CN105939332A - 防御arp攻击报文的方法及装置 - Google Patents
防御arp攻击报文的方法及装置 Download PDFInfo
- Publication number
- CN105939332A CN105939332A CN201610121888.3A CN201610121888A CN105939332A CN 105939332 A CN105939332 A CN 105939332A CN 201610121888 A CN201610121888 A CN 201610121888A CN 105939332 A CN105939332 A CN 105939332A
- Authority
- CN
- China
- Prior art keywords
- arp
- address
- source
- equipment
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种防御ARP攻击报文的方法及装置,所述方法包括:向第二设备发送ARP请求报文;接收所述第二设备发送的ARP应答报文;利用所述ARP应答报文携带的源IP地址查找映射表;所述映射表中记录有第二设备的IP地址;当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。应用本申请实施例,通过配置的映射表,可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种防御ARP攻击报文的方法及装置。
背景技术
目前,网络设备只要知道其他网络设备的IP(Internet Protocol,网际协议)地址,即可以利用ARP(Address Resolution Protocol,地址解析协议)请求报文,将自己的IP地址和MAC(Medium Access Control,介质访问控制)地址通知给其他网络设备,以使其他网络设备将该网络设备的IP地址和MAC地址更新到ARP缓存表。基于这样的处理方式,攻击者可以利用伪造的IP地址和MAC地址,向其他网络设备发送大量的ARP请求报文,使得其他网络设备不断将伪造的IP地址和MAC地址更新到ARP缓存表中,造成ARP缓存表被存满,导致正常的IP地址和MAC地址无法更新到ARP缓存表中。当网络设备接收到携带有正常的IP地址的报文时,由于在ARP缓存表中查找不到对应的IP地址,无法利用ARP缓存表发送该报文,即导致报文无法正常传输,造成业务传输中断。
发明内容
有鉴于此,本申请提供一种防御ARP攻击报文的方法及装置,以解决现有ARP缓存表的更新方式,容易造成业务传输中断的问题。
根据本申请实施例的第一方面,提供一种防御ARP攻击报文的方法,所述方法应用于第一设备上,所述方法包括:
向第二设备发送ARP请求报文;
接收所述第二设备发送的ARP应答报文;
利用所述ARP应答报文携带的源IP地址查找映射表;其中,所述映射表中记录有第二设备的IP地址;
当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
根据本申请实施例的第二方面,提供一种防御ARP攻击报文的装置,所述装置应用于第一设备上,所述装置包括:
发送单元,用于向第二设备发送ARP请求报文;
接收单元,用于接收所述第二设备发送的ARP应答报文;
第一查找单元,用于利用所述ARP应答报文携带的源IP地址查找映射表;其中,所述映射表中记录有第二设备的IP地址;
第一处理单元,用于当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
应用本申请实施例,第一设备向第二设备发送ARP请求报文,然后接收所述第二设备返回的ARP应答报文,再利用所述ARP应答报文携带的源IP地址查找映射表,由于所述映射表中记录有第二设备的IP地址,因此只有当查找到所述源IP地址时,第一设备才利用所述源IP地址与ARP应答报文携带的源MAC地址更新ARP缓存表;而当未查找到所述源IP地址时,第一设备直接丢弃所述ARP应答报文。
基于上述方式,第一设备通过在映射表中记录第二设备的IP地址,只有当第二设备返回的ARP应答报文携带的源IP地址在映射表中能够查找到时,第一设备才会利用ARP应答报文携带的源IP地址和源MAC地址更新ARP缓存表,而如果在映射表中查找不到,则直接将ARP应答报文丢弃。此外,第一设备在接收到ARP请求报文时,不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,这样,当攻击者利用伪造的IP地址和MAC地址,向第一设备发送大量的ARP请求报文时,第一设备均不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,从而可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
附图说明
图1为本申请根据一示例性实施例示出的一种防御ARP攻击报文的方法的实施例流程图;
图2为本申请根据一示例性实施例示出的另一种防御ARP攻击报文的方法的实施例流程图;
图3为本申请根据一示例性实施例示出的另一种防御ARP攻击报文的方法的实施例流程图;
图4为本申请根据一示例性实施例示出的第一设备的硬件结构图;
图5为本申请根据一示例性实施例示出的一种防御ARP攻击报文的装置的实施例结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为本申请根据一示例性实施例示出的一种防御ARP攻击报文的方法的实施例流程图,该实施例应用于第一设备上,本申请中所指的第一设备和第二设备均可以是网络设备,如路由器、交换机、防火墙等,所述第一设备上预先配置有映射表,该防御ARP攻击报文的方法包括以下步骤:
步骤101:向第二设备发送ARP请求报文。
其中,第一设备向第二设备发送的ARP请求报文可以是主动ARP请求报文,或者,在接收到第二设备发送的主动ARP请求报文之后,向所述第二设备发送的被动ARP请求报文。
情况一、针对向第二设备发送主动ARP请求报文的过程,当第一设备需要向第二设备发送报文时,在本地的ARP缓存表中没有查找到第二设备的MAC地址,于是会触发第一设备向第二设备发送主动ARP请求报文,所述主动ARP请求报文携带的源IP地址和源MAC地址为第一设备的IP地址和MAC地址,携带的目的IP地址为第二设备的IP地址,目的MAC地址为广播MAC地址,然后第一设备将主动ARP请求报文发送到第二设备。
此外,第一设备还需要将所述主动ARP请求报文携带的目的IP地址(即第二设备的IP地址)添加到映射表中。
情况二、针对向第二设备发送被动ARP请求报文的过程,第二设备会先向第一设备发送主动ARP请求报文,该发送过程与第一设备向第二设备发送主动ARP请求报文的过程类似,在此不再赘述。
第一设备接收到主动ARP请求报文之后,先将所述主动ARP请求报文携带的源IP地址(即第二设备的IP地址)添加到映射表中,然后再将所述主动ARP请求报文携带的源IP地址作为被动ARP请求报文的目的IP地址,并将广播MAC地址作为被动ARP请求报文的目的MAC地址,并将第一设备的IP地址作为被动ARP请求报文的源IP地址,将第一设备的MAC地址作为被动ARP请求报文的源MAC地址,最后将被动ARP请求报文发送到第二设备。
针对上述情况一和情况二,为了区分被动ARP请求报文与主动ARP请求报文,可以在被动ARP请求报文中添加一个标识1,所述标识1可以包括但不限于是字符或数值,且标识1表示ARP请求报文是被动ARP请求报文。或者,可以在主动ARP请求报文中添加一个标识2,所述标识2可以包括但不限于是字符或数值,且标识2表示ARP请求报文是主动ARP请求报文。或者,可以在被动ARP请求报文中添加一个标识1,在主动ARP请求报文中添加一个标识2。
需要说明的是,由于第一设备的IP地址,在进行VLAN(Virtual Local AreaNetwork,虚拟局域网)配置时,会在路由表中创建一条路由表项,因此,当第一设备接收到主动ARP请求报文时,主动ARP请求报文携带的目的IP地址应该可以在路由表中查找到。
因此,当第一设备接收到第二设备发送的主动ARP请求报文时,可以先获取所述主动ARP请求报文携带的目的IP地址,然后再利用所述目的IP地址查找路由表;若未查找到所述目的IP地址,则确定所述主动ARP请求报文为ARP攻击报文,丢弃所述主动ARP请求报文;若查找到所述目的IP地址,则再执行将主动ARP请求报文携带的源IP地址添加到映射表中,并向第二设备发送被动ARP请求报文的过程。
这里,第一设备先根据主动ARP请求报文携带的目的IP地址,判断主动ARP请求报文是否为ARP攻击报文,若是,则直接丢弃掉。这样,可以避免后续的操作,提高第一设备的处理效率。
并且,当确定主动ARP请求报文为ARP攻击报文时,第一设备可以向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
需要进一步说明的是,第一设备在向所述第二设备发送被动ARP请求报文之后,还会针对所述主动ARP请求报文向第二设备发送ARP应答报文。所述ARP应答报文携带的源IP地址和源MAC地址为第一设备的IP地址和MAC地址,携带的目的IP地址和目的MAC地址为所述主动ARP请求报文携带的源IP地址和源MAC地址,即第二设备的IP地址和MAC地址。
步骤102:接收所述第二设备发送的ARP应答报文。
第一设备无论是向第二设备发送主动ARP请求报文,还是被动ARP请求报文,第二设备均会返回ARP应答报文。
由于第一设备的IP地址,在进行VLAN(Virtual Local Area Network,虚拟局域网)配置时,会在路由表中创建一条路由表项,因此,当第一设备接收到ARP应答报文时,ARP应答报文携带的目的IP地址应该可以在路由表中查找到。
因此,当第一设备接收到所述第二设备发送的ARP应答报文时,可以先获取所述ARP应答报文携带的目的IP地址;再利用所述目的IP地址查找路由表;若未查找到所述目的IP地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文;若查找到所述目的IP地址,则执行步骤103。
这里,第一设备先根据ARP应答报文携带的信息目的IP地址,判断ARP应答报文是否为ARP攻击报文,若是,则直接丢弃掉。这样,可以避免后续的操作,提高第一设备的处理效率。
并且,当确定ARP应答报文为ARP攻击报文时,第一设备可以向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
步骤103:判断映射表中是否存在所述ARP应答报文携带的源IP地址,若是,则执行步骤104;若否,则确定所述ARP应答报文为ARP攻击报文,执行步骤105。
由步骤101至步骤102所述,所述映射表用于记录ARP请求报文携带的IP地址,以供后面接收到的ARP应答报文进行查找。
如步骤101所述,由于映射表中记录有第二设备的IP地址,因此当第一设备接收到第二设备发送的ARP应答报文时,可以利用所述ARP应答报文携带的源IP地址查找映射表,以判断所述映射表中是否存在所述ARP应答报文携带的源IP地址。
步骤104:利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表。
所述ARP缓存表用于报文转发,即当第一设备接收到其他设备发送的报文时,利用所述报文携带的目的IP地址查找ARP缓存表,以获取对应的MAC地址,并利用查找到的MAC地址将报文转发出去,具体发送过程在此不再赘述。
这里,第一设备只有在接收到ARP应答报文时,利用ARP应答报文查找映射表,查找到了对应的IP地址,才更新ARP缓存表,避免了攻击者在ARP请求报文中利用伪造的IP地址和MAC地址,使ARP缓存表一直在更新,造成业务传输中断的问题。
步骤105:丢弃所述ARP应答报文。
若第一设备未查找到所述源IP地址,则丢弃所述ARP应答报文,并向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
需要说明的是,第一设备可以预先设定映射表中能够存放的IP地址数,即映射表的表项数,并进行定时监控。比如,第一设备可以在预设时间周期内,统计所述映射表中的IP地址数,若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志。
进一步地,第一设备还可以对所述映射表进行定时清理。比如,当第一设备记录新的IP地址到所述映射表中时,可以为所述新的IP地址设置老化定时器,在所述老化定时器超时之前,若所述新的IP地址被ARP应答报文中携带的源IP地址查找到,则更新所述老化定时器的老化时间;在所述老化定时器超时之后,则将记录的所述新的IP地址以及对应的MAC地址删除。
由上述实施例所述,第一设备向第二设备发送ARP请求报文,然后接收所述第二设备返回的ARP应答报文,再利用所述ARP应答报文携带的源IP地址查找映射表,由于所述映射表中记录有第二设备的IP地址,因此只有当查找到所述源IP地址时,第一设备才利用所述源IP地址与ARP应答报文携带的源MAC地址更新ARP缓存表;而当未查找到所述源IP地址时,第一设备直接丢弃所述ARP应答报文。
基于上述方式,第一设备通过在映射表中记录第二设备的IP地址,只有当第二设备返回的ARP应答报文携带的源IP地址在映射表中能够查找到时,第一设备才会利用ARP应答报文携带的源IP地址和源MAC地址更新ARP缓存表,而如果在映射表中查找不到,则直接将ARP应答报文丢弃。此外,第一设备在接收到ARP请求报文时,不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,这样,当攻击者利用伪造的IP地址和MAC地址,向第一设备发送大量的ARP请求报文时,第一设备均不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,从而可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
参见图2所示,为本申请根据一示例性实施例示出的另一种防御ARP攻击报文的方法的实施例流程图,该实施例应用于第一设备上,所述第一设备上预先配置有映射表,该防御ARP攻击报文的方法包括以下步骤:
步骤201:向第二设备发送ARP请求报文。
其中,第一设备向第二设备发送的ARP请求报文可以是主动ARP请求报文,或者,在接收到第二设备发送的主动ARP请求报文之后,向所述第二设备发送的被动ARP请求报文。
情况一、针对向第二设备发送主动ARP请求报文的过程如步骤101所述,在此不再一一赘述。此外,第一设备除了将所述主动ARP请求报文携带的目的IP地址添加到映射表中,还会将所述主动ARP请求报文携带的目的MAC地址(即广播MAC地址)添加到映射表中。
情况二、针对向第二设备发送被动ARP请求报文的过程如步骤101所述,在此不再一一赘述。此外,第一设备除了将所述主动ARP请求报文携带的源IP地址添加到映射表中,还会将所述主动ARP请求报文携带的源MAC地址(即第二设备的MAC地址)添加到映射表中。
步骤202:接收所述第二设备发送的ARP应答报文。
第一设备接收所述第二设备发送的ARP应答报文的过程如步骤102所述,在此不再一一赘述。
步骤203:判断映射表中是否存在所述ARP应答报文携带的源IP地址,若否,则执行步骤204;若是,则执行步骤205。
如步骤201所述,由于映射表中记录有第二设备的IP地址。
因此,当第一设备接收到第二设备发送的ARP应答报文时,可以利用所述ARP应答报文携带的源IP地址查找映射表,若查找到所述源IP地址,则执行步骤205,若否,则执行步骤204。
步骤204:丢弃所述ARP应答报文。
第一设备丢弃所述ARP应答报文如步骤105所述,在此不再一一赘述。
步骤205:判断所述源IP地址在映射表中对应的MAC地址是否为广播MAC地址,若是,则执行步骤206,若否,则执行步骤207。
由步骤201所述,映射表中除了记录有第二设备的IP地址,还记录有第二设备的MAC地址或者是广播MAC地址。因此需要判断所述源IP地址在映射表中对应的MAC地址是否为广播MAC地址。
步骤206:利用所述ARP应答报文携带的源MAC地址替换映射表中记录的所述源IP地址对应的广播MAC地址,并利用所述ARP应答报文携带的源IP地址和源MAC地址更新ARP缓存表。
所述ARP缓存表用于报文转发,即当第一设备接收到其他设备发送的报文时,利用所述报文携带的目的IP地址查找ARP缓存表,以获取对应的MAC地址,并利用查找到的MAC地址将报文转发出去,具体发送过程在此不再赘述。
步骤207:判断所述ARP应答报文携带的源MAC地址与映射表中对应的MAC地址是否一致,若是,则执行步骤208,若否,则执行步骤204。
步骤208:利用所述源IP地址与所述源MAC地址更新ARP缓存表。
这里,第一设备只有在接收到ARP应答报文时,利用ARP应答报文查找映射表,查找到了对应的IP地址和MAC地址,才更新ARP缓存表,避免了攻击者在ARP请求报文中利用伪造的IP地址和MAC地址,使ARP缓存表一直在更新,造成业务传输中断的问题。
需要说明的是,第一设备可以预先设定映射表中能够存放的IP地址数,即映射表的表项数,并进行定时监控。比如,第一设备可以在预设时间周期内,统计所述映射表中的IP地址数,若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志。
进一步地,第一设备还可以对所述映射表进行定时清理。比如,当第一设备记录新的IP地址到所述映射表中时,可以为所述新的IP地址设置老化定时器,在所述老化定时器超时之前,若所述新的IP地址被ARP应答报文中携带的源IP地址查找到,则更新所述老化定时器的老化时间;在所述老化定时器超时之后,将记录的所述新的IP地址以及对应的MAC地址删除。
由上述实施例所述,第一设备向第二设备发送ARP请求报文,然后接收所述第二设备返回的ARP应答报文,再利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表,由于映射表中记录有第二设备的IP地址和MAC地址,或者是第二设备的IP地址和广播MAC地址,因此只有当查找到所述源IP地址和所述源MAC地址时,或者,所述源IP地址在映射表中对应的MAC地址为广播MAC地址时,第一设备才利用所述源IP地址与所述源MAC地址更新ARP缓存表;而当未查找到所述源IP地址时,第一设备直接丢弃所述ARP应答报文。
基于上述方式,第一设备通过映射表记录第二设备的IP地址和MAC地址,或者第二设备的IP地址和广播MAC地址。只有第一设备判断ARP应答报文携带的源IP地址和源MAC地址在映射表中能查找到,或能查找到的所述源IP地址对应的MAC地址为广播MAC地址,才会用所述源IP地址和所述源MAC地址更新ARP缓存表,而如果在映射表中查找不到,则直接将ARP应答报文丢弃。此外,第一设备在接收到ARP请求报文时,不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,这样,当攻击者利用伪造的IP地址和MAC地址,向第一设备发送大量的ARP请求报文时,第一设备均不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,从而可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
参见图3所示,为本申请根据一示例性实施例示出的另一种防御ARP攻击报文的方法的实施例流程图,该实施例是对第一设备与第二设备的交互过程进行的详细描述,所述第一设备和第二设备均预先配置有映射表,包括以下步骤:
步骤301:第一设备将待发送到第二设备的主动ARP请求报文携带的目的IP地址和目的MAC地址添加到映射表中。
当第一设备需要向第二设备发送报文时,在本地的ARP缓存表中没有查找到第二设备的MAC地址,于是会触发第一设备向第二设备发送主动ARP请求报文,所述待发送到第二设备的主动ARP请求报文携带的源IP地址和源MAC地址为第一设备的IP地址和MAC地址,携带的目的IP地址为第二设备的IP地址,目的MAC地址为广播MAC地址(比如ff:ff:ff:ff:ff:ff)。然后,第一设备将待发送的主动ARP请求报文携带的目的IP地址和目的MAC地址(广播MAC地址)添加到映射表中。
例如,第一设备的IP地址为1.1.1.1、MAC地址为00:00:00:00:00:01,第二设备的IP地址为2.2.2.2,那么所述主动ARP请求报文携带的源IP地址为1.1.1.1、源MAC地址为00:00:00:00:00:01、目的IP地址为2.2.2.2、目的MAC地址为ff:ff:ff:ff:ff:ff。并且第一设备的映射表中记录的主动ARP请求报文携带的目的IP地址和目的MAC地址分别为2.2.2.2和ff:ff:ff:ff:ff:ff。
步骤302:第一设备向第二设备发送主动ARP请求报文。
步骤303:第二设备判断路由表中是否存在主动ARP请求报文携带的目的IP地址,若是,则执行步骤304,若否,则丢弃所述主动ARP请求报文。
由于第二设备的IP地址,在进行VLAN(Virtual Local Area Network,虚拟局域网)配置时,会在路由表中创建一条路由表项,因此,当第二设备接收到主动ARP请求报文时,主动ARP请求报文携带的目的IP地址应该可以在路由表中查找到。
因此,当第二设备接收到第一设备发送的主动ARP请求报文时,首先获取主动ARP请求报文携带的目的IP地址,利用所述目的IP地址查找路由表;若未查找到所述目的IP地址,则确定所述主动ARP请求报文为ARP攻击报文,丢弃所述主动ARP请求报文;若查找到所述目的IP地址,则执行步骤304。
例如,如步骤301所述,第二设备的IP地址为2.2.2.2,在第二设备中配置VLAN-IF IP地址为2.2.2.2/16,会在路由表中创建一条路由表项(2.2.0.0),因此,主动ARP请求报文携带的目的IP地址2.2.2.2,可以在路由表中查找到(2.2.0.0)这条路由表项。
当第二设备确定所述主动ARP请求报文为ARP攻击报文时,还可以向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
这里,当第二设备接收到主动ARP请求报文时,先判断主动ARP请求报文是否为ARP攻击报文,若是,则直接丢弃掉,避免了后续的操作,提高了第二设备的处理效率。
步骤304:第二设备将主动ARP请求报文携带的源IP地址和源MAC地址添加到映射表中。
例如,如步骤301所述,第二设备的映射表中记录的主动ARP请求报文携带的源IP地址和源MAC地址分别为1.1.1.1和00:00:00:00:00:01。
这里,第二设备不是将主动ARP请求报文携带的源IP地址和源MAC地址添加到ARP缓存表中,而是先添加到映射表中。因此即使所述源IP地址和源MAC地址是伪造的地址,也不会更新到ARP缓存表中。
比如,假设第一设备为攻击源,利用大量伪造的IP地址和MAC地址向第二设备发送了大量的主动ARP请求报文,比如是源IP地址为20.x.x.x、源MAC地址为00:00:00:00:00:xx、目的IP地址为2.2.2.2、目的MAC地址为ff:ff:ff:ff:ff:ff的组合;或者源IP地址为50.x.x.x、源MAC地址为00:00:00:00:00:xx、目的IP地址为2.2.2.2、目的MAC地址为ff:ff:ff:ff:ff:ff的组合;或者源IP地址为192.x.x.x、源MAC地址为00:00:00:00:00:xx、目的IP地址为2.2.2.2、目的MAC地址为ff:ff:ff:ff:ff:ff的组合等。这些源IP地址和源MAC地址均会被添加到映射表中,而不是ARP缓存表中,只有当后续接收到ARP应答报文时,才判断是否要更新到ARP缓存表中。
步骤305:第二设备根据主动ARP请求报文向第一设备发送被动ARP请求报文。
由于被动ARP请求报文也是ARP请求报文,所以其携带的目的MAC地址也应该是广播MAC地址,所以第二设备将主动ARP请求报文携带的源IP地址作为被动ARP请求报文的目的IP地址,并将广播MAC地址作为被动ARP请求报文的目的MAC地址。并且为了区分被动ARP请求报文与主动ARP请求报文,可以在被动ARP请求报文中添加一个标识1,所述标识1可以包括但不限于是字符或数值,且标识1表示ARP请求报文是被动ARP请求报文。或者,可以在主动ARP请求报文中添加一个标识2,所述标识2可以包括但不限于是字符或数值,且标识2表示ARP请求报文是主动ARP请求报文。或者,可以在被动ARP请求报文中添加一个标识1,在主动ARP请求报文中添加一个标识2。
假设第二设备的IP地址为2.2.2.2、MAC地址为00:00:00:00:00:02,如步骤201所述,所述被动ARP请求报文携带的源IP地址为2.2.2.2、源MAC地址为00:00:00:00:00:02、目的IP地址为1.1.1.1、目的MAC地址为ff:ff:ff:ff:ff:ff。
步骤306:第二设备针对主动ARP请求报文向第一设备发送ARP应答报文。
需要说明的是,所述步骤305和所述步骤306不分前后执行顺序。所述ARP应答报文携带的源IP地址和源MAC地址为第二设备的IP地址和MAC地址,携带的目的IP地址和目的MAC地址为所述主动ARP请求报文携带的源IP地址和源MAC地址,即第一设备的IP地址和MAC地址。
如步骤201和步骤205所述,所述ARP应答报文携带的源IP地址为2.2.2.2、源MAC地址为00:00:00:00:00:02、目的IP地址为1.1.1.1、目的MAC地址为00:00:00:00:00:01。
步骤307:第一设备判断判断路由表中是否存在ARP应答报文携带的目的IP地址,若是,则执行步骤308,若否,则丢弃所述ARP应答报文。
如步骤303所述,第一设备在进行VLAN配置时,也会在路由表中创建一条路由表项,因此,当第一设备接收到ARP应答报文时,ARP应答报文携带的目的IP地址应该可以在路由表中查找到。
因此,当第一设备接收到第二设备发送的ARP应答报文时,首先获取所述ARP应答报文携带的目的IP地址;利用所述目的IP地址查找路由表;若未查找到所述目的IP地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文;若查找到所述目的IP地址,则执行步骤308。
这里,当第一设备接收到ARP应答报文时,先判断ARP应答报文是否为ARP攻击报文,若是,则直接丢弃ARP应答报文,避免了后续的操作,提高了第一设备的处理效率。
步骤308:第一设备判断映射表中是否存在所述ARP应答报文携带的源IP地址,若是,则利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址,并执行步骤309,若否,则丢弃所述ARP应答报文。
所述映射表用于记录ARP请求报文携带的IP地址,以供后面接收到的ARP应答报文进行查找。如步骤301所述,所述映射表中记录有第二设备的IP地址,对应的MAC地址为广播MAC地址。因此,第一设备利用所述ARP应答报文携带的源IP地址查找映射表,若查找到所述源IP地址,并且所述源IP地址对应的MAC地址为广播MAC地址,则利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址,并利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址,并执行步骤309;若未查找到所述源IP地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文,并向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
需要说明的是,第一设备可以预先设定映射表中能够存放的IP地址数,即映射表的表项数,并进行定时监控。比如,第一设备可以在预设时间周期内,统计所述映射表中的IP地址数,若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志。
进一步地,第一设备还可以对所述映射表进行定时清理。比如,当第一设备记录新的IP地址到所述映射表中时,可以为所述新的IP地址设置老化定时器,在所述老化定时器超时之前,若所述新的IP地址被ARP应答报文中携带的源IP地址查找到,则更新所述老化定时器的老化时间;在所述老化定时器超时之后,将记录的所述新的IP地址以及对应的MAC地址删除。
步骤309:第一设备利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表。
所述ARP缓存表用于报文转发,即当第一设备接收到其他设备发送的报文时,利用所述报文携带的目的IP地址查找ARP缓存表,以获取对应的MAC地址,并利用查找到的MAC地址将报文转发出去,具体发送过程在此不再赘述。
这里,第一设备只有在接收到ARP应答报文时,利用ARP应答报文查找映射表,查找到了对应的IP地址,才更新ARP缓存表,避免了攻击者在ARP请求报文中利用伪造的IP地址和MAC地址,使ARP缓存表一直在更新,造成业务传输中断的问题。
步骤310:第一设备针对被动ARP请求报文向第二设备发送ARP应答报文。
第一设备接收到第二设备发送的被动ARP请求报文之后,还会针对所述被动ARP请求报文向第二设备发送ARP应答报文。
所述ARP应答报文携带的源IP地址和源MAC地址为第一设备的IP地址和MAC地址,携带的目的IP地址和目的MAC地址为所述被动ARP请求报文携带的源IP地址和源MAC地址。
如步骤301和步骤305所述,所述ARP应答报文携带的源IP地址为1.1.1.1、源MAC地址为00:00:00:00:00:01、目的IP地址为2.2.2.2、目的MAC地址为00:00:00:00:00:02。
步骤311:第二设备判断判断路由表中是否存在ARP应答报文携带的目的IP地址,若是,则执行步骤312,若否,则丢弃所述ARP应答报文。
第二设备判断ARP应答报文是否为ARP攻击报文的详细过程,如步骤307所述,在此不再一一赘述。只是若第二设备查找到所述目的IP地址,则执行步骤312。
步骤312:第二设备判断映射表中是否存在所述ARP应答报文携带的源IP地址和源MAC地址,若是,则执行步骤313,若否,则丢弃所述ARP应答报文。
如步骤304所述,第二设备的映射表中除了记录有第一设备的IP地址,还记录有第一设备的MAC地址。因此,第二设备可以利用ARP应答报文携带的源IP地址和源MAC地址查找映射表,若查找到所述源IP地址和源MAC地址,则执行步骤313;若未查找到所述源IP地址和源MAC地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文,并向管理设备发送ARP攻击预警日志,以便管理员查看,并定位ARP攻击报文的来源。
需要说明的是,第二设备也可以预先设定映射表中能够存放的IP地址数,即映射表的表项数,并进行定时监控,定时清理。
步骤313:第二设备利用所述源IP地址和源MAC地址更新ARP缓存表。
由步骤301至313所述,步骤301中第二设备也可以向第一设备发送主动ARP请求报文,下面的步骤302至步骤313的描述,则将第一设备和第二设备替换一下即可。
由上述实施例所述,第一设备向第二设备发送ARP请求报文,然后接收所述第二设备返回的ARP应答报文,再利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表,由于映射表中记录有第二设备的IP地址和MAC地址,或者是第二设备的IP地址和广播MAC地址,因此只有当查找到所述源IP地址和所述源MAC地址时,或者,所述源IP地址在映射表中对应的MAC地址为广播MAC地址时,第一设备才利用所述源IP地址与所述源MAC地址更新ARP缓存表;而当未查找到所述源IP地址时,第一设备直接丢弃所述ARP应答报文。
基于上述方式,第一设备通过映射表记录第二设备的IP地址和MAC地址,或者第二设备的IP地址和广播MAC地址。只有第一设备判断ARP应答报文携带的源IP地址和源MAC地址在映射表中能查找到,或能查找到的所述源IP地址对应的MAC地址为广播MAC地址,才会用所述源IP地址和所述源MAC地址更新ARP缓存表。,而如果在映射表中查找不到,则直接将ARP应答报文丢弃。此外,第一设备在接收到ARP请求报文时,不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,这样,当攻击者利用伪造的IP地址和MAC地址,向第一设备发送大量的ARP请求报文时,第一设备均不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,从而可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
与前述防御ARP攻击报文的方法的实施例相对应,本申请还提供了防御ARP攻击报文的装置的实施例。
本申请防御ARP攻击报文的装置的实施例可以应用在第一设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请防御ARP攻击报文的装置所在设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图5所示,为本申请根据一示例性实施例示出的一种防御ARP攻击报文的装置的实施例结构图,该实施例应用于第一设备上,所述装置包括:发送单元510、接收单元520、第一查找单元530、第一处理单元540。
其中,所述发送单元510,用于向第二设备发送ARP请求报文;
所述接收单元520,用于接收所述第二设备发送的ARP应答报文;
所述第一查找单元530,用于利用所述ARP应答报文携带的源IP地址查找映射表;其中,所述映射表中记录有第二设备的IP地址;
所述第一处理单元540,用于当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
在一个可选的实现方式中,所述发送单元,具体用于在向第二设备发送ARP请求报文的过程中,向第二设备发送主动ARP请求报文;或者,在接收到第二设备发送的主动ARP请求报文之后,向所述第二设备发送被动ARP请求报文;
所述装置还包括(图5中未示出):
第一映射表添加单元,用于在所述发送单元向第二设备发送主动ARP请求报文之前,将所述主动ARP请求报文携带的目的IP地址添加到映射表中;
第二映射表添加单元,用于在所述发送单元接收到第二设备发送的主动ARP请求报文之后,将所述主动ARP请求报文携带的源IP地址添加到映射表中。
在另一个可选的实现方式中,所述第一映射表添加单元,还用于将所述主动ARP请求报文携带的目的MAC地址添加到映射表中,且所述目的MAC地址为广播MAC地址;
所述第一处理单元,具体用于在所述第一查找单元利用所述ARP应答报文携带的源IP地址查找映射表之后,若查找到所述源IP地址,利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址;
所述第二映射表添加单元,还用于将所述主动ARP请求报文携带的源MAC地址添加到映射表中,且所述源MAC地址为第二设备的MAC地址。
在另一个可选的实现方式中,所述装置还包括(图5中未示出):
第二查找单元,用于所述发送单元在向所述第二设备发送被动ARP请求报文之后,当接收到所述第二设备发送的ARP应答报文时,利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表;
第二处理单元,用于若查找到所述源IP地址和所述源MAC地址,则利用所述源IP地址和所述源MAC地址更新ARP缓存表;若未查找到所述源IP地址和所述源MAC地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
在另一个可选的实现方式中,所述装置还包括(图5中未示出):
获取单元,用于获取所述主动ARP请求报文或者ARP应答报文携带的目的IP地址;
路由表查找单元,用于利用所述目的IP地址查找路由表;
第三处理单元,用于若未查找到所述目的IP地址,则确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,并丢弃所述主动ARP请求报文或者ARP应答报文;若查找到所述目的IP地址,则执行向第二设备发送被动ARP请求报文或者利用所述ARP应答报文携带的源IP地址查找映射表的过程。
在另一个可选的实现方式中,所述装置还包括(图5中未示出):
映射表管理单元,用于在预设时间周期内,统计所述映射表中的IP地址数;若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志;
ARP攻击处理单元,用于若确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,则向管理设备发送ARP攻击预警日志。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
由上述实施例所述,第一设备向第二设备发送ARP请求报文,然后接收所述第二设备返回的ARP应答报文,再利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表,由于映射表中记录有第二设备的IP地址和MAC地址,或者是第二设备的IP地址和广播MAC地址,因此只有当查找到所述源IP地址和所述源MAC地址时,或者,所述源IP地址在映射表中对应的MAC地址为广播MAC地址时,第一设备才利用所述源IP地址与所述源MAC地址更新ARP缓存表;而当未查找到所述源IP地址时,第一设备直接丢弃所述ARP应答报文。
基于上述方式,第一设备通过映射表记录第二设备的IP地址和MAC地址,或者第二设备的IP地址和广播MAC地址。只有第一设备判断ARP应答报文携带的源IP地址和源MAC地址在映射表中能查找到,或能查找到的所述源IP地址对应的MAC地址为广播MAC地址,才会用所述源IP地址和所述源MAC地址更新ARP缓存表,而如果在映射表中查找不到,则直接将ARP应答报文丢弃。此外,第一设备在接收到ARP请求报文时,不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,这样,当攻击者利用伪造的IP地址和MAC地址,向第一设备发送大量的ARP请求报文时,第一设备均不会在ARP缓存表中存储ARP请求报文携带的源IP地址和源MAC地址,从而可以避免攻击者利用大量伪造的IP地址和MAC地址向第一设备发送ARP请求报文,导致第一设备不断更新ARP缓存表,造成业务传输中断的问题。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种防御地址解析协议ARP攻击报文的方法,所述方法应用于第一设备上,其特征在于,所述方法包括:
向第二设备发送ARP请求报文;
接收所述第二设备发送的ARP应答报文;
利用所述ARP应答报文携带的源网际协议IP地址查找映射表;其中,所述映射表中记录有第二设备的IP地址;
当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源介质访问控制MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
2.根据权利要求1所述的方法,其特征在于,
所述向第二设备发送ARP请求报文,包括:向第二设备发送主动ARP请求报文;或者,在接收到第二设备发送的主动ARP请求报文之后,向所述第二设备发送被动ARP请求报文;
在向第二设备发送主动ARP请求报文之前,还包括:将所述主动ARP请求报文携带的目的IP地址添加到映射表中;
在接收到第二设备发送的主动ARP请求报文之后,还包括:将所述主动ARP请求报文携带的源IP地址添加到映射表中。
3.根据权利要求2所述的方法,其特征在于,
在向第二设备发送主动ARP请求报文之前,还包括:将所述主动ARP请求报文携带的目的MAC地址添加到映射表中,且所述目的MAC地址为广播MAC地址;在利用所述ARP应答报文携带的源IP地址查找映射表之后,还包括:若查找到所述源IP地址,利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址;
在接收到第二设备发送的主动ARP请求报文之后,还包括:将所述主动ARP请求报文携带的源MAC地址添加到映射表中,且所述源MAC地址为第二设备的MAC地址。
4.根据权利要求3所述的方法,其特征在于,所述向所述第二设备发送被动ARP请求报文之后,还包括:
当接收到所述第二设备发送的ARP应答报文时,利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表;
若查找到所述源IP地址和所述源MAC地址,则利用所述源IP地址和所述源MAC地址更新ARP缓存表;
若未查找到所述源IP地址和所述源MAC地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
5.根据权利要求2所述的方法,其特征在于,所述方法,还包括:
获取所述主动ARP请求报文或者ARP应答报文携带的目的IP地址;
利用所述目的IP地址查找路由表;
若未查找到所述目的IP地址,则确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,并丢弃所述主动ARP请求报文或者ARP应答报文;
若查找到所述目的IP地址,则执行向第二设备发送被动ARP请求报文或者利用所述ARP应答报文携带的源IP地址查找映射表的过程。
6.根据权利要求1至4任一所述的方法,其特征在于,所述方法,还包括:
在预设时间周期内,统计所述映射表中的IP地址数;若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志;
若确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,则向管理设备发送ARP攻击预警日志。
7.一种防御地址解析协议ARP攻击报文的装置,所述装置应用于第一设备上,其特征在于,所述装置包括:
发送单元,用于向第二设备发送ARP请求报文;
接收单元,用于接收所述第二设备发送的ARP应答报文;
第一查找单元,用于利用所述ARP应答报文携带的源网际协议IP地址查找映射表;其中,所述映射表中记录有第二设备的IP地址;
第一处理单元,用于当查找到所述源IP地址时,利用所述源IP地址与所述ARP应答报文携带的源介质访问控制MAC地址更新ARP缓存表;当未查找到所述源IP地址时,确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
8.根据权利要求7所述的装置,其特征在于,
所述发送单元,具体用于在向第二设备发送ARP请求报文的过程中,向第二设备发送主动ARP请求报文;或者,在接收到第二设备发送的主动ARP请求报文之后,向所述第二设备发送被动ARP请求报文;
所述装置还包括:
第一映射表添加单元,用于在所述发送单元向第二设备发送主动ARP请求报文之前,将所述主动ARP请求报文携带的目的IP地址添加到映射表中;
第二映射表添加单元,用于在所述发送单元接收到第二设备发送的主动ARP请求报文之后,将所述主动ARP请求报文携带的源IP地址添加到映射表中。
9.根据权利要求8所述的装置,其特征在于,
所述第一映射表添加单元,还用于将所述主动ARP请求报文携带的目的MAC地址添加到映射表中,且所述目的MAC地址为广播MAC地址;
所述第一处理单元,具体用于在所述第一查找单元利用所述ARP应答报文携带的源IP地址查找映射表之后,若查找到所述源IP地址,利用所述ARP应答报文携带的源MAC地址替换映射表中所述源IP地址对应的广播MAC地址;
所述第二映射表添加单元,还用于将所述主动ARP请求报文携带的源MAC地址添加到映射表中,且所述源MAC地址为第二设备的MAC地址。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二查找单元,用于在所述发送单元向所述第二设备发送被动ARP请求报文之后,当接收到所述第二设备发送的ARP应答报文时,利用所述ARP应答报文携带的源IP地址和源MAC地址查找映射表;
第二处理单元,用于若查找到所述源IP地址和所述源MAC地址,则利用所述源IP地址和所述源MAC地址更新ARP缓存表;若未查找到所述源IP地址和所述源MAC地址,则确定所述ARP应答报文为ARP攻击报文,丢弃所述ARP应答报文。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
获取单元,用于获取所述主动ARP请求报文或者ARP应答报文携带的目的IP地址;
路由表查找单元,用于利用所述目的IP地址查找路由表;
第三处理单元,用于若未查找到所述目的IP地址,则确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,并丢弃所述主动ARP请求报文或者ARP应答报文;若查找到所述目的IP地址,则执行向第二设备发送被动ARP请求报文或者利用所述ARP应答报文携带的源IP地址查找映射表的过程。
12.根据权利要求7至10任一所述的装置,其特征在于,所述装置还包括:
映射表管理单元,用于在预设时间周期内,统计所述映射表中的IP地址数;若所述IP地址数超过预设表项数,则向管理设备发送ARP攻击预警日志;
ARP攻击处理单元,用于若确定所述主动ARP请求报文或者ARP应答报文为ARP攻击报文,则向管理设备发送ARP攻击预警日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610121888.3A CN105939332B (zh) | 2016-03-03 | 2016-03-03 | 防御arp攻击报文的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610121888.3A CN105939332B (zh) | 2016-03-03 | 2016-03-03 | 防御arp攻击报文的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105939332A true CN105939332A (zh) | 2016-09-14 |
CN105939332B CN105939332B (zh) | 2019-09-17 |
Family
ID=57151885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610121888.3A Active CN105939332B (zh) | 2016-03-03 | 2016-03-03 | 防御arp攻击报文的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105939332B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161461A (zh) * | 2016-08-29 | 2016-11-23 | 东软集团股份有限公司 | 一种arp报文的处理方法及装置 |
CN106506270A (zh) * | 2016-11-03 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种ping报文处理方法及装置 |
CN106506536A (zh) * | 2016-12-14 | 2017-03-15 | 杭州迪普科技股份有限公司 | 一种防御arp攻击的方法及装置 |
CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
CN113660666A (zh) * | 2021-06-21 | 2021-11-16 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
CN113872949A (zh) * | 2021-09-18 | 2021-12-31 | 山东云海国创云计算装备产业创新中心有限公司 | 一种地址解析协议的应答方法及相关装置 |
CN114827077A (zh) * | 2022-03-31 | 2022-07-29 | 中国电信股份有限公司 | 报文处理方法、装置、计算机可读存储介质及电子设备 |
CN115037541A (zh) * | 2022-06-09 | 2022-09-09 | 克拉玛依油城数据有限公司 | 内网环境中基于ip地址自动定位攻击源物理位置的方法 |
WO2024001645A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 报文处理方法、交换设备、终端及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
CN101510853A (zh) * | 2009-04-09 | 2009-08-19 | 杭州华三通信技术有限公司 | Wlan无线桥接的实现方法和装置及无线接入客户端 |
CN101741855A (zh) * | 2009-12-16 | 2010-06-16 | 中兴通讯股份有限公司 | 地址解析协议缓存表维护方法和网络设备 |
CN104702713A (zh) * | 2015-03-26 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种数据报文转发方法及装置 |
-
2016
- 2016-03-03 CN CN201610121888.3A patent/CN105939332B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
CN101510853A (zh) * | 2009-04-09 | 2009-08-19 | 杭州华三通信技术有限公司 | Wlan无线桥接的实现方法和装置及无线接入客户端 |
CN101741855A (zh) * | 2009-12-16 | 2010-06-16 | 中兴通讯股份有限公司 | 地址解析协议缓存表维护方法和网络设备 |
CN104702713A (zh) * | 2015-03-26 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种数据报文转发方法及装置 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161461B (zh) * | 2016-08-29 | 2019-06-07 | 东软集团股份有限公司 | 一种arp报文的处理方法及装置 |
CN106161461A (zh) * | 2016-08-29 | 2016-11-23 | 东软集团股份有限公司 | 一种arp报文的处理方法及装置 |
CN106506270A (zh) * | 2016-11-03 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种ping报文处理方法及装置 |
CN106506270B (zh) * | 2016-11-03 | 2020-10-30 | 新华三技术有限公司 | 一种ping报文处理方法及装置 |
CN106506536A (zh) * | 2016-12-14 | 2017-03-15 | 杭州迪普科技股份有限公司 | 一种防御arp攻击的方法及装置 |
CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
CN113660666A (zh) * | 2021-06-21 | 2021-11-16 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
CN113660666B (zh) * | 2021-06-21 | 2023-12-22 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
CN113872949A (zh) * | 2021-09-18 | 2021-12-31 | 山东云海国创云计算装备产业创新中心有限公司 | 一种地址解析协议的应答方法及相关装置 |
CN113872949B (zh) * | 2021-09-18 | 2023-08-22 | 山东云海国创云计算装备产业创新中心有限公司 | 一种地址解析协议的应答方法及相关装置 |
CN114827077A (zh) * | 2022-03-31 | 2022-07-29 | 中国电信股份有限公司 | 报文处理方法、装置、计算机可读存储介质及电子设备 |
CN115037541A (zh) * | 2022-06-09 | 2022-09-09 | 克拉玛依油城数据有限公司 | 内网环境中基于ip地址自动定位攻击源物理位置的方法 |
WO2024001645A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 报文处理方法、交换设备、终端及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105939332B (zh) | 2019-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105939332A (zh) | 防御arp攻击报文的方法及装置 | |
CN112422481B (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
CN105959254B (zh) | 处理报文的方法和装置 | |
CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
US10440054B2 (en) | Customized information networks for deception and attack mitigation | |
CN104869063B (zh) | 虚拟子网中的主机路由处理方法及相关设备和通信系统 | |
Ullrich et al. | {IPv6} Security: Attacks and Countermeasures in a Nutshell | |
CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
CN101626375B (zh) | 域名防护系统及方法 | |
US11936615B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
Lee et al. | Defending against spoofed DDoS attacks with path fingerprint | |
CN108418806A (zh) | 一种报文的处理方法及装置 | |
Hilgenstieler et al. | Extensions to the source path isolation engine for precise and efficient log-based IP traceback | |
CN104780139A (zh) | 一种基于mac地址攻击的防御方法和系统 | |
CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
CN101931627B (zh) | 安全检测方法、装置和网络侧设备 | |
Song et al. | Novel duplicate address detection with hash function | |
CN108965263A (zh) | 网络攻击防御方法及装置 | |
CN104038384A (zh) | 一种基于gbf的追踪溯源系统及其工作方法 | |
CN107689963A (zh) | 一种针对arp应答报文攻击的检测方法及装置 | |
US20100175131A1 (en) | Method and system for network protection against cyber attacks | |
CN106878106A (zh) | 一种可达性检测方法及装置 | |
CN102752266B (zh) | 访问控制方法及其设备 | |
CN106790010A (zh) | 基于Android系统的ARP攻击检测方法、装置及系统 | |
CN103095858B (zh) | 地址解析协议arp报文处理的方法、网络设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |