CN101888329B - 地址解析协议报文的处理方法、装置及接入设备 - Google Patents
地址解析协议报文的处理方法、装置及接入设备 Download PDFInfo
- Publication number
- CN101888329B CN101888329B CN2010101591759A CN201010159175A CN101888329B CN 101888329 B CN101888329 B CN 101888329B CN 2010101591759 A CN2010101591759 A CN 2010101591759A CN 201010159175 A CN201010159175 A CN 201010159175A CN 101888329 B CN101888329 B CN 101888329B
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- address
- list item
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 24
- 230000003068 static effect Effects 0.000 claims abstract description 72
- 238000001514 detection method Methods 0.000 claims abstract description 54
- 238000000034 method Methods 0.000 claims abstract description 17
- 238000001914 filtration Methods 0.000 claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims description 48
- 238000012545 processing Methods 0.000 claims description 26
- 239000000284 extract Substances 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 13
- 238000013461 design Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 241000209202 Bromus secalinus Species 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种地址解析协议报文的处理方法、装置及接入设备,方法包括:当接入设备通过特权端口接收到终端发送的ARP报文时,检测ARP报文是否符合接入设备预设的防欺骗特征表项,该防欺骗特征表项包括过滤发送方IP地址为接入设备的任一合法终端的IP地址的ARP报文,以及发送方MAC地址为任一合法终端的MAC地址的ARP报文,该特权端口包括未设置静态ARP检测功能的端口;若检测到ARP报文符合防欺骗特征表项,则过滤该ARP报文。本发明有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为;而且本发明的实现无需网关设备及用户主机的参与,网络配置简单,提升了网络部署的灵活性、稳定性和安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种地址解析协议报文的处理方法、装置及接入设备。
背景技术
在当前网络技术中,终端设备在网络中是以网际协议(Internet Protocol,简称IP)地址来区分的。因此在通信中,发起通信的发送方终端设备向其他终端设备发送报文时,需要获取目标终端的介质访问控制(Media AccessControl,简称MAC)地址,以完成对发送报文的封装,这就需要实现设备的IP地址与MAC地址间的转换。目前,该地址转换通常由地址解析协议(Address Resolution Protocol,简称ARP)予以实现,ARP协议将目标终端设备的IP地址转换为MAC地址,保证了通信的顺利进行。
由于ARP协议建立在信任局域网内所有结点的基础上,即运行ARP协议的终端设备不会检查自己是否发过ARP请求报文,也不管接收到的ARP应答报文是否合法,只要收到目标MAC地址是自身MAC地址的ARP报文,终端设备都会将其接收并缓存,这无疑为ARP欺骗攻击提供了可能。在ARP欺骗攻击行为中,ARP攻击方会恶意地冒充合法主机发出ARP报文,将发送的ARP报文中的发送方IP或MAC地址伪造成合法主机的IP或MAC地址,以欺骗其他主机,达到窃取其他主机重要数据甚至导致局域网内网络拥塞的目的,因而如何有效地防范ARP欺骗是局域网部署时必须考虑的重要问题。
现有技术中常用的防范ARP欺骗攻击的方法包括:接入设备通过解析认证客户终端的认证信息,获取并记录该客户终端的IP-MAC地址对应信息,并在接入设备与该客户终端对应的端口的报文特征数据库中,将该IP-MAC地址对应信息设置为不可动态改写的静态ARP检测表项。当该端口接收到任何ARP报文时,同时对该ARP报文中的发送方IP地址和发送方MAC地址进行检测,只有当两者都符合该端口设置的静态ARP检测表项时,该ARP报文才能被通过,否则该ARP报文将被过滤丢弃。
通过这种检测方式,虽然能够在一定程度上防御局域网内部的ARP攻击,但是该方法同样存在一定的缺陷:对于静态ARP检测表项而言,其只能作用在接入设备开启了ARP检测功能的指定端口,因此若要对接入设备进行全局的ARP防御,则需要将所有的端口都开启该检测功能,这在很大程度上将限制了网络部署的灵活性。同时在实际部署中,由于有些端口下需要使用安全数据通道放行某些特权用户报文,这些端口将不会进行任何网络安全功能的配置,也不会开启ARP检测功能。因而对于这些安全通道端口而言,该端口下的主机若由于ARP中毒或者恶意攻击等原因发起ARP欺骗,由于该端口无法进行ARP检测,这些主机则可以成功欺骗链接于同一接入设备的网关或者其他合法用户主机,从而导致存在很大的安全隐患。
发明内容
本发明提供一种地址解析协议报文的处理方法、装置及接入设备,用以防止非法客户端利用接入设备未设置静态ARP检测功能的端口冒充合法用户进行的ARP欺骗攻击。
为实现上述目的,本发明提供一种地址解析协议报文的处理方法,包括:
当接入设备通过特权端口接收到终端发送的第一ARP报文时,检测所述第一ARP报文是否符合所述接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口;
若检测到所述第一ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一ARP报文。
为实现上述目的,本发明还提供一种地址解析协议报文的处理装置,包括:
第一报文接收模块,用于通过特权端口接收终端发送的第一ARP报文;
第一表项检测模块,用于检测所述第一ARP报文是否符合接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口;
第一报文过滤模块,用于若所述第一表项检测模块检测到所述第一ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一ARP报文。
为实现上述目的,本发明还提供一种接入设备,包括接入模块,其中,还包括:上述的地址解析协议报文的处理装置,所述地址解析协议报文的处理装置与所述接入模块连接。
本发明提供的地址解析协议报文的处理方法、装置及接入设备,通过在接入设备的报文特征数据库中设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口,对该接入设备的合法终端或网关发送ARP欺骗报文时,该特权端口能够通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充合法终端对其他终端或网关设备进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明地址解析协议报文的处理方法实施例一的流程图;
图2为本发明地址解析协议报文的处理方法实施例二的流程图;
图3为本发明地址解析协议报文的处理装置实施例一的结构示意图;
图4为本发明地址解析协议报文的处理装置实施例二的结构示意图;
图5为本发明接入设备实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明地址解析协议报文的处理方法实施例一的流程图,如图1所示,本实施例具体包括如下步骤:
步骤100,当接入设备通过特权端口接收到终端发送的第一ARP报文时,检测该第一ARP报文是否符合该接入设备预设的防欺骗特征表项;
在通信网络常用的接入设备中,例如常见的接入交换机或接入路由器中,为了实际部署的需求,通常会包括两种类型的端口。其中一类端口开启了报文特征数据库的静态ARP表项检测功能,当该端口接收到任一ARP报文时,均会根据报文特征数据库中的静态ARP检测表项对该ARP报文进行检测,并根据检测的结果放行或过滤该ARP报文,以防范该端口下连接的终端发出的ARP欺骗攻击行为。而另一类端口则为未开启ARP表项检测功能的特权端口,在这类端口中,由于存在某些特殊的原因,并不设置静态ARP检测表项,因此在这类端口中,接入的终端无需经过静态ARP表项的检测,即通过该类端口,未经过认证服务器的认证的终端也可连接到接入设备中。
对于这类未设置ARP表项检测功能的特权端口而言,该特权端口下的特权终端或者其他终端便很容易利用端口无需进行ARP检测的特征,冒充其他端口下合法终端的IP地址或MAC地址发出ARP欺骗报文。由于该端口对接收到的ARP报文并不进行静态ARP表项检测,因此,即使其接收到的ARP欺骗报文的发送方IP地址和发送方MAC地址并非为合法终端的对应的IP地址和MAC地址,该端口也会放行该ARP报文,从而会对其他端口下的被冒充的合法终端造成ARP攻击。
为了防御这种ARP欺骗攻击现象,在本实施例中,针对接入设备的这类特权端口,在报文特征数据库中设置了用于防范该端口下连接的终端发出ARP欺骗攻击的防欺骗特征表项。具体地,在该防欺骗特征表项中指明:将特权端口接收到的源IP地址为接入设备的任一合法终端的IP地址的ARP报文,以及源MAC地址为接入设备的任一合法终端的MAC地址的ARP报文进行过滤。
如此一来,当接入设备通过特权端口,接收到与该特权端口连接的终端发送的ARP报文时,将通过报文特征数据库中预设的防欺骗特征表项,检测该ARP报文是否为一ARP欺骗报文。具体地,在本实施例中,称接入设备通过特权端口接收到的ARP报文为第一ARP报文。接入设备通过比较该第一ARP报文中的发送方IP地址与防欺骗特征表项中设置的IP地址,以及比较第一ARP报文中的发送方MAC地址与防欺骗特征表项中设置的MAC地址,检测该第一ARP报文是否符合该防欺骗特征表项。具体指通过该防欺骗特征表项检测:特权端口接收到的第一ARP报文中携带的发送方IP地址是否为该接入设备已通过认证的合法终端的IP地址,以及特权端口接收到的第一ARP报文中携带的发送方MAC地址是否为该接入设备已通过认证的合法终端的MAC地址。
步骤101,若检测到第一ARP报文符合预设的防欺骗特征表项,则过滤掉该第一ARP报文。
若通过上述检测,接入设备得到第一ARP报文符合预设的防欺骗特征表项的检测结果,由于在特权端口中,终端无需经过认证服务器的认证便可连接到接入设备,因而特权端口下连接的所有终端均不属于该接入设备已认证的合法终端,相对应地,该接入设备的报文特征数据库中也不会存在任何与该特权端口的终端的IP地址或MAC地址对应的特征表项。
因此,若此时该特权端口接收到的第一ARP报文符合接入设备预设的防欺骗特征表项,即该第一ARP报文的发送方IP地址或者发送方MAC地址为接入设备的任一合法终端的IP地址或者MAC地址,这表明:特权端口此时接收到终端发送的第一ARP报文为该终端冒充该接入设备其他合法终端的IP地址或MAC地址发出,而并非该终端自身的IP地址或MAC地址,这属于典型的ARP欺骗攻击行为。在此情况下,接入设备接收的该第一ARP报文识别为ARP欺骗报文,并将该ARP欺骗报文进行过滤,以防御该终端通过特权端口进行的ARP攻击。
如此一来,尽管在接入设备的报文特征数据库中,并未为特权端口设置对应的静态ARP检测表项,但是通过设置的防欺骗特征表项,接入设备仍然能够及时地检测并过滤掉恶意攻击方通过特权端口、冒充合法终端发出的ARP欺骗报文,从而有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为。且由于在这类端口中,对于接收到的ARP报文需要首先进行防欺骗表项的检测,因此即使此类端口中开启了安全数据通道,对指定的某类ARP报文可以无条件的放行通过,由于在进行安全数据通道放行ARP报文之前,都需要对ARP报文进行防欺骗表项的检测,因此即使对于开启了安全数据通道的端口而言,通过设置防欺骗表项,同样能够防止非法终端利用此类端口冒充合法终端进行的ARP欺骗攻击。
更进一步地,本实施例对接入设备的改进仅在于在报文特征数据库中,为特权端口增添设置特征表项,而无需对接入终端或网关设备进行任何改动,其网络配置及实施方式简单,还相应提升了网络部署的灵活性和稳定性。
本实施例的地址解析协议报文的处理方法,通过在接入设备的报文特征数据库中设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口,冒充合法终端对该接入设备的其他终端或网关发送ARP欺骗报文时,该特权端口能够通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
图2为本发明地址解析协议报文的处理方法实施例二的流程图,本实施例中以接入设备为接入交换机为例,对本发明的ARP报文的处理方法进行了描述。如图2所示,本实施例具体包括如下步骤:
步骤200,获取对应的合法终端的IP地址和MAC地址;
本实施例中,在接入交换机通过报文特征数据库中的特征表项,对恶意攻击方通过特权端口发出的ARP欺骗攻击行为进行防御之前,为了在该接入交换机的报文特征数据库中设置相应的防欺骗特征表项,接入交换机将获取包括的合法终端对应的IP地址以及MAC地址。具体地,在本实施例中,接入交换机可以通过如下至少两种方式获取合法终端的IP地址及MAC地址信息:
第一种方式为在认证终端进行认证服务器的认证过程中,接入交换机通过对认证终端发送给认证服务器的认证信息进行截获并解析,提取出其中携带的认证终端的IP地址和MAC地址,当该认证终端的认证通过后,该提取出的终端IP地址及MAC地址便为合法终端对应的IP地址及MAC地址;
第二种方式为在接入交换机中设置动态主机设置协议安全特性(Dynamic Host Configuration Protocol-Snooping,简称DHCP-Snooping)功能,通过该DHCP-Snooping功能,接入交换机可以截获到接入的合法终端发送的DHCP报文,而根据对该DHCP报文进行解析,接入交换机可以提取出包括的合法终端的IP地址和MAC地址。
以上列举了两种获取合法终端的IP地址和MAC地址的方式,但需了解的是,在实际应用中,接入交换机还可以通过其他多种方式获取该交换机内通过认证的合法终端的IP地址及MAC地址,例如通过命令行设置的方式获取等,其他可以适用的替换方式同样在本发明所保护的范围之内。
步骤201,根据获取到的合法终端的IP地址和MAC地址,在特征数据库中为特权端口设置对应的防欺骗特征表项;
接入交换机通过上述任一方式获取到任一合法终端的IP地址和MAC地址之后,为了对该合法终端进行ARP攻击保护,以保护该合法终端不受到非法终端通过特权端口发出的ARP欺骗攻击,将根据获取到的IP地址和MAC地址,在报文特征数据库中增添设置对应的防欺骗特征表项,具体指接入交换机在报文特征数据库中,为容易遭受ARP欺骗攻击的特权端口设置防欺骗特征表项。该防欺骗特征表项用于指示接入交换机对接收到的发送方IP地址为该合法终端的IP地址的ARP报文进行丢弃,以及对接收到的发送方MAC地址为该合法终端的MAC地址的ARP报文进行过滤。
具体地,针对获取得到的合法终端的IP地址和MAC地址,接入交换机可以在报文特征数据库中,为特权端口分别设置与IP地址对应的第一防欺骗特征表项以及与MAC地址对应的第二防欺骗特征表项。其中第一防欺骗特征表项用于指示接入交换机对接收到的发送方IP地址为合法终端的IP地址的ARP报文进行过滤,而第二防欺骗特征表项用于指示接入交换机对接收到的发送方MAC地址为合法终端的MAC地址的ARP报文进行过滤。
步骤202,根据获取到的合法终端的IP地址和MAC地址,在特征数据库中为非特权端口设置对应的防欺骗特征表项;
步骤203,在非特权端口中,设置防欺骗特征表项的优先级别低于静态ARP检测表项;
进一步地,在接入交换机为特权端口设置该特征表项的同时,针对该接入交换机中开启了静态ARP检测功能,即需要对接收到的ARP报文进行静态ARP检测的非特权端口,接入交换机同时还可以在报文特征数据库中,为这些非特权端口设置对应的防欺骗特征表项,并将该新设置的防欺骗特征表项的优先级别设置为低于静态ARP检测表项的优先级别。
这样设置的目的在于:由于在接入交换机中,对于开启了静态ARP检测功能的非特权端口而言,其连接的终端若需要通过该类端口传送数据报文之前,需要通过认证服务器的认证以接入到该接入交换机中,因此该非特权端口下通常会对应连接多个已经通过认证的合法终端。因此,如果在该非特权端口接收到ARP报文时,便直接采用上述设置的防欺骗特征表项对该ARP报文进行检测,将会导致合法终端发送的合法的ARP报文由于符合防欺骗特征表项的设定条件,而被过滤掉无法通过。
因此,为避免发生上述现象,在本实施例中,接入交换机在报文特征数据库中,为非特权端口增添防欺骗特征表项的同时,还在非特权端口中,设置该防欺骗特征表项的优先级别低于静态ARP检测表项,即使得合法终端在通过该非特权端口发送合法的ARP报文时,非特权端口首先将对该ARP报文进行静态ARP检测表项的检测。根据检测结果,合法的ARP报文将会符合非特权端口对应的静态ARP检测表项,而最终被放行通过,从而避免了合法的ARP报文在直接进行防欺骗特征表项的检测时,被识别为ARP欺骗报文而被过滤掉的现象。
步骤204,通过特权端口接收到终端发送的第一ARP报文;
步骤205,检测第一ARP报文是否符合防欺骗特征表项,若是则执行步骤206,若否则执行步骤207;
步骤206,过滤第一ARP报文;
步骤207,放行通过第一ARP报文;
在接入交换机设置了与各合法终端的IP地址与MAC地址对应的防欺骗特征表项后,当该接入交换机通过特权端口接收到对应的终端发送的第一ARP报文时,由于特权端口并未设置静态ARP检测功能,因此接入交换机将直接对该第一ARP报文进行防欺骗特征表项的检测,具体指检测该第一ARP报文的发送方IP地址是否符合报文特征数据库中的第一防欺骗特征表项,以及检测ARP报文的发送方MAC地址是否符合报文特征数据库中的第二防欺骗特征表项。
具体地,接入交换机将分别从第一ARP报文中提取出其中携带的发送方IP地址以及发送方MAC地址,并根据提取出的发送方IP地址,在特征数据库中查询其中是否包括与该发送方IP地址对应的第一防欺骗特征表项,以及根据提取出的发送方MAC地址,查询是否包括与该发送方MAC地址对应的第二防欺骗特征表项。无论该第一ARP报文是符合第一防欺骗特征表项或第二防欺骗特征表项,都表明该第一ARP报文为该特权端口下的非法终端发送的ARP欺骗报文,区别仅在于其冒充合法终端的地址类型不同,因此接入交换机均将该第一ARP报文进行过滤。
进一步地,在过滤掉该第一ARP报文,使该第一ARP报文无法发送到目的终端的基础上,接入交换机还可以对该第一ARP报文进行统计,即根据对接收到的第一ARP报文进行防欺骗表项检测的结果,统计对应端口下发生的冒充合法终端进行ARP欺骗攻击行为的状态。甚至在此之后,接入交换机还可以将检测到为ARP欺骗攻击的ARP欺骗报文,发送给其他的分析设备以进行统计和分析。
而若经过检测,接入交换机发现该第一ARP报文并不符合防欺骗特征数据库中设置的任一防欺骗特征表项,这表明该第一ARP报文并非该端口下的终端冒充该接入交换机的合法终端发出的ARP欺骗报文,于是接入交换机放行通过该第一ARP报文,使其可以传送到目的终端。
步骤208,通过非特权端口接收到终端发送的第二ARP报文;
步骤209,检测该第二ARP报文是否符合该非特权端口对应的静态ARP检测表项,若否则执行步骤210,若是则执行步骤212;
若接入交换机通过未设置静态ARP表项检测的非特权端口,接收到对应的终端发送的第二ARP报文时,根据报文特征数据库中与该非特权端口对应的各特征检测表项以及各特征检测表项的优先权级别,接入交换机将首先对该第二ARP报文是否符合该非特权端口设置的静态ARP检测表项进行检测。
具体地,对于某一非特权端口而言,报文特征数据库中可以对应设置多条静态ARP检测表项,每条静态ARP检测表项都对该非特权端口下的一台已经通过认证的合法终端相对应,且每条静态ARP检测表项均指示:将接收到ARP报文的发送方IP地址和发送方MAC地址对应为该合法终端的IP地址和MAC地址放行通过。
因此在接入交换机通过该非特权端口接收到第二ARP报文时,首先对该第二ARP报文进行静态ARP检测表项的检测,可以对该端口下未认证的终端发出的ARP报文,或者进行恶意ARP欺骗攻击的终端所发出的ARP欺骗报文进行拦截。进一步地,在进行下一步的防欺骗特征表项的检测之前,通过进行静态ARP表项检测,可以放行合法终端发送的合法的ARP报文,以避免在进行后续的检测中出现的将合法的ARP报文识别为ARP欺骗报文而丢弃的现象。
在对接收到的第二ARP报文进行静态ARP表项检测之后,若该第二ARP报文符合该非特权端口设置的静态ARP检测表项,表明发送该第二ARP报文的终端为该端口下已经通过认证的合法终端,且其发出的ARP报文也为合法的ARP报文,因此接入交换机返回至执行步骤206,将该第二ARP报文放行通过,使其可以传送到目的终端。
步骤210,检测该第二ARP报文是否符合预设的防欺骗特征表项,以对接入设备接收到的ARP欺骗攻击行为进行统计,并执行步骤211;
步骤211,过滤该第二ARP报文;
步骤212,放行通过该第二ARP报文;
而反之,若接入交换机通过对接收到的第二ARP报文进行静态ARP表项检测,得到该第二ARP报文不符合该非特权端口设置的静态ARP检测表项的结果,这表明发送该第二ARP报文的终端为该端口下未认证未的终端或发出恶意攻击终端,该第二ARP报文很有可能为该终端发出的ARP攻击报文,应该予以过滤。
此时,接入交换机已经可以直接过滤掉该第二ARP报文,但是在本实施例中,根据报文特征数据库中特征检测表项的设置,接入交换机还将进一步地检测该第二ARP报文是否符合上述预设的防欺骗特征表项,即检测第二ARP报文的发送方IP地址是否符合预设的第一防欺骗特征表项,以及该第二ARP报文的发送方MAC地址是否符合预设的第二防欺骗特征表项。而在无论是否检测到该第二ARP报文符合防欺骗特征表项,根据该第二ARP报文不符合静态ARP检测表项这一点,接入交换机都可以判定该第二ARP报文为该端口下终端发出的ARP欺骗报文,都可以将该第二ARP报文进行过滤,以防御该端口下终端产生的ARP欺骗攻击行为。
而在本实施例中,接入交换机在检测到第二ARP报文不符合静态ARP检测表项之后,再进一步地进行防欺骗特征表项的检测的目的在于:由于若符合防欺骗特征表项的ARP报文必定为恶意终端冒充合法终端的地址发出的ARP欺骗报文,因此根据此检测结果,接入交换机可以统计每一端口下终端发出的这类ARP欺骗攻击的状态,例如发出ARP欺骗攻击的次数、频率等,从而在此基础上,接入交换机可以对每一端口的ARP攻击状态进行分析,以制定相应的防攻击策略。具体地,接入交换机根据对接收到的ARP报文进行第一防欺骗特征表项的检测结果,以及根据对ARP报文进行第二防欺骗特征表项的检测结果,能够分别统计出对应端口下冒充合法终端的IP地址进行的ARP欺骗攻击行为的状态,以及冒充合法终端的MAC地址进行的ARP欺骗攻击行为的状况。从而根据该统计结果,接入交换机可以对该端口,甚至对该接入交换机整体的性能状态进行调整与管理。
具体地,若接入交换机通过进一步的检测,检测到该第二ARP报文不符合静态ARP检测表项,却也不符合预设的防欺骗特征表项,这表明:发送该第二ARP报文的终端虽然不是接入交换机已通过认证的合法终端(不符合静态ARP检测表项),例如其可能为一恶意攻击终端或者为接入交换机的一未认证终端,但是在此次ARP欺骗攻击行为中,该终端却也没有冒充其他合法终端的IP地址或MAC地址发出ARP欺骗报文(不符合防欺骗特征表项)。因而接入交换机在将其进行过滤之后,无需对该第二ARP报文进行相应的统计。
反之,若接入交换机通过进一步的检测,检测到该第二ARP报文虽然不符合静态ARP检测表项,还进一步符合预设的防欺骗特征表项,这表明:发送该第二ARP报文的终端不仅不是接入交换机已通过认证的合法终端(不符合静态ARP检测表项),而且还在此次ARP欺骗攻击行为中,冒充了其他合法终端的IP地址或MAC地址对其他合法终端发出了ARP欺骗报文(符合防欺骗特征表项)。因而接入交换机在将其进行过滤之后,还可以对该此次ARP欺骗攻击行为进行相应的记录,以便后续的统计与管理。
在进行了静态ARP表项检测以及防欺骗表项检测之后,接入交换机可以过滤掉非特权端口下冒充合法终端、对其他终端或网关进行的ARP欺骗报文,因而即使该端口中开启了安全数据通道,对指定的某类ARP报文可以无条件的放行通过,由于在进行安全数据通道放行ARP报文之前,都需要对接收到的ARP报文进行静态ARP表项及防欺骗表项的检测,因此即使对于开启了安全数据通道的端口而言,无论该端口为设置了静态ARP检测表项的非特权端口,或未设置静态ARP检测表项的特权端口,通过设置防欺骗表项,同样能够防止非法终端利用此类端口冒充合法终端进行的ARP欺骗攻击。
本实施例的地址解析协议报文的处理方法,通过在接入设备为合法用户在对应端口的报文特征数据库中设置静态ARP检测表项的同时,为该合法用户增添设置两条优先级低于静态ARP检测表项的特征表项:一条用于指示对全局所有端口下发送的发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,另一条用于指示对全局所有端口下发送的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文进行过滤,从而有效地防止了非法用户通过接入设备未设置ARP检测功能的特权端口冒充合法终端,对其他终端或网关设备进行的ARP欺骗攻击;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入交换机的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图3为本发明地址解析协议报文的处理装置实施例一的结构示意图,如图3所示,本实施例的地址解析协议报文的处理装置包括:第一报文接收模块11、第一表项检测模块12以及第一报文过滤模块13。
其中,第一报文接收模块11用于通过特权端口接收终端发送的第一ARP报文;第一表项检测模块12用于检测第一报文接收模块11接收到的第一ARP报文是否符合接入设备预设的防欺骗特征表项,该防欺骗特征表项包括过滤发送方IP地址为接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为接入设备的任一合法终端的MAC地址的ARP报文,该特权端口包括未设置静态ARP检测功能的端口;第一报文过滤模块13用于若第一表项检测模块12检测到第一ARP报文符合预设的防欺骗特征表项时,过滤第一ARP报文。
具体地,本实施例中的所有模块所涉及的具体工作过程,可以参考上述地址解析协议报文的处理方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的地址解析协议报文的处理装置,通过在接入设备的报文特征数据库中设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口,冒充合法终端对该接入设备的其他终端或网关设备发送ARP欺骗报文时,该特权端口能够通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
图4为本发明地址解析协议报文的处理装置实施例二的结构示意图,如图4所示,在上述地址解析协议报文的处理装置实施例一的基础上,本实施例的地址解析协议报文的处理装置还可以包括:第二报文接收模块14、第二表项检测模块15、第三表项检测模块16以及第二报文过滤模块17。
其中,第二报文接收模块14用于通过非特权端口接收终端发送的第二ARP报文;第二表项检测模块15用于检测该第二ARP报文是否符合非特权端口对应的静态ARP检测表项,该静态ARP检测表项包括放行发送方IP地址和发送方MAC地址对应为非特权端口下任一合法终端的IP地址与MAC地址的ARP报文,而非特权端口包括设置有静态ARP检测功能的端口;第三表项检测模块16用于若第二表项检测模块15检测到第二ARP报文不符合静态ARP检测表项时,进一步地检测第二ARP报文是否符合预设的防欺骗特征表项,以对所述接入设备接收到的ARP欺骗攻击行为进行统计;而第二报文过滤模块17用于在第三表项检测模块16对第二ARP报文进行检测之后,过滤掉第二ARP报文。
进一步地,本实施例的地址解析协议报文的处理装置还可以包括:地址提取模块18和第一表项设置模块19、第二表项设置模块110以及优先级设置模块111。
其中,地址提取模块18用于在第一报文接收模块11通过特权端口接收到第一ARP报文之前,从接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获到的合法终端发送的DHCP报文中,提取接入设备的合法终端对应的IP地址和MAC地址;第一表项设置模块19用于根据地址提取模块18提取出的IP地址和MAC地址,在报文特征数据库中,为特权端口设置对应的防欺骗特征表项。
第二表项设置模块110用于在地址提取模块18提取出合法终端对应的IP地址和MAC地址之后,根据提取出的IP地址和MAC地址,在报文特征数据库中,为非特权端口设置对应的防欺骗特征表项;而优先级设置模块111则用于在非特权端口中,设置该防欺骗特征表项的优先级别低于静态ARP检测表项。
更进一步地,在本实施例中,地址解析协议报文的处理装置还可以包括报文放行模块112,用于若第一表项检测模块12检测到第一ARP报文不符合预设的防欺骗特征表项时,放行该第一ARP报文。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,同样可以参考上述地址解析协议报文的处理方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的地址解析协议报文的处理装置,通过在接入设备为合法用户在对应端口的报文特征数据库中设置静态ARP检测表项的同时,为该合法用户增添设置两条优先级低于静态ARP检测表项的特征表项:一条用于指示对全局所有端口下发送的发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,另一条用于指示对全局所有端口下发送的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文进行过滤,从而有效地防止了非法终端通过交换机未设置ARP检测功能的特权端口,冒充合法终端对接入设备下其他终端或网关进行的ARP欺骗攻击;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入交换机的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
图5为本发明接入设备实施例的结构示意图,如图5所示,本实施例的接入设备包括:接入模块1以及与接入模块1连接的地址解析协议报文的处理装置2。具体地,本实施例的接入设备可以为接入交换机或接入路由器等路由设备。其中,接入模块1用于对接入的客户终端进行认证,以将客户终端接入至服务器中,而地址解析协议报文的处理装置2所包含的所有模块,以及各模块所涉及的具体工作过程,则可以参考上述地址解析协议报文的处理方法以及地址解析协议报文的处理装置所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的接入设备,通过在接入设备的报文特征数据库中设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口,冒充合法终端对该接入设备的其他终端或网关设备发送ARP欺骗报文时,该特权端口能够通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种地址解析协议报文的处理方法,其特征在于,包括:
当接入设备通过特权端口接收到终端发送的第一ARP报文时,检测所述第一ARP报文是否符合所述接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口;
若检测到所述第一ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一ARP报文。
2.根据权利要求1所述的地址解析协议报文的处理方法,其特征在于,所述方法还包括:
当所述接入设备通过非特权端口接收到终端发送的第二ARP报文时,检测所述第二ARP报文是否符合与所述非特权端口对应的静态ARP检测表项,所述静态ARP检测表项包括放行发送方IP地址和发送方MAC地址对应为所述非特权端口下任一合法终端的IP地址与MAC地址的ARP报文,所述非特权端口包括设置有静态ARP检测功能的端口;
若所述第二ARP报文不符合所述静态ARP检测表项,则检测所述第二ARP报文是否符合所述预设的防欺骗特征表项,以对所述接入设备接收到的ARP欺骗攻击行为进行统计,并过滤所述第二ARP报文。
3.根据权利要求1所述的地址解析协议报文的处理方法,其特征在于,所述接入设备通过特权端口接收到终端发送的第一ARP报文之前,所述方法还包括:
从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址和MAC地址;
根据提取出的所述IP地址和MAC地址,在所述接入设备的报文特征数据库中,为所述特权端口设置对应的所述防欺骗特征表项。
4.根据权利要求2所述的地址解析协议报文的处理方法,其特征在于,所述接入设备通过特权端口接收到终端发送的第一ARP报文之前,所述方法还包括:
从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址和MAC地址;
根据提取出的所述IP地址和MAC地址,在所述接入设备的报文特征数据库中,为所述特权端口设置对应的所述防欺骗特征表项。
5.根据权利要求3所述的地址解析协议报文的处理方法,其特征在于,所述提取所述接入设备的合法终端对应的IP地址和MAC地址之后,所述方法还包括:
根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为非特权端口设置对应的防欺骗特征表项;
在所述非特权端口中,设置所述防欺骗特征表项的优先级别低于静态ARP检测表项。
6.根据权利要求4所述的地址解析协议报文的处理方法,其特征在于,所述提取所述接入设备的合法终端对应的IP地址和MAC地址之后,所述方法还包括:
根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为所述非特权端口设置对应的所述防欺骗特征表项;
在所述非特权端口中,设置所述防欺骗特征表项的优先级别低于所述静态ARP检测表项。
7.根据权利要求1所述的地址解析协议报文的处理方法,其特征在于,所述方法还包括:
若检测到所述第一ARP报文不符合所述预设的防欺骗特征表项,则放行所述第一ARP报文。
8.一种地址解析协议报文的处理装置,其特征在于,包括:
第一报文接收模块,用于通过特权端口接收终端发送的第一ARP报文;
第一表项检测模块,用于检测所述第一ARP报文是否符合接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口;
第一报文过滤模块,用于若所述第一表项检测模块检测到所述第一ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一ARP报文。
9.根据权利要求8所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
第二报文接收模块,用于通过非特权端口接收终端发送的第二ARP报文;
第二表项检测模块,用于检测所述第二ARP报文是否符合与所述非特权端口对应的静态ARP检测表项,所述静态ARP检测表项包括放行发送方IP地址和发送方MAC地址对应为所述非特权端口下任一合法终端的IP地址与MAC地址的ARP报文,所述非特权端口包括设置有静态ARP检测功能的端口;
第三表项检测模块,用于若所述第二表项检测模块检测到所述第二ARP报文不符合所述静态ARP检测表项,则检测所述第二ARP报文是否符合所述预设的防欺骗特征表项,以对所述接入设备接收到的ARP欺骗攻击行为进行统计;
第二报文过滤模块,用于在所述第三表项检测模块对所述第二ARP报文进行检测之后,过滤所述第二ARP报文。
10.根据权利要求8所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
地址提取模块,用于在所述第一报文接收模块通过所述特权端口接收到所述第一ARP报文之前,从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址和MAC地址;
第一表项设置模块,用于根据提取出的所述IP地址和MAC地址,在报文特征数据库中,为所述特权端口设置对应的所述防欺骗特征表项。
11.根据权利要求9所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
地址提取模块,用于在所述第一报文接收模块通过所述特权端口接收到所述第一ARP报文之前,从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址和MAC地址;
第一表项设置模块,用于根据提取出的所述IP地址和MAC地址,在报文特征数据库中,为所述特权端口设置对应的所述防欺骗特征表项。
12.根据权利要求10所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
第二表项设置模块,用于在所述地址提取模块提取所述接入设备的合法终端对应的IP地址和MAC地址之后,根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为非特权端口设置对应的防欺骗特征表项;
优先级设置模块,用于在所述非特权端口中,设置所述防欺骗特征表项的优先级别低于静态ARP检测表项。
13.根据权利要求11所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
第二表项设置模块,用于在所述地址提取模块提取所述接入设备的合法终端对应的IP地址和MAC地址之后,根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为所述非特权端口设置对应的所述防欺骗特征表项;
优先级设置模块,用于在所述非特权端口中,设置所述防欺骗特征表项的优先级别低于所述静态ARP检测表项。
14.根据权利要求8所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括:
报文放行模块,用于若所述第一表项检测模块检测到所述第一ARP报文不符合所述预设的防欺骗特征表项时,放行所述第一ARP报文。
15.一种接入设备,包括接入模块,其特征在于,还包括:如权利要求8~14任一所述的地址解析协议报文的处理装置,所述地址解析协议报文的处理装置与所述接入模块连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101591759A CN101888329B (zh) | 2010-04-28 | 2010-04-28 | 地址解析协议报文的处理方法、装置及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101591759A CN101888329B (zh) | 2010-04-28 | 2010-04-28 | 地址解析协议报文的处理方法、装置及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101888329A CN101888329A (zh) | 2010-11-17 |
| CN101888329B true CN101888329B (zh) | 2013-04-17 |
Family
ID=43074062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101591759A Expired - Fee Related CN101888329B (zh) | 2010-04-28 | 2010-04-28 | 地址解析协议报文的处理方法、装置及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101888329B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427460B (zh) * | 2011-12-29 | 2015-03-11 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
| CN103873434B (zh) * | 2012-12-10 | 2017-12-12 | 台众计算机股份有限公司 | 用以认定网点的发生事件的方法 |
| CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| CN107786679A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 保证arp报文安全性的方法及装置 |
| CN106453308A (zh) * | 2016-10-10 | 2017-02-22 | 合肥红珊瑚软件服务有限公司 | 一种防止arp欺骗的方法 |
| CN106488458B (zh) * | 2016-12-21 | 2020-04-24 | 锐捷网络股份有限公司 | 检测网关arp欺骗的方法及装置 |
| CN109981603A (zh) * | 2019-03-07 | 2019-07-05 | 北京华安普特网络科技有限公司 | Arp攻击监测系统及方法 |
| CN113381936B (zh) * | 2020-03-09 | 2023-08-15 | 阿里巴巴集团控股有限公司 | 网络信息处理方法、装置及网络设备 |
| CN114629689B (zh) * | 2022-02-24 | 2023-10-03 | 广东电网有限责任公司 | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 |
| CN115065494B (zh) * | 2022-04-02 | 2023-11-14 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN101394360A (zh) * | 2008-11-10 | 2009-03-25 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
| WO2010036054A2 (ko) * | 2008-09-25 | 2010-04-01 | 주식회사 안철수연구소 | Arp 공격 감지 방법 및 이를 이용한 시스템 |
-
2010
- 2010-04-28 CN CN2010101591759A patent/CN101888329B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| WO2010036054A2 (ko) * | 2008-09-25 | 2010-04-01 | 주식회사 안철수연구소 | Arp 공격 감지 방법 및 이를 이용한 시스템 |
| CN101394360A (zh) * | 2008-11-10 | 2009-03-25 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
Non-Patent Citations (1)
| Title |
|---|
| 徐涛.基于Ethernet的ARP欺骗原理及防御.《网络安全》.2007,22-24. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101888329A (zh) | 2010-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN111131310B (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| WO2021233373A1 (zh) | 一种网络安全防护方法、装置、储存介质及电子设备 | |
| CN106899604B (zh) | 数据包过滤规则的处理方法及装置 | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US20060095961A1 (en) | Auto-triage of potentially vulnerable network machines | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| AU2008256210A1 (en) | Network and computer firewall protection with dynamic address isolation to a device | |
| CN107707435B (zh) | 一种报文处理方法和装置 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| CN105610851A (zh) | 防御分布式拒绝服务攻击的方法及系统 | |
| JP2010520566A (ja) | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 | |
| CN104079575A (zh) | 家庭网络安全管理方法、装置及系统 | |
| Hijazi et al. | A new detection and prevention system for ARP attacks using static entry | |
| CN115378625B (zh) | 一种跨网信息安全交互方法及系统 | |
| CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
| CN113612783A (zh) | 一种蜜罐防护系统 | |
| KR20070050727A (ko) | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 | |
| CN103618613A (zh) | 网络接入控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130417 |