CN102546658A - 一种防止网关arp欺骗的方法和系统 - Google Patents
一种防止网关arp欺骗的方法和系统 Download PDFInfo
- Publication number
- CN102546658A CN102546658A CN2012100390732A CN201210039073A CN102546658A CN 102546658 A CN102546658 A CN 102546658A CN 2012100390732 A CN2012100390732 A CN 2012100390732A CN 201210039073 A CN201210039073 A CN 201210039073A CN 102546658 A CN102546658 A CN 102546658A
- Authority
- CN
- China
- Prior art keywords
- address
- arp
- message
- access
- mapping table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种防止网关ARP欺骗的方法和系统。该方法中汇聚层交换机保存三层接口IP地址与MAC地址的映射关系并下发至接入层交换机;接入层交换机将映射关系保存在映射表中并开启ARP监听功能;接入层交换机接收ARP报文,当ARP报文发送方或接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃ARP报文;当ARP报文发送方或接收方的IP地址不属于映射表中的IP地址时,转发ARP报文。本发明解决了网络中存在的IP网关ARP欺骗问题,将ARP监听功能下放至接入层交换机,极大缓解了汇聚层交换机CPU的压力。
Description
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种防止网关ARP欺骗的方法和系统。
背景技术
在IP网络中,通过地址解析协议(Address Resolution Protocol,ARP)进行网关欺骗是一种常见的攻击手段。攻击主机通过发送ARP回应,在ARP回应中将网关的MAC地址替换成攻击主机的MAC地址,从而欺骗IP网段上其他合法主机的ARP缓存表项,使合法主机的到达网关的IP流量导向攻击主机,导致网络访问异常。
为了避免网关ARP欺骗,一些厂商的设备中,通过定期发送免费ARP的方法,来定期更新网段上主机的网关ARP缓存表项。这种方法并不能完全避免网关ARP欺骗,攻击主机能够通过更为频繁的发送免费ARP的方法来欺骗合法主机。
发明内容
本发明的目的在于提出一种防止网关ARP欺骗的方法和系统,可以解决IP网络中存在的IP网关ARP欺骗问题。
为达此目的,本发明采用以下技术方案:
一种防止网关ARP欺骗的方法,包括以下步骤:
A、汇聚层交换机保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机;
B、接入层交换机将所述映射关系保存在本地的映射表中并开启ARP监听功能;
C、接入层交换机接收ARP报文,当ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
步骤A中,汇聚层交换机将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,对所述映射报文进行加密和散列处理并根据预设的接入层交换机IP地址发送至接入层交换机。
步骤B中,接入层交换机对收到的经过加密和散列处理的映射报文,先进行散列计算,再进行解密,还原出所述映射报文。
步骤C中,所述ARP报文包括ARP请求报文和ARP回应报文。
当ARP请求报文发送方的IP地址属于映射表中的IP地址并且ARP请求报文发送方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP请求报文,当ARP请求报文接收方的IP地址不属于映射表中的IP地址时,转发所述ARP请求报文;
当ARP回应报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP回应报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP回应报文;当ARP回应报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP回应报文。
一种防止网关ARP欺骗的系统,包括主机节点、接入层交换机和汇聚层交换机,汇聚层交换机连接至少一个接入层交换机,每个接入层交换机连接至少一个主机节点,
所述汇聚层交换机,用于保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机;
所述接入层交换机,用于将所述映射关系保存在本地的映射表中,当接收的ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
所述汇聚层交换机将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,对所述映射报文进行加密和散列处理并根据预设的接入层交换机IP地址发送至接入层交换机。
所述接入层交换机对收到的经过加密和散列处理的映射报文,先进行散列计算,再进行解密,还原出所述映射报文。
所述接入层交换机接收的ARP报文包括ARP请求报文和ARP回应报文。
当ARP请求报文发送方的IP地址属于映射表中的IP地址并且ARP请求报文发送方的MAC地址与映射表中对应的MAC地址不一致时,接入层交换机丢弃所述ARP请求报文,当ARP请求报文接收方的IP地址不属于映射表中的IP地址时,接入层交换机转发所述ARP请求报文;
当ARP回应报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP回应报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,接入层交换机丢弃所述ARP回应报文;当ARP回应报文发送方或者接收方的IP地址不属于映射表中的IP地址时,接入层交换机转发所述ARP回应报文。
采用本发明的技术方案,解决了IP网络中存在的IP网关ARP欺骗问题,将ARP监听功能下放至接入层交换机,采用分布式的处理方式,极大地缓解了汇聚层交换机的CPU压力,从而能够更高效的拦截和阻止网关的ARP欺骗。
附图说明
图1是本发明具体实施方式提供的防止网关ARP欺骗的方法流程示意图。
图2是本发明具体实施方式中映射报文的报文格式示意图。
图3是本发明具体实施方式提供的防止网关ARP欺骗的系统结构示意图。
具体实施方式
本发明技术方案的主要思想在于,作为网关的汇聚层交换机将所有三层接口的IP地址和MAC地址映射关系封装到映射报文中,并发送到下联的接入层交换机。接入层交换机使能ARP监听,判断收到的ARP报文中携带网关IP地址和MAC地址的映射关系与本地保存的从汇聚层交换机下发的映射关系不一致时,则认为是欺骗报文,将其丢弃。
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1是本发明具体实施方式提供的防止网关ARP欺骗的方法流程示意图。
如图1所示,该方法包括:
步骤S101,汇聚层交换机保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机。
汇聚层交换机作为网关,每一个三层接口的IP地址是其该接口所在的网段上所有IP主机节点的网关地址。汇聚层交换机保存每个三层接口的IP地址与MAC地址的映射关系。
汇聚层交换机将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,所述映射报文的报文格式如图2所示,各字段解释如下:
Version:版本号,目前为1;
Type:类型,目前为1,表示包含映射信息;
SeqNo:序列号,每发送一个报文,加1;
SecretLen:被加密报文的长度;
Signature:映射报文所有字段的MD5散列结果;
SwitchIPAddr:汇聚层交换机的IP地址;
SwitchID:汇聚层交换机ID,取汇聚层交换机CPU的MAC地址;
Count:映射关系数量;
GatewayMAC:网关的MAC地址;
GatewayVlanId:网关三层接口对应的虚拟局域网标识号(VLAN ID);
GatewayIP:网关三层接口的IP地址。
将三层接口的IP地址添加到GatewayIP字段中,将三层接口的MAC地址添加到GatewayMAC字段中。
汇聚层交换机根据预设的其下连的所有接入层交换机IP地址,将映射报文发送至接入层交换机。汇聚层交换机和接入层交换机之间的映射报文使用UDP协议在网络中传输,为了保证安全性和防篡改,可以对映射报文进行加密和散列处理。本发明具体实施方式中,加密处理优选为采用共享密钥的DES方式,散列处理优选为采用MD5方式。DES密钥由用户配置,接入层交换机与汇聚层交换机的密钥必须确保一致。
汇聚层交换机发送映射报文之前,对所述映射报文先进行加密,后进行散列处理,具体过程如下:
从SwitchIPAddr字段开始,一直到结尾的报文内容进行DES加密,密文与明文等长,密文放入映射报文中SwitchIPAddr字段开始的报文区域,密文长度置于映射报文的SecretLen字段,然后交给散列处理模块。对于交换机DES加密后的映射报文,计算MD5散列时Signature字段先清零,然后对整个报文作散列运算,散列操作完成后散列值填入Signature字段,这时该报文可以从汇聚层交换机发出。
步骤S102,接入层交换机将所述映射关系保存在本地的映射表中并开启ARP监听功能。
接入层交换机收到经加密和散列处理的映射报文后,先进行散列计算,再进行解密,还原出上联的汇聚层交换机三层接口的IP地址和MAC地址映射关系,保存在本地的映射表中,具体过程如下:
计算时先备份Signature字段的值,然后Signature字段清零,再计算整个报文的MD5散列值,如果散列值与备份的Signature字段的值一样,则散列验证成功,继续对映射报文作DES解密处理。如果散列验证失败,丢弃该映射报文。对于接收到的MD5散列验证成功的报文,交换机对从Signature字段之后位置开始,长度由SecretLen字段指定的报文内容进行DES解密处理,还原出自SwitchIPAddr字段开始的映射报文内容。
接入层交换机开启ARP监听功能后,将ARP报文重定向至接入层交换机CPU的规则下发至交换芯片,所述接入层交换机的交换芯片收到ARP报文后,将所述ARP报文发送至接入层交换机的CPU,由CPU进行软件的解析和转发。
步骤S103,接入层交换机接收ARP报文,当ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
接收层交换机接收到ARP报文后,交换芯片将ARP报文重定向至CPU。运行在接入层交换机CPU上的软件模块,用于截获由交换芯片发送至CPU的ARP报文。获取ARP报文中发送方和接收方的IP地址和MAC地址信息,将上述信息与映射表中的信息进行匹配,丢弃以及转发所述ARP报文等操作,均由所述运行在CPU上的软件模块来执行。
接入层交换机收到ARP报文,如果所述ARP报文的发送方或者接收方的IP地址与映射表中的网关IP地址一致,但发送方或者接收方的MAC地址与映射表中的MAC地址不一致,则所述ARP报文为非法报文,将所述ARP报文丢弃;如果发送方或者接收方的IP地址与映射表中的网关IP地址不一致,则转发所述ARP报文。
所述ARP报文,包括ARP请求报文和ARP回应报文。
如果ARP请求报文的发送方的IP地址与映射表中的网关IP地址一致,但发送方的MAC地址与映射表中的MAC地址不一致,则所述ARP请求报文为非法报文,将所述ARP请求报文丢弃;如果发送方的IP地址与映射表中的网关IP地址不一致,则转发所述ARP请求报文。如果ARP回应报文的发送方或者接收方的IP地址与映射表中的网关IP地址一致,但发送方或者接收方的MAC地址与映射表中的MAC地址不一致,则所述ARP回应报文为非法报文,将所述ARP回应报文丢弃;如果发送方或者接收方的IP地址与映射表中的网关IP地址不一致,则转发所述ARP回应报文。
图3是本发明具体实施方式提供的防止网关ARP欺骗的系统结构示意图。如图3所示,该系统包括,主机节点301、接入层交换机302和汇聚层交换机303,其中主机节点301通过接入层交换机302与汇聚层交换机303连接,汇聚层交换机303为三层交换设备,连接多个IP网段,汇聚层交换机303下联多个接入层交换机302,汇聚层交换机303为多个IP网段上主机节点301的网关。
所述汇聚层交换机303,用于保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机302;
所述接入层交换机302,将所述映射关系保存在本地的映射表中,当接收的ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
所述汇聚层交换机303作为网关,每一个三层接口的IP地址是其该接口所在的网段上所有IP主机节点301的网关地址。汇聚层交换机303保存每个三层接口的IP地址与MAC地址的映射关系。
所述汇聚层交换机303将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,根据预设的其下连的所有接入层交换机302IP地址,将映射报文发送至接入层交换机302。
汇聚层交换机303和接入层交换机302之间的映射报文使用UDP协议在网络中传输。为了保证安全性和防篡改,可以对映射报文进行加密和散列处理。加密处理优选为采用共享密钥的DES方式,散列处理优选为采用MD5方式。
所述接入层交换机302收到经加密和散列处理的映射报文后,先进行散列计算,再进行解密,还原出上联的汇聚层交换机303三层接口的IP地址和MAC地址映射关系,保存在本地的映射表中。
所述接入层交换机302开启ARP监听功能后,将ARP报文重定向至接入层交换机302CPU的规则下发至交换芯片,所述接入层交换机302的交换芯片收到ARP报文后,将所述ARP报文发送至接入层交换机302的CPU,由CPU进行软件的解析和转发。
接入层交换机302接收到ARP报文后,交换芯片将ARP报文重定向至CPU。获取ARP报文中发送方和接收方的IP地址和MAC地址信息,将上述信息与映射表中的信息进行匹配,丢弃以及转发所述ARP报文等操作,均由所述运行在CPU上的软件模块来执行。
接入层交换机302收到ARP报文,如果所述ARP报文的发送方或者接收方的IP地址与映射表中的网关IP地址一致,但发送方或者接收方的MAC地址与映射表中的MAC地址不一致,则所述ARP报文为非法报文,将所述ARP报文丢弃;如果发送方或者接收方的IP地址与映射表中的网关IP地址不一致,则转发所述ARP报文。
所述ARP报文,包括ARP请求报文和ARP回应报文。
接入层交换机302收到ARP请求报文,如果所述ARP请求报文的发送方的IP地址与映射表中的网关IP地址一致,但发送方的MAC地址与映射表中的MAC地址不一致,则所述ARP请求报文为非法报文,接入层交换机302丢弃所述ARP请求报文;如果发送方的IP地址与映射表中的网关IP地址不一致,接入层交换机302转发所述ARP请求报文。
接入层交换机302收到ARP回应报文,如果所述ARP回应报文的发送方或者接收方的IP地址与映射表中的网关IP地址一致,但发送方或者接收方的MAC地址与映射表中的MAC地址不一致,则所述ARP回应报文为非法报文,接入层交换机302丢弃所述ARP回应报文;如果发送方或者接收方的IP地址与映射表中的网关IP地址不一致,则接入层交换机302转发所述ARP回应报文。
采用本发明具体实施方式提供的技术方案,解决了IP网络中存在的IP网关ARP欺骗问题,将ARP监听功能下放至接入层交换机,采用分布式的处理方式,极大地缓解了汇聚层交换机的CPU压力,从而能够更高效的拦截和阻止网关的ARP欺骗。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种防止网关ARP欺骗的方法,其特征在于,包括以下步骤:
A、汇聚层交换机保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机;
B、接入层交换机将所述映射关系保存在本地的映射表中并开启ARP监听功能;
C、接入层交换机接收ARP报文,当ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
2.根据权利要求1所述的防止网关ARP欺骗的方法,其特征在于,步骤A中,汇聚层交换机将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,对所述映射报文进行加密和散列处理并根据预设的接入层交换机IP地址发送至接入层交换机。
3.根据权利要求2所述的防止网关ARP欺骗的方法,其特征在于,步骤B中,接入层交换机对收到的经过加密和散列处理的映射报文,先进行散列计算,再进行解密,还原出所述映射报文。
4.根据权利要求1-3任一所述的防止网关ARP欺骗的方法,其特征在于,步骤C中,所述ARP报文包括ARP请求报文和ARP回应报文;
当ARP请求报文发送方的IP地址属于映射表中的IP地址并且ARP请求报文发送方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP请求报文,当ARP请求报文接收方的IP地址不属于映射表中的IP地址时,转发所述ARP请求报文;
当ARP回应报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP回应报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP回应报文;当ARP回应报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP回应报文。
5.一种防止网关ARP欺骗的系统,其特征在于,包括主机节点、接入层交换机和汇聚层交换机,汇聚层交换机连接至少一个接入层交换机,每个接入层交换机连接至少一个主机节点,
所述汇聚层交换机,用于保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机;
所述接入层交换机,用于将所述映射关系保存在本地的映射表中,当接收的ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,丢弃所述ARP报文;当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时,转发所述ARP报文。
6.根据权利要求5所述的防止网关ARP欺骗的系统,其特征在于,所述汇聚层交换机将每个三层接口的IP地址与MAC地址的映射关系封装到映射报文中,对所述映射报文进行加密和散列处理并根据预设的接入层交换机IP地址发送至接入层交换机。
7.根据权利要求6所述的防止网关ARP欺骗的系统,其特征在于,所述接入层交换机对收到的经过加密和散列处理的映射报文,先进行散列计算,再进行解密,还原出所述映射报文。
8.根据权利要求5-7任一所述的防止网关ARP欺骗的系统,其特征在于,所述接入层交换机接收的ARP报文包括ARP请求报文和ARP回应报文;
当ARP请求报文发送方的IP地址属于映射表中的IP地址并且ARP请求报文发送方的MAC地址与映射表中对应的MAC地址不一致时,接入层交换机丢弃所述ARP请求报文,当ARP请求报文接收方的IP地址不属于映射表中的IP地址时,接入层交换机转发所述ARP请求报文;
当ARP回应报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP回应报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时,接入层交换机丢弃所述ARP回应报文;当ARP回应报文发送方或者接收方的IP地址不属于映射表中的IP地址时,接入层交换机转发所述ARP回应报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100390732A CN102546658A (zh) | 2012-02-20 | 2012-02-20 | 一种防止网关arp欺骗的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100390732A CN102546658A (zh) | 2012-02-20 | 2012-02-20 | 一种防止网关arp欺骗的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102546658A true CN102546658A (zh) | 2012-07-04 |
Family
ID=46352616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100390732A Pending CN102546658A (zh) | 2012-02-20 | 2012-02-20 | 一种防止网关arp欺骗的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546658A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
CN104796423A (zh) * | 2015-04-28 | 2015-07-22 | 福建六壬网安股份有限公司 | Arp双向主动防御方法 |
CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
CN107786499A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对arp网关欺骗攻击的预警方法及装置 |
CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
CN112491888A (zh) * | 2020-11-27 | 2021-03-12 | 深圳万物安全科技有限公司 | 防止设备冒用的方法及系统 |
CN114221928A (zh) * | 2021-11-05 | 2022-03-22 | 济南浪潮数据技术有限公司 | 一种管理网ip冲突的防御方法、系统、装置及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006712A1 (en) * | 2002-06-22 | 2004-01-08 | Huawei Technologies Co., Ltd. | Method for preventing IP address cheating in dynamic address allocation |
CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
CN101335685A (zh) * | 2007-06-27 | 2008-12-31 | 上海博达数据通信有限公司 | 一种利用重定向技术实现特定报文优先处理的方法 |
CN101345643A (zh) * | 2007-07-09 | 2009-01-14 | 珠海金山软件股份有限公司 | 对网络设备进行预警的方法及装置 |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN101394360A (zh) * | 2008-11-10 | 2009-03-25 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
-
2012
- 2012-02-20 CN CN2012100390732A patent/CN102546658A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006712A1 (en) * | 2002-06-22 | 2004-01-08 | Huawei Technologies Co., Ltd. | Method for preventing IP address cheating in dynamic address allocation |
CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
CN101335685A (zh) * | 2007-06-27 | 2008-12-31 | 上海博达数据通信有限公司 | 一种利用重定向技术实现特定报文优先处理的方法 |
CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
CN101345643A (zh) * | 2007-07-09 | 2009-01-14 | 珠海金山软件股份有限公司 | 对网络设备进行预警的方法及装置 |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN101394360A (zh) * | 2008-11-10 | 2009-03-25 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN104735080B (zh) * | 2015-04-03 | 2017-12-08 | 山东华软金盾软件股份有限公司 | 一种服务器ip保护方法和系统 |
CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
CN104796423A (zh) * | 2015-04-28 | 2015-07-22 | 福建六壬网安股份有限公司 | Arp双向主动防御方法 |
CN104796423B (zh) * | 2015-04-28 | 2018-04-20 | 福建六壬网安股份有限公司 | Arp双向主动防御方法 |
CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
CN105991794B (zh) * | 2015-06-01 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种地址学习方法及装置 |
CN107786499A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对arp网关欺骗攻击的预警方法及装置 |
CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
CN109039989B (zh) * | 2017-06-08 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法、主机及计算机可读存储介质 |
CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
CN112491888A (zh) * | 2020-11-27 | 2021-03-12 | 深圳万物安全科技有限公司 | 防止设备冒用的方法及系统 |
CN114221928A (zh) * | 2021-11-05 | 2022-03-22 | 济南浪潮数据技术有限公司 | 一种管理网ip冲突的防御方法、系统、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102546658A (zh) | 一种防止网关arp欺骗的方法和系统 | |
CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
WO2019024880A1 (zh) | 发送报文的方法和网络设备 | |
US20070022475A1 (en) | Transmission of packet data over a network with a security protocol | |
CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与系统 | |
JP2004525558A (ja) | 信頼性のないプロトコルを利用して確実なストリーミングデータ送信機能を提供するための方法および装置 | |
CN1954574B (zh) | 以太网上的统一架构 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
JP6214088B2 (ja) | ネットワーク制御システム及び方法 | |
CN102437966A (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
KR101655715B1 (ko) | Http를 이용한 양방향 실시간 통신 시스템 | |
CN102546308B (zh) | 基于重复地址检测实现邻居发现代理的方法和系统 | |
CN102546429A (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
CN102572013A (zh) | 一种基于免费arp实现代理arp的方法及系统 | |
CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
CN102594882A (zh) | 一种基于DHCPv6监听的邻居发现代理方法和系统 | |
WO2020248906A1 (zh) | 智融标识网络的安全数据传输方法和装置 | |
CN102546307B (zh) | 基于dhcp侦听实现代理arp功能的方法和系统 | |
CN100583891C (zh) | 一种通讯加密的方法与系统 | |
JP2004328563A (ja) | 暗号通信装置および暗号通信システム | |
CN108322330A (zh) | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 | |
CN102594810B (zh) | 一种IPv6网络防止PMTU攻击的方法和装置 | |
JP2017208718A (ja) | 通信装置および通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120704 |