CN101635731A - 一种抵御mac地址欺骗攻击的方法及设备 - Google Patents
一种抵御mac地址欺骗攻击的方法及设备 Download PDFInfo
- Publication number
- CN101635731A CN101635731A CN200910172084A CN200910172084A CN101635731A CN 101635731 A CN101635731 A CN 101635731A CN 200910172084 A CN200910172084 A CN 200910172084A CN 200910172084 A CN200910172084 A CN 200910172084A CN 101635731 A CN101635731 A CN 101635731A
- Authority
- CN
- China
- Prior art keywords
- message
- source mac
- port
- mac
- binding relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种抵御MAC地址欺骗攻击的方法和装置,该方法包括:所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。本发明提供的方法使网络中的重要设备避免遭受源MAC地址欺骗攻击。
Description
技术领域
本发明涉及通信领域,尤其涉及一种抵御MAC地址欺骗攻击的方法及设备。
背景技术
目前,二层交换过程中,交换机对接收的报文的转发过程如图1所示,包括:获取报文中以太网帧的二层信息,即以太网帧的目的MAC地址,并根据获取到的目的MAC地址查找交换机中存储的MAC转发表,即L2FDB,根据该MAC转发表中存储的与MAC地址相应的端口转发接收的报文;如果交换机在MAC转发表中查找不到目的MAC地址以及与目的MAC地址相应的端口,则将该报文通过广播的方式向所有端口转发;同时,该报文的源MAC地址将被学习到接收该报文的端口上,即建立该报文的源MAC地址与接收该报文的端口之间的对应关系。当后续交换机接收到目的地址为上述源MAC地址的报文时,根据建立的对应关系,通过与源MAC地址相应的端口转发该报文。
现有技术中,交换机对报文的转发过程中,对报文的合法性有一个初步的检查,例如报文的源MAC地址为非法MAC地址的检查,包括源MAC地址为全0地址、组播MAC地址或者广播MAC地址的情况;报文的目的MAC地址为非法MAC地址的检查。交换机通过检查发现报文的源MAC地址或者目的MAC地址非法时,丢弃该报文。如果检查结果为MAC地址合法,则交换机对该报文进行正常转发,不再进行进一步的检查。
由于交换机对MAC地址合法的报文没有进行进一步的检查,例如该报文是否为攻击报文,导致非法用户可以通过具有合法MAC地址的报文对其他网络用户进行攻击。下面以图2所示对非法用户的攻击方式进行介绍,其中B设备为服务器,MAC地址为0-0-1,通过交换机的端口B与交换机连接,为交换机下挂的用户提供服务;交换机中的MAC地址表中存储的MAC地址与端口的对应关系为:MAC 0-0-1------端口B;A设备为一个非法用户,发送的报文源MAC地址也是0-0-1,交换机通过端口A接收该报文。此时,如果交换机根据A设备发送的报文重新学习MAC地址,将会在MAC转发表中更新MAC地址与端口的对应关系,更新结果为MAC 0-0-1------端口A。这样将会导致所有去往B设备的报文都被交换机向A设备转发,导致转发出现异常;通常,碰到这种情况都会配置静态MAC地址,解决MAC地址迁移的问题。
但是,这样存在两个问题:
一是交换机依然接收非法用户A发送的攻击报文并转发该报文,导致网络内的其他用户遭受攻击;二是当服务器通过多个端口接入此交换机时,配置静态MAC地址无法实现,如图3所示,由于交换机中的MAC转发表中存储的B设备的MAC地址对应关系为MAC 0-0-1------PORT(端口)1,或者MAC 0-0-1------PORT(端口)2,以第一种情况为例,当交换机与B设备之间的连接由PORT1切换到PORT2时,所有正常报文都无法通过PORT2发送而被丢弃。所以,现有技术中没有提供一种有效解决非法用户利用MAC地址进行报文攻击的方法。
发明内容
本发明提供了一种抵御MAC地址欺骗攻击的方法及设备,以使网络中的重要设备避免遭受源MAC地址欺骗攻击。
本发明提供一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址进行报文转发的交换系统中,交换设备中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括:
所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;
如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;
当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;
当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。
所述判断所述源MAC地址是否配置绑定关系具体为:
所述交换设备在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系。
所述判断所述源MAC地址是否配置绑定关系具体为:
所述交换设备查找是否存在与所述源MAC地址相应的端口,如果存在,则判断所述源MAC地址配置有绑定关系,否则,判断所述源MAC地址没有配置绑定关系。
所述判断所述源MAC地址是否配置绑定关系之后,还包括:
如果所述判断结果为否,所述交换设备转发所述报文。
所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口之后,还包括:
当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,所述交换设备转发所述报文。
所述判断所述源MAC地址是否配置绑定关系之前,还包括:
当所述获取的源MAC地址具有静态标志位时,所述交换设备直接转发所述报文;
当所述获取的源MAC地址不具有静态标志位时,继续下一步操作。
本发明提供一种抵御MAC地址欺骗攻击的装置,作为交换设备的一部分或者交换设备应用于根据MAC地址进行报文转发的交换系统中,所述装置中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括:
地址获取单元,用于获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;
信任判断单元,与所述地址获取单元连接,用于当所述地址获取单元的判断结果为是时,判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;
报文转发单元,与所述信任判断单元连接,用于当所述信任判断单元的判断结果为信任端口时,转发所述报文,并根据所述报文学习所述源MAC地址;
报文丢弃单元,与所述信任判断单元连接,用于当所述信任判断单元的判断结果为非信任端口时,丢弃所述报文。
所述地址获取单元具体用于:
在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系。
所述地址获取单元具体用于:
查找是否存在与所述源MAC地址相应的端口;如果存在,则判断所述源MAC地址配置有绑定关系;否则,判断所述源MAC地址没有配置绑定关系。
所述报文转发单元还用于:
当所述地址获取单元的判断结果为否时,转发所述报文。
所述报文转发单元还用于:
当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,转发所述报文。
所述报文转发单元还用于:
当所述地址获取单元获取的源MAC地址具有静态标志位时,直接转发所述报文。
与现有技术相比,本发明至少具有以下优点:
交换设备中配置MAC地址与端口组的绑定关系,该端口组中包括与MAC地址相应的信任端口和非信任端口;交换设备根据通过信任端口接收的报文进行MAC地址学习,丢弃通过非信任端口接收的报文;在接收到非法用户发送的报文时,交换设备判断该报文的入端口为非信任端口,丢弃非法用户发送的报文,从而起到防止非法用户报文攻击的效果。
附图说明
图1是现有技术中交换机对接收的报文的转发过程示意图;
图2是现有技术中非法用户的攻击方式示意图;
图3是现有技术中多端口接入示意图;
图4是本发明提供的抵御MAC地址欺骗攻击的方法的流程示意图;
图5是本应用场景提供的抵御MAC地址欺骗攻击的方法的流程示意图;
图6是本发明提供的抵御MAC地址欺骗攻击的装置的结构示意图。
具体实施方式
现有技术中非法用户利用与重要设备源MAC地址相同的报文进行网络攻击,该种攻击方式基于交换设备对非法报文携带的MAC地址的学习,本发明提供的方法解决了交换设备对非法用户发送的报文的MAC地址的学习问题,其核心思想为:对于重要设备的MAC地址,在交换设备上配置该MAC地址与端口组的绑定关系,该端口组中包括与MAC地址相应的信任端口和非信任端口;当交换设备接收到报文后,首先查找该报文的源MAC地址是否建立了与端口组的绑定关系;如果查找结果为否,则按照正常流程转发该报文;如果查找结果为是,则交换设备进一步判断该报文的入端口为具有绑定关系的端口组中的信任端口或者非信任端口,当判断结果为信任端口时,交换设备根据该MAC地址更新消息更新存储的MAC转发表,并转发该报文;当判断结果为非信任端口时,交换设备丢弃该报文。
具体的,本发明提供一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址进行报文转发的交换系统中,交换设备中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,如图4所示,包括以下步骤:
步骤401,所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;判断结果为是时执行步骤402;否则正常转发该报文。
步骤402,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;判断结果为信任端口时,执行步骤403;否则,执行步骤404。
步骤403,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址。
步骤404,所述交换设备丢弃所述报文。
下面结合具体应用场景详细介绍本发明提供的抵御MAC地址欺骗攻击的方法,如图5所示,包括以下步骤:
步骤501,交换设备接收MAC地址的绑定关系配置。
具体的,首先介绍两个概念:MAC地址的信任端口和非信任端口;其中,信任端口指的是能够进行源MAC地址学习的端口,指定MAC地址可以在信任端口之间进行切换;非信任端口指的是不能够进行源MAC地址学习的端口,交换设备通过这些端口收到源MAC地址为指定MAC地址的报文时,默认该报文为非法用户发送的攻击报文,对该报文不进行源MAC地址的学习,也不进行正常转发,而是丢弃该报文。其中,对应不同的MAC地址,分别配置相应的信任端口和非信任端口。
本应用场景中,交换设备配置部分重要MAC地址的绑定关系,对于没有配置绑定关系的MAC地址,交换设备对以这些MAC地址为源MAC地址的报文进行正常转发。所谓重要MAC地址可以为一些重要设备的MAC地址,例如服务器的MAC地址。该MAC地址的绑定关系可以由用户直接在交换设备上配置,或者由用户在其他设备上配置好该绑定关系后下发到交换设备,交换设备接收并存储该绑定关系。
交换设备中对绑定关系的存储可以为:交换设备中专门建立MAC地址绑定列表,如表1所示,用于存储MAC地址与信任端口的对应关系,该MAC地址绑定列表中没有存储的端口即为MAC地址的非信任端口;当然交换设备也可以在MAC地址绑定列表中将MAC地址相应的信任端口与非信任端口共同列出,如表2a或者表2b所示,两者为本应用场景提供的可选的两种表格方式。
可选的,交换设备中对于绑定关系的存储也可以如表3所示:在交换设备的MAC转发表中增加字段,用于存储与MAC地址相应的信任端口或者非信任端口。其中,表1、表2a、表2b以及表3均是结合图3进行的举例说明。
表1
表2a
表2b
表3
步骤502,交换设备接收报文,根据该报文的源MAC地址判断该MAC地址是否配置绑定关系;如果存在,执行步骤503;否则,执行步骤504。
具体的,交换设备接收的报文中携带该报文的目的MAC地址和源MAC地址,交换设备根据报文的源MAC地址在预先配置的MAC地址绑定列表中查找是否存在该MAC地址,如果存在,则交换设备判断该MAC地址配置有绑定关系,如果不存在,则交换设备判断该MAC地址没有配置绑定关系。与步骤501中相应,交换设备也可以通过查找是否存在与源MAC地址相应的端口判断源MAC地址是否配置了绑定关系,如果查找结果为存在,则交换设备判断源MAC地址配置有绑定关系,否则,交换设备判断源MAC地址没有配置绑定关系。
步骤503,交换设备判断报文的入端口是否为信任端口,如果是,执行步骤504;如果不是,执行步骤505。
具体的,交换设备接收报文后,记录该报文的入端口。当判断该报文的源MAC地址配置绑定关系后,交换设备进一步查询该入端口为信任端口或者非信任端口。
步骤504,交换设备转发该报文,并根据该报文进行源MAC地址的学习。
步骤505,交换设备丢弃该报文。
具体的,此时交换设备判断报文为非法用户发送的攻击性报文,对该报文进行丢弃处理。
本应用场景中,交换设备对报文的转发通常通过转发芯片实现,上述对报文的处理过程由转发芯片实现,如果交换设备中的转发芯片无法支持信任端口与非信任端口的划分,则交换设备可以通过CPU判断MAC地址的信任端口与非信任端口。具体的,交换设备在内存中存储MAC地址与信任端口或者非信任端口的对应关系,交换设备通过转发芯片接收到报文后,通过CPU查找内存中存储的对应关系,判断该报文的入端口为信任端口或者非信任端口,如果是信任端口,则通过转发芯片转发该报文,并更新内存中存储的该MAC地址的对应关系;如果判断结果为非信任端口,则直接丢弃该报文。
本应用场景中,可选的,交换设备还可以为MAC地址配置静态标志位,标识该MAC地址不需要进行源MAC地址学习。具体的,该静态标志位可以配置在MAC地址的绑定关系中,或者配置在MAC转发表中。交换设备接收报文后,根据该报文的源MAC地址判断该MAC地址是否配置了绑定关系时,如果获取到该MAC地址的静态标识位,则可以直接拒绝根据该报文的源MAC地址进行地址学习;并且,可选的,交换设备直接转发该报文,或者交换设备根据该源MAC为信任端口或者非信任端口,转发或者丢弃该报文。
通过采用本发明提供的方法,交换设备中配置MAC地址与端口组的绑定关系,该端口组中包括与MAC地址相应的信任端口和非信任端口;交换设备根据通过信任端口接收的报文进行MAC地址学习,丢弃通过非信任端口接收的报文;在接收到非法用户发送的报文时,交换设备判断该报文的入端口为非信任端口,丢弃非法用户发送的报文,从而起到防止非法用户报文攻击的效果。
本发明提供一种抵御MAC地址欺骗攻击的装置,作为交换设备的一部分或者交换设备应用于根据MAC地址进行报文转发的交换系统中,所述装置中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,如图6所示,包括:
地址获取单元11,用于获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系。具体的,所述地址获取单元11在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系;或者,地址获取单元11在预先配置的MAC地址绑定列表中查找是否存在与所述源MAC地址相应的端口;如果存在,则判断所述源MAC地址配置有绑定关系;否则,判断所述源MAC地址没有配置绑定关系。
信任判断单元12,与所述地址获取单元11连接,用于当所述地址获取单元11的判断结果为是时,判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口。信任端口指的是能够进行源MAC地址学习的端口,指定MAC地址可以在信任端口之间进行切换;非信任端口指的是不能够进行源MAC地址学习的端口,交换设备通过这些端口收到源MAC地址为指定MAC地址的报文时,默认该报文为非法用户发送的攻击报文,对该报文不进行源MAC地址的学习,也不进行正常转发,而是丢弃该报文。其中,对应不同的MAC地址,分别配置相应的信任端口和非信任端口。交换设备中专门建立MAC地址绑定列表,存储MAC地址与信任端口的对应关系,信任判断单元12通过查表可以判断报文的入端口为与源MAC地址相应的信任端口或者非信任端口。
报文转发单元13,与所述信任判断单元12连接,用于当所述信任判断单元12的判断结果为信任端口时,转发所述报文,并根据所述报文学习所述源MAC地址;当所述地址获取单元的判断结果为否时,转发所述报文。
报文丢弃单元14,与所述信任判断单元12连接,用于当所述信任判断单元12的判断结果为非信任端口时,丢弃所述报文。
本应用场景中,交换设备还可以为MAC地址配置静态标志位,标识该MAC地址不需要进行源MAC地址学习。相应的,所述报文转发单元13还可以用于:当所述信任判断单元12的判断结果为信任端口,且所述源MAC地址具有静态标志位时,转发所述报文;或者当所述地址获取单元11获取的源MAC地址具有静态标志位时,直接转发所述报文。
通过采用本发明提供的设备,交换设备中配置MAC地址与端口组的绑定关系,该端口组中包括与MAC地址相应的信任端口和非信任端口;交换设备根据通过信任端口接收的报文进行MAC地址学习,丢弃通过非信任端口接收的报文;在接收到非法用户发送的报文时,交换设备判断该报文的入端口为非信任端口,丢弃非法用户发送的报文,从而起到防止非法用户报文攻击的效果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1、一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址进行报文转发的交换系统中,其特征在于,交换设备中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括:
所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;
如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;
当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;
当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。
2、如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址是否配置绑定关系具体为:
所述交换设备在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系。
3、如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址是否配置绑定关系具体为:
所述交换设备查找是否存在与所述源MAC地址相应的端口,如果存在,则判断所述源MAC地址配置有绑定关系,否则,判断所述源MAC地址没有配置绑定关系。
4、如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址是否配置绑定关系之后,还包括:
如果所述判断结果为否,所述交换设备转发所述报文。
5、如权利要求1-4中任一项所述的方法,其特征在于,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口之后,还包括:
当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,所述交换设备转发所述报文。
6、如权利要求1-4中任一项所述的方法,其特征在于,所述判断所述源MAC地址是否配置绑定关系之前,还包括:
当所述获取的源MAC地址具有静态标志位时,所述交换设备直接转发所述报文;
当所述获取的源MAC地址不具有静态标志位时,继续下一步操作。
7、一种抵御MAC地址欺骗攻击的装置,作为交换设备的一部分或者交换设备应用于根据MAC地址进行报文转发的交换系统中,其特征在于,所述装置中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括:
地址获取单元,用于获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;
信任判断单元,与所述地址获取单元连接,用于当所述地址获取单元的判断结果为是时,判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;
报文转发单元,与所述信任判断单元连接,用于当所述信任判断单元的判断结果为信任端口时,转发所述报文,并根据所述报文学习所述源MAC地址;
报文丢弃单元,与所述信任判断单元连接,用于当所述信任判断单元的判断结果为非信任端口时,丢弃所述报文。
8、如权利要求7所述的装置,其特征在于,所述地址获取单元具体用于:
在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系。
9、如权利要求7所述的装置,其特征在于,所述地址获取单元具体用于:
查找是否存在与所述源MAC地址相应的端口;如果存在,则判断所述源MAC地址配置有绑定关系;否则,判断所述源MAC地址没有配置绑定关系。
10、如权利要求7所述的装置,其特征在于,所述报文转发单元还用于:
当所述地址获取单元的判断结果为否时,转发所述报文。
11、如权利要求7-10中任一项所述的装置,其特征在于,所述报文转发单元还用于:
当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,转发所述报文。
12、如权利要求7-10中任一项所述的装置,其特征在于,所述报文转发单元还用于:
当所述地址获取单元获取的源MAC地址具有静态标志位时,直接转发所述报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910172084A CN101635731B (zh) | 2009-08-31 | 2009-08-31 | 一种抵御mac地址欺骗攻击的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910172084A CN101635731B (zh) | 2009-08-31 | 2009-08-31 | 一种抵御mac地址欺骗攻击的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101635731A true CN101635731A (zh) | 2010-01-27 |
CN101635731B CN101635731B (zh) | 2012-09-05 |
Family
ID=41594789
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910172084A Active CN101635731B (zh) | 2009-08-31 | 2009-08-31 | 一种抵御mac地址欺骗攻击的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101635731B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
WO2011140795A1 (zh) * | 2010-05-13 | 2011-11-17 | 中兴通讯股份有限公司 | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 |
CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN102347889A (zh) * | 2010-08-04 | 2012-02-08 | 杭州华三通信技术有限公司 | 一种分层虚拟专用局域网中的报文转发方法、系统和装置 |
WO2012109883A1 (zh) * | 2011-08-09 | 2012-08-23 | 华为技术有限公司 | 端口阻断方法和路由设备 |
CN105262732A (zh) * | 2015-09-21 | 2016-01-20 | 北京鼎普科技股份有限公司 | 一种mac地址欺骗检测方法及装置 |
CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
CN108011932A (zh) * | 2017-11-22 | 2018-05-08 | 新华三技术有限公司 | 接入处理方法及装置 |
CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
CN110830494A (zh) * | 2019-11-14 | 2020-02-21 | 深信服科技股份有限公司 | 一种iot攻击防御方法、装置及电子设备和存储介质 |
CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110845A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
CN101459653B (zh) * | 2007-12-14 | 2012-11-28 | 上海博达数据通信有限公司 | 基于Snooping技术的防止DHCP报文攻击的方法 |
-
2009
- 2009-08-31 CN CN200910172084A patent/CN101635731B/zh active Active
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011140795A1 (zh) * | 2010-05-13 | 2011-11-17 | 中兴通讯股份有限公司 | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 |
CN102347889A (zh) * | 2010-08-04 | 2012-02-08 | 杭州华三通信技术有限公司 | 一种分层虚拟专用局域网中的报文转发方法、系统和装置 |
CN102347889B (zh) * | 2010-08-04 | 2014-08-13 | 杭州华三通信技术有限公司 | 一种分层虚拟专用局域网中的报文转发方法、系统和装置 |
CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
CN102025734B (zh) * | 2010-12-07 | 2015-06-03 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
WO2012109883A1 (zh) * | 2011-08-09 | 2012-08-23 | 华为技术有限公司 | 端口阻断方法和路由设备 |
CN102333094B (zh) * | 2011-10-12 | 2014-10-29 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN105262732A (zh) * | 2015-09-21 | 2016-01-20 | 北京鼎普科技股份有限公司 | 一种mac地址欺骗检测方法及装置 |
CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
CN108011932A (zh) * | 2017-11-22 | 2018-05-08 | 新华三技术有限公司 | 接入处理方法及装置 |
CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
CN110830494A (zh) * | 2019-11-14 | 2020-02-21 | 深信服科技股份有限公司 | 一种iot攻击防御方法、装置及电子设备和存储介质 |
CN110830494B (zh) * | 2019-11-14 | 2022-11-22 | 深信服科技股份有限公司 | 一种iot攻击防御方法、装置及电子设备和存储介质 |
CN112350961A (zh) * | 2020-11-11 | 2021-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101635731B (zh) | 2012-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101635731B (zh) | 一种抵御mac地址欺骗攻击的方法及设备 | |
US9306907B1 (en) | Load balancing among a cluster of firewall security devices | |
EP2224645B1 (en) | A method and equipment for transmitting a message based on the layer-2 tunnel protocol | |
EP2767047B1 (en) | Distributed ipv6 neighbor discovery for large datacenter switching systems | |
US20150326533A1 (en) | Load balancing among a cluster of firewall security devices | |
CN104243472A (zh) | 具有mac表溢出保护的网络 | |
CN101702679B (zh) | 基于虚拟局域网的报文处理方法及交换设备 | |
EP2469787A1 (en) | Method and device for preventing network attacks | |
CN109474507B (zh) | 一种报文转发方法及装置 | |
CN101179603A (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
JP2012161044A (ja) | 通信処理装置、アドレス学習プログラムおよびアドレス学習方法 | |
CN100518142C (zh) | 一种防止由于地址老化时间不一致导致网络中断的方法 | |
CN101729425A (zh) | Vrrp组网中流量发送的方法及设备 | |
CN102420762B (zh) | 报文转发方法、系统、网络设备和防火墙线卡 | |
US8713663B2 (en) | Method for using extended security system, extended security system and devices | |
US7826447B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
CN103338152A (zh) | 一种组播报文转发方法和主控板 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
CN110768917B (zh) | 一种报文传输方法及装置 | |
CN101621455A (zh) | 网络设备的管理方法和网络管理站、设备 | |
EP3291486B1 (en) | Selective transmission of bidirectional forwarding detection (bfd) messages for verifying multicast connectivity | |
CN101980488B (zh) | Arp表项的管理方法和三层交换机 | |
CN1822565A (zh) | 具有mac表溢出保护的网络 | |
CN101686265B (zh) | 网络设备、网络系统以及建立数据通讯的方法 | |
US20130022048A1 (en) | Method and network node for use in link level communication in a data communications network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |