CN103023818A - 媒体接入控制强制转发arp报文的方法及装置 - Google Patents
媒体接入控制强制转发arp报文的方法及装置 Download PDFInfo
- Publication number
- CN103023818A CN103023818A CN2012105355909A CN201210535590A CN103023818A CN 103023818 A CN103023818 A CN 103023818A CN 2012105355909 A CN2012105355909 A CN 2012105355909A CN 201210535590 A CN201210535590 A CN 201210535590A CN 103023818 A CN103023818 A CN 103023818A
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- reply message
- gateway
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种媒体接入控制强制转发ARP报文的方法和装置,其中的方法具体包括:在ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC改造为网关MAC,并广播发送;创建会话表表项,并在会话表表项中记录ARP请求报文的信息;将ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将ARP应答报文的发送端MAC改造为网关MAC,及,将ARP应答报文的目标MAC改造为匹配成功的会话表表项中的发送端MAC,并单播发送。本发明能够准确、有效地检测网络中的IP地址冲突。
Description
技术领域
本发明涉及以太网转发技术领域,特别是涉及一种媒体接入控制强制转发ARP报文的方法及装置。
背景技术
MFF(媒体接入控制强制转发,Media Access Control Forced Forwarding)是一种既可以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制的方案。
使能MFF功能的设备(以下简称MFF设备)截获客户端的ARP(地址解析协议,Address Resolution Protocol)请求报文,通过ARP代答机制,回复发送端MAC为网关MAC地址的ARP应答报文。通过这种方式,可以强制客户端将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止客户端之间的恶意攻击,能更好的保障网络部署的安全性。
MFF设备上通常存在两种端口角色:用户端口及网络端口,其中,前者用于连接客户端,后者用于连接网关或服务器,如图1所示。
现有的MFF设备在使能MFF功能后,首先要解析网关的ARP,预先获取网关IP地址和网关MAC地址的映射关系,其中网关IP地址可由管理员配置指定。此后MFF设备不再转发用户侧的ARP请求报文,而是通过ARP代答的方式将用户的流量引向网关。例如客户端A请求解析客户端B的MAC地址时,ARP交互过程如表1所示:
表1
表1中,A-IP、B-IP分别表示客户端A和客户端B的IP地址,A-MAC、网关MAC地址分别表示客户端A和网关MAC地址。可以看出,MFF设备用网关MAC地址代答了客户端A的ARP请求报文,客户端A就会建立如下的ARP表项:B-IP----->网关MAC地址;此后,客户端A发往客户端B的流量都会先发往网关,然后由网关转发给客户端B。
可以看出,无论客户端尝试解析其它哪个客户端的MAC地址,则MFF设备都会用网关MAC地址做ARP代答,因此客户端之间不能直接通信,因此能够有效避免客户端间的恶意攻击。
为了避免客户端对IP地址冲突的误判,现有的MFF设备是不应答免费ARP请求报文的,但是这容易导致无法检测到真正出现的IP地址冲突。例如,客户端B通过发送一个免费ARP请求报文判断IP地址冲突,该免费ARP请求报文的发送端IP和目标IP均为A-IP;对于该免费ARP请求报文,如果无人应答则说明相应的IP地址没有冲突,反之,则说明相应的IP地址有冲突。如果MFF设备拦截该免费ARP请求报文,并以网关的身份代答,则客户端B就会认为其IP地址存在冲突。而事实上,这个冲突是不一定不存在的,现有的MFF设备能够解决对IP地址冲突的误判问题,但却牺牲了IP地址冲突的检测功能。
发明内容
本发明所要解决的技术问题是提供一种媒体接入控制强制转发ARP报文的方法及装置,能够在媒体接入控制强制转发ARP报文时,准确、有效地检测网络中的IP地址冲突。
为了解决上述问题,本发明实施例公开了一种媒体接入控制强制转发ARP报文的方法,包括:
接收地址解析协议ARP请求报文;
在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;
创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;
接收ARP应答报文;
将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
单播发送改造后的ARP应答报文。
优选的,所述方法还包括:
在匹配结果为匹配失败时,丢弃所述ARP应答报文。
优选的,所述单播发送改造后的ARP应答报文的步骤具体包括,将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
优选的,所述方法还包括:
在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
优选的,所述方法还包括:
在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
优选的,所述方法还包括:
在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
另一方面,本发明实施例还公开了一种媒体接入控制强制转发ARP报文的装置,包括:
第一接收模块,用于接收地址解析协议ARP请求报文;
请求改造模块,用于在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址;
广播发送模块,用于广播发送改造后的ARP请求报文;
创建模块,用于创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;
第二接收模块,用于接收ARP应答报文;
匹配模块,用于将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
应答改造模块,用于在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;及
单播发送模块,用于单播发送改造后的ARP应答报文。
优选的,所述装置还包括:
丢弃模块,用于在匹配结果为匹配失败时,丢弃所述ARP应答报文。
优选的,所述单播发送模块,具体用于将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
优选的,所述装置还包括:
请求代答模块,用于在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
优选的,所述装置还包括:
应答转发模块,用于在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
优选的,所述装置还包括:
删除模块,用于在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
与现有技术相比,本发明在媒体接入控制强制转发ARP报文时,能够准确、有效地检测IP地址冲突。
另外,本发明还可以通过丢弃没有请求的应答报文,以避免遭受ARP欺骗攻击,从而能够提高MFF的安全性,
附图说明
图1是现有技术一种MFF设备上端口示意图;
图2是本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例1的流程图;
图3是本发明实施例一种媒体接入控制强制转发免费ARP请求报文的方法示例的流程图;
图4是本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例2的流程图;
图5是本发明实施例一种媒体接入控制强制转发ARP请求报文的方法实施例的流程图;
图6是本发明实施例一种媒体接入控制强制转发ARP应答报文的方法实施例的流程图;
图7是本发明实施例一种媒体接入控制强制转发ARP报文的装置实施例的结构图。
具体实施方式
为使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图2,示出了本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例1的流程图,具体可以包括:
步骤201、接收ARP请求报文;
步骤202、在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;
步骤203、创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址和目标IP;
本发明实施例可用于使能MFF功能的设备中,用于在避免对IP地址冲突的误判的同时,有效检测网络中的IP地址冲突。
本发明实施例中ARP报文的处理流程如下。其中,步骤201-步骤203主要为ARP请求报文的处理流程。
为了避免客户端对IP地址冲突的误判,现有的ARP代答机制适用于除免费ARP请求报文外的ARP请求报文;为了能够让用于检测IP地址冲突的免费ARP请求报文得到处理,本发明实施例对现有的ARP代答机制进行改进,所述改进具体表现在步骤203中,现通过具体的示例对步骤203进行详细说明。
参照表2,示出了本发明实施例一种ARP请求报文的改造示例,其中,改造前的ARP请求报文(在无特殊说明的情况下,本发明实施例中ARP请求报文均用于表示改造前或未经过改造的ARP请求报文)为客户端A请求客户端B的报文,其信息主要包括表2中的发送端IP、发送端MAC地址、目标IP和目标MAC地址等字段;本发明实施例中将其中的发送端MAC地址字段改造为网关MAC地址,得到改造后的ARP请求报文;由于改造后的ARP请求报文中发送端MAC地址为网关MAC地址,故可以将该改造后的ARP请求报文对应的ARP应答报文引向网关,也即,本发明实施例的改进仍然能够将客户端B发往客户端A的流量引向网关,能够满足MFF的“二层隔离,三层互通”的基本要求。
表2
需要说明的是,MFF设备在使能MFF功能后,可以通过解析网关的ARP,预先获取网关IP地址和网关MAC地址的映射关系,这样,MFF设备能够预先获知网关MAC地址,故可以直接使用网关的身份对请求网关或服务器的ARP报文进行代答。因此,在本发明实施例中,所述方法还可以包括:在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
具体而言,可以依据所述ARP请求报文的目标IP判断所述ARP请求报文是否为请求网关或服务器的ARP报文;如果所述ARP请求报文的目标IP与预先获取的网关IP地址或服务器IP地址匹配成功,则可以认为所述ARP请求报文为请求网关或服务器的ARP报文。
实际中应用中,当一个主机新上线或者新配置IP地址的时候,需要通过免费ARP请求报文来检测是否存在IP地址冲突,其中,该免费ARP请求报文中发送端IP和目标IP相同。而本发明实施例中改造的ARP请求报文并没有将免费ARP请求报文排除在外,故能够让用于检测IP地址冲突的免费ARP请求报文得到处理。
另外,因为单播的前提已经得知目标的MAC地址,而ARP请求报文是用于请求目标的MAC地址,故通常使用广播的方式进行发送;同理,对于本发明实施例改造后的ARP请求报文,MFF设备对于目标(发送端请求的对象)的连接端口或MAC地址均无从得知,依然使用广播的方式进行发送。可以理解,改造后的ARP请求报文对应的目标客户端可以通过广播接收到该改造后的ARP请求报文,并通过发送ARP应答报文进行应答处理。
步骤203主要用于记录改造前的ARP请求报文的信息,所述会话表表项中记录的报文信息可以作为后续改造ARP应答报文的依据。例如,对于表2所示改造前的ARP请求报文,其对应的会话表表项如表3所示。
表3
| 发送端IP | 发送端MAC地址 | 目标IP |
| A-IP | A-MAC | B-IP |
步骤204、接收ARP应答报文;
步骤205、将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
步骤206、在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
步骤207、单播发送改造后的ARP应答报文。
在接收到ARP应答报文时,步骤205可以将该ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,相应的匹配结果可用于表示该ARP应答报文是否具有对应的请求,具体而言,如果匹配成功,则说明该ARP应答报文是一个有请求的应答报文,从而可以认为其是一个合法的应答报文,故可以对其进行处理。
本发明实施例中,将改造后的ARP请求报文中发送端MAC地址改造为网关MAC地址对应的ARP请求报文的改造处理,将该改造后的ARP请求报文对应的ARP应答报文引向网关;此种情况下,对ARP应答报文进行转发处理则是将该改造后的ARP请求报文对应的ARP应答报文转发给网关而不是真正的发送端。
为了能够将该改造后的ARP请求报文对应的ARP应答报文转发给真正的发送端,本发明实施例在步骤206对ARP应答报文进行如下改造处理:
改造A、将所述ARP应答报文的发送端MAC地址改造为网关MAC地址;
改造B、将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址。
其中,改造A能够使得ARP应答报文对应目标客户端建立如下ARP表项:ARP应答报文对应发送客户端-IP----->网关MAC地址,这样,目标客户端发往发送客户端的流量都会先发往网关,能够满足MFF的“二层隔离,三层互通”的基本要求;
由于本发明实施例对ARP请求报文的发送端MAC地址进行过改造处理,而ARP请求报文改造前的发送端MAC地址才是对应ARP应答报文的真正目标MAC地址,故改造B能够将ARP应答报文的目标MAC地址改造为真正目标MAC地址。
参照表4,示出了本发明实施例一种ARP应答报文的改造示例,其中,所述ARP应答报文由客户端B针对表2所示改造后的ARP请求报文发出,
表4
从表4可以看出,改造B能够将ARP应答报文的目标MAC地址改造为真正目标MAC地址,使得客户端A接收到改造后的ARP应答报文;改造A能够使得ARP应答报文对应目标客户端A建立如下ARP表项:B-IP----->网关MAC地址,此后,客户端A发往客户端B的流量都会先发往网关,然后由网关转发给客户端B。
可以理解,由于改造后的ARP应答报文已经得知目标MAC地址,故可以通过单播的方式进行发送。
在本发明的一种优选实施例中,所述单播发送改造后的ARP应答报文的步骤具体可以为,将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。这里,所述入端口为在会话表表项中记录的所述ARP请求报文的入端口信息。
需要说明的是,本发明实施例中改造的ARP应答报文的范围具体可以包括匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文,这里将应答网关或服务器的ARP报文排除在外的一个主要原因是:应答网关或服务器的ARP报文的目标就是网关或服务器,以应答网关的ARP报文为例,其真正目标MAC地址就是网关MAC地址,且无需进行流量的导引,因此,无需进行改造处理,直接转发即可。
因此,在本发明实施例的一种优选实施例中,所述方法还可以包括:在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
本发明实施例中,由于MFF设备是能够预先获取网关IP地址或服务器IP地址的,故可以依据所述ARP应答报文的目标IP判断所述ARP应答报文是否为应答网关或服务器的ARP报文;具体而言,如果所述ARP应答报文的目标IP与预先获取的网关IP地址或服务器IP地址匹配成功,则可以认为所述ARP应答报文为请求网关或服务器的ARP报文。
本技术领域中,会话表表项可用于记录一个数据流或数据包的信息,具体到本发明实施例,会话表表项则用于记录一个ARP表项的信息,但是,会话表表项也会占用一定的存储空间。
因此,为了减少会话表表项对于存储空间的占用,在本发明的一种优选实施例中,所述方法还可以包括:在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
会话表表项的效力体现于其对应ARP请求报文的ARP交互过程中,如果一个ARP交互过程已完成,则会话表表项失去了效力;而在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,可以认为一个ARP交互过程已完成,于是可以删除对应的会话表表项。
另外,为了充分利用存储资源,本发明实施例还支持会话表表项的自动老化。这里的老化时间可用于表示一个ARP交互过程的消耗时间,其可由本领域技术人员依据实际情况设置,例如为3秒等等。
为使本领域技术人员更好地理解本发明实施例,参照图3,示出了本发明实施例一种媒体接入控制强制转发免费ARP请求报文的方法示例;
该示例涉及,客户端B配置了与客户端A相同的IP地址:A-IP,在该IP地址生效前,客户端B通过发送一个免费ARP请求报文判断IP地址冲突,该免费ARP请求报文的发送端IP和目标IP均为A-IP;相应的方法示例具体可以包括:
步骤301、接收该免费ARP请求报文;
步骤302、依据该免费ARP请求报文的目标IP判断该免费ARP请求报文是否为请求网关或服务器的ARP报文,判断结果为否,于是执行步骤303;
步骤303、将免费ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的免费ARP请求报文;
参照表5,示出了本发明实施例一种免费ARP请求报文的改造示例,其中,改造前的免费ARP请求报文的信息主要包括表5中的发送端IP、发送端MAC地址、目标IP和目标MAC地址等字段;本发明实施例将其中的发送端MAC地址字段改造为网关MAC地址,得到改造后的免费ARP请求报文。
表5
步骤304、创建会话表表项,并在所述会话表表项中记录该免费ARP请求报文的发送端IP、发送端MAC地址和目标IP;
步骤305、接收免费ARP应答报文;
步骤306、将该免费ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
步骤307、在匹配结果为匹配成功且该免费ARP应答报文不是应答网关或服务器的ARP报文时,将免费ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将免费ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
参照表6,示出了本发明实施例一种免费ARP应答报文的改造示例,假设该免费ARP应答报文为客户端A针对改造后的免费ARP请求报文作出的应答,其发送端IP、发送端MAC地址、目标IP和目标MAC地址字段分别为:A-IP、A-MAC、A-IP和网关MAC地址;则本发明实施例将其中的发送端MAC地址改造为网关MAC地址,及,将其中的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址:B-MAC。
表6
步骤308、单播发送改造后的免费ARP应答报文。
从上面的方法示例可以看出,一方面,客户端A和客户端B都检测到了IP地址冲突,另一方面,客户端A和客户端B均认为是网关跟自己冲突,且并没有暴露各自的MAC地址,因而能够满足MFF的“二层隔离,三层互通”的基本要求。
本发明实施例具有如下优点:
本发明实施例对ARP请求报文和ARP应答报文进行改造处理,由于所述改造处理并没有将免费ARP请求报文排除在外,故能够让用于检测IP地址冲突的免费ARP请求报文得到处理;更重要的是,本发明实施例在处理用于检测IP地址冲突的免费ARP请求报文的过程中,对免费ARP请求报文的改造处理能够使得被检测方感受到检测方的存在,以及,对免费ARP应答报文的改造处理能够使得检测方感受到被检测方的存在,因此,本发明实施例能够准确、有效地检测IP地址冲突;并且,由于本发明实施例对ARP请求报文和ARP应答报文的改造处理并没有暴露检测方和被检测方的MAC地址,因此能够满足MFF的“二层隔离,三层互通”的基本要求。
参照图4,示出了本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例2的流程图,具体可以包括:
步骤401、接收ARP请求报文;
步骤402、在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;
步骤403、创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址和目标IP;
步骤404、接收ARP应答报文;
步骤405、将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
步骤406、在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
步骤407、单播发送改造后的ARP应答报文;
步骤408、在匹配结果为匹配失败时,丢弃所述ARP应答报文。
现有的MFF技术这容易给恶意客户端利用ARP应答报文进行ARP欺骗攻击的漏洞,从而实现恶意客户端的信息窃取目的,甚至带来网络中断的后果。
例如,客户端A构造如下ARP应答报文:目的IP为客户端B的IP地址,目的MAC为客户端C的MAC地址C;则现有的MFF设备在将该ARP应答报文转发给网关后,网关会认为客户端B的MAC地址是C,这样,网关会把本想发往客户端B的流量发给客户端C,从而造成客户端B的网络中断。
本发明实施例在接收到ARP应答报文时,可以将该ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,相应的匹配结果可用于表示该ARP应答报文是否具有对应的ARP请求,具体而言,如果匹配失败,说明这是一个没有请求的应答报文,那么它很可能是一个用于ARP欺骗的攻击报文,于是可以直接将其丢弃。因此,本发明实施例可以通过丢弃没有请求的应答报文,以避免遭受ARP欺骗攻击,从而能够提高MFF的安全性,
参照图5,示出了本发明实施例一种媒体接入控制强制转发ARP请求报文的方法实施例的流程图,具体可以包括:
步骤501、接收ARP请求报文;
步骤502、判断该ARP请求报文是否为请求网关或服务器的ARP报文,若是,则执行步骤503,否则执行步骤504;
步骤503、回复发送端MAC为网关MAC地址的ARP应答报文;
步骤504、将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;
步骤505、创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址和目标IP。
参照图6,示出了本发明实施例一种媒体接入控制强制转发ARP应答报文的方法实施例的流程图,具体可以包括:
步骤601、接收ARP应答报文;
步骤602、将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,若匹配成功,则执行步骤603,若匹配失败,则执行步骤608;
步骤603、判断所述ARP应答报文是否为应答网关或服务器的ARP报文,若是,则执行步骤604,否则执行步骤605;
步骤604、转发所述ARP应答报文;
步骤605、将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
步骤606、单播发送改造后的ARP应答报文;
步骤607、在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,删除所述会话表表项;
步骤608、丢弃所述ARP应答报文。
与前述方法实施例相应,本发明实施例还提供了一种媒体接入控制强制转发ARP报文的装置,参照图7所示的结构图,具体可以包括:
第一接收模块701,用于接收地址解析协议ARP请求报文;
请求改造模块702,用于在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址;
广播发送模块703,用于广播发送改造后的ARP请求报文;
创建模块704,用于创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;
第二接收模块705,用于接收ARP应答报文;
匹配模块706,用于将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
应答改造模块707,用于在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;及
单播发送模块708,用于单播发送改造后的ARP应答报文。
在本发明的一种优选实施例中,所述装置还可以包括:
丢弃模块,用于在匹配结果为匹配失败时,丢弃所述ARP应答报文。
在本发明的再一种优选实施例中,所述单播发送模块708,可具体用于将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
在本发明的一种优选实施例中,所述装置还可以包括:
请求代答模块,用于在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
在本发明的另一种优选实施例中,所述装置还可以包括:
应答转发模块,用于在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
在本发明的另一种优选实施例中,所述装置还可以包括:
删除模块,用于在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
以上对本发明实施例所提供的媒体接入控制强制转发ARP报文的方法及装置,进行了详细介绍,本文中应用了具体个例对本发明实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明实施例的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明实施例的限制。
Claims (12)
1.一种媒体接入控制强制转发ARP报文的方法,其特征在于,包括:
接收地址解析协议ARP请求报文;
在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;
创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;
接收ARP应答报文;
将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;
单播发送改造后的ARP应答报文。
2.如权利要求1所述的方法,其特征在于,还包括:
在匹配结果为匹配失败时,丢弃所述ARP应答报文。
3.如权利要求1或2所述的方法,其特征在于,所述单播发送改造后的ARP应答报文的步骤具体包括,将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
4.如权利要求1或2所述的方法,其特征在于,还包括:
在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
5.如权利要求1或2所述的方法,其特征在于,还包括:
在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
6.如权利要求5所述的方法,其特征在于,还包括:
在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
7.一种媒体接入控制强制转发ARP报文的装置,其特征在于,包括:
第一接收模块,用于接收地址解析协议ARP请求报文;
请求改造模块,用于在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址;
广播发送模块,用于广播发送改造后的ARP请求报文;
创建模块,用于创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;
第二接收模块,用于接收ARP应答报文;
匹配模块,用于将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;
应答改造模块,用于在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;及
单播发送模块,用于单播发送改造后的ARP应答报文。
8.如权利要求7所述的装置,其特征在于,还包括:
丢弃模块,用于在匹配结果为匹配失败时,丢弃所述ARP应答报文。
9.如权利要求7或8所述的装置,其特征在于,所述单播发送模块,具体用于将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
10.如权利要求7或8所述的装置,其特征在于,还包括:
请求代答模块,用于在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
11.如权利要求7或8所述的装置,其特征在于,还包括:
应答转发模块,用于在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
12.如权利要求11所述的装置,其特征在于,还包括:
删除模块,用于在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210535590.9A CN103023818B (zh) | 2012-12-10 | 2012-12-10 | 媒体接入控制强制转发arp报文的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210535590.9A CN103023818B (zh) | 2012-12-10 | 2012-12-10 | 媒体接入控制强制转发arp报文的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103023818A true CN103023818A (zh) | 2013-04-03 |
| CN103023818B CN103023818B (zh) | 2016-04-20 |
Family
ID=47971958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210535590.9A Active CN103023818B (zh) | 2012-12-10 | 2012-12-10 | 媒体接入控制强制转发arp报文的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103023818B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015015505A1 (en) * | 2013-08-01 | 2015-02-05 | Hewlett-Packard Development Company, L.P. | Address resolution rewriting |
| CN107241301A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 防御反射攻击的方法、装置和系统 |
| CN107959613A (zh) * | 2016-10-18 | 2018-04-24 | 华为技术有限公司 | 报文转发方法及装置 |
| CN111130981A (zh) * | 2019-12-24 | 2020-05-08 | 锐捷网络股份有限公司 | 一种mac地址的代理应答方法及装置 |
| CN112217918A (zh) * | 2020-10-23 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种SDN网络中IPv6地址冲突检测方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
-
2012
- 2012-12-10 CN CN201210535590.9A patent/CN103023818B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015015505A1 (en) * | 2013-08-01 | 2015-02-05 | Hewlett-Packard Development Company, L.P. | Address resolution rewriting |
| CN105393492A (zh) * | 2013-08-01 | 2016-03-09 | 惠普发展公司,有限责任合伙企业 | 地址解析重写 |
| US10356037B2 (en) | 2013-08-01 | 2019-07-16 | Hewlett Packard Enterprise Development Lp | Address resolution rewriting |
| CN107241301A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 防御反射攻击的方法、装置和系统 |
| CN107959613A (zh) * | 2016-10-18 | 2018-04-24 | 华为技术有限公司 | 报文转发方法及装置 |
| CN107959613B (zh) * | 2016-10-18 | 2020-06-02 | 华为技术有限公司 | 报文转发方法及装置 |
| CN111130981A (zh) * | 2019-12-24 | 2020-05-08 | 锐捷网络股份有限公司 | 一种mac地址的代理应答方法及装置 |
| CN111130981B (zh) * | 2019-12-24 | 2022-05-20 | 锐捷网络股份有限公司 | 一种mac地址的代理应答方法及装置 |
| CN112217918A (zh) * | 2020-10-23 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种SDN网络中IPv6地址冲突检测方法及装置 |
| CN112217918B (zh) * | 2020-10-23 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种SDN网络中IPv6地址冲突检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103023818B (zh) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101997768B (zh) | 一种上送地址解析协议报文的方法和装置 | |
| CN104158883A (zh) | 跨终端设备进行用户登陆的方法、装置、设备及系统 | |
| CN103023818A (zh) | 媒体接入控制强制转发arp报文的方法及装置 | |
| CN101834874A (zh) | 一种能穿透防火墙的多媒体网络通信方法 | |
| CN104270302B (zh) | 在线订单的传送系统及传送方法 | |
| CN103095732A (zh) | 信息推送系统和信息推送方法 | |
| CN105827748A (zh) | 一种基于ICE的SIP穿越Symmetric NAT设备的方法 | |
| CN103024851A (zh) | 基于无线网络的报文传输方法、装置及网络设备 | |
| CN103414798B (zh) | 基于网络地址转换的通信方法、设备和系统 | |
| CN107743154B (zh) | 一种基于Wi-Fi智能终端的追踪及考勤系统及其方法 | |
| CN115022281B (zh) | 一种nat穿透的方法、客户端及系统 | |
| CN103973555A (zh) | 通用路由封装协议隧道建立方法、通信设备及通信系统 | |
| US9992159B2 (en) | Communication information detecting device and communication information detecting method | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN101179515A (zh) | 一种抑制黑洞路由的方法和装置 | |
| CN102781017B (zh) | 一种探测通信对端在线状态的方法、装置及通信设备 | |
| CN104184565B (zh) | 一种处理重传信息的方法及装置 | |
| CN104348731A (zh) | 社区虚拟网络连线建立方法及网络通信系统 | |
| CN202111746U (zh) | 一种实现移动终端信息推送的系统 | |
| WO2015101297A1 (zh) | 一种服务查询方法、装置及系统和站点 | |
| CN103516820B (zh) | 基于mac地址的端口映射方法和装置 | |
| CN104518959B (zh) | 一种设备间通信的方法及装置 | |
| CN104168302A (zh) | 设备操控实现方法、系统和代理网关 | |
| CN107454178B (zh) | 数据传输方法及装置 | |
| CN106878258A (zh) | 一种攻击定位方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230619 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |