相同;
记录模块,用于当所述第一判断模块判断所述ARP表项的第二信息与所述ARP报文的第二信息不同时,记录攻击日志。
另一方面,本发明实施例还提出一种ARP攻击防范方法,包括以下步骤:
当接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,检测所述发送方的第二地址是否与预存的接入网关第二地址相同;
当所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址不同时,丢弃所述ARP报文。
另一方面,本发明实施例还提出一种交换机,包括:
接收模块,用于接收ARP报文;
检测模块,用于当所述接收模块所接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,检测所述发送方的第二地址是否与预存的接入网关第二地址相同;
丢弃模块,用于当所述检测模块检测到所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址不同时,丢弃所述ARP报文。
另一方面,本发明实施例还提出一种通信网络,包括交换机、接入网关和认证服务器:
所述交换机,用于当用户端通过第一信息和/或第二信息向所述服务器认证通过时,根据所述用户端对应的接入网关的信息,生成检验表项,并根据所述检验表项过滤接收到的ARP报文;
所述接入网关,用于当所述用户端认证通过时,接收所述认证服务器发送的认证通过消息,并根据所述用户端的信息保存相对应的ARP表项,并根据所述ARP表项过滤接收到的ARP报文;
所述认证服务器,用于对所述用户端进行认证,并在认证成功后,将所述用户端的信息通过认证通过消息发送给所述接入网关。
本发明实施例的技术方案具有以下优点,因为采用了整网联动的根据多种绑定信息进行报文验证方法,从而,根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要进行人工维护,达到了降低网络维护难度,提高网络安全性的效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一中的一种ARP攻击防范方法的流程示意图;
图2为本发明实施例二中的一种接入网关的结构示意图;
图3为本发明实施例三中的应用在交换机上的一种ARP攻击防范方法的流程示意图;
图4为本发明实施例四中的一种交换机的结构示意图;
图5为本发明实施例五中的一种通信网络的结构示意图;
图6为本发明实施例五中的一种通信网络的网络部署示意图;
图7为本发明实施例七中的用户认证流程示意图;
图8为本发明实施例八中的对伪造的用户ARP报文的防范流程示意图;
图9为本发明实施例八中的对伪造的网关ARP报文的防范流程示意图;
图10为本发明实施例九中的接入网关的报文过滤流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例一提出的一种ARP攻击防范方法的流程示意图,该方法包括以下步骤:
步骤S101、接入网关接收ARP报文,并根据该ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项。
进一步的,在本步骤之前,还包括:
识别ARP报文的报文类型;
根据报文类型的识别结果,检测ARP报文是否符合预设的安全规则;
当ARP报文不符合预设的安全规则时,丢弃ARP报文;当ARP报文符合预设的安全规则时,根据接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项。
其中,预设的安全规则具体包括以下内容:
当ARP报文为ARP请求报文时,ARP报文的源MAC为单播地址,和/或,ARP报文的ETH头的源MAC与ARP报文的发送方MAC相同,和/或,ARP报文的目的IP地址为防火墙地址;
当ARP报文为ARP响应报文时,ARP报文的目的MAC为单播地址。
相应的,根据上述报文类型的识别结果,本发明实施例所提出的技术方案中也包含了相应的处理流程。
(1)如果识别接收到的ARP报文为ARP请求报文,步骤S101的后续处理流程为:
当不存在该ARP表项时,向ARP报文的发送方返回ARP响应报文;向ARP报文的发送方发送第二ARP请求报文;根据ARP报文的源信息创建ARP表项,并标记ARP表项为未完成状态。
当存在该ARP表项时,进一步判断ARP表项是否为网关ARP表项或代理ARP表项;当ARP表项不是网关ARP表项或代理ARP表项时,丢弃ARP报文;当ARP表项是网关ARP表项或代理ARP表项时,执行步骤S102。
(2)如果识别接收到的ARP报文为ARP响应报文,步骤S101的后续处理流程为:
当不存在ARP表项时,丢弃该ARP报文。
当存在ARP表项时,判断ARP表项的状态是否为未完成状态;当ARP表项的状态为未完成状态时,标记ARP表项为完成状态;当ARP表项的状态为完成状态时,识别步骤S102。
步骤S102、接入网关判断ARP表项的第二信息是否与ARP报文的第二信息相同。
当ARP表项的第二信息与ARP报文的第二信息相同时,更新ARP表项的老化时间。
当ARP表项的第二信息与ARP报文的第二信息不同时,执行步骤S103。
步骤S103、接入网关丢弃该ARP报文,并记录攻击日志。
其中,接入网关丢弃该ARP报文,并记录攻击日志之后,本方法还包括向认证服务器上报攻击日志。
进一步的,如果识别接收到的ARP报文为ARP请求报文,在记录攻击日志之后,本方法还包括:
向ARP报文的发送方返回ARP响应报文;
向ARP报文的发送方发送第二ARP请求报文;
根据ARP报文的源信息创建ARP表项,并标记该ARP表项为未完成状态。
对于上述的本发明实施例所提出的方法,需要说明的是,步骤S101中提及的预存的至少一个ARP表项具体通过以下步骤生成:
接收认证服务器发送的至少一个用户端的认证通过消息;
根据认证通过消息中所包括的至少一个用户端的信息,生成至少一个ARP表项。
其中,认证服务器发送的至少一个用户端的认证通过消息具体通过以下步骤生成:
认证服务器接收至少一个用户端通过认证客户端发送的认证请求;
认证服务器根据认证请求,对至少一个用户端进行认证;
当对至少一个用户端认证通过时,向至少一个用户端和至少一个用户端所对应的接入网关发送认证通过消息,认证通过消息中包括至少一个用户端的信息和至少一个用户端所对应的接入网关的信息。
相应的,用户端根据接收到的认证通过消息保存接入网关的信息,以进行ARP消息的验证。
其中,用户端的信息具体包括用户端的IP地址、MAC地址和VLAN信息中的一个或多个;
接入网关的信息具体包括接入网关的IP地址和MAC地址。
进一步的,对于预存的至少一个ARP表项,本方法还包括:
接收认证服务器发送的至少一个用户端的下线通知消息;
删除至少一个用户端所对应的至少一个ARP表项。
需要进一步指出的是,在本发明实施例所提出的方法的各步骤中,第一信息和第二信息具体包括以下两种情况:
情况一、当ARP报文为ARP请求报文时,第一信息为ARP报文的目的IP地址,和/或ARP报文的接入端口,和/或ARP报文的VLAN信息,第二信息为ARP报文的源MAC地址;
当ARP报文为ARP响应报文时,第一信息为ARP报文的源IP地址,和/或ARP报文的VLAN信息,第二信息为ARP报文的源MAC地址。
情况二、当ARP报文为ARP请求报文时,第一信息为ARP报文的目的MAC地址,和/或ARP报文的接入端口,和/或ARP报文的VLAN信息,第二信息为ARP报文的源IP地址;
当ARP报文为ARP响应报文时,第一信息为ARP报文的源MAC地址,和/或ARP报文的VLAN信息,第二信息为ARP报文的源IP地址。
在本发明实施例中,第一信息和第二信息共同组成了ARP报文的认证信息,以下实施例也具有相同的设定,需要指出的是,在具体的应用场景中,第一信息和第二信息的具体内容可能会存在差别,但只要是能够达到验证ARP报文安全性的信息都可以作为上述的第一信息和第二信息,这样的变化并不影响本发明的保护范围。
本发明实施例的技术方案具有以下优点,因为采用了整网联动的根据多种绑定信息进行报文验证方法,从而,实现了根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要人工控制,达到了降低网络维护难度,提高网络安全性的效果。
对应本发明实施例一所提出的技术方案,本发明实施例二提出了一种接入网关,以实现上述方案,其结构示意图如图2所示,具体包括以下模块:
接收模块201,用于接收ARP报文;
第一检测模块202,根据接收模块201所接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;
第一判断模块203,用于当第一检测模块202检测到存在相应ARP表项时,判断ARP表项的第二信息是否与ARP报文的第二信息相同;
处理模块204,用于当第一判断模块203判断ARP表项的第二信息与ARP报文的第二信息不同时,丢弃该ARP报文,并记录攻击日志。
进一步的,接入网关还包括:
识别模块205,用于识别接收模块201所接收的ARP报文的报文类型;
第二检测模块206,用于根据识别模块205的报文类型识别结果,检测接收模块201所接收的ARP报文是否符合预设的安全规则;
丢弃模块207,用于当第二检测模块206检测到ARP报文不符合预设的安全规则时,丢弃ARP报文。
进一步的,接入网关还包括以下模块:
反向请求模块208,用于向ARP报文的发送方返回ARP响应报文,并向ARP报文的发送方发送第二ARP请求报文;
表项处理模块209,用于在反向请求模块208向ARP报文的发送方发送第二ARP请求报文时,根据ARP报文的源信息创建ARP表项,并标记ARP表项为未完成状态,并在接收到第二ARP请求报文对应的第二ARP响应报文时,标记ARP表项为完成状态。
进一步的,接入网关还包括以下模块:
第二判断模块210,用于当识别模块205识别ARP报文为ARP请求报文,且第一检测模块202检测存在ARP表项时,判断ARP表项是否为网关ARP表项或代理ARP表项,当第二判断模块210的判断结果为是时,将该ARP报文转发给第一判断模块203进行处理,当第二判断模块210的判断结果为否时,将该ARP报文转发给丢弃模块207进行处理;;
进一步的,接入网关还包括以下模块:
第三判断模块211,用于当识别模块205识别ARP报文为ARP响应报文,且第一检测模块202检测存在ARP表项时,判断ARP表项的状态是否为未完成状态,当第三判断模块211的判断结果为是时,将该ARP报文转发给第一判断模块203进行处理,当第三判断模块211的判断结果为否时,将该ARP报文转发给状态标记模块212进行处理;
状态标记模块212,用于根据所述第三判断模块的判断结果对ARP表项进行状态标记处理,当ARP表项的状态是否为未完成状态时,状态标记模块212标记该ARP表项为完成状态。
进一步的,接入网关还包括以下模块:
更新模块213,用于当第一判断模块203判断ARP表项的第二信息与ARP报文的第二信息相同时,更新相对应ARP表项的老化时间。
进一步的,丢弃模块207,还用于当第一检测模块202检测到不存在ARP表项时,丢弃ARP报文。
接收模块201,还用于接收认证服务器发送的至少一个用户端的认证通过消息,或接收认证服务器发送的至少一个用户端的下线通知消息;
表项处理模块209,还用于根据接收模块201接收到的认证通过消息中所包括的至少一个用户端的信息,生成至少一个ARP表项,或根据接收模块201接收到的至少一个用户端的下线通知消息,删除至少一个用户端所对应的至少一个ARP表项。
上述模块可以合并为一个模块,也可以进一步拆分成多个子模块,这样的变化并不影响本发明的保护范围。
本发明实施例的技术方案具有以下优点,因为采用了整网联动的根据多种绑定信息进行报文验证的接入网关,从而,实现了根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要人工控制,达到了降低网络维护难度,提高网络安全性的效果。
对于本发明实施例一所提出的技术方案,主要是实现在接入网关中,为了更充分的通过整网联动实现对ARP攻击的防范,本发明实施例三进一步提出了应用在交换机上的一种ARP攻击防范方法,其流程示意图如图3所示,包括以下步骤:
步骤S301、当接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,交换机检测发送方的第二地址是否与预存的接入网关的第二地址相同;
当ARP报文的发送方的第二地址与预存的接入网关的第二地址不同时,执行步骤S302;
当ARP报文的发送方的第二地址与预存的接入网关的第二地址相同时,执行步骤S303。
步骤S302、交换机丢弃该ARP报文
步骤S303、交换机向ARP报文的目的地址转发ARP报文。
在本实施例所提出的方法中,当第一地址为IP地址时,第二地址为MAC地址;当第一地址为MAC地址时,第二地址为IP地址。
本发明实施例的技术方案具有以下优点,因为采用了交换机根据多种绑定信息进行报文验证的方法,从而,实现了根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要进行人工维护,达到了降低网络维护难度,提高网络安全性的效果。
对应本发明实施例三所提出的技术方案,本发明实施例四提出了一种交换机,以实现上述方案,其结构示意图如图4所示,具体包括以下模块:
接收模块41,用于接收ARP报文;
检测模块42,用于当接收模块41所接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,检测发送方的第二地址是否与预存的接入网关第二地址相同;
丢弃模块43,用于当检测模块42检测到ARP报文的发送方的第二地址与预存的接入网关第二地址不同时,丢弃ARP报文。
进一步的,交换机中还包括:
转发模块44,用于当检测模块42检测到ARP报文的发送方的第二地址与预存的接入网关第二地址相同时,向ARP报文的目的地址转发ARP报文。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块,这样的变化并不影响本发明的保护范围。
在以上本发明各实施例所提出的技术方案的基础上,本发明实施例五提出了一种通信网络,其结构示意图和网络部署示意图分别如图5和图6所示,包括交换机2、接入网关3和认证服务器4,结合具体的实施场景,该通信网络中还包括用户端1,对系统中各设备说明如下:
用户端1,包括认证客户端,用于通过用户端1的IP地址和/或MAC地址向认证服务器4进行认证。
其中,用户端1在实际应用中是指需要保护ARP攻击的用户终端,可以是普通的Windows主机,用户端1上需要安装与认证服务器4相对应的认证客户端。
交换机2,用于当用户端1认证通过时,根据用户端1对应的接入网关3的信息,生成检验表项,并根据检验表项过滤接收到的ARP报文。
其中,交换机2在实际应用中具体可以是指普通的二层或者三层交换机,但是需要该交换机支持MAC地址、IP地址、VLAN绑定。
接入网关3,用于当用户端1认证通过时,接收认证服务器4发送的认证通过消息,并根据用户端1的信息保存相对应的ARP表项,并根据ARP表项过滤接收到的ARP报文。
其中,接入网关3在实际应用中需要支持与认证服务器4或由多个认证服务器4组成的认证服务器群进行联动功能。
进一步的,接入网关3还用于识别接收到的ARP报文的类型,并根据该ARP报文的类型识别结果,对该ARP报文进行处理;当判断ARP表项与接收到的ARP报文中的信息不一致时,接入网关3还用于丢弃该ARP报文,并记录攻击日志。
认证服务器4,用于对用户端1进行认证,并在认证成功后,将用户端1的信息通过认证通过消息发送给接入网关3。
其中,认证服务器4在实际应用中是用于提供用户安全认证的服务器。需要安装认证服务器软件,并可以通过用户端1上安装的认证客户端所上报的认证信息,对用户端1进行认证。在具体网络中,可以包含多个认证服务器,组成认证服务器群。
本发明实施例的技术方案具有以下优点,因为采用了整网联动的根据多种绑定信息进行报文验证的系统,从而,实现了根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要进行人工维护,达到了降低网络维护难度,提高网络安全性的效果。
如上图基于上述本发明实施例五所提出的通信系统,本发明实施例六提出了相应的实现方案,为了实现通过整网联动来对用户进行认证,并对认证成功的用户及其他网络设备进行ARP攻击的防范,从而保证接入用户正常上网,防止被ARP攻击导致用户断线,对本通信网络中各个相关设备的实现方案说明如下:
用户端1所对应的接入用户主机需要安装与认证服务器4相对应的认证客户端,该客户端主要功能是:利用用户主机的MAC地址向认证服务器4进行认证,认证通过后能把接入网关IP和接入网关MAC进行静态绑定,当用户端1受到ARP攻击后,将该攻击的信息以攻击日志的形式上报给认证服务器或认证服务器群,为管理员提供分析的数据信息。
需要指出的是,具体的认证过程也可以是利用用户主机的IP地址向认证服务器4进行认证,这样的变化并不影响本发明的保护范围。
具体的,在实际应用中,用户端1中的认证客户端也可以采用用户名和密码的方式进行认证,但是,此方式需要在发送给认证服务器的认证报文中带上主机的MAC地址和IP地址。
以上所说明的是认证客户端在本方案中需要实现的功能,在实际应用中,该客户端还可以具有其他功能,实现多种功能的组合,这样的变化并不影响本发明的保护范围。
交换机2需要支持IP和MAC绑定,在本发明实施例中所提及的交换机中的绑定功能是通过类似交换机端口转发表的表项来实现的,该表项中包括IP、MAC、VLAN等基本信息。交换机2把接入网关3的IP和MAC地址进行绑定,对于收到是接入网关的IP,但是MAC与绑定表不一致的ARP报文,或MAC地址一致但IP地址不同的ARP报文,在交换机2中实现丢弃功能,不进行转发,防止接入用户或接入网关被伪造的ARP报文欺骗,造成ARP攻击。
接入网关3需要支持与认证服务器4或有多个认证服务器组成的认证服务器群进行联动,提供安全认证、授权、计费等功能。用户端1通过认证客户端进行认证并通过认证后,认证服务器4向接入网关3发送认证通过指令,接入网关3把认证通过的用户的IP地址、MAC地址、VLAN等信息生成静态的ARP表项。当用户端1下线退出登录时,认证服务器4向接入网关3发送用户下线指令,接入网关3把该用户的IP地址、VLAN和MAC地址对应的静态ARP表项清除。
认证服务器4或认证服务器群需要安装认证服务器软件,可以与安全接入网关进行联动。而且,提供安全认证功能。
基于上述的网络设置,本发明实施例七进一步给出具体的实现流程,如图7所示,为用户端的认证流程示意图,在用户端上线,或希望接入通信网络时,发起具体的用户端认证流程,具体包括以下步骤:
步骤S701、用户端发送认证请求报文。
用户端通过安装的认证客户端向认证服务器发送认证请求报文,在该认证请求报文中,携带用户端的IP地址或MAC地址作为认证信息。
步骤S702、认证服务器根据认证请求报文对用户端进行认证。
具体的认证规则可以根据实际的应用情况进行设置和调整。
认证通过后,执行步骤S703和步骤S705。
需要指出的是,步骤S703和步骤S705是认证服务器在完成认证后向两个设备分别发送消息的步骤,没有必然的先后顺序,可以同时进行,也可以优先进行其中的任意一项,这样的变化并不影响本发明的保护范围。
步骤S703、认证服务器向用户端发送认证通过消息。
该消息中携带认证通过的用户端所对应的接入网关的MAC地址和IP地址。
步骤S704、用户端收到该认证通过消息,并根据该消息进行接入网关的MAC地址和IP地址的绑定。
即存储接入网关的MAC地址和IP地址的对应关系。
该对应关系通过静态绑定的方式实现,在本次认证的有效时间范围内,该对应关系不发生变化。
需要进一步指出的是,在该认证通过消息向用户端发送的过程中,转发该消息的交换机根据该认证通过消息保存了接入网关信息,即同样对接入网关的IP地址和MAC地址进行绑定,从而实现后续的报文过滤。
步骤S705、认证服务器向接入网关发送认证通过消息。
该消息中携带认证通过的用户端的MAC地址、IP地址和VLAN信息等信息。
步骤S706、接入网关根据收到的认证通过消息,把认证通过的用户端的IP地址、MAC地址、VLAN等信息生成静态的ARP表项。
至此,用户端的接入认证流程结束,在接入网关中保存了用户端的信息,交换机和用户端中保存了接入网关的信息,通过这样的信息,实现对各自接收到的ARP报文的过滤,从而,实现对ARP攻击的防范。
进一步的,本发明实施例八提出了基于上述通信网络系统的ARP攻击防范流程,分为对伪造的用户ARP报文的防范流程和对伪造的网关ARP报文的防范流程,其流程示意图分别如图8和图9所示。
其中,对伪造的用户ARP报文的防范流程如图8所示,包括以下步骤:
步骤S801、ARP攻击者构造正常用户的ARP报文,并通过交换机向接入网关发送。
该ARP报文可能是ARP请求报文或ARP响应报文。
步骤S802、接入网关根据已保存的ARP表项对接收到的ARP报文进行验证和过滤。
接入网关根据ARP报文的信息查找已保存的ARP表项中是否存在相对应的表项,并判断信息内容和表项内容是否一致。
如果存在对应表项,但信息内容和表项内容不一致,则判断该报文为ARP攻击,记录攻击日志,并向认证服务器上报。
如果不存在对应表项,且该ARP报文为ARP响应报文或发向别的接入网关的ARP请求报文,则直接丢弃该报文。
如果不存在对应表项,且该ARP报文为发向本接入网关ARP请求报文,则返回响应报文,但不学习ARP表项,并向该ARP请求报文的发送方反向发送ARP请求报文,等待响应再做进一步处理,具体的处理过程在后续的实施例中进行详细说明,本实施例不再赘述。
进一步的,对伪造的网关ARP报文的防范流程如图9所示,包括以下步骤:
步骤S901、ARP攻击者构造接入网关的ARP报文,并通过交换机向接入网关发送。
步骤S902、交换机根据预先保存的网关IP地址和MAC地址信息对接收到的ARP报文进行过滤。
即将接收到的ARP报文的IP地址和MAC地址与预先保存的网关IP地址和MAC地址信息进行比较,只有当IP地址和MAC地址完全一致的情况下,交换机放行该ARP报文,向相应用户端进行转发,如果IP地址和MAC地址中有任意一个信息不一致或两个信息都不相同时,则直接丢弃该报文,不进行转发。
在具体的实现过程中,可以是优先比较接收到的ARP报文的IP地址信息或MAC地址信息,也可以使同时比较,这样的变化并不影响本发明的保护范围。
步骤S903、用户端根据预先保存的网关IP地址和MAC地址信息对接收到的ARP报文进行过滤。
即将接收到的ARP报文的IP地址和MAC地址与预先保存的网关IP地址和MAC地址信息进行比较,如果存在任意一个信息或多个信息不一致时,则判断该ARP报文为ARP攻击,记录攻击日志,并向认证服务器上报。
需要进一步指出的是,在用户端中保存网关IP地址和MAC地址信息的对应关系不仅可以防范接收到的报文所导致的ARP攻击,同时,也可以防止用户端内部由于系统漏洞或其他程序向外发送伪造的ARP报文,以及ARP攻击者通过本用户端向外发送伪造的ARP报文,从而进一步提高网络安全型,并降低了网络减缓设备的过滤负担。
对于上述的技术方案,由于采用整网联动的安全策略,实现了多个设备分别针对ARP攻击的防范,其中,接入网关中的报文过滤流程最为复杂,同时也最为关键,因此,本发明实施例九详细给出了接入网关的报文过滤流程,其流程示意图如图10所示,具体包括以下步骤:
步骤S1001、接入网关识别接收到的ARP报文的报文类型。
当接收到的ARP报文为ARP请求报文时,执行步骤S1002;
当接收到的ARP报文为ARP响应报文时,执行步骤S1010。
步骤S1002、接入网关检测该ARP请求报文是否符合预设的安全规则。
当该ARP请求报文不符合预设的安全规则时,执行步骤S1003;
当该ARP请求报文符合预设的安全规则时,执行步骤S1004。
其中,预设的安全规则具体包括以下内容中的一项或多项:
ARP请求报文的源MAC为单播地址;
ARP请求报文的ETH头的源MAC与ARP请求报文的发送方MAC相同;
ARP请求报文的目的IP地址为防火墙地址。
在具体的实现过程中,上述安全策略可以根据需要进一步添加新的安全规则,这样的变化同样属于本发明的保护范围。
步骤S1003、接入网关丢弃该ARP报文。
步骤S1004、接入网关根据接收到的ARP请求报文的IP地址信息,检测预存的至少一个ARP表项中是否存在包含相同IP地址信息的ARP表项。
其中,预存的至少一个ARP表项是根据前述本发明实施例七中的认证流程生成的。
而本步骤中所提及的表项检测依据为ARP请求报文的IP地址信息,在实际应用中,也可以采用ARP请求报文的MAC地址信息进行检测,并且,还可以进一步加上该ARP请求报文的接收端口信息和VLAN信息等其他信息,这样,可以实现表项的精确快速查找,这样的变化并不影响本发明的保护范围。
当检测结果为否时,执行步骤S1005;
当检测结果为是时,执行步骤S1006。
步骤S1005、接入网关向该ARP请求报文的发送方返回ARP响应报文,并发送反向ARP请求报文。
在此过程中,接入网关还根据ARP报文的源信息创建ARP表项,并标记该ARP表项为未完成状态。
在此步骤之后,接入网关等待该反向ARP请求报文的响应,当接收到相关响应报文时,则执行步骤S1001进行进一步处理。
步骤S1006、接入网关判断查找到的ARP表项是否为网关ARP表项或代理ARP表项。
当ARP表项不是网关ARP表项或代理ARP表项时,执行步骤S1003;
当ARP表项是网关ARP表项或代理ARP表项时,执行步骤S1007。
其中,网关ARP表项具体是指本接入网关或接收该ARP报文的接口所对应的ARP表项,即对应本地处理的ARP表项;而代理ARP表项具体是指本接入网关可关联的或非接收该ARP报文的接口所对应的ARP表项,即对应非本地处理的ARP表项,这样的表项可以由本地进行代理处理。
步骤S1007、接入网关判断该ARP表项所记录的MAC地址信息是否与该ARP请求报文的MAC地址信息相同。
当ARP表项的MAC地址信息与ARP报文的MAC地址信息相同时,执行步骤S1008。
当ARP表项的MAC地址信息与ARP报文的MAC地址信息不同时,执行步骤S1009。
在前述的步骤S1004中,如果采用的检测依据是MAC地址信息,则本步骤中的进一步判断依据则改为IP地址信息,这样的变化并不影响本发明的保护范围。
步骤S1008、接入网关更新该ARP表项的老化时间。
通过本步骤可以记录该ARP表项的最后确认时间,从而为网络中的表项管理提供依据。
在本步骤完成之后,接入网关还可以根据ARP请求报文向该ARP请求报文的发送方返回ARP响应报文。
需要进一步指出的是,返回ARP响应报文只是本发明实施例根据具体应用场景需求而做出的处理,是否返回ARP响应报文并不影响本发明的保护范围。
步骤S1009、接入网关记录攻击日志。
在本步骤执行完成后,还可以包括向服务器上报攻击日志,为管理员提供管理数据依据。
进一步的,本步骤执行后,还可以转回执行步骤S1005,这样的变化同样属于本发明的保护范围。
步骤S1010、接入网关检测该ARP响应报文是否符合预设的安全规则。
当该ARP响应报文不符合预设的安全规则时,执行步骤S1003;
当该ARP响应报文符合预设的安全规则时,执行步骤S1011。
其中,预设的安全规则具体为:
ARP响应报文的源MAC为单播地址。
在具体的实现过程中,上述安全策略可以根据需要进一步添加新的安全规则,这样的变化同样属于本发明的保护范围。
步骤S1011、接入网关根据接收到的ARP响应报文的源IP地址信息,检测预存的至少一个ARP表项中是否存在包含相同IP地址信息的ARP表项。
其中,预存的至少一个ARP表项是根据前述本发明实施例七中的认证流程生成的,也可能是上述步骤S1005中所生成的未完成状态的ARP表项。
而本步骤中所提及的表项检测依据为ARP响应报文的源IP地址信息,在实际应用中,也可以采用ARP响应报文的MAC地址信息进行检测,并且,还可以进一步加上该ARP响应报文的接收端口信息和VLAN信息等其他信息,这样,可以实现表项的精确快速查找,这样的变化并不影响本发明的保护范围。
当检测结果为是时,执行步骤S1012;
当检测结果为否时,执行步骤S1003。
步骤S1012、接入网关判断该ARP表项是否为未完成状态。
当接入网关判断该ARP表项是未完成状态时,执行步骤S1013;
当接入网关判断该ARP表项不是未完成状态时,即接入网关判断该ARP表项是完成状态时,执行步骤S1014。
步骤S1013、接入网关标记该ARP表项为完成状态。
通过此步骤,可以实现在步骤S1005中所生成的ARP表项的确认,即通过反向ARP请求报文实现对ARP请求报文的发送方的身份确认,并在确认后,学习该ARP表项信息,而在此之前,基于对接收到的ARP报文的不信任原则,不会根据该ARP报文添加ARP表项,从而,确保了ARP表项信息的准确,提高了网络识别的准确性。
步骤S1014、接入网关判断该ARP表项所记录的MAC地址信息是否与该ARP响应报文的MAC地址信息相同。
当ARP表项的MAC地址信息与ARP响应报文的MAC地址信息相同时,执行步骤S1015。
当ARP表项的MAC地址信息与ARP响应报文的MAC地址信息不同时,执行步骤S1016。
在前述的步骤S1011中,如果采用的检测依据是MAC地址信息,则本步骤中的进一步判断依据则改为IP地址信息,这样的变化并不影响本发明的保护范围。
步骤S1015、接入网关更新该ARP表项的老化时间。
通过本步骤可以记录该ARP表项的最后确认时间,从而为网络中的表项管理提供依据。
步骤S1016、接入网关记录攻击日志。
在本步骤执行完成后,还可以包括向服务器上报攻击日志,为管理员提供管理数据依据。
本发明实施例的技术方案具有以下优点,因为采用了接入网关根据多种绑定信息进行报文验证的方法,从而,实现了认证信息的自动生成和应用,并根据至少包括第一信息和第二信息的认证信息对ARP报文进行多重过滤,防御ARP攻击,不需要进行人工维护,达到了降低网络维护难度,提高网络安全性的效果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (26)
1、一种地址解析协议ARP攻击防范方法,其特征在于,包括以下步骤:
接收ARP报文,根据所述ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;
当存在所述ARP表项时,判断所述ARP表项中的第二信息是否与所述ARP报文的第二信息相同;
当所述ARP表项的第二信息与所述ARP报文的第二信息不同时,丢弃所述ARP报文,并记录攻击日志。
2、如权利要求1所述的方法,其特征在于,所述接收ARP报文,根据所述ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项之前,还包括:
识别所述ARP报文的报文类型;
根据所述报文类型的识别结果,检测所述ARP报文是否符合预设的安全规则;
当所述ARP报文符合所述预设的安全规则时,根据接收到的所述ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项。
3、如权利要求2所述的方法,其特征在于,所述预设的安全规则,具体包括:
当所述ARP报文为ARP请求报文时,所述ARP报文的源MAC为单播地址,或,所述ARP报文的ETH头的源MAC与所述ARP报文的发送方MAC相同,或,所述ARP报文的目的IP地址为防火墙地址;
当所述ARP报文为ARP响应报文时,所述ARP报文的目的MAC为单播地址。
4、如权利要求1或2所述的方法,其特征在于,
当所述ARP报文为ARP请求报文时,所述第一信息为所述ARP报文的目的IP地址,或所述ARP报文的接入端口,或所述ARP报文的VLAN信息,所述第二信息具体为所述ARP报文的源MAC地址;
当所述ARP报文为ARP响应报文时,所述第一信息为所述ARP报文的源IP地址,或所述ARP报文的VLAN信息,所述第二信息为所述ARP报文的源MAC地址。
5、如权利要求1或2所述的方法,其特征在于,
当所述ARP报文为ARP请求报文时,所述第一信息为所述ARP报文的目的MAC地址,或所述ARP报文的接入端口,或所述ARP报文的VLAN信息,所述第二信息为所述ARP报文的源IP地址;
当所述ARP报文为ARP响应报文时,所述第一信息为所述ARP报文的源MAC地址,或所述ARP报文的VLAN信息,所述第二信息为所述ARP报文的源IP地址。
6、如权利要求1或2所述的方法,其特征在于,当识别所述ARP报文为ARP请求报文时,所述根据接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项之后,还包括:
当不存在所述ARP表项时,向所述ARP报文的发送方返回ARP响应报文;
向所述ARP报文的发送方发送第二ARP请求报文;
根据所述ARP报文的源信息创建ARP表项,并标记所述ARP表项为未完成状态。
7、如权利要求6所述的方法,其特征在于,当识别所述ARP报文为ARP请求报文时,所述根据接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项之后,还包括:
当存在所述ARP表项时,判断所述ARP表项是否为接入网关ARP表项或代理ARP表项;
当所述ARP表项不是接入网关ARP表项或代理ARP表项时,丢弃所述ARP报文;当所述ARP表项是网关ARP表项或代理ARP表项时,判断所述ARP表项的第二信息是否与所述ARP报文的第二信息相同。
8、如权利要求1或2所述的方法,其特征在于,当识别所述ARP报文为ARP请求报文,且所述ARP表项的第二信息与所述ARP报文的第二信息不同时,记录攻击日志之后,还包括:
向所述ARP报文的发送方返回ARP响应报文;
向所述ARP报文的发送方发送第二ARP请求报文;
根据所述ARP报文的源信息创建ARP表项,并标记所述ARP表项为未完成状态。
9、如权利要求1或2所述的方法,其特征在于,当识别所述ARP报文为ARP响应报文时,根据接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项之后,还包括:
当不存在所述ARP表项时,丢弃所述ARP报文。
10、如权利要求1或2所述的方法,其特征在于,当存在所述ARP表项时,判断所述ARP表项的第二信息是否与所述ARP报文的第二信息相同之前,还包括:
当识别所述ARP报文为ARP响应报文时,判断所述ARP表项的状态是否为未完成状态;
当所述ARP表项的状态为未完成状态时,标记所述ARP表项为完成状态;当所述ARP表项的状态为完成状态时,判断所述ARP表项的第二信息是否与所述ARP报文的第二信息相同。
11、如权利要求1所述的方法,其特征在于,所述判断ARP表项的第二信息是否与所述ARP报文的第二信息相同之后,还包括:
当所述ARP表项的第二信息与所述ARP报文的第二信息相同时,更新所述ARP表项的老化时间。
12、如权利要求1所述的方法,其特征在于,所述预存的至少一个ARP表项是根据认证服务器发送的至少一个用户短的认证通过消息生成,所述认证服务器发送的至少一个用户端的认证通过消息,具体通过以下步骤生成:
所述认证服务器接收所述至少一个用户端通过认证客户端发送的认证请求;
所述认证服务器根据所述认证请求,对所述至少一个用户端进行认证;
当对所述至少一个用户端认证通过时,向所述至少一个用户端和所述至少一个用户端所对应的接入网关发送认证通过消息,所述认证通过消息中包括所述至少一个用户端的信息和所述至少一个用户端所对应的接入网关的信息。
13、一种接入网关,其特征在于,包括:
接收模块,用于接收ARP报文;
第一检测模块,根据所述接收模块所接收到的ARP报文的第一信息,检测预存的至少一个ARP表项中是否存在包含相同第一信息的ARP表项;
第一判断模块,用于当所述第一检测模块检测到存在所述ARP表项时,判断所述ARP表项中的第二信息是否与所述ARP报文的第二信息相同;
记录模块,用于当所述第一判断模块判断所述ARP表项的第二信息与所述ARP报文的第二信息不同时,记录攻击日志。
14、如权利要求13所述的接入网关,其特征在于,还包括:
识别模块,用于识别所述接收模块所接收的ARP报文的报文类型;
第二检测模块,用于根据所述识别模块的报文类型识别结果,检测所述接收模块所接收的ARP报文是否符合预设的安全规则;
丢弃模块,用于当所述第二检测模块检测到所述ARP报文不符合所述预设的安全规则时,丢弃所述ARP报文。
15、如权利要求14所述的接入网关,其特征在于,还包括:
反向请求模块,用于向所述ARP报文的发送方返回ARP响应报文,并向所述ARP报文的发送方发送第二ARP请求报文;
表项处理模块,用于在所述反向请求模块向所述ARP报文的发送方发送第二ARP请求报文时,根据所述ARP报文的源信息创建ARP表项,并标记所述ARP表项为未完成状态,并在接收到所述第二ARP请求报文对应的第二ARP响应报文时,标记所述ARP表项为完成状态。
16、如权利要求14所述的接入网关,其特征在于,还包括:
第二判断模块,用于当所述识别模块识别所述ARP报文为ARP请求报文,且所述第一检测模块检测存在所述ARP表项时,判断所述ARP表项是否为网关ARP表项或代理ARP表项,当所述第二判断模块的判断结果为是时,将所述ARP报文转发给所述第一判断模块进行处理,当所述第二判断模块的判断结果为否时,将所述ARP报文转发给所述丢弃模块进行处理。
17、如权利要求14所述的接入网关,其特征在于,还包括:
第三判断模块,用于当所述识别模块识别所述ARP报文为ARP响应报文,且所述第一检测模块检测存在所述ARP表项时,判断所述ARP表项的状态是否为未完成状态,当所述第三判断模块的判断结果为是时,将所述ARP报文转发给所述第一判断模块进行处理,当所述第三判断模块的判断结果为否时,将所述ARP报文转发给状态标记模块进行处理;
所述状态标记模块,用于根据所述第三判断模块的判断结果对ARP表项进行状态标记处理。
18、如权利要求14所述的接入网关,其特征在于,还包括:
更新模块,用于当所述第一判断模块判断所述ARP表项的第二信息与所述ARP报文的第二信息相同时,更新所述ARP表项的老化时间。
19、如权利要求13、14或15所述的接入网关,其特征在于,
所述丢弃模块,还用于当所述第一检测模块检测到不存在所述ARP表项时,丢弃所述ARP报文;
所述接收模块,还用于接收认证服务器发送的至少一个用户端的认证通过消息,或接收所述认证服务器发送的至少一个用户端的下线通知消息;
所述表项处理模块,还用于根据所述接收模块接收到的认证通过消息中所包括的至少一个用户端的信息,生成所述至少一个ARP表项,或根据所述接收模块接收到的至少一个用户端的下线通知消息,删除所述至少一个用户端所对应的至少一个ARP表项。
20、一种ARP攻击防范方法,其特征在于,包括以下步骤:
当接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,检测所述发送方的第二地址是否与预存的接入网关第二地址相同;
当所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址不同时,丢弃所述ARP报文。
21、如权利要求20所述的方法,其特征在于,还包括:
当所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址相同时,向所述ARP报文的目的地址转发所述ARP报文。
22、如权利要求20或21所述的方法,其特征在于,
当所述第一地址为IP地址时,所述第二地址为MAC地址;
当所述第一地址为MAC地址时,所述第二地址为IP地址。
23、一种交换机,其特征在于,包括:
接收模块,用于接收ARP报文;
检测模块,用于当所述接收模块所接收到的ARP报文的发送方的第一地址为接入网关的第一地址时,检测所述发送方的第二地址是否与预存的接入网关第二地址相同;
丢弃模块,用于当所述检测模块检测到所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址不同时,丢弃所述ARP报文。
24、如权利要求23所述的交换机,其特征在于,还包括:
转发模块,用于当所述检测模块检测到所述ARP报文的发送方的第二地址与所述预存的接入网关第二地址相同时,向所述ARP报文的目的地址转发所述ARP报文。
25、一种通信网络,其特征在于,包括交换机、接入网关和认证服务器:
所述交换机,用于当用户端通过第一信息和/或第二信息向所述服务器认证通过时,根据所述用户端对应的接入网关的信息,生成检验表项,并根据所述检验表项过滤接收到的ARP报文;
所述接入网关,用于当所述用户端认证通过时,接收所述认证服务器发送的认证通过消息,并根据所述用户端的信息保存相对应的ARP表项,并根据所述ARP表项过滤接收到的ARP报文;
所述认证服务器,用于对所述用户端进行认证,并在认证成功后,将所述用户端的信息通过认证通过消息发送给所述接入网关。
26、如权利要求25所述的通信网络,其特征在于,
所述接入网关,还用于识别接收到的ARP报文的类型,并根据所述ARP报文的类型识别结果,对所述ARP报文进行处理;当判断所述ARP表项与所述接收到的ARP报文中的信息不一致时,所述接入网关还用于丢弃所述ARP报文,并记录攻击日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810191760XA CN101488951A (zh) | 2008-12-31 | 2008-12-31 | 一种地址解析协议攻击防范方法、设备和通信网络 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810191760XA CN101488951A (zh) | 2008-12-31 | 2008-12-31 | 一种地址解析协议攻击防范方法、设备和通信网络 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101488951A true CN101488951A (zh) | 2009-07-22 |
Family
ID=40891629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200810191760XA Pending CN101488951A (zh) | 2008-12-31 | 2008-12-31 | 一种地址解析协议攻击防范方法、设备和通信网络 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101488951A (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012075850A1 (zh) * | 2010-12-07 | 2012-06-14 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
WO2016119420A1 (zh) * | 2015-01-26 | 2016-08-04 | 中兴通讯股份有限公司 | 一种对网络资源的恶意访问检测方法、装置及通信网关 |
WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN108259294A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 报文处理方法及装置 |
CN108418794A (zh) * | 2018-01-29 | 2018-08-17 | 全球能源互联网研究院有限公司 | 一种智能变电站通信网络抵御arp攻击的方法及系统 |
CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
CN112165483A (zh) * | 2020-09-24 | 2021-01-01 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
CN114826680A (zh) * | 2022-03-30 | 2022-07-29 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
CN114244801B (zh) * | 2021-12-31 | 2023-05-05 | 四川天邑康和通信股份有限公司 | 一种基于政企网关的防arp欺骗方法及系统 |
-
2008
- 2008-12-31 CN CNA200810191760XA patent/CN101488951A/zh active Pending
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012075850A1 (zh) * | 2010-12-07 | 2012-06-14 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
CN104333552B (zh) * | 2014-11-04 | 2017-11-24 | 福建星网锐捷网络有限公司 | 一种认证确定方法及接入设备 |
CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
CN104601566B (zh) * | 2015-01-08 | 2018-07-24 | 新华三技术有限公司 | 认证方法以及装置 |
WO2016119420A1 (zh) * | 2015-01-26 | 2016-08-04 | 中兴通讯股份有限公司 | 一种对网络资源的恶意访问检测方法、装置及通信网关 |
CN105897664A (zh) * | 2015-01-26 | 2016-08-24 | 中兴通讯股份有限公司 | 一种对网络资源的恶意访问检测方法、装置及通信网关 |
CN104883360B (zh) * | 2015-05-05 | 2018-05-18 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
CN106209661B (zh) * | 2015-05-07 | 2020-06-05 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106209661A (zh) * | 2015-05-07 | 2016-12-07 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN105262738B (zh) * | 2015-09-24 | 2019-08-16 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
CN108259294A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 报文处理方法及装置 |
CN108259294B (zh) * | 2017-02-28 | 2021-01-26 | 新华三技术有限公司 | 报文处理方法及装置 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN108418794A (zh) * | 2018-01-29 | 2018-08-17 | 全球能源互联网研究院有限公司 | 一种智能变电站通信网络抵御arp攻击的方法及系统 |
CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
CN112165483A (zh) * | 2020-09-24 | 2021-01-01 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
CN114244801B (zh) * | 2021-12-31 | 2023-05-05 | 四川天邑康和通信股份有限公司 | 一种基于政企网关的防arp欺骗方法及系统 |
CN114826680A (zh) * | 2022-03-30 | 2022-07-29 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
CN114826680B (zh) * | 2022-03-30 | 2023-07-07 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101488951A (zh) | 一种地址解析协议攻击防范方法、设备和通信网络 | |
US10264001B2 (en) | Method and system for network resource attack detection using a client identifier | |
CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
US8082578B2 (en) | Intelligent firewall | |
US11451959B2 (en) | Authenticating client devices in a wireless communication network with client-specific pre-shared keys | |
CN101436934B (zh) | 一种控制用户上网的方法、系统及设备 | |
CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
US11405378B2 (en) | Post-connection client certificate authentication | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN104601566B (zh) | 认证方法以及装置 | |
CN109257391A (zh) | 一种访问权限开放方法、装置、服务器及存储介质 | |
CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
CN108924122B (zh) | 一种网络敌我识别方法及系统 | |
CN105162763B (zh) | 通讯数据的处理方法和装置 | |
TWI474668B (zh) | 網點之判斷與阻擋之方法 | |
CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
CN101873216B (zh) | 主机认证方法、数据包发送方法和接收方法 | |
CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
WO2018036221A1 (zh) | 一种无线网络安全认证装置及其方法、一种路由器 | |
WO2009043304A1 (fr) | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission | |
CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
CN102932363A (zh) | 一种内网pc访问外网的控制方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090722 |