CN101494562A - 一种网络设备上终端表项的维护方法和一种网络设备 - Google Patents
一种网络设备上终端表项的维护方法和一种网络设备 Download PDFInfo
- Publication number
- CN101494562A CN101494562A CNA2009101198165A CN200910119816A CN101494562A CN 101494562 A CN101494562 A CN 101494562A CN A2009101198165 A CNA2009101198165 A CN A2009101198165A CN 200910119816 A CN200910119816 A CN 200910119816A CN 101494562 A CN101494562 A CN 101494562A
- Authority
- CN
- China
- Prior art keywords
- table entries
- terminal table
- network equipment
- address
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种网络设备上的终端表项的维护方法和应用该方法的网络设备。该方法应用于开启了ARP欺骗防御功能的网络设备中,包括:网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,相关信息包括终端表项的剩余存活时间以及当前时间的时间戳;网络设备重启后,根据重启后的时间以及相关信息,从非易失性存储介质存储的终端表项中获取有效终端表项;网络设备探测有效终端表项中仍存活的终端表项;网络设备将探测到的仍存活的终端表项恢复到内存中。通过使用本发明,使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免了终端将IP地址释放后再重新获取的过程。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种网络设备上终端表项的维护方法和一种网络设备。
背景技术
随着网络规模的不断扩大,许多网络经常遭受ARP(Address ResolutionProtocol,地址解析协议)攻击,ARP欺骗是ARP攻击的主要方式之一。如网关上一个IP(Internet Protocol,因特网协议)地址应该和MAC(MediumAccess Control,媒体接入控制)地址A对应,而攻击者发送ARP欺骗报文,通知网关该IP地址对应MAC地址B,这样网关给该IP地址发送报文时,会将报文发送到MAC地址B对应的终端,导致用户不能正常访问网络;基于相似的原理,攻击者不仅可以欺骗网关,还可以欺骗其它设备或主机。
目前的网络中用户设备通常使用DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)协议动态获取IP地址。为了防止ARP欺骗,经常使用的方法是二层交换机通过DHCP Snooping(DHCP窥探协议),检测到主机的IP地址、MAC地址、端口号和VLAN(Virtual Local Area Network,虚拟局域网),将上述四个元素绑定得到四元绑定组。二层交换机接收到ARP报文后,如果ARP报文能够和四元绑定组匹配,那么该ARP报文可以被二层交换机转发或接收;如果该ARP报文不匹配四元绑定组或者没有对应的四元绑定组,则二层交换机将该ARP报文丢弃。从而使得二层交换机具备ARP欺骗防御功能。
在网关设备上可以使用DHCP Relay(DHCP中继)同样可以获得绑定的四元绑定组,但也可能是除VLAN之外的其他三个元素,以下为了简便仍通称为四元绑定组。同样网关设备接收到的ARP报文如果和四元绑定组匹配,那么该ARP可以被网关设备转发或接收;如果不匹配,则网关设备将该ARP报文丢弃;如果没有对应的四元绑定组,根据实现不同,可以将ARP报文丢弃,也可能是接受并进行ARP学习。从而使得网关设备具备ARP欺骗防御功能。
现有技术中,以图1所示的组网场景为例,网络中配置了ARP欺骗防御功能的二层交换机未必会和终端直接连接,中间可能存在其他中间设备如二层交换机。而对于网关设备,一般不会和用户终端直接相连,中间同样会存在其他二层交换机。而处在中间的二层交换机由于种种原因,很可能不支持ARP欺骗防御功能,例如成本考虑,或者不是同一公司的产品等等;也有可能不必开启该功能,例如如果网关设备已经开启了ARP欺骗防御功能,则二层交换机上就不必再开启该功能。
以上述图1所示的场景为例,开启ARP欺骗防御功能的二层交换机或网关设备可能存在需要重启动的情况(例如当配置更新或异常故障发生等情况)。当开启ARP欺骗防御功能的设备重新启动之后,用户终端上网接口仍然为连接状态,用户终端不会接收到任何提示,无法感知到设备的重新启动。但是所有用户终端将发现自己不能上网。因为开启ARP欺骗防御功能的设备重新启动后,防ARP欺骗的功能将继续有效,但是重启后设备内存中的四元绑定组将不存在,导致客户端发出的ARP报文被开启了ARP欺骗防御功能的设备拦截并丢弃。
解决该问题的方法在于,由用户终端重现获取IP地址,使得开启ARP欺骗防御功能的二层交换机或网关设备重新建立四元绑定组。但是由于用户终端不会接收到没有任何提示,因此不会意识到需要主动重新获取IP地址。即使用户终端知道,开启ARP欺骗防御功能的二层交换机或网关设备的管理范围内的所有用户都执行释放IP地址并重新获取IP地址的过程,将影响用户终端的上网体验。而对于未开启ARP欺骗防御功能的中间设备,中间设备重启动时用户终端会暂时不能上网,但重新启动后用户终端可以继续上网,不需要释放IP地址和重新获取IP地址的过程。而且在中间设备重新启动的过程中,如果用户终端没有访问网络动作,将不会感知到中间设备重启动,因此大多数用户终端实际上感知不到中间设备重启动。
另外,在开启ARP欺骗防御功能的二层交换机或网关设备上配置防ARP欺骗功能时可以选择:没有与接收到的ARP报文对应的四元绑定组时,允许ARP报文转发学习,这同样不需要用户进行释放IP地址和重新获取IP地址的过程。但是在这种情况下,由于允许ARP报文转发学习,将导致开启ARP欺骗防御功能的二层交换机或网关设备对ARP欺骗报文的转发学习,使得ARP欺骗可以成功。
发明内容
本发明提供一种网络设备上终端表项的维护方法和一种网络设备,用于使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免终端将IP地址释放后再重新获取的繁琐过程。
本发明提供了一种网络设备上终端表项的维护方法,应用于开启了ARP欺骗防御功能的网络设备中,包括:
网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,所述终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,所述相关信息包括所述终端表项的剩余存活时间以及当前时间的时间戳;
所述网络设备重启后,根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项;
所述网络设备探测所述有效终端表项中仍存活的终端表项;
所述网络设备将所述探测到的仍存活的终端表项恢复到内存中。
其中,所述根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项包括:
所述网络设备对于所述非易失性存储介质中保存的终端表项,获取重启后的时间、与所述终端表项的当前时间的时间戳之间的时间间隔,并使用所述终端表项的剩余存活时间减去所述时间间隔的差值作为所述终端表项的更新后的剩余存活时间;
所述网络设备在所述终端表项的更新后的剩余存活时间大于零时,判断所述终端表项为有效终端表项,否则为无效终端表项。
其中,所述网络设备探测所述有效终端表项中仍存活的终端表项包括:
所述网络设备获取所述有效终端表项中的IP地址;
所述网络设备通过所述有效终端表项中的端口号所标识的端口,向所述IP地址发送ARP请求报文,所述ARP请求报文的目的IP地址为所述有效终端表项中的IP地址,目的MAC地址为0;
所述网络设备接收到终端对于所述ARP请求报文的ARP应答报文,且所述ARP应答报文携带的MAC地址与所述有效终端表项中的MAC地址一致时,判断所述有效终端表项仍存活;否则判断所述有效终端表项未存活。
其中,所述网络设备为网关设备时,所述ARP请求报文中的源IP地址为所述网关设备的IP地址;所述网络设备为二层交换机时,所述ARP请求报文中的源IP地址为所述有效终端表项中的IP地址。
其中,所述网络设备根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项前还包括:
所述网络设备重启后,发现从关机到重启动后的时间间隔超过预设的时间阈值时,判断所述非易失性存储介质存储的终端表项中不存在有效终端表项。
本发明还提供一种网络设备,具备ARP欺骗防御功能,包括:
终端表项存储单元,用于定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,所述终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,所述相关信息包括所述终端表项的剩余存活时间以及当前时间的时间戳;
有效终端表项获取单元,用于当所述网络设备重启后,根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项;
存活终端表项探测单元,用于探测所述有效终端表项获取单元获取到的有效终端表项中仍存活的终端表项;
终端表项恢复单元,用于将所述存活终端表项探测单元探测到的仍存活的终端表项恢复到内存中。
其中,所述有效终端表项获取单元包括:
时间间隔获取子单元,用于对于所述非易失性存储介质中保存的终端表项,获取重启后的时间、与所述终端表项的当前时间的时间戳之间的时间间隔;
有效终端表项判断子单元,用于使用所述终端表项的剩余存活时间减去所述时间间隔获取子单元获取的时间间隔的差值作为所述终端表项的更新后的剩余存活时间,在所述终端表项的更新后的剩余存活时间大于零时,判断所述终端表项为有效终端表项,否则为无效终端表项。
其中,所述存活终端表项探测单元包括:
IP地址获取子单元,用于获取所述有效终端表项中的IP地址;
ARP请求报文发送子单元,用于通过所述有效终端表项中的端口号所标识的端口,向所述IP地址发送ARP请求报文,所述ARP请求报文的目的IP地址为所述终端表项中的IP地址,目的MAC地址为0;
存活终端表项判断子单元,用于接收到终端对于所述ARP请求报文的ARP应答报文,且所述ARP应答报文携带的MAC地址与所述终端表项中的MAC地址一致时,判断所述有效终端表项仍存活;否则判断所述有效终端表项未存活。
其中,所述ARP请求报文发送子单元发送的ARP请求报文中,所述网络设备为网关设备时,所述ARP请求报文中的源IP地址为所述网关设备的IP地址;所述网络设备为二层交换机时,所述ARP请求报文中的源IP地址为所述有效终端表项中的IP地址。
其中,还包括:
重启时间判断单元,用于在重启后,发现从关机到重启动后的时间间隔超过预设的时间阈值时,判断所述非易失性存储介质存储的终端表项中不存在有效终端表项。
与现有技术相比,本发明具有以下优点:
本发明提供的技术方案中,由网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,并在重启后根据存储的相关信息从非易失性存储介质中获取有效的终端表项、根据对有效终端表项的探测结果获取仍存活的有效终端表项,并恢复到内存中。通过使用本发明,使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免了终端将IP地址释放后再重新获取的过程,不会影响用户终端的上网体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中配置有开启ARP欺骗防御功能的二层交换机或网关设备的网络示意图;
图2是本发明中网络设备上终端表项的维护方法的流程图;
图3是本发明应用场景中网络设备上终端表项的维护方法的流程图;
图4是本发明中网络设备的结构示意图;
图5是本发明中网络设备的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中提供了一种网络设备上终端表项的维护方法,应用于开启了ARP欺骗防御功能的网络设备中,如图2所示,包括:
步骤s201、网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中。其中,终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,相关信息包括终端表项的剩余存活时间以及当前时间的时间戳。
步骤s202、网络设备重启后,根据重启后的时间以及相关信息,从非易失性存储介质存储的终端表项中获取有效终端表项。
步骤s203、网络设备探测有效终端表项中仍存活的终端表项。
步骤s204、网络设备将探测到的仍存活的终端表项恢复到内存中。
通过使用本发明中提供的方法,由网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,并在重启后根据存储的相关信息从非易失性存储介质中获取有效的终端表项、根据对有效终端表项的探测结果获取仍存活的有效终端表项,并恢复到内存中。通过使用本发明,使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免了终端将IP地址释放后再重新获取的过程,不会影响用户终端的上网体验。
以下结合一个具体的应用场景,描述本发明中网络设备上终端表项的维护方法的具体实施方式。
该方法应用于开启了ARP欺骗防御功能的网络设备中,该网络设备可以为二层交换设备或网关设备,如图3所示,该方法包括以下步骤:
步骤s301、网络设备运行过程中,定时将内存中的终端表项以及相关信息保存到非易失性存储介质中。
本应用场景中,以定时保存终端表项的时间间隔为time-interval为例进行说明。具体的,网络设备可以每隔time-interval就将内存中的所有终端表项保存到非易失性存储介质中;也可以每个time-interval到达时,首先判断该time-interval内是否有终端表项发生变化,对于发生变化的终端表项,至更新其中发生变化的内容。另外,在网络设备主动关机或重启时(非异常状况引起的关机或重启)时,网络设备还可以直接立即将内存中的终端表项保存到非易失性存储介质中。无论采用哪一种形式,网络设备都需要记录最近一次存储终端表项的时间戳。
对于终端表项中的内容,至少包括终端的IP地址、MAC地址以及端口号;另外,对于二层交换机,还可以包括终端的VLAN号。终端表项的相关信息可以包括表项的剩余存活时间和存储时的当前时间的时间戳。本应用场景中,非易失性存储介质中存储的终端表项以及相关信息的一个示例如表1所示:
表1非易失性存储介质中存储的终端表项以及相关信息
序号 | IP地址 | MAC地址 | 端口号 | 剩余存活时间 | 当前时间时间戳 |
1 | 1.1.1.2 | 00-E0-60-DC-08-CD | 10 | 30min | 14:00 |
2 | 1.1.1.3 | 00-E0-60-FE-02-D3 | 10 | 10min | 14:00 |
3 | 1.1.1.4 | 00-E0-60-BD-00-5F | 11 | 1h | 14:00 |
...... | ..... | ...... | ...... | ...... | ...... |
步骤s302、网络设备关机或重启。
步骤s303、网络设备重启后,读取非易失性存储介质中存储的终端表项及其相关信息。
步骤s304、网络设备判断读取到的终端表项是否为有效终端表项,是则继续,否则进行步骤s311。
具体的,该有效终端表项的验证可以根据终端表项的相关信息进行。在非易失性存储介质中存储的终端表项中存储有“剩余存活时间”时,网络设备在重启后,可以获取重启后的当前时间、与该终端表项的存储时的当前时间的时间戳之间的时间间隔;并使用终端表项的剩余存活时间减去时间间隔的差值作为该终端表项的更新后的剩余存活时间。当该更新后的剩余存活时间大于零时,网络设备判断终端表项为有效的终端表项;否则为无效的终端表项。以表1中的所示的终端表项1为例,假设终端表项1的存储时间为16:30,设备重新启动后的时间16:45,则重启后的当前时间与该终端表项的存储时间的时间间隔为15min,与终端表项1的剩余存活时间30min相比,小于终端表项1的剩余存活时间,即更新后的终端表项1的剩余存活时间为15min,因此可以判断终端表项1有效。再以表1中的所示的终端表项2为例,假设终端表项2的存储时间为16:30,设备重新启动后的时间16:45,则重启后的当前时间与该终端表项的存储时间的时间间隔为15min,与终端表项2的剩余存活时间10min相比,大于终端表项1的剩余存活时间,即更新后的终端表项2的剩余存活时间为-5min,则说明终端表项2应当已经过期而被老化,因此可以判断终端表项2无效。基于相同的方法,可以对存储的每一终端表项分别进行是否有效的认证。
步骤s305、网络设备根据读取到的有效的终端表项,构造ARP请求报文。
以上述表1中的所示的终端表项1为例,该ARP请求报文的构造方法具体为:网络设备获取终端表项1,将ARP请求报文的目的IP地址填充为所获取的终端表项1中的IP地址(为1.1.1.2);将ARP请求报文的目的MAC地址填充为全0;将ARP请求报文的源MAC地址填充为网络设备自身的MAC地址;对于ARP请求报文的源IP地址,当网络设备为二层交换机时,由于其没有IP地址,因此可以将ARP请求报文的源IP地址填充为终端表项1中的IP地址,或其他IP地址;当网络设备为网关设备时,由于其具有IP地址,因此可以将ARP请求报文的源IP地址填充为网关设备的IP地址。
步骤s306、网络设备将构造的ARP请求报文,通过终端表项中记载的端口号所对应的端口发送。
同样以上述表1中的所示的终端表项1为例,则网络设备将步骤s304中构造的ARP请求报文通过端口号为10的端口发送。
步骤s307、网络设备判断在预设的时间内是否接收到对上述ARP请求报文的ARP响应报文,是则进行步骤s308,否则进行步骤s310。
步骤s308、网络设备判断ARP响应报文中携带的MAC地址是否与终端表项中的MAC地址一致,是则进行步骤s309,否则进行步骤s310。
同样以上述表1中的所示的终端表项1为例,若ARP响应报文中携带的MAC地址为“00-E0-60-DC-08-CD”,则判断ARP响应报文中携带的MAC地址与终端表项中的MAC地址一致,则可以认为该终端表项1仍存活。
步骤s309、网络设备判断该终端表项为仍存活的有效终端表项,恢复到内存中,并进行步骤s311。
步骤s310、网络设备判断该终端表项未存活,进行步骤s311。
步骤s311、网络设备判断非易失性存储介质中是否还存在未读取的终端表项,是则返回步骤s303,否则进行步骤s312。
步骤s312、网络设备判断终端表项的维护结束。
上述流程中以表1中的所示的终端表项1为例,说明了网络设备将非易失性存储介质中的仍存活的有效终端表项恢复到内存中的流程,基于相同的方法,网络设备可以对非易失性存储介质中存储的终端表项逐一进行认证,并将认证结果为仍存活的有效终端表项恢复到内存中。
另外,除了根据“剩余存活时间”进行认证外,还可能存在以下情况:即网络设备从关机到重启动后的时间超过一预设的时间阈值(如30min),该情况下,由于时间较长,网络中的终端应当已经可以感知到网络设备的关机并下线,因此网络设备可以认为最近一次保存的终端表项中不存在有效的终端表项,无需进行恢复。当然,也可以使用图3中所示的构造ARP请求报文的方法对每一终端表项的有效性进行进一步认证。
本发明提供的方法中,由网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,并在重启后根据存储的相关信息从非易失性存储介质中获取有效的终端表项、根据对有效终端表项的探测结果获取仍存活的有效终端表项,并恢复到内存中。通过使用本发明,使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免了终端将IP地址释放后再重新获取的过程,不会影响用户终端的上网体验。
本发明还提供了一种网络设备,具备ARP欺骗防御功能,该网络设备可以为二层交换机或网关设备,如图4所示,该网络设备包括:
终端表项存储单元10,用于定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,相关信息包括终端表项的剩余存活时间以及当前时间的时间戳;
有效终端表项获取单元20,用于当网络设备重启后,根据重启后的时间以及相关信息,从非易失性存储介质存储的终端表项中获取有效终端表项;
存活终端表项探测单元30,用于探测有效终端表项获取单元20获取到的有效终端表项中仍存活的终端表项;
终端表项恢复单元40,用于将存活终端表项探测单元30探测到的仍存活的终端表项恢复到内存中。
本发明的一个实施方式中,如图5所示,
有效终端表项获取单元20可以进一步包括:
时间间隔获取子单元21,用于对于非易失性存储介质中保存的终端表项,获取重启后的时间、与终端表项的当前时间的时间戳之间的时间间隔;
有效终端表项判断子单元22,用于使用终端表项的剩余存活时间减去时间间隔获取子单元21获取的时间间隔的差值作为终端表项的更新后的剩余存活时间,在终端表项的更新后的剩余存活时间大于零时,判断终端表项为有效终端表项,否则为无效终端表项。
存活终端表项探测单元30可以进一步包括:
IP地址获取子单元31,用于获取有效终端表项中的IP地址;
ARP请求报文发送子单元32,用于通过有效终端表项中的端口号所标识的端口,向IP地址发送ARP请求报文,ARP请求报文的目的IP地址为终端表项中的IP地址,目的MAC地址为0;另外,该ARP请求报文中,网络设备为网关设备时,ARP请求报文中的源IP地址为网关设备的IP地址;网络设备为二层交换机时,ARP请求报文中的源IP地址为有效终端表项中的IP地址。
存活终端表项判断子单元33,用于接收到终端对于ARP请求报文发送子单元32发送的ARP请求报文的ARP应答报文,且ARP应答报文携带的MAC地址与终端表项中的MAC地址一致时,判断有效终端表项仍存活;否则判断有效终端表项未存活。
另外,该网络设备中还可以包括:
重启时间判断单元50,用于在重启后,发现从关机到重启动后的时间间隔超过预设的时间阈值时,判断非易失性存储介质存储的终端表项中不存在有效终端表项。
通过使用本发明提供的上述网络设备,由网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,并在重启后根据存储的相关信息从非易失性存储介质中获取有效的终端表项、根据对有效终端表项的探测结果获取仍存活的有效终端表项,并恢复到内存中。通过使用本发明,使得网络设备在保证ARP欺骗防御功能正常运行的同时,避免了终端将IP地址释放后再重新获取的过程,不会影响用户终端的上网体验。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的单元或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
Claims (10)
1、一种网络设备上终端表项的维护方法,应用于开启了ARP欺骗防御功能的网络设备中,其特征在于,包括:
网络设备定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,所述终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,所述相关信息包括所述终端表项的剩余存活时间以及当前时间的时间戳;
所述网络设备重启后,根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项;
所述网络设备探测所述有效终端表项中仍存活的终端表项;
所述网络设备将所述探测到的仍存活的终端表项恢复到内存中。
2、如权利要求1所述的方法,其特征在于,所述根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项包括:
所述网络设备对于所述非易失性存储介质中保存的终端表项,获取重启后的时间、与所述终端表项的当前时间的时间戳之间的时间间隔,并使用所述终端表项的剩余存活时间减去所述时间间隔的差值作为所述终端表项的更新后的剩余存活时间;
所述网络设备在所述终端表项的更新后的剩余存活时间大于零时,判断所述终端表项为有效终端表项,否则为无效终端表项。
3、如权利要求1所述的方法,其特征在于,所述网络设备探测所述有效终端表项中仍存活的终端表项包括:
所述网络设备获取所述有效终端表项中的IP地址;
所述网络设备通过所述有效终端表项中的端口号所标识的端口,向所述IP地址发送ARP请求报文,所述ARP请求报文的目的IP地址为所述有效终端表项中的IP地址,目的MAC地址为0;
所述网络设备接收到终端对于所述ARP请求报文的ARP应答报文,且所述ARP应答报文携带的MAC地址与所述有效终端表项中的MAC地址一致时,判断所述有效终端表项仍存活;否则判断所述有效终端表项未存活。
4、如权利要求3所述的方法,其特征在于,所述网络设备为网关设备时,所述ARP请求报文中的源IP地址为所述网关设备的IP地址;所述网络设备为二层交换机时,所述ARP请求报文中的源IP地址为所述有效终端表项中的IP地址。
5、如权利要求2或3所述的方法,其特征在于,所述网络设备根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项前还包括:
所述网络设备重启后,发现从关机到重启动后的时间间隔超过预设的时间阈值时,判断所述非易失性存储介质存储的终端表项中不存在有效终端表项。
6、一种网络设备,具备ARP欺骗防御功能,其特征在于,包括:
终端表项存储单元,用于定时将内存中的终端表项以及相关信息存储到非易失性存储介质中,所述终端表项中包括终端的IP地址、MAC地址以及端口号的绑定关系,所述相关信息包括所述终端表项的剩余存活时间以及当前时间的时间戳;
有效终端表项获取单元,用于当所述网络设备重启后,根据重启后的时间以及所述相关信息,从所述非易失性存储介质存储的终端表项中获取有效终端表项;
存活终端表项探测单元,用于探测所述有效终端表项获取单元获取到的有效终端表项中仍存活的终端表项;
终端表项恢复单元,用于将所述存活终端表项探测单元探测到的仍存活的终端表项恢复到内存中。
7、如权利要求6所述的网络设备,其特征在于,所述有效终端表项获取单元包括:
时间间隔获取子单元,用于对于所述非易失性存储介质中保存的终端表项,获取重启后的时间、与所述终端表项的当前时间的时间戳之间的时间间隔;
有效终端表项判断子单元,用于使用所述终端表项的剩余存活时间减去所述时间间隔获取子单元获取的时间间隔的差值作为所述终端表项的更新后的剩余存活时间,在所述终端表项的更新后的剩余存活时间大于零时,判断所述终端表项为有效终端表项,否则为无效终端表项。
8、如权利要求6所述的网络设备,其特征在于,所述存活终端表项探测单元包括:
IP地址获取子单元,用于获取所述有效终端表项中的IP地址;
ARP请求报文发送子单元,用于通过所述有效终端表项中的端口号所标识的端口,向所述IP地址发送ARP请求报文,所述ARP请求报文的目的IP地址为所述终端表项中的IP地址,目的MAC地址为0;
存活终端表项判断子单元,用于接收到终端对于所述ARP请求报文的ARP应答报文,且所述ARP应答报文携带的MAC地址与所述终端表项中的MAC地址一致时,判断所述有效终端表项仍存活;否则判断所述有效终端表项未存活。
9、如权利要求8所述的网络设备,其特征在于,所述ARP请求报文发送子单元发送的ARP请求报文中,所述网络设备为网关设备时,所述ARP请求报文中的源IP地址为所述网关设备的IP地址;所述网络设备为二层交换机时,所述ARP请求报文中的源IP地址为所述有效终端表项中的IP地址。
10、如权利要求7或8所述的网络设备,其特征在于,还包括:
重启时间判断单元,用于在重启后,发现从关机到重启动后的时间间隔超过预设的时间阈值时,判断所述非易失性存储介质存储的终端表项中不存在有效终端表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101198165A CN101494562B (zh) | 2009-03-18 | 2009-03-18 | 一种网络设备上终端表项的维护方法和一种网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101198165A CN101494562B (zh) | 2009-03-18 | 2009-03-18 | 一种网络设备上终端表项的维护方法和一种网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101494562A true CN101494562A (zh) | 2009-07-29 |
CN101494562B CN101494562B (zh) | 2011-06-29 |
Family
ID=40924979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101198165A Active CN101494562B (zh) | 2009-03-18 | 2009-03-18 | 一种网络设备上终端表项的维护方法和一种网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101494562B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102437966A (zh) * | 2012-01-18 | 2012-05-02 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
CN104113513A (zh) * | 2013-04-19 | 2014-10-22 | 华为技术有限公司 | 一种主机发现方法、装置及系统 |
CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
CN108418794A (zh) * | 2018-01-29 | 2018-08-17 | 全球能源互联网研究院有限公司 | 一种智能变电站通信网络抵御arp攻击的方法及系统 |
CN112543926A (zh) * | 2018-07-30 | 2021-03-23 | 脸谱公司 | 确定网络设备的地理位置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100505757C (zh) * | 2005-08-09 | 2009-06-24 | 华为技术有限公司 | Arp缓存表防攻击方法 |
CN100488118C (zh) * | 2006-05-19 | 2009-05-13 | 华为技术有限公司 | 防止mac地址欺骗的方法 |
CN101098290B (zh) * | 2006-06-29 | 2011-04-06 | 中兴通讯股份有限公司 | 一种在an上实现ip地址防欺骗的装置及其方法 |
-
2009
- 2009-03-18 CN CN2009101198165A patent/CN101494562B/zh active Active
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102437966A (zh) * | 2012-01-18 | 2012-05-02 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
CN102437966B (zh) * | 2012-01-18 | 2016-08-10 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
CN104113513A (zh) * | 2013-04-19 | 2014-10-22 | 华为技术有限公司 | 一种主机发现方法、装置及系统 |
CN104113513B (zh) * | 2013-04-19 | 2018-01-02 | 华为技术有限公司 | 一种主机发现方法、装置及系统 |
CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
CN108418794A (zh) * | 2018-01-29 | 2018-08-17 | 全球能源互联网研究院有限公司 | 一种智能变电站通信网络抵御arp攻击的方法及系统 |
CN108418794B (zh) * | 2018-01-29 | 2022-09-02 | 全球能源互联网研究院有限公司 | 一种智能变电站通信网络抵御arp攻击的方法及系统 |
CN112543926A (zh) * | 2018-07-30 | 2021-03-23 | 脸谱公司 | 确定网络设备的地理位置 |
Also Published As
Publication number | Publication date |
---|---|
CN101494562B (zh) | 2011-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
CN101494562B (zh) | 一种网络设备上终端表项的维护方法和一种网络设备 | |
CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
CN101179583B (zh) | 一种防止用户假冒上网的方法及设备 | |
CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
CN100586106C (zh) | 报文处理方法、系统和设备 | |
US8898785B2 (en) | System and method for monitoring network traffic | |
CN100384150C (zh) | 防止多个主机的异步arp高速缓存中毒的方法和系统 | |
CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
CN107547565B (zh) | 一种网络接入认证方法及装置 | |
US11902320B2 (en) | Moving target defense systems and methods | |
CN101621525B (zh) | 合法表项的处理方法和设备 | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
CN108881233B (zh) | 防攻击处理方法、装置、设备及存储介质 | |
CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
CN102185871A (zh) | 一种报文的处理方法和设备 | |
CN103414641B (zh) | 邻居表项释放方法、装置和网络设备 | |
CN101577723B (zh) | 一种防止邻居发现协议报文攻击的方法及装置 | |
CN1905495B (zh) | 网络监视装置、网络监视方法、网络系统和网络通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |