CN102025734B - 一种防止mac地址欺骗的方法、系统及交换机 - Google Patents
一种防止mac地址欺骗的方法、系统及交换机 Download PDFInfo
- Publication number
- CN102025734B CN102025734B CN201010576752.4A CN201010576752A CN102025734B CN 102025734 B CN102025734 B CN 102025734B CN 201010576752 A CN201010576752 A CN 201010576752A CN 102025734 B CN102025734 B CN 102025734B
- Authority
- CN
- China
- Prior art keywords
- address
- binding state
- user
- state table
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Abstract
本发明公开了一种防止MAC地址欺骗的方法、系统及交换机,交换机包括:绑定状态表的表项生成单元,用于在用户接入网络时根据用户信息生成用户的绑定状态表;绑定状态表的状态处理单元,用于处理用户地址的状态迁移;邻居通告报文检测处理单元,用于在交换机收到邻居通告报文后,利用绑定状态表表项中记录的用户信息,检测邻居通告报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查目标链路层地址选项是否与绑定状态表的表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的邻居通告报文。应用本发明可在网络中存在带有虚假链路层地址的NA报文时,由交换机设备将其丢弃,保证网络安全。
Description
技术领域
本发明涉及数据产品领域,尤其涉及在IPv6网络中用于防止MAC地址欺骗的方法、系统及交换机。
背景技术
在IPv6网络中,基于ICMPv6的邻居发现协议(ND)用来解决同一链路上节点间的交互问题。它取代了IPv4中使用的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分及重定向协议的所有功能,并能够获取链路MTU、hop limit等网络参数。IPv6的邻节点发现过程,就是用一系列的ND报文和步骤来确定邻节点间的关系,进行网络配置的过程。
交换机的邻居发现协议(Neighbor Discovery Protocol)虽然使网络配置过程更加自动化,减轻了管理员的负担,但由于链路可信是邻居发现协议ND正常运行的默认前提条件,即假定所有节点都只按照协议标准发送正常的ND数据包,这就给邻居发现协议埋下安全隐患。ND协议的功能之一是发现邻居链路层地址(Link-Layer Addresses)并且通过ND协议报文进行保活或更新链路层地址。其主要过程是通过设备发出通过NS(Neighbor Solicitation,邻居请求)报文向邻居请求链路层地址,邻居收到NS后发送NA(NeighborAdvertisement,邻居通告)报文向设备通告自己的链路层地址。如果网络中存在带有虚假链路层地址NA报文时,会将设备已经学习到的正确邻居链路层地址更新掉,造成了链路断链。
MAC地址欺骗主要是指欺骗主机发送的应答报文中,将自己的目标链路层选项设为欺骗值已达到欺骗其他主机的目的,阻断其他主机正常通信或充当其他主机的中间人的目的。如图1所示的网络架构中,A/B/C都在同一广播域,也就是同一链路上。A和B在互相通讯的时候,先发NS报文,C都能学习到。C如果充当中间人做恶意扫描,只要给A发虚假的NA、告知B的IP对应的MAC已经更新为C的,A->B的流量就直接到C了;同理也可以把B->A的流量拉到C上。C在对报文做恶意扫描检查后,修改一下目的MAC为真实的B或者A的MAC返回给交换机即可,A和B之间的流量就可以正常转发没有察觉,C就达到了中间人攻击的目的。
为避免这个漏洞,需要检查所有的NA报文,符合条件的再利用软件转发,丢弃检查失败的NA报文。针对上述问题,本专利就是提出一种能够防止这种虚假MAC地址欺骗的技术方案。
发明内容
本发明所要解决的技术问题在于,提供防止MAC地址欺骗的方法、系统及交换机,用于对网络报文进行检测,防止发生MAC地址欺骗,避免现有技术中存在的报文检测量大,存在安全隐患的问题。
为了解决上述问题,本发明提出了一种防止MAC地址欺骗的方法,包括:
在交换机上建立用户的绑定状态表,根据用户状态的改变而动态更新绑定状态表;根据所述绑定状态表对从用户接收的邻居通告报文进行合法性验证处理:
若目标地址为绑定状态表中的地址,且报文中带有目标链路层选项,则进一步检查目标链路层选项是否与所述绑定状态表中用户第一次接入时记录的链路层地址一致,若一致,则转发该通告报文;否则,丢掉该报文。
所述方法进一步包括:
根据所述绑定状态表对从用户接收的邻居通告报文进行合法性验证处理时,若目标地址不是绑定状态表中的地址,则丢弃该报文。
所述绑定状态表是在用户首次接入网络时在交换机上建立;所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态。
所述地址状态包括:开始状态S_START、绑定状态S_BOUND、查询状态S_QUERY。所述地址状态是动态更新的,交换机根据用户的报文在绑定状态和查询状态下向目标IPv6地址发送邻居请求查询报文,查询用户请求的IPv6地址是否还在线,若不在线则删除对应的表项;若在线则在绑定状态下继续保持绑定状态,在查询状态下转换为绑定状态。
所述绑定状态表包括动态表项和/或静态表项。
本发明还提供一种防止MAC地址欺骗的系统,包括:源主机,目标主机及交换机,其中:
所述交换机,用于建立用户的绑定状态表,根据用户状态的改变而动态更新绑定状态表;根据所述绑定状态表对从源主机用户接收的邻居通告报文进行合法性验证处理:
若目标主机的目标地址为绑定状态表中的地址,且报文中带有目标链路层选项,则进一步检查目标链路层选项是否与所述绑定状态表中用户第一次接入时记录的链路层地址一致,若一致,则转发该通告报文至目标主机;否则,丢掉该报文。
所述交换机包括:
绑定状态表的表项生成单元,用于在用户接入网络时根据用户信息生成用户的绑定状态表;
绑定状态表的状态处理单元,用于处理用户地址的状态迁移;
邻居通告报文检测处理单元,用于在交换机收到邻居通告报文后,利用绑定状态表表项中记录的用户信息,检测邻居通告报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查目标链路层地址选项选项是否与绑定状态表的表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的邻居通告报文。
所述绑定状态表的表项生成单元,用于为用户的绑定状态表生成动态表项和/或静态表项。
所述绑定状态表是在用户首次接入网络时在交换机上建立;所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态。
本发明还提供一种交换机,包括:
绑定状态表的表项生成单元,用于在用户接入网络时根据用户信息生成用户的绑定状态表;
绑定状态表的状态处理单元,用于处理用户地址的状态迁移;
邻居通告报文检测处理单元,用于在交换机收到邻居通告报文后,利用绑定状态表表项中记录的用户信息,检测邻居通告报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查目标链路层地址选项选项是否与绑定状态表的表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的邻居通告报文。
所述绑定状态表的表项生成单元,还用于用户的绑定状态表生成动态表项和/或静态表项。所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态。
应用本发明在安全要求高的IPv6网络中,交换机可以开启防止MAC地址欺骗功能,当网络中存在带有虚假链路层地址的NA报文时会被交换机设备丢弃,保证网络安全。
附图说明
图1是报文攻击的网络示意图;
图2是交换机设备生成BST表项信息示意图;
图3是交换机设备BST表项状态迁移示意图;
图4是交换机设备处理NA报文示意图;
图5是本发明实施例的交换机结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下结合附图对本发明作进一步地详细说明。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
为了在IPv6网络中防止MAC地址欺骗攻击,在本发明实施例的技术方案中,通过在交换机上建立各个接入用户的IP、MAC地址、接入端口、生存时间等信息组成的绑定状态表(Binding State Table,BST),该BST表项不是静态配置表项,是有状态变迁的动态表项。在处理用户报文时,使用BST表检测NA报文,防止MAC地址欺骗,从而使已经学习到的正确邻居链路层地址不被恶意的ND欺骗报文(带有虚假邻居链路层地址)所更改。
为达到上述目的,需要处理如下三个问题:
(1)如何在交换机上建立用户的绑定状态表;
本发明实施例在用户首次接入网络时,在交换机设备建立用户的IPv6地址、链路层地址、接入端口信息、用户地址的生存时间等绑定状态表(BST表)项;
(2)如何根据用户的状态信息处理报文;
本发明实施例根据交换机设备建立的动态的BST表项信息,根据各个表项相应的状态变迁,对接收到的NS报文进行处理;
(3)如何检测交换机设备收到的NA报文。
本发明实施例根据交换机设备建立的BST信息对接收到的NA报文进行处理;交换机检测NA报文的目标地址,如果报文中携带了目标链路层选项,检查是否和BST表中该设备第一次接入时设备记录的链路层地址一致,如果不一致丢掉该报文,反之,转发该报文。
如图2所示,给出了交换机设备生成BST状态信息表项流程示意图,包括如下步骤:
步骤201:在无状态自动配置环境下,用户接入网络时,系统会自动产生一个IPv6接口地址,此时主机会发送地址重复检测(DAD)NS报文进行重复地址检测。交换机收到用户主机发送的DAD-NS报文,获取IPV6源地址,源MAC地址,源端口等信息。
步骤202:交换机根据获取到的源IPv6地址查询设备当前的BST表项,判断该IPv6地址是否已经有相关的BST信息。
步骤203:如果查询到当前设备中的BST表项中没有该IPv6地址相关的信息,则新建一个BST表项,表项中包含源IPv6地址、源MAC地址、入端口信息、地址的状态信息、生存时间等信息,其中地址的状态信息最初为SAC_START,状态信息会根据相应的触发条件进行转换,下文专门论述。生存时间是指用户地址的最长有效时间,是用户可以手动灵活配置的。
步骤204:如果查询到当前设备中的BST表项中有该IPv6地址相关的信息,则进一步判断源IPv6地址、源MAC地址、入端口是否和BST表项中的记录完全一致。
步骤205:如果报文的源IPv6地址、源MAC地址、入端口和BST表项中的记录完全一致,设备转发该NS报文。
步骤206:如果报文的源IPv6地址、源MAC地址、入端口和BST表项中的记录不完全一致,则向BST表项中记录该IPv6地址相关的入端口发送地址解析NS报文,判断该地址是否还在线。
步骤207:根据在设定时间内是否收到上述端口发送的NA回应报文,判断IPv6地址是否还在使用。
步骤208:如果收到上述端口发送的NA回应报文,表明该IPv6地址还在使用,向接收DAD-NS报文的端口回复该IPv6地址已经被占用的报文,提示主机IPv6地址冲突。
步骤209:如果没有收到上述端口发送的NA回应报文,表明该IPv6主机已经离线,IPv6地址释放,因此此时需要更新设备上的BST表项,更新源MAC地址,入端口信息,地址状态、生存时间等信息,并且转发该NS报文。
如图3所示,给出了交换机设备BST表中表项的状态迁移示意图。绑定状态表(Binding State Table,BST)中的表项有三个地址状态,如图3所示,分别是开始状态S_START、绑定状态S_BOUND、查询状态S_QUERY。每一个状态下,收到不同的报文会进行相应的状态转换。
状态1:开始状态,
交换机收到接入主机发送的DAD-NS报文,根据IPv6源地址建立BST表项,表项此时处于S_SRART状态,并且设定SAC_START状态的超时时间MAX_DAD_DELAY。交换机转发该NS报文:
如果在MAX_DAD_DELAY到时内收到另外的主机发送的NA回应报文,此时交换机删除新建的BST表项,转发该NA报文给发起地址重复检测的主机,表示该IPv6地址冲突;
如果在MAX_DAD_DELAY到时内没有收到另外的主机发送的NA回应报文,表示该IPv6地址不冲突,新建的BST表项转为S_BOUND状态。
状态2:绑定状态,
设定绑定状态最大超时时间MAX_BONUD_LIFE。
在MAX_BONUD_LIFE超时后,设备会发送NS报文给拥有该IPv6地址的主机,查询主机是否还在线,设定查询时间MAX_PRE_DELAY。
在MAX_PRE_DELAY时间内收到主机应答表明该IPv6主机还在线,更新最大生存时间为MAX_BONUD_LIFE,状态仍然为S_BOUND;
在MAX_PRE_DELAY时间内没有收到主机应答的NA报文,表明该IPv6主机已经离线,此时需要删除建立的BST表项。
另外一种情况,当该IPV6地址相关的BST表项处于S_BONUD状态时,此时有另一台主机发送NS报文请求该IPv6地址,此时该地址相关的BST表项由S_BOUND状态转为S_QUERY状态。
状态3:查询状态,
设定查询状态最大持续时间MAX_PRE_DELAY。
在S_QUERY状态下发送NS查询报文,查询主机请求的IPv6地址是否还在线:
如果在MAX_PRE_DELAY时间内,收到主机应答的NA报文,表明该IPv6地址还在使用,该IPv6地址相关的BST表项由S_QUERY状态转为S_BOUND状态;
如果在查询周期内没有收到NA回应报文,表明该IPv6主机已经离线,删除相关的BST表项。
如图4所示,给出了交换机处理NA报文示意图。交换机处理收到的NA报文流程,包括如下步骤:
步骤401:交换机接收到主机发送的NA报文,获取报文的源IPv6地址和源MAC地址;
步骤402:交换机已经为所有的接入建立了BST表项,因此就可以判断发送NA的报文是否是网络中的有效主机,对交换机在步骤401获得的报文的源IPv6地址和源MAC地址进行检查,判断是否和BST表项中记录一致。
步骤403:根据步骤402中BST表项的检查,如果报文的相关地址与BST表项不一致,说明该报文属于非法报文,需要丢弃。
步骤404:通过步骤402中BST表项的检查,如果报文的源IPv6地址和源MAC地址和BST表项记录的完全一致,说明发送NA的主机在本网络中是有效地址。此时则进一步检查NA报文的目标地址字段,判断该地址是否是本网络中的有效地址,即在BST表项中查找是否有包含该地址的有效表项,如果没有包含该目标地址的有效表项,报文需要被丢弃。
步骤405:通过步骤404的检查,如果报文的目标地址是有效地址,报文是发送给本网络中的另一主机。如果NA报文中带有目标链路层选项,需要进一步检查该目标链路层选项是和BST表项中记录的该IPv6主机的源MAC地址是否一致,如果不一致需要丢弃报文,防止用户仿冒自己的目标链路层地址。
步骤406:通过以上的安全性检查,说明该报文是本网络中的主机发送给本网络中的另外一台主机的合法回应报文,设备需要转发该NA回应报文。
图5为本发明系统实施例的交换机结构示意图,
交换机包括:BST表项生成单元501、BST状态处理单元502、NA报文检测处理单元503。
BST表项生成单元501,用于在用户接入网络时,生成包含用户的IPv6地址、链路层地址、接入端口信息、用户地址状态和生存周期等检测信息;
BST状态处理单元502,用于处理用户地址的状态迁移;
报文检测处理单元503,用于在设备在收到NA报文后,利用BST表项中记录的用户信息,检测NA报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查选项是否和BST表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的NA报文。
其中,BST表项生成单元可进行扩展,在所述新增BST表项都是动态形成的基础上,可以添加静态BST表项,在特定的网络中,可以把静态配置某些IPv6地址,添加到BST表项中,用于直接接入某些特定主机,增加网络配置的灵活性。
同时,在NA报文检测处理单元也可新增安全属性,设置某些端口的为信任端口,把这些端口上送来的报文直接转发,在交换机级联场景中,可以扩展本专利的适用范围,提高网络的安全性。
本发明实施例根据解析到的用户接入的IPv6地址和链路层地址,为每个接入用户生成BST表项(源IPV6地址、源链路层地址、接入端口、地址生存时间、地址状态),在交换机中维护BST表项。该BST检测表项除了检测NS、NA报文的源IPv6地址、源链路层地址外,还进一步检测NA协议报文中的目标链路层地址选项,实现了更高安全性能的NA报文检测技术,直接在网络设备上对非法的NA报文进行丢弃,从而杜绝了MAC地址欺骗攻击,提高了交换机抗攻击的能力,保证了接入网络的安全,更易配置和应用。
本发明通过动态的监听主机发送的DAD-NS报文,建立了BST表项信息,通过BST的状态转换维护包括源IPv6地址,源MAC地址、地址状态、生存时间等信息,提供了一种侦听NA报文的处理方法,实施实现了IPv6网络防MAC欺骗功能,通过本发明的方法使得IPv6网络更加安全,本发明具有配置简单,应用方便、系统可靠等优点。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (9)
1.一种防止MAC地址欺骗的方法,包括:
在交换机上建立用户的绑定状态表,所述绑定状态表是在用户首次接入网络时在交换机上建立,所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态;根据用户状态的改变而动态更新绑定状态表;根据所述绑定状态表对从用户接收的邻居通告报文进行合法性验证处理:
若目标地址为绑定状态表中的地址,且报文中带有目标链路层选项,则进一步检查目标链路层选项是否与所述绑定状态表中用户第一次接入时记录的链路层地址一致,若一致,则转发该通告报文;否则,丢掉该报文;
所述地址状态包括:开始状态S_START、绑定状态S_BOUND、查询状态S_QUERY,每一个状态下,收到不同的报文会进行相应的状态转换。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
根据所述绑定状态表对从用户接收的邻居通告报文进行合法性验证处理时,若目标地址不是绑定状态表中的地址,则丢弃该报文。
3.如权利要求1所述的方法,其特征在于,所述地址状态是动态更新的,交换机根据用户的报文在绑定状态和查询状态下向目标IPv6地址发送邻居请求查询报文,查询用户请求的IPv6地址是否还在线,若不在线则删除对应的表项;若在线则在绑定状态下继续保持绑定状态,在查询状态下转换为绑定状态。
4.如权利要求1所述的方法,其特征在于,
所述绑定状态表包括动态表项和/或静态表项。
5.一种防止MAC地址欺骗的系统,包括:源主机,目标主机及交换机,其中:
所述交换机,用于建立用户的绑定状态表,所述绑定状态表是在用户首次接入网络时在交换机上建立,所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态;根据用户 状态的改变而动态更新绑定状态表;根据所述绑定状态表对从源主机用户接收的邻居通告报文进行合法性验证处理:
若目标主机的目标地址为绑定状态表中的地址,且报文中带有目标链路层选项,则进一步检查目标链路层选项是否与所述绑定状态表中用户第一次接入时记录的链路层地址一致,若一致,则转发该通告报文至目标主机;否则,丢掉该报文;
所述地址状态包括:开始状态S_START、绑定状态S_BOUND、查询状态S_QUERY,每一个状态下,收到不同的报文会进行相应的状态转换。
6.如权利要求5所述的系统,其特征在于,所述交换机包括:
绑定状态表的表项生成单元,用于在用户接入网络时根据用户信息生成用户的绑定状态表;
绑定状态表的状态处理单元,用于处理用户地址的状态迁移;
邻居通告报文检测处理单元,用于在交换机收到邻居通告报文后,利用绑定状态表表项中记录的用户信息,检测邻居通告报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查目标链路层地址选项是否与绑定状态表的表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的邻居通告报文。
7.如权利要求6所述的系统,其特征在于,
绑定状态表的表项生成单元,用于为用户的绑定状态表生成动态表项和/或静态表项。
8.一种交换机,包括:
绑定状态表的表项生成单元,用于在用户接入网络时根据用户信息生成用户的绑定状态表;所述绑定状态表的表项包括:用户的源IPv6地址、源链路层地址、接入端口信息、地址生存时间、地址状态;
绑定状态表的状态处理单元,用于处理用户地址的状态迁移;
邻居通告报文检测处理单元,用于在交换机收到邻居通告报文后,利用绑定状态表表项中记录的用户信息,检测邻居通告报文的目标地址是否合法,在报文中存在目标链路层地址选项的情况下,检查目标链路层地址选项是否与绑定状态表的表项中记录的一致,如果检查都一致,则转发报文;反之,丢弃收到的邻居通告报文;
所述地址状态包括:开始状态S_START、绑定状态S_BOUND、查询状态S_QUERY,每一个状态下,收到不同的报文会进行相应的状态转换。
9.如权利要求8所述的交换机,其特征在于,
绑定状态表的表项生成单元,用于用户的绑定状态表生成动态表项和/或静态表项。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010576752.4A CN102025734B (zh) | 2010-12-07 | 2010-12-07 | 一种防止mac地址欺骗的方法、系统及交换机 |
PCT/CN2011/080103 WO2012075850A1 (zh) | 2010-12-07 | 2011-09-23 | 一种防止mac地址欺骗的方法、系统及交换机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010576752.4A CN102025734B (zh) | 2010-12-07 | 2010-12-07 | 一种防止mac地址欺骗的方法、系统及交换机 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102025734A CN102025734A (zh) | 2011-04-20 |
CN102025734B true CN102025734B (zh) | 2015-06-03 |
Family
ID=43866588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010576752.4A Active CN102025734B (zh) | 2010-12-07 | 2010-12-07 | 一种防止mac地址欺骗的方法、系统及交换机 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102025734B (zh) |
WO (1) | WO2012075850A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102025734B (zh) * | 2010-12-07 | 2015-06-03 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
CN102546661B (zh) * | 2012-02-21 | 2015-08-26 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
CN104009896B (zh) * | 2014-05-19 | 2017-05-17 | 北京东土科技股份有限公司 | 一种基于mac地址的节点设备接入方法、系统及装置 |
CN108306858A (zh) * | 2017-12-26 | 2018-07-20 | 成都卫士通信息产业股份有限公司 | 以太网数据防伪保护方法及系统 |
CN109391548B (zh) * | 2018-11-06 | 2021-12-17 | 迈普通信技术股份有限公司 | 表项迁移方法、装置及网络通信系统 |
CN109862137B (zh) * | 2019-03-28 | 2022-01-28 | 新华三技术有限公司 | 报文传输方法及装置 |
CN112448921A (zh) * | 2019-08-30 | 2021-03-05 | 华为技术有限公司 | 检测后门的方法和装置 |
JP7417395B2 (ja) * | 2019-10-01 | 2024-01-18 | アズビル株式会社 | 不正検出装置および不正検出方法 |
CN111416887B (zh) * | 2020-03-31 | 2021-07-16 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
CN116094779B (zh) * | 2022-12-29 | 2024-04-26 | 天翼云科技有限公司 | 一种IPv6中防ND欺骗的传输方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110731A (zh) * | 2007-06-20 | 2008-01-23 | 中兴通讯股份有限公司 | 一种防止网络中的媒介接入控制地址欺骗的方法及装置 |
CN101635731A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
CN101674309B (zh) * | 2009-09-23 | 2012-05-09 | 中兴通讯股份有限公司 | 一种以太网接入的方法及装置 |
CN102025734B (zh) * | 2010-12-07 | 2015-06-03 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
-
2010
- 2010-12-07 CN CN201010576752.4A patent/CN102025734B/zh active Active
-
2011
- 2011-09-23 WO PCT/CN2011/080103 patent/WO2012075850A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110731A (zh) * | 2007-06-20 | 2008-01-23 | 中兴通讯股份有限公司 | 一种防止网络中的媒介接入控制地址欺骗的方法及装置 |
CN101635731A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN102025734A (zh) | 2011-04-20 |
WO2012075850A1 (zh) | 2012-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102025734B (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
US9654502B2 (en) | Protecting address resolution protocol neighbor discovery cache against denial of service attacks | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
JP4468453B2 (ja) | 往復経路確認の最適化 | |
CN101753637A (zh) | 防止网络攻击的方法及网络地址转换设备 | |
WO2012109914A1 (zh) | 一种防止IPv6地址重复检测攻击的方法及系统 | |
CN104219239A (zh) | 一种基于邻居发现的LoWPAN节点安全接入控制方法 | |
CN102143164B (zh) | 报文中继方法、装置及基站 | |
KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
Pongpaibool et al. | Fast duplicate address detection for mobile IPv6 | |
JP2004364109A (ja) | テンポラリアドレス通信装置、プログラム、記録媒体、および方法 | |
EP2671401B1 (en) | Verification in wireless local area network | |
CN103095858A (zh) | 地址解析协议arp报文处理的方法、网络设备及系统 | |
Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
Luo et al. | Research of neighbor discovery for IPv6 over low-power wireless personal area networks | |
EP2362610B1 (en) | Method and system for assigning an IPv6 link-local address | |
CN111464517B (zh) | 一种ns反向查询防止地址欺骗攻击的方法及系统 | |
CN106452992A (zh) | 一种远端多归属组网的实现方法及装置 | |
Li et al. | Analysis and countermeasures of campus network security protection under IPV6 architecture | |
CN113992583B (zh) | 一种表项维护方法及装置 | |
CN102571816B (zh) | 一种防止邻居学习攻击的方法和系统 | |
Doshi et al. | Preventing bad prefixes attack in IPv6 stateless address auto-configuration protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |