CN104219338B - 授权地址解析协议安全表项的生成方法及装置 - Google Patents
授权地址解析协议安全表项的生成方法及装置 Download PDFInfo
- Publication number
- CN104219338B CN104219338B CN201410468055.5A CN201410468055A CN104219338B CN 104219338 B CN104219338 B CN 104219338B CN 201410468055 A CN201410468055 A CN 201410468055A CN 104219338 B CN104219338 B CN 104219338B
- Authority
- CN
- China
- Prior art keywords
- arp
- address
- safe list
- mandate
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本申请提出授权ARP安全表项的生成方法及装置。方法包括:网关监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,根据报文中的IP地址和MAC地址生成授权ARP安全表项,并将该安全表项的状态设置为“请求中”;网关监听到所述DHCP客户端发出的免费ARP报文,根据该报文中的MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项,将该安全表项的状态更改为“有效”。本申请在网关与DHCP服务器/DHCP中继不为同一台设备的情况下,网关也能生成授权ARP安全表项。
Description
技术领域
本申请涉及数据安全技术领域,尤其涉及授权ARP(Address ResolutionProtocol,地址解析协议)安全表项的生成方法及装置。
背景技术
ARP可以将IP(Internet Protocol,因特网协议)地址解析为实际的MAC(MediaAccess Control,介质访问控制)地址,从而实现IP报文在以太网链路上的转发。ARP解析的过程很简单:一个携带IP地址的请求和一个携带MAC地址的响应,两个报文的交互即可让彼此了解对方的MAC地址。
ARP提供便利服务的同时也为恶意攻击者提供了可乘之机。自从ARP问世以来,ARP攻击从未间断,欺骗、泛洪等攻击手法层出不穷。目前已有很多防ARP攻击的手段,它们各有优缺点。简单地说,现有的防攻击手段只能防御某种特定类型的ARP攻击,对于其它的攻击类型就无能为力了。
授权ARP(Authorized ARP)是一种应用于DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)组网中的ARP防攻击方法。在该组网中,当用户上线时通过DHCP申请IP地址时,DHCP Server(服务器)或者DHCP Relay(中继)记录该用户IP地址与MAC地址的映射关系,该映射关系称作安全表项。当DHCP Server或DHCP Relay同时作为网关时,网关在收到ARP报文要根据该报文学习ARP表项前,要先判断ARP报文中携带的IP地址与MAC地址的映射关系是否与已记录的安全表项一致,若一致,则学习ARP表项;否则,不学习ARP表项。也就是说,如果设备开启了授权ARP功能,那么它只会学习合法用户的ARP表项,而不理会攻击者伪造的ARP报文。
发明内容
本申请提供授权ARP安全表项的生成方法及装置。
本申请的技术方案是这样实现的:
一种授权ARP安全表项的生成方法,应用于DHCP组网中的网关,所述安全表项包含DHCP客户端的IP地址和MAC地址的映射关系,该方法包括:
网关监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“请求中”;
网关监听到所述DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“有效”。
一种授权ARP安全表项的生成装置,位于DHCP组网中的网关上,所述安全表项包含DHCP客户端的IP地址和MAC地址的映射关系,该装置包括:
安全表项生成模块:监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“请求中”;
安全表项维护模块:监听到所述DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址查找到对应的状态为“请求中”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“有效”。
可见,本申请中,网关通过监听DHCP客户端发出的广播报文:DHCP Request(请求)报文和免费ARP报文,获得成功地从DHCP服务器申请到IP地址的DHCP客户端的MAC地址和IP地址的映射关系,并根据该映射关系生成授权ARP安全表项,从而使得:在网关与DHCP服务器/DHCP中继不为同一台设备的情况下,网关仍能学习到授权ARP安全表项,从而能够实现授权ARP的功能,防止了针对网关的ARP攻击。
附图说明
图1为DHCP Server/DHCP Relay与网关不为同一台设备的DHCP组网示意图;
图2为本申请一实施例提供的当DHCP Server/DHCP Relay与网关不是同一台设备时在网关上生成授权ARP安全表项的方法流程图;
图3为DHCP客户端向DHCP服务器申请IP地址的标准流程;
图4为本申请实施例提供的授权ARP安全表项的生成装置的组成示意图;
图5为本申请实施例提供的包含授权ARP安全表项的生成装置的网关的硬件结构示意图。
具体实施方式
申请人对知道的一种现有的通过授权ARP功能防止ARP攻击的方案进行分析发现:现有的授权ARP功能要求DHCP Server/DHCP Relay与网关是同一台设备。如果它们不是同一台设备,网关上就不存在授权ARP安全表项,就无法防御欺骗网关的ARP攻击。而实际应用中经常会有专门的DHCP Server负责分配IP地址,它与网关并不是同一台设备,因此授权ARP方式无法应用于这种场景。以下以图1为例进行说明:
在图1所示组网中,DHCP Server/DHCP Relay与网关不是一台设备。客户端上线时通过DHCP获取本客户端的IP地址和网关地址,然后通过网关访问Internet。该类组网中经常存在以下所示的ARP欺骗攻击过程:
步骤01:主机C作为攻击者冒充主机A向网关发送ARP请求报文,报文的关键字段如表1所示:
| 目标IP地址 | 目标MAC地址 | 发送者的IP地址 | 发送者的MAC地址 |
| 网关的IP地址 | 0 | 主机A的IP地址 | 非主机A的MAC地址 |
表1攻击者C发出的ARP请求报文的关键字段
步骤02:网关收到该ARP请求报文,将学习到主机A的ARP表项如表2所示:
| IP地址 | MAC地址 |
| 主机A的IP地址 | 非主机A的MAC地址 |
表2网关学习到的被攻击者:主机A的ARP表项
步骤03:之后网关收到目的IP地址为主机A的IP地址的流量,会根据表2所示的ARP表项进行转发。
这样,发给主机A的流量最终并不会到达主机A,从而导致主机A无法访问Internet;特别地,如果主机C想窃听主机A的流量,则步骤01中,主机C发出ARP请求报文时,可以将发送者的MAC地址填写为本主机C的MAC地址,这样,步骤02中,网关学习到的ARP表项中的IP地址为主机A的IP地址,MAC地址则为主机C的MAC地址,步骤03中,网关收到目的IP地址为主机A的IP地址的流量后,根据表2的ARP表项就会将流量发给主机C了。
为了解决上述问题,本申请给出如下实施例:
图2为本申请一实施例提供的当DHCP Server/DHCP Relay与网关不是同一台设备时在网关上生成授权ARP安全表项的方法流程图,其具体步骤如下:
步骤201:网关监听到一DHCP客户端发给DHCP服务器的DHCP Request(请求)报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“Requesting(请求中)”。
授权ARP安全表项的状态为“Requesting”,则表明该安全表项已经生成,但还未生效,即不能被使用,也就是说,还不能作为是否学习ARP表项的判断依据。
DHCP客户端上线时需要向DHCP服务器申请IP地址,如图3所示,主要通过四个阶段进行:
1)发现阶段,即DHCP客户端寻找DHCP服务器的阶段。该阶段中,客户端以广播方式发送DHCP Discover(发现)报文。
2)提供阶段,即DHCP服务器提供IP地址的阶段。该阶段中,DHCP服务器接收到DHCP客户端的DHCP Discover报文后,根据IP地址分配的先后次序从地址池中选出一个IP地址,将该IP地址通过DHCP Offer(提供)报文发送给DHCP客户端。
3)选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP Offer报文,客户端只接受第一个收到的DHCP Offer报文,然后以广播方式发送DHCP Request报文,该报文中包含DHCP客户端接受的第一个DHCP Offer报文中携带的DHCP服务器为其分配的IP地址,同时该报文中携带了该DHCP服务器的IP地址。
4)确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP Request报文后,只有DHCP客户端选择的DHCP服务器会进行如下操作:如果确认将IP地址分配给该客户端,则返回DHCP ACK(确认)报文;否则返回DHCP NAK(否定)报文,表明IP地址不能分配给该客户端。
DHCP客户端收到DHCP服务器返回的DHCP ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用DHCP服务器为本客户端分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用该IP地址;否则,客户端会发送DHCP Decline(拒绝)报文给DHCP服务器,并重新申请IP地址。
在上述阶段1)、3)、4)中,DHCP客户端发出的DHCP Discover、DHCP Request、免费ARP、DHCP Decline报文都为广播报文,因此,该四个报文都会被网关接收到,即被网关监听到。
步骤202:网关监听到DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址在自身查找到对应的状态为“Requesting”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“Valid(有效)”。
授权ARP安全表项的状态为“Valid”,则表明该安全表项已经生效,可以被使用,即可以作为是否学习ARP表项的判断依据了。
此后,当网关接收到任一DHCP客户端发来的ARP报文,从该报文中解析出该客户端的IP地址和MAC地址,根据该IP地址和MAC地址在自身查找对应的状态为“Valid”的授权ARP安全表项,若查找到,则根据该ARP报文学习ARP表项;否则,丢弃该ARP报文。
DHCP客户端发来的ARP报文可能是用于请求网关的MAC地址的ARP请求报文,或者是用于响应网关的ARP请求的ARP响应报文。其中,当网关需要请求DHCP客户端的MAC地址时,会发出以该客户端的IP地址为目标IP地址的ARP请求报文。
优选地,步骤201中,当网关将该授权ARP安全表项的状态设置为“Requesting”的同时进一步包括:网关为该安全表项设置第一定时器并启动第一定时器;
且,步骤202中,网关将该授权ARP安全表项的状态更改为“Valid”进一步包括:网关删除第一定时器;
且,当该安全表项的第一定时器定时到时时,网关删除该安全表项和第一定时器。
其中,第一定时器的定时时长可根据经验设定,例如:可设为5s(秒)。
优选地,步骤202之后,若网关监听到该DHCP客户端发给DHCP服务器的DHCPDecline报文,则从报文中解析出该客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“Valid”的授权ARP安全表项,删除该安全表项。
进一步地,步骤202中,当网关将该授权ARP安全表项的状态更改为“Valid”的同时进一步包括:网关为该安全表项设置第二定时器并启动第二定时器;
且,当网关接收到该DHCP客户端发给DHCP服务器的DHCP Decline报文时,从报文中解析出该客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“Valid”的授权ARP安全表项,判断该授权ARP安全表项的第二定时器是否存在,若是,删除该授权安全表项和第二定时器;否则,不删除该授权ARP安全表项;当第二定时器定时到时时,删除该第二定时器。
设置了第二定时器后,这样,当在第二定时器到时前收到了DHCP Decline报文,则认为是合法的DHCP客户端发来的,从而执行删除授权ARP表项的动作,而若在第二定时器超时后收到了DHCP Decline报文,即,在收到DHCP Decline报文时第二定时器不存在,则认为是攻击者发来的攻击报文,不予考虑,即不删除授权ARP表项。
其中,第二定时器的定时时长可根据经验设定,具体地,可根据DHCP客户端发出免费ARP报文到该DHCP客户端发出DHCP拒绝报文之间的统计时长来确定,例如:可设为5s(秒)。
优选地,步骤202中,当网关将该授权ARP安全表项的状态更改为“Valid”时,为该安全表项设置老化定时器并启动老化定时器,在该老化定时器的定时到时时,执行如下步骤:
a、网关根据该安全表项的索引查找到对应的DHCP服务器的IP地址,根据该IP地址向该DHCP服务器发送DHCP Request消息,该消息中携带该安全表项中的IP地址。
b、若网关接收到DHCP服务器返回的DHCP NAK消息,则确定该IP地址还未被释放,重新启动老化定时器;若网关接收到DHCP服务器返回的DHCP确认消息,则确定该IP地址已被释放,则删除该安全表项及老化定时器,同时向DHCP服务器发送DHCP释放(Release)消息,该消息携带该IP地址,以便DHCP服务器及时释放掉该IP地址。
其中,步骤a中,网关向DHCP服务器发送DHCP Request消息,该消息中携带该安全表项中的IP地址,是为了假装向DHCP服务器申请该IP地址,以获知该IP地址是否仍在被该客户端使用还是已经被释放,若仍在被该客户端使用,则DHCP服务器会拒绝将该IP地址分配给网关,即会向网关返回DHCP NAK消息;若已被释放,则DHCP服务器会向网关返回DHCPACK消息,即将该IP地址分配给网关使用,此时网关为了不无谓地占用该IP地址,需要立即向DHCP服务器发送DHCP Release消息。
优选地,步骤202中,网关从该免费ARP报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址之后,根据该MAC地址和IP地址在自身查找到对应的状态为“Requesting”的授权ARP安全表项之前进一步包括:
网关在自身已生成的授权ARP安全表项中,查找该解析出的IP地址对应的状态为“Valid”的授权ARP安全表项,判断是否查找到,若是,则删除查找到的安全表项及其老化定时器,并执行步骤202中的“根据该MAC地址和IP地址在自身查找到对应的状态为“Requesting”的授权ARP安全表项”的动作;否则,直接执行步骤202中的“根据该MAC地址和IP地址在自身查找到对应的状态为“Requesting”的授权ARP安全表项”的动作。
上述过程考虑的是:授权ARP安全表项中的IP地址已经被DHCP服务器释放,但是由于其还未老化,导致该安全表项还存在;此时,该IP地址又被DHCP服务器重新分配给另一DHCP客户端,因此,需要将原已经释放但还未老化的安全表项删除。
图4为本申请实施例提供的授权ARP安全表项的生成装置的组成示意图,其主要包括:安全表项生成模块和安全表项维护模块,其中:
安全表项生成模块:监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“请求中”。
安全表项维护模块:监听到DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址查找到安全表项生成模块生成的对应的状态为“请求中”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“有效”。
优选地,安全表项生成模块将该授权ARP安全表项的状态设置为“请求中”的同时进一步用于,为该安全表项设置第一定时器并启动第一定时器;
且,安全表项维护模块将该授权ARP安全表项的状态更改为“有效”进一步用于,删除第一定时器;
且,安全表项维护模块进一步用于,当授权ARP安全表项的第一定时器定时到时时,删除该安全表项和第一定时器。
优选地,安全表项维护模块将该授权ARP安全表项的状态更改为“有效”之后进一步用于,若接收到DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出该客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“有效”的授权ARP安全表项,删除该安全表项。
优选地,安全表项维护模块将该授权ARP安全表项的状态更改为“有效”的同时进一步用于,为该安全表项设置第二定时器并启动第二定时器;
且,安全表项维护模块进一步用于,若接收到DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出该客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“有效”的授权ARP安全表项,判断该授权ARP安全表项的第二定时器是否存在,若是,删除该授权安全表项和第二定时器;否则,不删除该授权ARP安全表项;当第二定时器定时到时时,删除该第二定时器。
优选地,安全表项生成模块监听到一DHCP客户端发给DHCP服务器的DHCP请求报文之后进一步用于,从该报文中解析出DHCP服务器的IP地址;
且,安全表项生成模块根据该IP地址和MAC地址的映射关系生成授权ARP安全表项之后进一步用于,记录该安全表项的索引与该DHCP服务器的IP地址的映射关系;
且,安全表项维护模块将该授权ARP安全表项的状态更改为“有效”的同时进一步用于,为该安全表项设置老化定时器并启动老化定时器,且,当老化定时器的定时到时时,执行如下步骤a1~a2:
a1、根据该安全表项的索引在安全表项生成模块维护的安全表项的索引与DHCP服务器的IP地址的映射关系中,查找到对应的DHCP服务器的IP地址,根据该IP地址向该DHCP服务器发送DHCP请求消息,该消息中携带该安全表项中的IP地址;
a2、若接收到DHCP服务器返回的DHCP否定消息,则重新启动老化定时器;若接收到DHCP服务器返回的DHCP确认消息,则删除该安全表项及老化定时器,同时向DHCP服务器发送携带该安全表项中的IP地址的DHCP释放消息。
优选地,安全表项维护模块从该免费ARP报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址之后,根据该MAC地址和IP地址查找到安全表项生成模块生成的对应的状态为“请求中”的授权ARP安全表项之前进一步用于,根据解析出的客户端的IP地址,查找对应的状态为“有效”的授权ARP安全表项,若查找到,删除该查找到的安全表项及其老化定时器,执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作;若未查找到,直接执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作。
当上述授权ARP安全表项的生成装置作为一个逻辑意义上的装置时,其是通过CPU运行非易失性存储器中对应的计算机程序指令形成的。当对应的计算机程序指令被执行时,形成的授权ARP安全表项的生成装置用于按照上述实施例中的生成授权ARP安全表项的方法执行相应操作。
本申请实施例提供的网关是可以软硬件结合的可编程设备,从硬件层面而言,网关的硬件架构示意图具体可以参见图5。图5为本申请实施例提供的包含授权ARP安全表项的生成装置的网关的硬件结构示意图。该网关中包括:机器可读存储介质、CPU和其它硬件,其中:
机器可读存储介质:存储指令代码;所述指令代码被CPU执行时完成的操作主要为授权ARP安全表项的生成装置完成的功能。
CPU:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,完成上述授权ARP安全表项的生成装置完成的功能。
机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom AccessMemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。本申请所描述的任一机器可读存储介质都可以被认为是非暂时性的。
本申请实施例的有益效果如下:
本申请可以应用于网关与DHCP Server/Relay不在同一台设备的组网中,此时,网关上仍能生成授权ARP安全表项,从而有效地防止了网关遭受ARP攻击,拓展了授权ARP的应用范围。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种授权地址解析协议ARP安全表项的生成方法,应用于动态主机配置协议DHCP组网中的网关,所述安全表项包含DHCP客户端的IP地址和MAC地址的映射关系,其特征在于,所述网关与DHCP服务器/DHCP中继不是同一台设备,该方法包括:
网关监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“请求中”;
网关监听到所述DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“有效”。
2.根据权利要求1所述的方法,其特征在于,所述网关将该授权ARP安全表项的状态设置为“请求中”的同时进一步包括:
网关为该授权ARP安全表项设置第一定时器并启动第一定时器;
且,所述网关将该授权ARP安全表项的状态更改为“有效”进一步包括:
网关删除第一定时器;
且,所述方法进一步包括:
当所述授权ARP安全表项的第一定时器定时到时时,删除该授权ARP安全表项和第一定时器。
3.根据权利要求1所述的方法,其特征在于,所述网关将该授权ARP安全表项的状态更改为“有效”之后进一步包括:
若网关接收到所述DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出所述客户端的MAC地址和IP地址,根据该MAC地址和IP地址在自身查找到对应的状态为“有效”的授权ARP安全表项,删除该授权ARP安全表项。
4.根据权利要求1所述的方法,其特征在于,所述网关将该授权ARP安全表项的状态更改为“有效”的同时进一步包括:
网关为该授权ARP安全表项设置第二定时器并启动第二定时器;
且,所述方法进一步包括:
若网关接收到所述DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出所述客户端的MAC地址和IP地址,根据该MAC地址和IP地址在自身查找到对应的状态为“有效”的授权ARP安全表项,判断该授权ARP安全表项的第二定时器是否存在,若是,删除该授权ARP安全表项和第二定时器;否则,不删除该授权ARP安全表项;当第二定时器定时到时时,删除该第二定时器。
5.根据权利要求1至4任一所述的方法,其特征在于,所述网关监听到一DHCP客户端发给DHCP服务器的DHCP请求报文之后进一步包括:
网关从该报文中解析出DHCP服务器的IP地址;
且,所述网关根据该IP地址和MAC地址的映射关系生成授权ARP安全表项之后进一步包括:
网关记录该授权ARP安全表项的索引与该DHCP服务器的IP地址的映射关系;
且,所述网关将该授权ARP安全表项的状态更改为“有效”的同时进一步包括:
网关为该授权ARP安全表项设置老化定时器并启动老化定时器,且,当老化定时器的定时到时时,根据该授权ARP安全表项的索引查找到对应的DHCP服务器的IP地址,根据该IP地址向该DHCP服务器发送DHCP请求消息,该消息中携带该授权ARP安全表项中的IP地址;若接收到DHCP服务器返回的DHCP否定消息,则重新启动老化定时器;若接收到DHCP服务器返回的DHCP确认消息,则删除该授权ARP安全表项及老化定时器,同时向DHCP服务器发送携带该授权ARP安全表项中的IP地址的DHCP释放消息。
6.根据权利要求5所述的方法,其特征在于,所述网关从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址之后,根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项之前进一步包括:
网关根据解析出的客户端的IP地址,在自身查找对应的状态为“有效”的授权ARP安全表项,若查找到,删除该查找到的授权ARP安全表项,执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作;若未查找到,直接执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作。
7.一种授权地址解析协议ARP安全表项的生成装置,位于动态主机配置协议DHCP组网中的网关上,所述安全表项包含DHCP客户端的IP地址和MAC地址的映射关系,其特征在于,所述网关与DHCP服务器/DHCP中继不是同一台设备,该装置包括:
安全表项生成模块:监听到一DHCP客户端发给DHCP服务器的DHCP请求报文,从该报文中解析出该客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该IP地址和MAC地址的映射关系生成授权ARP安全表项,并将该授权ARP安全表项的状态设置为“请求中”;
安全表项维护模块:监听到所述DHCP客户端发出的免费ARP报文,从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址,根据该MAC地址和IP地址查找到对应的状态为“请求中”的授权ARP安全表项,将该授权ARP安全表项的状态更改为“有效”。
8.根据权利要求7所述的装置,其特征在于,所述安全表项生成模块将该授权ARP安全表项的状态设置为“请求中”的同时进一步用于,
为该授权ARP安全表项设置第一定时器并启动第一定时器;
且,所述安全表项维护模块将该授权ARP安全表项的状态更改为“有效”进一步用于,删除第一定时器;
且,所述安全表项维护模块进一步用于,当所述安全表项的第一定时器定时到时时,删除该安全表项和第一定时器。
9.根据权利要求7所述的装置,其特征在于,所述安全表项维护模块将该授权ARP安全表项的状态更改为“有效”之后进一步用于,
若接收到所述DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出所述客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“有效”的授权ARP安全表项,删除该安全表项。
10.根据权利要求7所述的装置,其特征在于,所述安全表项维护模块将该授权ARP安全表项的状态更改为“有效”的同时进一步用于,
为该安全表项设置第二定时器并启动第二定时器;
且,所述安全表项维护模块进一步用于,若接收到所述DHCP客户端发给DHCP服务器的DHCP拒绝报文,从报文中解析出所述客户端的MAC地址和IP地址,根据该MAC地址和IP地址查找到对应的状态为“有效”的授权ARP安全表项,判断该授权ARP安全表项的第二定时器是否存在,若是,删除该授权安全表项和第二定时器;否则,不删除该授权ARP安全表项;当第二定时器定时到时时,删除该第二定时器。
11.根据权利要求7至10任一所述的装置,其特征在于,所述安全表项生成模块监听到一DHCP客户端发给DHCP服务器的DHCP请求报文之后进一步用于,
从该报文中解析出DHCP服务器的IP地址;
且,所述安全表项生成模块根据该IP地址和MAC地址的映射关系生成授权ARP安全表项之后进一步用于,记录该安全表项的索引与该DHCP服务器的IP地址的映射关系;
且,所述安全表项维护模块将该授权ARP安全表项的状态更改为“有效”的同时进一步用于,
为该安全表项设置老化定时器并启动老化定时器,且,当老化定时器的定时到时时,根据该安全表项的索引查找到对应的DHCP服务器的IP地址,根据该IP地址向该DHCP服务器发送DHCP请求消息,该消息中携带该安全表项中的IP地址;若接收到DHCP服务器返回的DHCP否定消息,则重新启动老化定时器;若接收到DHCP服务器返回的DHCP确认消息,则删除该安全表项及老化定时器,同时向DHCP服务器发送携带该安全表项中的IP地址的DHCP释放消息。
12.根据权利要求11所述的装置,其特征在于,所述安全表项维护模块从该免费ARP报文中解析出所述客户端的MAC地址和DHCP服务器欲分配给该客户端的IP地址之后,根据该MAC地址和IP地址查找到对应的状态为“请求中”的授权ARP安全表项之前进一步用于,
根据解析出的客户端的IP地址,查找对应的状态为“有效”的授权ARP安全表项,若查找到,删除该查找到的安全表项及其老化定时器,执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作;若未查找到,直接执行所述根据该MAC地址和IP地址在自身查找到对应的状态为“请求中”的授权ARP安全表项的动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410468055.5A CN104219338B (zh) | 2014-09-15 | 2014-09-15 | 授权地址解析协议安全表项的生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410468055.5A CN104219338B (zh) | 2014-09-15 | 2014-09-15 | 授权地址解析协议安全表项的生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104219338A CN104219338A (zh) | 2014-12-17 |
| CN104219338B true CN104219338B (zh) | 2017-12-15 |
Family
ID=52100462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410468055.5A Active CN104219338B (zh) | 2014-09-15 | 2014-09-15 | 授权地址解析协议安全表项的生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219338B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109254977A (zh) * | 2018-07-18 | 2019-01-22 | 深圳市买买提信息科技有限公司 | 数据生成方法、大数据风控平台及计算机存储介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274588A (zh) * | 2017-07-18 | 2019-01-25 | 中兴通讯股份有限公司 | Ip报文的处理方法及装置 |
| CN108123955B (zh) * | 2017-12-27 | 2020-12-29 | 新华三技术有限公司 | 安全表项的管理方法、装置、设备及机器可读存储介质 |
| CN108471431B (zh) * | 2018-07-10 | 2022-01-25 | 杭州任你说智能科技有限公司 | 一种家庭网络流量截获方法及家庭网络流量管理设备 |
| CN111225080B (zh) * | 2020-01-06 | 2022-11-08 | 博为科技有限公司 | 一种网关下挂设备信息的获取方法 |
| CN113381936B (zh) * | 2020-03-09 | 2023-08-15 | 阿里巴巴集团控股有限公司 | 网络信息处理方法、装置及网络设备 |
| CN111866208B (zh) * | 2020-06-30 | 2022-10-21 | 新华三信息安全技术有限公司 | 网络地址获取方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170515A (zh) * | 2007-12-04 | 2008-04-30 | 华为技术有限公司 | 一种处理报文的方法、系统和网关设备 |
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101453495A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
-
2014
- 2014-09-15 CN CN201410468055.5A patent/CN104219338B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101170515A (zh) * | 2007-12-04 | 2008-04-30 | 华为技术有限公司 | 一种处理报文的方法、系统和网关设备 |
| CN101453495A (zh) * | 2008-12-30 | 2009-06-10 | 杭州华三通信技术有限公司 | 防止授权地址解析协议信息丢失的方法、系统和设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109254977A (zh) * | 2018-07-18 | 2019-01-22 | 深圳市买买提信息科技有限公司 | 数据生成方法、大数据风控平台及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104219338A (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219338B (zh) | 授权地址解析协议安全表项的生成方法及装置 | |
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| US10462159B2 (en) | Botnet detection system and method | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| CN109246108B (zh) | 拟态化蜜罐指纹混淆系统及其sdn网络架构 | |
| CN101420433B (zh) | 防御域名系统欺骗攻击的方法及装置 | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| JP6693516B2 (ja) | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 | |
| CN102035793A (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| TWI506472B (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
| JP6460112B2 (ja) | セキュリティシステム、セキュリティ方法およびプログラム | |
| CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN108965263A (zh) | 网络攻击防御方法及装置 | |
| Luo et al. | Security mechanisms design of automotive gateway firewall | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| CN107707569A (zh) | Dns请求处理方法及dns系统 | |
| CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN106656975A (zh) | 一种攻击防御方法及装置 | |
| CN102546587B (zh) | 防止网关系统会话资源被恶意耗尽的方法及装置 | |
| Vogt | Simulating and optimising worm propagation algorithms | |
| Rupal et al. | Detection and prevention of ARP poisoning in dynamic IP configuration | |
| CN112751801B (zh) | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 | |
| CN104219335B (zh) | 一种dns请求的处理方法、装置及系统 | |
| CN103095858B (zh) | 地址解析协议arp报文处理的方法、网络设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |