CN101562542B - 免费arp请求的响应方法和网关设备 - Google Patents
免费arp请求的响应方法和网关设备 Download PDFInfo
- Publication number
- CN101562542B CN101562542B CN2009101433396A CN200910143339A CN101562542B CN 101562542 B CN101562542 B CN 101562542B CN 2009101433396 A CN2009101433396 A CN 2009101433396A CN 200910143339 A CN200910143339 A CN 200910143339A CN 101562542 B CN101562542 B CN 101562542B
- Authority
- CN
- China
- Prior art keywords
- address
- gateway device
- mac address
- arp request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种免费ARP请求的响应方法和应用该方法的网关设备。该方法包括:网关设备接收到与所述网关设备IP地址相同的免费ARP请求时,判断所述免费ARP请求的源MAC地址是否为可信任的授权MAC地址;所述源MAC地址是可信任的授权MAC地址时,所述网关设备允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。本发明通过在网关设备上配置可信任的授权MAC地址,使得网关设备接收到与网关设备IP地址相同的免费ARP请求时,根据该免费ARP请求的源MAC地址是否为可信任的授权MAC地址进行相应处理。其有效的避免了IP地址冲突,且不会对网络监控设备对非法网络设备的监控造成影响。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种免费ARP请求的响应方法和应用该方法的网关设备。
背景技术
在网络中,用户设备一般通过网关设备和外网中的设备通信,典型的一组网示意图如图1所示。用户设备通过一定的方式获得网关设备的ARP(Address Resolution Protocol,地址解析协议)表项,该ARP表项中包含网关设备的IP(Internet Protocol,因特网协议)地址和MAC(Medium AccessControl,媒体接入控制)地址,然后用户设备通过网关设备和外网中的设备进行通信。
在网络中通常存在部分非法用户设备(例如没有缴费的用户设备),需要禁止这部分非法用户设备使用网络。基于上述图1的组网方案,如图2所示,可以增加与网关设备连接的监控设备来对网络中的用户设备进行监控。
监控设备会在用户和网关通信的过程中获得用户设备的MAC地址,依据一定的判断条件判断出用户设备是否合法,并抑制非法用户设备使用网络。
监控设备抑制非法用户设备上网所通常采用的方法具体为:仿冒网关设备的IP地址,向非法用户设备发送单播的免费ARP请求。当非法用户设备收到这个免费ARP请求后,认为是网关设备的ARP,将更新本地存储的网关设备的ARP表项,从而将网关设备的MAC地址指向监控设备。这样非法用户设备中连接外网的流量都将被发送到监控设备,监控设备终止这些非法用户设备的上网需求,从而达到了禁止非法用户设备使用网络的目的。
由于监控设备和非法用户设备在同一个网段中,所以非法用户设备才能收到这种单播免费ARP请求。但是由于该单播免费ARP请求会经过网关设备,因此网关设备也会收到这个单播免费ARP请求。由于该单播免费ARP请求中 仿冒了网关设备的IP地址,因此网关设备会发现网络中存在和自己IP地址相同的设备,认为出现了非法的网关仿冒。
在现有技术中,网关设备收到这种单播免费ARP请求后,会向外广播发送本网关设备的免费ARP请求,更新网络中与之相连的用户设备上的ARP表项,以抑制网关仿冒;或者不向外发送单播免费ARP请求,只是向网管告警。显而易见的,监控设备虽然进行了网关仿冒,但其目的是监控整个网络的正常运行,禁止非法用户设备使用网络。因此如果网关设备向外广播发送本网关设备的免费ARP,会使得监控设备向非法用户设备发送的免费ARP失效,其原因在于监控设备发送的免费ARP请求会被网关发送的免费ARP请求更新,非法用户设备将继续根据正确的网关设备的ARP表项访问网络。而采用只向网管告警的方法会影响合法用户使用网络。
发明内容
本发明提供一种免费ARP请求的响应方法和应用该方法的网关设备,用于对网关设备接收到的与网关设备IP地址相同的免费ARP请求进行正确处理。
为达到上述目的,本发明提供一种免费ARP请求的响应方法,包括:
网关设备接收到与所述网关设备IP地址相同的免费ARP请求时,判断所述免费ARP请求的源MAC地址是否为可信任的授权MAC地址;
所述源MAC地址是可信任的授权MAC地址时,所述网关设备允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。
其中,所述源MAC地址不是可信任的授权MAC地址时,还包括:
所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并广播;和/或
所述网关设备通知网络中的监控设备,与所述网关设备IP地址相同的免费ARP请求的发送方为非法网络设备,由所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播,同时阻止所述非法网络设备继续使用网络。
其中,所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并广播包括:
所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播;
所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播包括:
所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播
其中,所述网关设备接收到与自身IP地址相同的免费ARP请求前,还包括:
在所述网关设备上配置可信任的授权MAC地址。
其中,所述网关设备上配置的可信任的授权MAC地址中,包括所述监控设备的MAC地址。
本发明还提供一种网关设备,包括:
MAC地址判断单元,用于接收到与所述网关设备IP地址相同的免费ARP请求时,判断所述免费ARP请求的源MAC地址是否为可信任的授权MAC地址;
处理单元,用于当所述MAC地址判断单元判断所述源MAC地址是可信任的授权MAC地址时,允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。
其中,还包括:
免费ARP请求广播单元,用于当所述MAC地址判断单元判断所述源MAC地址不是可信任的授权MAC地址时,根据所述网关设备自身的IP地址和MAC地址构造免费ARP请求并广播;和/或
通知单元,用于当所述MAC地址判断单元判断所述源MAC地址不是可 信任的授权MAC地址时,通知网络中的监控设备与所述网关设备IP地址相同的免费ARP请求的发送方为非法网络设备,由所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播,同时阻止所述非法网络设备继续使用网络。
其中,所述免费ARP请求广播单元具体用于:
根据自身的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或
根据自身的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播。
其中,还包括:
授权MAC地址配置单元,用于配置可信任的授权MAC地址,并把配置的可信任的授权MAC地址提供给所述MAC地址判断单元。
其中,所述授权MAC地址配置单元配置的可信任的授权MAC地址中,包括所述监控设备的MAC地址。
与现有技术相比,本发明具有以下优点:
在网关设备上配置可信任的授权MAC地址,使得网关设备接收到与网关设备IP地址相同的免费ARP请求时,根据该免费ARP请求的源MAC地址是否为可信任的授权MAC地址进行相应处理。其有效的避免了IP地址冲突,且不会对网络监控设备对非法网络设备的监控造成影响。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中用户设备通过网关设备连接外网的组网示意图;
图2是现有技术中包括监控设备的组网示意图;
图3是本发明中提供的免费ARP请求的响应方法的流程图;
图4是本发明中提供的网关设备的结构示意图;
图5是本发明中提供的网关设备的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中提供了一种免费ARP请求的响应方法,如图3所示,包括:
步骤301、网关设备接收到与网关设备IP地址相同的免费ARP请求时,判断该免费ARP请求的源MAC地址是否为可信任的授权MAC地址。
步骤302、源MAC地址是可信任的授权MAC地址时,网关设备允许该与网关设备IP地址相同的免费ARP请求在网络中传播。
本发明中,在网关设备上配置可信任的授权MAC地址,使得网关设备接收到与网关设备IP地址相同的免费ARP请求时,根据该免费ARP请求的源MAC地址是否为可信任的授权MAC地址进行相应处理。其有效的避免了IP地址冲突,且不会对网络设备对非法网络设备的监控造成影响。
以下结合一个具体的应用场景对本发明中提供的免费ARP请求的响应方法进行详细介绍。
ARP是一种将IP地址转化成物理地址的协议。具体说来就是将网络层地址解析为数据链路层的物理地址。当一台基于TCP/IP的网络设备发送数据给另一台目的网络设备时,其将数据封装成包,并添加目的网络设备的IP地址。然后,网络设备发送广播ARP请求,寻找目的网络设备的IP地址到MAC地址的映射。当网络设备获得了目的网络设备的MAC地址后,就可以形成待发送帧的完整以太网帧头。最后,网络设备将包封装到以太网帧中进行传送。以网络设备A要和网络设备B通信为例,网络设备A会先检查其ARP缓存内是否有网络设备B的MAC地址。如果没有,网络设备A会广播一个ARP请求,此ARP请求内携带作为通信目标的网络设备的IP地址,即网络设备B 的IP地址。当网络设备B收到此ARP请求后,将自己的MAC地址利用ARP响应发送给网络设备A,并更新自己的ARP缓存,即将网络设备A的IP地址-MAC地址对保存到自己的ARP缓存中以供后续使用。网络设备A在得到网络设备B的MAC地址后,可以与网络设备B通信。同时,网络设备A也将网络设备B的IP地址-MAC地址对保存在自己的ARP缓存内。
网络设备还会使用自己的IP地址作为目标地址发送ARP请求。这种ARP报文称为免费ARP(Gratuitous ARP)请求,其主要用途如下:
(1)检查重复地址。具体的,网络设备在网口UP的时候会广播免费ARP请求,以确认是否有地址冲突发生。广播免费ARP请求后,广播域内任何网络设备都接收到,网络设备判断免费ARP请求报文中的目的IP地址字段,假如发现和本设备的IP地址相同,则将自己的MAC地址填写到该免费ARP请求的目的MAC地址字段,并将该报文回应给源网络设备。所以只要发送免费ARP请求的网络设备接收到报文,则证实广播域内有别的网络设备使用和自己相同的IP地址。免费ARP请求在发送时不希望收到回应的,只是起宣告作用;假如收到回应,则证实广播域内有别的网络设备也使用自己现在使用的IP地址。
(2)用于通告一个新的数据链路标识。网络设备会使用自己的IP地址作为目标地址发送免费ARP请求后,当其他设备收到该免费ARP请求时,若发现本地缓存中已有发送方的IP地址,则根据该免费ARP请求更新此IP地址对应的MAC地址。以网关设备广播的免费ARP请求为例,该免费ARP请求的源MAC地址是网关设备的MAC地址,目标MAC地址是广播地址(FF-FF-FF-FF-FF-FF);而源IP地址和目标IP地址都是网关设备自身的IP地址。当其他设备收到该免费ARP请求时,若发现本地缓存中已有网关设备的IP地址,则更新此IP地址对应的MAC地址。通过该免费ARP请求,网关设备可以向网络宣告自身的IP地址和MAC地址映射,也用于检查网络中是否有重复的IP地址。
以下仍以图2中所示的网络场景为例,描述本发明中提供的免费ARP请求的响应方法的具体实施方式。
在网络中存在网关设备,其MAC地址为00-0D-65-11-22-33,IP地址为192.168.1.1。
在网络中还存在与网关设备连接的监控设备,其MAC地址为00-0D-65-44-55-66,IP地址为192.168.1.6。
在网络中还存在与网关设备连接的用户设备1,其MAC地址为00-0D-65-10-11-12,IP地址为192.168.1.101。
在网络中还存在与网关设备连接的用户设备2,其MAC地址为00-0D-65-20-21-22,IP地址为192.168.1.201。
本发明的该应用场景中,首先在网关设备上配置可信任的授权MAC地址。配置的可信任的授权MAC地址中包括网络中监控设备的MAC地址。具体的,可以在网关设备上配置可信任的授权MAC地址列表,格式可以如下表1所示:
表1.可信任的授权MAC地址列表
| 序号 | 可信任的授权MAC地址 |
| 1 | 00-0D-65-44-55-66 |
| ... | ...... |
网关设备上配置的可信任的授权MAC地址列表中,可以包括一个或多个MAC地址,可根据需要进行配置。以表1为例,配置了监控设备的MAC地址(00-0D-65-44-55-66)为网关设备可信任的授权MAC地址。
以下首先描述用户设备发送与网关设备IP地址相同的免费ARP请求时,网关设备对免费ARP请求的响应方法。
假设网络中的用户设备2为非法网络设备,其仿冒网关设备向网络中广播免费ARP请求进行ARP欺骗攻击。该免费ARP请求中,源MAC地址是用户设备2的MAC地址(00-0D-65-20-21-22),目标MAC地址是广播地址(FF-FF-FF-FF-FF-FF);而源IP地址和目标IP地址都是网关设备的IP地址(192.168.1.1)。当用户设备1接收到用户设备2发送的该免费ARP请求时,会将本地缓存中之前建立的网关设备的ARP表项(192.168.1.1- 00-0D-65-11-22-33),更新为(192.168.1.1-00-0D-65-20-21-22),使得用户设备1向网关设备发送的流量都先发送到用户设备2。
网关设备接收到用户设备2发送的该免费ARP请求时,判断该免费ARP请求中的IP地址与网关设备自身的IP地址相同,进而获取该免费ARP请求的源MAC地址为00-0D-65-20-21-22。网关设备判断本地配置的可信任的授权MAC地址列表中,不包括该MAC地址。则网关设备根据网关设备的IP地址和MAC地址构造免费ARP请求并向网络中广播,该免费ARP请求的源MAC地址是网关设备的MAC地址(00-0D-65-11-22-33),目标MAC地址是广播地址(FF-FF-FF-FF-FF-FF)或网络中除非法网络设备MAC地址之外的所有网络设备的地址;而源IP地址和目标IP地址都是网关设备自身的IP地址(192.168.1.1)。这样,用户设备1接收到网关设备发送的该免费ARP请求时,会将本地缓存中之前建立的网关设备的ARP表项(192.168.1.1-00-0D-65-20-21-22),更新为(192.168.1.1-00-0D-65-11-22-33),使得用户设备1中关于网关设备的ARP表项恢复为正确的内容。
除了上述网关设备根据网关设备的IP地址和MAC地址构造免费ARP请求并向网络中广播的方式外,网关设备还可以在发现非法网络设备时通知网络中的监控设备,由网络中的监控设备仿冒网关设备,构造免费ARP请求并向网络中广播。监控设备广播的免费ARP请求的源MAC地址是网关设备的MAC地址(00-0D-65-11-22-33),目标MAC地址是广播地址(FF-FF-FF-FF-FF-FF)或网络中除非法网络设备MAC地址之外的所有网络设备的地址;而源IP地址和目标IP地址都是网关设备自身的IP地址(192.168.1.1)。这样,用户设备1接收到监控设备仿冒网关设备发送的该免费ARP请求时,会将本地缓存中之前建立的网关设备的ARP表项(192.168.1.1-00-0D-65-20-21-22),更新为(192.168.1.1-00-0D-65-11-22-33),使得用户设备1中关于网关设备的ARP表项恢复为正确的内容。上述监控设备广播的免费ARP请求将经过网关设备,网关设备接收到该免费ARP请求时,判断该免费ARP请求中的IP地址与网关设备自身的IP地址相同,进而获取该免费ARP请求的源MAC地址为00-0D-65-44-55-66。网关设备判断本地配置 的可信任的授权MAC地址列表中,包括该MAC地址。则网关设备允许该免费ARP请求在网络中传播。
另外,网关设备通知网络中的监控设备用户设备2为非法网络设备后,由监控设备对用户设备2进行监控并阻止用户设备2访问网络。监控设备判断网络中的用户设备2为非法网络设备时,仿冒网关设备向用户设备2发送单播的免费ARP请求。该免费ARP请求中,源MAC地址是监控设备的MAC地址(00-0D-65-44-55-66),目标MAC地址是用户设备2的MAC地址(00-0D-65-20-21-22);而源IP地址和目标IP地址都是网关设备的IP地址(192.168.1.1)。当用户设备2接收到监控设备发送的该免费ARP请求时,会将本地缓存中之前建立的网关设备的ARP表项(192.168.1.1-00-0D-65-11-22-33),更新为(192.168.1.1-00-0D-65-44-55-66),使得用户设备2向网关设备发送的流量都先发送到监控设备,监控设备对用户设备2发送的流量进行处理,阻止其访问网络。
上述监控设备向用户设备2发送的单播的免费ARP请求将经过网关设备,网关设备接收到该免费ARP请求时,判断该免费ARP请求中的IP地址与网关设备自身的IP地址相同,进而获取该免费ARP请求的源MAC地址为00-0D-65-44-55-66。网关设备判断本地配置的可信任的授权MAC地址列表中,包括该MAC地址。则网关设备允许该免费ARP请求在网络中传播。
本发明提供的上述方法中,在网关设备上配置可信任的授权MAC地址,使得网关设备接收到与网关设备IP地址相同的免费ARP请求时,根据该免费ARP请求的源MAC地址是否为可信任的授权MAC地址进行相应处理。其有效的避免了IP地址冲突,且不会对网络设备对非法网络设备的监控造成影响。另外,通过网关设备与监控设备的配合有效的防止非法网络监控设备对其他网络设备的攻击,阻止非法网络设备访问网络。
本发明还提供一种网关设备,如图4所示,包括:
MAC地址判断单元10,用于接收到与网关设备IP地址相同的免费ARP请求时,判断免费ARP请求的源MAC地址是否为可信任的授权MAC地址;
处理单元20,用于当MAC地址判断单元10判断该源MAC地址是可信 任的授权MAC地址时,允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。
本发明的网关设备中,如图5所示,还可以包括:
免费ARP请求广播单元30,用于当MAC地址判断单元10判断源MAC地址不是可信任的授权MAC地址时,根据网关设备自身的IP地址和MAC地址构造免费ARP请求并广播;该广播的免费ARP请求中,源MAC地址是网关设备的MAC地址,目标MAC地址是广播地址;源IP地址和目标IP地址都是网关设备自身的IP地址。具体的广播方法可以为:根据自身的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或根据自身的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络监控设备之外的所有网络设备广播。
通知单元40,用于当MAC地址判断单元10判断源MAC地址不是可信任的授权MAC地址时,通知网络中的监控设备与网关设备IP地址相同的免费ARP请求的发送方为非法网络设备,由监控设备根据网关设备的IP地址和MAC地址构造免费ARP请求并广播,同时阻止网络中的非法网络设备继续使用网络。
授权MAC地址配置单元50,用于配置可信任的授权MAC地址,并经配置的可信任的授权MAC地址提供给MAC地址判断单元10。该单元配置的可信任的授权MAC地址中,包括网络中监控设备的MAC地址,该监控设备与网关设备相连。
本发明提供的上述网关设备中,在网关设备上配置可信任的授权MAC地址,使得网关设备接收到与网关设备IP地址相同的免费ARP请求时,根据该免费ARP请求的源MAC地址是否为可信任的授权MAC地址进行相应处理。其有效的避免了IP地址冲突,且不会对网络设备对非法网络设备的监控造成影响。另外,通过网关设备与监控设备的配合有效的防止非法网络设备对其他网络设备的攻击,阻止非法网络设备访问网络。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本发明描述的上述方法可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种免费ARP请求的响应方法,其特征在于,包括:
网关设备接收到与所述网关设备IP地址相同的免费ARP请求时,判断所述免费ARP请求的源MAC地址是否为可信任的授权MAC地址;
所述源MAC地址是可信任的授权MAC地址时,所述网关设备允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。
2.如权利要求1所述的方法,其特征在于,所述源MAC地址不是可信任的授权MAC地址时,还包括:
所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并广播;和/或
所述网关设备通知网络中的监控设备,与所述网关设备IP地址相同的免费ARP请求的发送方为非法网络设备,由所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播,同时阻止所述非法网络设备继续使用网络。
3.如权利要求2所述的方法,其特征在于,所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并广播包括:
所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或所述网关设备根据自身的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播;
所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播包括:
所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播。
4.如权利要求1至3中任一项所述的方法,其特征在于,所述网关设备接收到与自身IP地址相同的免费ARP请求前,还包括:
在所述网关设备上配置可信任的授权MAC地址。
5.如权利要求4所述的方法,其特征在于,所述网关设备上配置的可信 任的授权MAC地址中,包括所述监控设备的MAC地址。
6.一种网关设备,其特征在于,包括:
MAC地址判断单元,用于接收到与所述网关设备IP地址相同的免费ARP请求时,判断所述免费ARP请求的源MAC地址是否为可信任的授权MAC地址;
处理单元,用于当所述MAC地址判断单元判断所述源MAC地址是可信任的授权MAC地址时,允许所述与网关设备IP地址相同的免费ARP请求在网络中传播。
7.如权利要求6所述的网关设备,其特征在于,还包括:
免费ARP请求广播单元,用于当所述MAC地址判断单元判断所述源MAC地址不是可信任的授权MAC地址时,根据所述网关设备自身的IP地址和MAC地址构造免费ARP请求并广播;和/或
通知单元,用于当所述MAC地址判断单元判断所述源MAC地址不是可信任的授权MAC地址时,通知网络中的监控设备与所述网关设备IP地址相同的免费ARP请求的发送方为非法网络设备,由所述监控设备根据所述网关设备的IP地址和MAC地址构造免费ARP请求并广播,同时阻止所述非法网络设备继续使用网络。
8.如权利要求7所述的网关设备,其特征在于,所述免费ARP请求广播单元具体用于:
根据自身的IP地址和MAC地址构造免费ARP请求并向网络中的所有网络设备广播;或
根据自身的IP地址和MAC地址构造免费ARP请求并向网络中除非法网络设备之外的所有网络设备广播。
9.如权利要求6至8中任一项所述的网关设备,其特征在于,还包括:
授权MAC地址配置单元,用于配置可信任的授权MAC地址,并把配置的可信任的授权MAC地址提供给所述MAC地址判断单元。
10.如权利要求9所述的网关设备,其特征在于,所述授权MAC地址配置单元配置的可信任的授权MAC地址中,包括所述监控设备的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101433396A CN101562542B (zh) | 2009-05-21 | 2009-05-21 | 免费arp请求的响应方法和网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101433396A CN101562542B (zh) | 2009-05-21 | 2009-05-21 | 免费arp请求的响应方法和网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101562542A CN101562542A (zh) | 2009-10-21 |
| CN101562542B true CN101562542B (zh) | 2011-06-29 |
Family
ID=41221174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101433396A Active CN101562542B (zh) | 2009-05-21 | 2009-05-21 | 免费arp请求的响应方法和网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101562542B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170484B (zh) * | 2011-04-08 | 2013-10-09 | 北京华为数字技术有限公司 | 一种ip地址冲突检测方法和设备 |
| CN103873434B (zh) * | 2012-12-10 | 2017-12-12 | 台众计算机股份有限公司 | 用以认定网点的发生事件的方法 |
| TWM541160U (zh) * | 2016-01-21 | 2017-05-01 | 曜祥網技股份有限公司 | 網路封鎖設備以及電腦可讀取儲存媒體 |
| CN106899706B (zh) * | 2017-01-11 | 2020-04-17 | 新华三技术有限公司 | 一种泛洪抑制方法及装置 |
| CN106888279B (zh) * | 2017-03-24 | 2021-07-16 | 联想(北京)有限公司 | 一种建立通信的方法和局域网通信系统 |
| CN107819776B (zh) * | 2017-11-17 | 2021-01-15 | 锐捷网络股份有限公司 | 一种报文处理方法及设备 |
| CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
| CN113132993B (zh) * | 2021-04-23 | 2023-03-24 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
| CN116846687B (zh) * | 2023-08-30 | 2023-11-21 | 北京格尔国信科技有限公司 | 一种网络安全监测方法、系统、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775278B1 (en) * | 2000-04-14 | 2004-08-10 | International Business Machines Corporation | Method and apparatus for generating replies to address resolution protocol requests |
| CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
-
2009
- 2009-05-21 CN CN2009101433396A patent/CN101562542B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775278B1 (en) * | 2000-04-14 | 2004-08-10 | International Business Machines Corporation | Method and apparatus for generating replies to address resolution protocol requests |
| CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101562542A (zh) | 2009-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101562542B (zh) | 免费arp请求的响应方法和网关设备 | |
| CN101094187B (zh) | 一种学习介质访问控制地址的方法和装置、业务板 | |
| CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
| CN101488902A (zh) | 一种gre隧道的动态建立方法和设备 | |
| CN101247396A (zh) | 一种分配ip地址的方法、装置及系统 | |
| CN100536474C (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
| CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
| CN101159646A (zh) | 一种ap的注册方法及设备 | |
| US9398045B2 (en) | Network device and method for avoiding address resolution protocol attack | |
| CN102055735A (zh) | 防火墙访问控制策略的配置方法及装置 | |
| CN107743154B (zh) | 一种基于Wi-Fi智能终端的追踪及考勤系统及其方法 | |
| CN108696601A (zh) | 检测计算机网络中的硬件地址冲突 | |
| CN104883410A (zh) | 一种网络传输方法和网络传输装置 | |
| CN103347031B (zh) | 一种防范arp报文攻击的方法及设备 | |
| CN102170484B (zh) | 一种ip地址冲突检测方法和设备 | |
| CN100488118C (zh) | 防止mac地址欺骗的方法 | |
| CN101577723B (zh) | 一种防止邻居发现协议报文攻击的方法及装置 | |
| CN103501355A (zh) | 互联网协议地址冲突检测方法、装置及网关设备 | |
| CN101645904A (zh) | 一种降低交换机中央处理器使用率的方法的装置 | |
| CN1937509A (zh) | 一种获取单板框号的方法及系统 | |
| CN101931627A (zh) | 安全检测方法、装置和网络侧设备 | |
| CN101494562B (zh) | 一种网络设备上终端表项的维护方法和一种网络设备 | |
| CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
| CN109347810B (zh) | 一种处理报文的方法和装置 | |
| US20170155680A1 (en) | Inject probe transmission to determine network address conflict |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |