CN101674306A - 地址解析协议报文处理方法及交换机 - Google Patents
地址解析协议报文处理方法及交换机 Download PDFInfo
- Publication number
- CN101674306A CN101674306A CN200910171673A CN200910171673A CN101674306A CN 101674306 A CN101674306 A CN 101674306A CN 200910171673 A CN200910171673 A CN 200910171673A CN 200910171673 A CN200910171673 A CN 200910171673A CN 101674306 A CN101674306 A CN 101674306A
- Authority
- CN
- China
- Prior art keywords
- arp message
- detection
- layers
- message
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种地址解析协议报文处理方法及交换机,上述方法包括:对ARP报文进行二层检测以判断ARP报文是否合法,其中,二层检测包括:普通协议检查、ARP报文的动态地址解析协议检测DAI有效性检查和ARP报文合法用户绑定表检查;在ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。本发明能够有效检测到同一交换机内ARP攻击行为,有效保护了网络及相关设备。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种方法地址解析协议(Address Resolution Protocol,简称为ARP)报文处理方法及交换机。
背景技术
在当前网络技术中,终端设备在网络中是以因特网协议(Internet Protocol,简称为IP)地址来区分的。在通信系统中,发起通信的源终端设备向其他终端设备发送报文时,需要获取目标终端设备的媒体访问控制(Media Access Control,简称为MAC)地址以完成对报文的封装。由此可见,在实际应用中,往往需要实现设备IP地址和MAC地址间的转换。
目前主要通过ARP协议实现将目标终端设备的IP地址转换为MAC地址的功能,以保证通信的顺利进行。ARP协议将目标终端设备的IP地址转换为MAC地址的过程主要包括以下步骤:ARP在网络上广播一个ARP请求报文,该ARP请求报文包括源主机的IP、MAC地址和目的主机的IP地址;当与该IP地址对应的主机收到请求报文时,该主机做出回应,返回包含目的主机的MAC地址的ARP响应报文。通过以上的过程,就可以获得目的主机的IP和MAC地址之间的映射关系。
攻击设备获知其他设备的IP-MAC地址的对应关系后,就可以对其他设备进行攻击。目前,较常见的ARP报文攻击的示意图如图1所示,图1中包括网管设备H、合法的终端设备A以及尝试进行ARP报文攻击的非法终端设备B。图1A示出了网络工作正常的情况,合法终端设备A通过网关设备H与网络保持通信。此时,在网关设备H的ARP表项中建立终端设备A的ARP表项为(IA,MA),在终端设备A的ARP表项中建立的网关ARP表项为(IH,MH)。图1B示出了非法的终端设备B进行ARP报文攻击时的情况。此时,非法的终端设备B通过发送单播或广播消息,伪造网关设备H的IP地址向终端设备A发送ARP报文,报文中的源MAC地址为设备B的MAC地址。当设备A收到该ARP报文后进行动态学习,将终端设备A的ARP表项中网关的ARP表项修改为(IH,MB)。同理,设备B也可以将网关设备H中保存的设备A的ARP表项修改为(IA,MB)。因此,用户终端A和网管设备H之间的交互报文首先要发至用户终端B,用户终端B可以窃取用户终端A和网关设备H之间的通信内容,达到网络窃听的目的。另外,当非法的终端设备伪造的ARP报文中MAC为无效地址时,还会造成通信的中断。
现有技术中针对上述攻击的一种常用处理方法为动态ARP检测技术(Dynamic ARP Inspection,简称为DAI),该技术基于动态主机配置协议(Dynamic Host Configuration Protocol,简称为DHCP),网管设备监控客户端的DHCP通信,记录客户端IP-MAC对应关系,将待转发的ARP报文上送至网关设备的CPU进行IP-MAC的对应关系检查。若检查通过则转发ARP报文,否则不转发,从而达到防御ARP欺骗的目的。
但是,上述动态ARP检测技术只对交换机学习的ARP报文检查DHCP Snooping中的绑定表,也就是说只检测到三层用户。如果交换机下的用户在同一广播域,用户之间的通讯只需要交换机做二层转发,不需要三层转发,此时交换机不需要学习这些用户的ARP报文,也不进行相关的安全检查,容易导致攻击,造成了很大的安全漏洞。图2示出了现有技术中交换机下同一广播域内用户遭受ARP报文欺骗攻击的网络示意图。如图2所示,A/B/C位于同一广播域,即,同一网段中。A和B在互相通讯时,发送的ARP报文能够被C获得,如果C充当中间人作恶意扫描,只要给A发送免费ARP告知B的IP对应的MAC地址已经更新为C的MAC地址,A->B的流量就直接发送至C了,同理C也可以获取B->A的流量。在对报文作恶意扫描检查后,C只要修改目的MAC为真实的B或者A的MAC地址返回给交换机即可,A和B之间的流量就可以正常转发而不被察觉,这样,C既达到了攻击的目的又未被发现。
针对相关技术中交换机下同一广播域内用户遭受ARP欺骗攻击的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中存在的交换机下同一广播域内用户遭受ARP欺骗攻击的问题而提出本发明,为此,本发明的主要目的在于提供一种ARP报文处理方法及交换机,以解决上述问题至少之一。
为了实现上述目的,根据本发明的一个方面,提供了一种地址解析协议ARP报文处理方法。
根据本发明的地址解析协议ARP报文处理方法包括:对ARP报文进行二层检测以判断ARP报文是否合法,其中,二层检测包括:普通协议检查、ARP报文的动态地址解析协议检测DAI有效性检查和ARP报文合法用户绑定表检查;在ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。
优选地,ARP报文的DAI有效性检查包括以下至少之一:源媒体访问控制MAC检查、目的MAC检查、因特网协议IP合法性检查。
优选地,对ARP报文进行二层检测之前,上述方法还包括:根据预定规则判断ARP报文是否需要进行二层检测,其中,预定规则包括:在ARP报文的收包端口为可信任端口的情况下,确定ARP报文不需要进行二层检测;在ARP报文的收包端口为非可信任端口的情况下,确定ARP报文需要进行二层检测。
优选地,可信任端口为交换机与交换机连接的端口,非可信任端口为交换机与主机连接的端口。
优选地,确定ARP报文需要进行二层检测之后,上述方法还包括:在ARP报文为不存在三层接口的ARP报文的情况下,对ARP报文进行二层检测以判断ARP报文是否合法;在ARP报文为存在三层接口的ARP报文的情况下,将ARP报文复制为两份,对其中一份ARP报文进行二层检测以判断ARP报文是否合法。
优选地,依次按照以下检测步骤进行二层检测:对ARP报文进行普通协议检查,进行ARP报文的DAI有效性检查,进行ARP报文合法用户绑定表检查。
为了实现上述目的,根据本发明的另一个方面,提供了一种交换机。
根据本发明的交换机包括:检测模块,用于对ARP报文进行二层检测以判断ARP报文是否合法,其中,二层检测包括:普通协议检查、ARP报文的DAI有效性检查和ARP报文合法用户绑定表检查;处理模块,用于在检测模块检测ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。
优选地,上述交换机还包括:判断模块,用于根据预定规则判断ARP报文是否需要进行二层检测,其中,预定规则包括:在ARP报文的收包端口为可信任端口的情况下,确定ARP报文不需要进行二层检测;在ARP报文的收包端口为非可信任端口的情况下,确定ARP报文需要进行二层检测。
优选地,上述交换机还包括:复制模块,用于在判断模块判断ARP报文需要进行二层检测且ARP报文存在三层接口的情况下,将ARP报文复制为两份,其中一份用于送入检测模块进行二层检测。
优选地,处理模块包括:普通协议检查子模块,用于对ARP报文进行普通协议检查;ARP报文的DAI有效性检查子模块,用于对ARP报文进行DAI有效性检查;ARP报文合法用户绑定表检查子模块,用于对ARP报文进行ARP报文合法用户绑定表检查;调度子模块,用于按照普通协议检查子模块、ARP报文的DAI有效性检查子模块、ARP报文合法用户绑定表检查子模块的顺序调度普通协议检查子模块、ARP报文的DAI有效性检查子模块、ARP报文合法用户绑定表检查子模块对ARP报文进行二层检测。
通过本发明,采用对ARP报文进行二层检测以判断该ARP报文是否合法,根据检测结果对该ARP报文进行转发或丢弃的处理,解决了交换机下同一广播域内用户遭受ARP欺骗攻击的问题,能够有效检测到同一交换机内ARP攻击行为,有效保护了网络及相关设备。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1A是根据相关技术的未受ARP报文攻击的网络示意图;
图1B是根据相关技术的遭受ARP报文攻击的网络示意图;
图2是根据相关技术的交换机下同一广播域内用户遭受ARP报文欺骗攻击的网络示意图;
图3是根据本发明实施例的ARP报文处理方法的流程图;
图4是根据实例1的判断是否需要进行二层检测的流程示意图;
图5是根据实例2的对ARP报文进行二层检测的流程示意图;
图6是根据实例3的ARP报文经二层检测后的处理流程示意图;
图7是根据本发明实施例的交换机的结构框图;
图8是根据本发明实施例的交换机的详细结构框图;
图9是根据本发明实施例的处理模块的结构框图。
具体实施方式
功能概述
考虑到现有技术中存在的问题,本发明实施例提供了一种地址解析协议报文处理方案,该方案的处理原则为:对ARP报文进行二层检测以判断ARP报文是否合法;在ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。该方案在启用DAI功能后,能够对非可信任端口收到的ARP报文进行普通协议检查、ARP报文的DAI有效性检查和ARP报文合法用户绑定表检查,同时还可以对ARP报文的DAI的有效性检查项目的检查顺序和检查项目数进行灵活配置。通过以上措施,能够阻止ARP报文欺骗攻击,避免用户终端的ARP缓存表非正常老化,提高了用户终端的安全性。
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
方法实施例
根据本发明的实施例,提供了一种ARP报文处理方法,图3是根据本发明实施例的ARP报文处理方法的流程图,如图3所示,该方法包括如下的步骤S302至步骤S306:
步骤S302,根据预定规则判断ARP报文是否需要进行二层检测,其中,预定规则包括:在ARP报文的收包端口为可信任端口的情况下,确定ARP报文不需要进行二层检测;在ARP报文的收包端口为非可信任端口的情况下,确定ARP报文需要进行二层检测。其中,可信任端口可以为交换机与交换机连接的端口,非可信任端口可以为交换机与主机连接的端口。
具体而言,在判断ARP报文是否需要进行DAI检测,即,二层检测时要判断收包端口的可信任状态。如果ARP报文是从可信任端口接收到的,则可以屏蔽所有的DAI检测;如果ARP报文是从非可信任端口接收到的,则需要进行DAI检测。在典型的网络配置中,通常将交换机和主机相连的端口设为非可信任端口,将所有交换机和交换机相连的接口设为可信任端口。当然,也可以将一个端口通过命令配置为可信任端口,则所有从这个端口进入网络的ARP报文,都可以屏蔽DAI检测,在VLAN和网络中也不需要任何其他的有效性检测。关于ARP报文是否需要进行DAI检测的判断依据,即,上述预定规则可以根据实际情况进行灵活配置,本发明实施例对此不作限定。
在步骤S302中,确定ARP报文需要进行二层检测之后,在ARP报文为不存在三层接口的ARP报文的情况下,对ARP报文进行二层检测以判断ARP报文是否合法;在ARP报文为存在三层接口的ARP报文的情况下,将ARP报文复制为两份,对其中一份ARP报文进行二层检测以判断ARP报文是否合法。
步骤S304,对ARP报文进行二层检测以判断ARP报文是否合法,二层检测包括以下三种:普通协议检查、ARP报文的动态地址解析协议检测DAI有效性检查、ARP报文合法用户绑定表检查,其中,ARP报文的DAI有效性检查包括以下至少之一:源媒体访问控制MAC检查、目的MAC检查、因特网协议IP合法性检查。在实际应用中,可以依次按照以下检测步骤进行二层检测:对ARP报文进行普通协议检查,进行ARP报文的DAI有效性检查,进行ARP报文合法用户绑定表检查。
在步骤S304中,在二层检测之前,需要首先进行报文的解析,报文解析后,便可以开始进行二层检测,具体地,可以首先进行ARP报文普通协议检查,即,检查报文的硬件类型长度、协议类型、硬件地址长度、协议地址长度、操作类型和源MAC的合法性等;然后进行ARP报文的DAI有效性检查,该检查分为三个部分:源MAC检查、目的MAC检查和IP合法性检查,这三部分检查可通过命令自由组合配置,即,需要检查的项目可以是这三部分检查至少之一或其任意组合,可以根据实际情况预先指定,检查顺序也可以灵活配置;最后进行ARP报文合法用户绑定表检查,该检查通过查询DHCP Snooping表项的IP地址-MAC地址的绑定关系来确定该ARP报文是否合法。
步骤S306,在ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。在实际应用中,将通过检查的ARP报文,即,合法ARP报文在收包VLAN内发送出去可以具体包括:对于广播报文,需要在除收包端口之外的收包VLAN内的其他端口广播;对于单播ARP报文,需要在VLAN内单播发送。
下面将结合实例对本发明实施例的实现过程进行详细描述。
实例1
以下对根据预定规则判断ARP报文是否需要进行二层检测的过程进行具体描述,在本实例中,对不存在三层接口的ARP报文进行二层检测,而存在三层接口的ARP报文复制一份后进行二层检测。图4示出了根据实例1的判断是否需要进行二层检测的流程示意图,如图4所示,该过程具体包括以下流程:
步骤S401,接收ARP报文。由于需要进行增强型DAI检测,即,二层检测的报文也是普通的ARP包,没有特殊的标记,所以不能根据报文来区分,需要在ARP处理流程中判断是否要进行一系列的ARP报文检测。
步骤S402,判断ARP报文是否是从交换属性端口接收的,具体分以下两种情况进行处理:
一、ARP报文的上送接口不存在三层接口,上送的只是交换属性的物理以太接口或者Smartgroup接口,此时进入步骤S403的处理;
二、ARP报文的上送接口为三层接口,该报文既要进行DAI检查(即,二层检测)转发,又要进行ARP报文的三层协议处理,此时进入步骤S404的处理。
步骤S403,此时ARP报文的上送接口为交换属性以太物理接口或Smartgroup接口,首先判断该接口是否需要进行二层检测,判断标准为:在收包VLAN启用了ARP检测,即,上述二层检测功能的情况下,判断该接口是否为非可信任接口,若该接口为非可信任接口,则需要进行二层检测,否则,不需要进行二层检测。若经过判断后确定需要进行ARP报文检测,即,二层检测,则对该ARP报文进行二层检测,即,进入步骤S409的处理;若不需要进行二层检测,则将该ARP报文释放,即,进入步骤S407的处理。
步骤S404,此时收包接口,即,ARP报文的上送接口为三层接口,需要判断收包的二层物理接口是否需要进行二层检测,判断标准同步骤S403中的标准。若经过判断后,ARP报文需要进行二层检测,则进入步骤S405的处理,否则进入步骤S408的处理。
步骤S405,此时三层接口的ARP报文需要进行二层检测,首先将该ARP报文复制为二份,一份走二层检测的流程,即,进入步骤S409的处理,一份进行三层ARP协议处理流程,即,进入步骤S406处理。
步骤S406,由于芯片对于以太帧目的MAC是本机架MAC或广播MAC的ARP报文,才会进行上送CPU处理,而启用二层检测功能后,所有的ARP报文都要上送,需要通过本步骤判断以太头目的MAC是否为本机或是广播MAC地址,若判断结果为是,则进入步骤S408的处理,否则,进入步骤S407的处理。
步骤S407,不做任何处理,直接将ARP报文释放。
步骤S408,进入三层ARP报文协议处理流程,由于该过程属现有技术,故此处不再赘述。
步骤S409,根据本发明实施例提供的二层检测过程进行处理。
实例2
以下详细描述对ARP报文进行二层检测以判断ARP报文是否合法的过程,在该实例中,对ARP报文进行了普通ARP协议报文检查、ARP报文的DAI有效性检查和ARP报文合法用户绑定表检查这三种检查,而且,上述DAI有效性检查可以灵活动态地配置,能够加强对ARP报文攻击的防御。图5示出了根据实例2的对ARP报文进行二层检测的流程示意图,如图5所示,该过程具体包括以下流程:
步骤S501,进入该流程的ARP报文均需要进行DAI检测,即,上文所述的二层检测。在进行DAI检测前需要进行ARP报文的解析,为以下的各种检测流程提供数据源,解析后进入步骤S502的处理。
步骤S502,对ARP报文进行普通协议检查,即,对ARP报文的各字段内容进行检查。这些检查包括:协议类型为0x0800,硬件地址长度为0x06,协议地址长度为0x04,操作类型为0x0001(ARP请求报文)或0x0002(ARP响应报文),源MAC的合法性检查即MAC地址不能为多播地址或MAC地址全为零。当满足以上所有要求时,进入步骤S503的处理,否则,进入步骤S505的处理。
步骤S503,进行ARP报文的有效性检查:源MAC地址检查、目的MAC地址检查和IP合法性检查,该检查可通过命令自由组合配置,即,检查的项目数和检查顺序均可以根据实际情况灵活配置。
源MAC地址检查:接收ARP报文的以太帧源MAC和ARP报文内部的源MAC必须一致,才认为该报文合法。
目的MAC地址检查:该检查仅检查ARP响应报文。ARP响应报文的以太帧目的MAC和ARP响应报文内部的目的MAC必须一致,才认为该报文合法。
IP合法性检查:ARP报文内部的源、目的IP不能为全零或组播IP地址,响应报文的目的IP不能为全f,才认为该报文合法。
经过以上检查,符合要求的ARP报文进入步骤S504进行合法用户绑定表项的检查;否则,进入步骤S505的处理。
步骤S504,进行ARP报文的合法用户绑定表项检查,该表项由DHCP Snooping创建。在VLAN的DHCP Snooping属性为打开的情况下,建立可信任的IP和MAC地址的绑定关系。本检查根据接收报文的接口和VLAN ID信息,查找DHCP合法用户表,若查找到了合法用户,则认为该ARP报文为合法报文,即,该ARP报文经过该二层检测流程检测为合法;否则认为非法,进入步骤S505的处理。
经过步骤S502至S504的检查,符合所有要求的ARP报文为合法报文,可以进入转发流程。但只要有一项检测不符合要求,该ARP报文就认为不合法,则不做任何处理,直接进入步骤S505的处理,即,丢弃该ARP报文。
步骤S505,丢弃ARP报文。
实例3
以下详细描述ARP报文经过二层检测后的处理流程,图6示出了根据实例3的ARP报文经二层检测后的处理流程示意图,如图6所示,该过程具体包括以下流程:
步骤S601,通过DAI检测,即,二层检测的ARP报文进入该步骤,进行报文的转发或丢弃。如该ARP报文合法则进行转发,否则丢弃该ARP报文,转发时需要判断报文是否为广播报文,如果是广播报文则进行广播转发,即,进入步骤S602的处理;如果是单播报文则进行单播转发,即,进入步骤S603的处理。
步骤S602,转发需要进行广播的ARP报文,根据收包VLAN ID和需要去除的发送端口(即,收包端口),进行报文广播转发。
步骤S603,在VLAN内进行单播转发。获取ARP报文的目的MAC,查找MAC表中对应的物理接口直接转发。
从以上的描述中,可以看出,在图2所示网络中,应用本发明实施例提供的方法可以有效的防止ARP攻击。当C给A发送ARP报文(IB,MC)时,由于C是交换机和主机相连的端口,即为非可信任端口,所以该ARP报文会上送CPU进行检测。检测时发现该报文的IP-MAC对应关系为非法的,则该ARP报文就会直接丢弃,这样就有效地防止了C用户的攻击。
装置实施例
根据本发明的实施例,提供了一种交换机,图7是根据本发明实施例的交换机的结构框图,如图7所示,该交换机包括:检测模块72,用于对ARP报文进行二层检测以判断ARP报文是否合法,其中,二层检测包括以下三种:普通协议检查、ARP报文的DAI有效性检查、ARP报文合法用户绑定表检查;处理模块74,连接于检测模块72,用于在检测模块72检测ARP报文合法的情况下,转发ARP报文,否则,丢弃ARP报文。
图8是根据本发明实施例的交换机的详细结构框图,如图8所示,该交换机在图7所示的检测模块72和处理模块74的基础上,还包括:判断模块86,连接于检测模块72,用于根据预定规则判断ARP报文是否需要进行二层检测。优选地,该交换机还可以包括:复制模块88,连接于判断模块86和检测模块72,用于在判断模块86判断ARP报文需要进行二层检测且ARP报文存在三层接口的情况下,将ARP报文复制为两份,其中一份用于送入检测模块72进行二层检测。
图9是根据本发明实施例的处理模块的结构框图,如图9所示,处理模块74包括:普通协议检查子模块92,用于对ARP报文进行普通协议检查;ARP报文的DAI有效性检查子模块94,用于对ARP报文进行DAI有效性检查;ARP报文合法用户绑定表检查子模块96,用于对ARP报文进行ARP报文合法用户绑定表检查;调度子模块98,连接于普通协议检查子模块92、ARP报文的DAI有效性检查子模块94和ARP报文合法用户绑定表检查子模块96,用于按照普通协议检查子模块92、ARP报文的DAI有效性检查子模块94、ARP报文合法用户绑定表检查子模块96的顺序调度普通协议检查子模块92、ARP报文的DAI有效性检查子模块94、ARP报文合法用户绑定表检查子模块96对ARP报文进行二层检测。
综上所述,本发明实施例提供的地址解析协议报文处理方案能够阻止ARP报文欺骗攻击,避免用户终端的ARP缓存表非正常老化,提高了用户终端的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种地址解析协议ARP报文处理方法,其特征在于,包括:
对所述ARP报文进行二层检测以判断所述ARP报文是否合法,其中,所述二层检测包括:普通协议检查、ARP报文的动态地址解析协议检测DAI有效性检查和ARP报文合法用户绑定表检查;
在所述ARP报文合法的情况下,转发所述ARP报文,否则,丢弃所述ARP报文。
2.根据权利要求1所述的方法,其特征在于,所述ARP报文的DAI有效性检查包括以下至少之一:源媒体访问控制MAC检查、目的MAC检查、因特网协议IP合法性检查。
3.根据权利要求1所述的方法,其特征在于,在对所述ARP报文进行所述二层检测之前,所述方法还包括:
根据预定规则判断所述ARP报文是否需要进行所述二层检测,其中,所述预定规则包括:在所述ARP报文的收包端口为可信任端口的情况下,确定所述ARP报文不需要进行所述二层检测;在所述ARP报文的收包端口为非可信任端口的情况下,确定所述ARP报文需要进行所述二层检测。
4.根据权利要求3所述的方法,其特征在于,所述可信任端口为交换机与交换机连接的端口,所述非可信任端口为交换机与主机连接的端口。
5.根据权利要求3所述的方法,其特征在于,确定所述ARP报文需要进行所述二层检测之后,所述方法还包括:
在所述ARP报文为不存在三层接口的ARP报文的情况下,对所述ARP报文进行所述二层检测以判断所述ARP报文是否合法;
在所述ARP报文为存在三层接口的ARP报文的情况下,将所述ARP报文复制为两份,对其中一份ARP报文进行所述二层检测以判断所述ARP报文是否合法。
6.根据权利要求1所述的方法,其特征在于,依次按照以下检测步骤进行所述二层检测:
对所述ARP报文进行所述普通协议检查,进行所述ARP报文的DAI有效性检查,进行所述ARP报文合法用户绑定表检查。
7.一种交换机,其特征在于,包括:
检测模块,用于对ARP报文进行二层检测以判断所述ARP报文是否合法,其中,所述二层检测包括:普通协议检查、ARP报文的DAI有效性检查和ARP报文合法用户绑定表检查;
处理模块,用于在所述检测模块检测所述ARP报文合法的情况下,转发所述ARP报文,否则,丢弃所述ARP报文。
8.根据权利要求7所述的交换机,其特征在于,所述交换机还包括:
判断模块,用于根据预定规则判断所述ARP报文是否需要进行所述二层检测,其中,所述预定规则包括:在所述ARP报文的收包端口为可信任端口的情况下,确定所述ARP报文不需要进行所述二层检测;在所述ARP报文的收包端口为非可信任端口的情况下,确定所述ARP报文需要进行所述二层检测。
9.根据权利要求8所述的交换机,其特征在于,所述交换机还包括:
复制模块,用于在所述判断模块判断所述ARP报文需要进行所述二层检测且所述ARP报文存在三层接口的情况下,将所述ARP报文复制为两份,其中一份用于送入所述检测模块进行所述二层检测。
10.根据权利要求7所述的交换机,其特征在于,所述处理模块包括:
普通协议检查子模块,用于对所述ARP报文进行所述普通协议检查;
ARP报文的DAI有效性检查子模块,用于对所述ARP报文进行所述DAI有效性检查;
ARP报文合法用户绑定表检查子模块,用于对所述ARP报文进行所述ARP报文合法用户绑定表检查;
调度子模块,用于按照所述普通协议检查子模块、所述ARP报文的DAI有效性检查子模块、所述ARP报文合法用户绑定表检查子模块的顺序调度所述普通协议检查子模块、所述ARP报文的DAI有效性检查子模块、所述ARP报文合法用户绑定表检查子模块对ARP报文进行二层检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101716732A CN101674306B (zh) | 2009-09-03 | 2009-09-03 | 地址解析协议报文处理方法及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101716732A CN101674306B (zh) | 2009-09-03 | 2009-09-03 | 地址解析协议报文处理方法及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101674306A true CN101674306A (zh) | 2010-03-17 |
| CN101674306B CN101674306B (zh) | 2013-01-16 |
Family
ID=42021294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101716732A Active CN101674306B (zh) | 2009-09-03 | 2009-09-03 | 地址解析协议报文处理方法及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101674306B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902480A (zh) * | 2010-08-06 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和无线接入设备 |
| CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
| CN102790711A (zh) * | 2012-07-19 | 2012-11-21 | 上海安达通信息安全技术股份有限公司 | 一种控制同一广播域内pc互访的虚拟vlan方法 |
| US9166872B2 (en) | 2010-12-30 | 2015-10-20 | Huawei Technologies Co., Ltd. | Method and network device for detecting IP address conflict |
| CN106506200A (zh) * | 2016-10-31 | 2017-03-15 | 中国工程物理研究院计算机应用研究所 | 一种基于sdn的arp协议辅助模型 |
| CN107241307A (zh) * | 2017-04-26 | 2017-10-10 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
| CN107579881A (zh) * | 2017-10-23 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种路由器地址解析协议的测试方法和系统 |
| CN108540588A (zh) * | 2018-03-15 | 2018-09-14 | 深信服科技股份有限公司 | Mac地址获取方法及系统、网络安全设备及可读存储介质 |
| CN109714262A (zh) * | 2017-10-25 | 2019-05-03 | 北京华为数字技术有限公司 | 数据传输方法及相关设备 |
| CN113315652A (zh) * | 2021-04-29 | 2021-08-27 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7903647B2 (en) * | 2005-11-29 | 2011-03-08 | Cisco Technology, Inc. | Extending sso for DHCP snooping to two box redundancy |
| CN101166138A (zh) * | 2006-10-19 | 2008-04-23 | 中兴通讯股份有限公司 | 二层虚拟专网业务传送的装置 |
-
2009
- 2009-09-03 CN CN2009101716732A patent/CN101674306B/zh active Active
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902480A (zh) * | 2010-08-06 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和无线接入设备 |
| US9166872B2 (en) | 2010-12-30 | 2015-10-20 | Huawei Technologies Co., Ltd. | Method and network device for detecting IP address conflict |
| CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
| CN102427460B (zh) * | 2011-12-29 | 2015-03-11 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
| CN102790711A (zh) * | 2012-07-19 | 2012-11-21 | 上海安达通信息安全技术股份有限公司 | 一种控制同一广播域内pc互访的虚拟vlan方法 |
| CN106506200A (zh) * | 2016-10-31 | 2017-03-15 | 中国工程物理研究院计算机应用研究所 | 一种基于sdn的arp协议辅助模型 |
| CN107241307A (zh) * | 2017-04-26 | 2017-10-10 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
| CN107241307B (zh) * | 2017-04-26 | 2023-08-08 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
| CN107579881A (zh) * | 2017-10-23 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种路由器地址解析协议的测试方法和系统 |
| CN109714262A (zh) * | 2017-10-25 | 2019-05-03 | 北京华为数字技术有限公司 | 数据传输方法及相关设备 |
| CN109714262B (zh) * | 2017-10-25 | 2021-07-09 | 北京华为数字技术有限公司 | 数据传输方法及相关设备 |
| CN108540588A (zh) * | 2018-03-15 | 2018-09-14 | 深信服科技股份有限公司 | Mac地址获取方法及系统、网络安全设备及可读存储介质 |
| CN113315652A (zh) * | 2021-04-29 | 2021-08-27 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
| CN113315652B (zh) * | 2021-04-29 | 2022-07-19 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101674306B (zh) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| US8200798B2 (en) | Address security in a routed access network | |
| US8189580B2 (en) | Method for blocking host in IPv6 network | |
| US20180343236A1 (en) | Identity and Metadata Based Firewalls in Identity Enabled Networks | |
| US8028160B1 (en) | Data link layer switch with protection against internet protocol spoofing attacks | |
| US20080060067A1 (en) | Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network | |
| CN101340293B (zh) | 一种报文安全检查方法和装置 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| JP2004179812A (ja) | アドレス変換装置およびアドレス変換規則管理方式 | |
| US8804729B1 (en) | IPv4, IPv6, and ARP spoofing protection method | |
| CN1722707B (zh) | 用于在局域网交换机中保证通信的方法 | |
| CN102546308B (zh) | 基于重复地址检测实现邻居发现代理的方法和系统 | |
| CN101179506B (zh) | 私网终端对公网终端进行检测的方法 | |
| CN104168338A (zh) | 一种网络地址转换装置和方法 | |
| CN102572013B (zh) | 一种基于免费arp实现代理arp的方法及系统 | |
| CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
| CN104683500A (zh) | 一种安全表项生成方法和装置 | |
| US7688821B2 (en) | Method and apparatus for distributing data packets by using multi-network address translation | |
| CN103607350A (zh) | 一种路由生成方法及装置 | |
| CN104506437A (zh) | 一种表项建立方法及装置 | |
| CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
| CN115022281B (zh) | 一种nat穿透的方法、客户端及系统 | |
| CN102546307B (zh) | 基于dhcp侦听实现代理arp功能的方法和系统 | |
| Kang et al. | ARP modification for prevention of IP spoofing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |