CN107294989B - 一种防arp网关欺骗的方法及装置 - Google Patents
一种防arp网关欺骗的方法及装置 Download PDFInfo
- Publication number
- CN107294989B CN107294989B CN201710536647.XA CN201710536647A CN107294989B CN 107294989 B CN107294989 B CN 107294989B CN 201710536647 A CN201710536647 A CN 201710536647A CN 107294989 B CN107294989 B CN 107294989B
- Authority
- CN
- China
- Prior art keywords
- gateway
- binding information
- address
- arp
- address binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种防ARP网关欺骗的方法及装置,所述方法包括:接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;基于所述地址绑定信息创建地址绑定信息表;向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。本申请取消了网络管理员在终端设备上配置网关接口的ARP信息的人工操作,并可显著提高工作效率。
Description
技术领域
本申请涉及安全防护领域,特别涉及一种防ARP网关欺骗的方法及装置。
背景技术
ARP(Address Resolution Protocol,地址解析协议)协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。而ARP欺骗是指攻击者通过发送错误的ARP信息使网络通信出现异常。
如果局域网中的终端设备发送ARP请求报文获取网关的MAC地址,则攻击者可以通过局域网内的终端设备向上述终端设备返回ARP应答报文,该ARP应答报文中包括错误的网关ARP信息。上述终端设备接收到该ARP应答报文后,保存错误的网关ARP信息,则当后续通信时,上述终端设备发出的数据包无法正常发送到网关设备,这就导致上述终端设备无法连接网络。此外,上述终端设备通过错误的网关ARP信息发送数据包时,发出的数据包可能被攻击者窃取。
在现有技术中,通常可以利用ARP双绑措施来防护ARP网关欺骗。具体地,网络管理员可以将局域网中的终端设备上绑定网关接口的ARP信息,在网关设备上绑定终端设备的ARP信息。在绑定完成后,终端设备接收到携带错误的网关ARP信息的ARP报文后,不再更改已绑定的正确的网关ARP信息。
然而,ARP双绑措施需要人工在网关设备和终端设备上进行操作,当网关接口发生更新时,就需要重新配置终端设备上的ARP信息,工作量巨大,工作效率低。
发明内容
有鉴于此,本申请提供一种防ARP网关欺骗的方法及装置,用以解决现有技术在防ARP网关欺骗时需要人工进行配置,工作量巨大且工作效率低的问题。
具体地,本申请是通过如下技术方案实现的:
一种防ARP网关欺骗的方法,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,包括:
接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
基于所述地址绑定信息创建地址绑定信息表;
向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
在所述防ARP网关欺骗的方法中,所述接收到所述网关设备上传的与网关接口对应的地址绑定信息,包括:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。
在所述防ARP网关欺骗的方法中,所述方法还包括:
向所述接入交换机下发ACL表项;其中,所述ACL表项用于将ARP报文上送至CPU处理。
在所述防ARP网关欺骗的方法中,所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。
在所述防ARP网关欺骗的方法中,所述方法还包括:
接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识;
基于不同的设备型号标识,生成对应于不同类型设备的分组。
一种防ARP网关欺骗的装置,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,包括:
接收单元,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
创建单元,用于基于所述地址绑定信息创建地址绑定信息表;
下发单元,用于向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
在所述防ARP网关欺骗的装置中,所述接收单元,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。
在所述防ARP网关欺骗的装置中,所述下发单元,进一步用于:
向所述接入交换机下发ACL表项;其中,所述ACL表项用于将ARP报文上送至CPU处理。
在所述防ARP网关欺骗的装置中,所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。
在所述防ARP网关欺骗的装置中,所述装置还包括:
所述接收单元,进一步用于接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识;
生成单元,用于基于不同的设备型号标识,生成对应于不同类型设备的分组。
在本申请实施例中,网管服务器接收到网关设备上传的接口的地址绑定信息,其中,所述地址绑定信息包括所述网关设备的接口的IP地址和MAC地址的映射关系;网管服务器可以基于所述地址绑定信息创建地址绑定信息表,所述地址绑定信息表中包括所述网关设备上传的所有地址绑定信息,然后向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗;
由于网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息后,创建地址绑定信息表并统一下发至各接入交换机;接入交换机可根据地址绑定信息表防护ARP网关欺骗;本申请取消了网络管理员在终端设备上配置网关接口的ARP信息的人工操作,并可显著提高工作效率。
附图说明
图1是现有技术的一种局域网架构图;
图2是本申请示出的一种局域网架构图;
图3是本申请示出的一种防ARP网关欺骗的方法的流程图;
图4是本申请示出的一种防ARP网关欺骗的装置的实施例框图;
图5是本申请示出的一种防ARP网关欺骗的装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
ARP网关欺骗是指攻击者通过发送错误的网关ARP信息导致网络通信出现异常。参见图1,为本申请示出的一种局域网架构图,如图1所示,计算机A、计算机B和网关设备的ARP信息分别为:
计算机A的IP地址:192.168.1.2;MAC地址:AA-AA-AA-AA-AA-AA;
计算机B的IP地址:192.168.1.3;MAC地址:BB-BB-BB-BB-BB-BB;
网关设备的IP地址:192.168.1.1/24;MAC地址:II-II-II-II-II-II。
当计算机A发送ARP请求报文获取网关的MAC地址时,网关设备可以返回ARP应答报文。计算机A接收到该ARP应答报文后,可以学习网关的ARP表项,并在后续基于该ARP表项向网关发送报文。
然后,攻击者可以通过计算机B向计算机A返回ARP应答报文,该ARP应答报文携带错误的网关ARP信息,其中,该ARP应答报文的发送方IP地址是192.168.1.1/24,MAC地址为LL-LL-LL-LL-LL-LL。计算机A接收到该ARP应答报文后,会更新本地的ARP表项,将错误的网关ARP信息替换掉正确的网关ARP信息。在后续通信过程中,计算机A根据错误的网关ARP信息无法将报文发送至网关设备,这就导致计算机A无法连接网络。此外,攻击者通过计算机B发出的错误的网关ARP信息中,MAC地址可以是计算机B的MAC地址,在这种情况下,计算机B可以接收到计算机A发出的报文,攻击者可以窃取到用户的信息。
现有技术可以通过ARP双绑措施进行防ARP网关欺骗时,需要网络管理员手动对在局域网的终端设备上绑定网关接口的ARP信息,以及,在局域网的网关设备上绑定终端设备的ARP信息。在绑定完成后,终端设备接收到携带网关接口的ARP信息的ARP报文后,不会更改本地保存的网关接口的ARP信息,因此,终端设备不会将错误的网关ARP信息替换掉正确的网关ARP信息,从而可以有效防护ARP网关欺骗。
然而,ARP双绑措施需要人工在网关设备和终端设备上进行操作,当网关设备的网卡发生更换或者网关接口发生更新时,网络管理员就要重新配置终端设备上的ARP信息,如果局域网中的终端设备数量较多,则网络管理员的工作量巨大,且工作效率低下。
有鉴于此,本申请实施例通过网管服务器对局域网中的接入交换机集中部署网关接口的ARP信息,来实现自动化防ARP网关欺骗的目的。
请参见图2,为本申请示出的一种局域网架构图,如图2所示,相比现有技术的局域网架构图,本申请示出的局域网架构图中增加了网管服务器。网管服务器可以接收到网关设备上传的与网关接口对应的地址绑定信息,然后生成地址绑定信息表后统一下发至各接入交换机。接入交换机获得上述地址绑定信息表后,可以防护ARP网关欺骗。由于网管服务器统一对各接入交换机进行管理,从而实现自动化的ARP网关欺骗防御,无需网络管理员大量的人工操作,并提高了工作效率。
参见图3,为本申请示出的一种防ARP网关欺骗的方法的流程图,该方法应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,所述方法包括以下步骤:
步骤301:接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系。
步骤302:基于所述地址绑定信息创建地址绑定信息表。
步骤303:向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
在本申请实施例中,网管服务器可以统一管理整个目标局域网;其中,上述目标局域网中可以包括网关设备、汇聚交换机、接入交换机和终端设备等。
网管服务器可以首先根据SNMP(Simple Network Management Protocol,简单网络管理协议)协议接收目标局域网内的设备上传的设备型号标识,从而可以获得上述网关设备上传的设备型号标识、上述接入交换机上传的设备型号标识和上述汇聚交换机上传的设备型号标识。
网管服务器获得不同的设备型号标识后,可以基于上述设备型号标识,生成对应于不同类型设备的分组。其中,各个分组可以包括设备型号标识与隶属于该设备型号标识的所有设备的地址信息。
通过为不同的设备分组,网管服务器可以更方便后续对不同的设备进行管理,在向任一类型下发数据时,可以准确选择该类型的设备,减少了向其它类型的设备的多余通信,从而提高了局域网的通信效率。
在本申请实施例中,网关设备可以在配置接口地址时,向网管服务器上传与网关接口对应的地址绑定信息;其中,上述地址绑定信息包括网关接口的IP地址和MAC地址的映射关系。
网管服务器接收到目标局域网内各网关设备上传的上述地址绑定信息后,可以创建地址绑定信息表,该地址绑定信息表包括目标局域网内全部网关接口对应的地址绑定信息。
在示出的一种实施方式中,网关设备上传的与网关接口对应的地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识的映射关系。在这种情况下,网管服务器在后续接收到网关设备上传的更新后的接口的地址绑定信息时,可以更方便地更新地址绑定信息表项。
其中,不同的网关设备的接口标识可能是相同的,因此需要网关设备的标识用以准确地确定对应于更新后的接口的地址绑定信息表项;上述网关设备的标识可以是网关设备的一个接口的MAC地址。
具体地,网管服务器可以根据网关设备的标识和接口标识确定对应于该网关接口的地址绑定信息表项,并更新上述地址绑定信息表项中的IP地址和MAC地址。
在本申请实施例中,网管服务器在创建上述地址绑定信息表之后,可以向目标局域网中的各接入交换机下发上述地址绑定信息表。
需要指出的是,即使网关设备上传的与网关接口对应的地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识,网管服务器向各接入交换机下发的地址绑定信息表中仍只包括网关接口的IP地址和MAC地址的映射关系。
各接入交换机获得上述地址绑定信息表后,可以根据上述地址绑定信息表防护ARP网关欺骗。需要指出的是,各接入交换机在没有接收到网管服务器下发的更新地址绑定信息表项的消息的情况下,无法更改上述地址绑定信息表中的网关接口的ARP信息。
具体地,各接入交换机在接收到ARP报文后,可以将上述ARP报文的源IP在上述地址绑定信息表中进行查找。当查找到对应于上述ARP报文的源IP的地址绑定信息表项后,可以进一步确定上述ARP报文的源MAC是否为上述地址绑定信息表项中的MAC地址。
一方面,如果上述ARP报文的源MAC是上述地址绑定信息表项中的MAC地址,则确定上述ARP报文是网关设备发送的,其中携带正确的网关ARP信息,此时可以转发上述ARP报文。
另一方面,如果上述ARP报文的源MAC不是上述地址绑定信息表项中的MAC地址,则确定上述ARP报文是攻击者发送的,其中携带错误的网关ARP信息,此时可以丢弃上述ARP报文。
在示出的一种实施方式中,各接入交换机接收到ARP报文后进行防网关ARP欺骗是通过CPU(Central Processing Unit,中央处理器)来完成。
因此,各接入交换机可以预先配置用于将ARP报文上述至CPU处理的ACL(AccessControl List,访问控制列表)表项,其中,上述ACL表项的匹配项为ARP报文,动作项为上送CPU。
此外,各接入交换机上用于将ARP报文上送至CPU处理的ACL表项也可以由网管服务器下发。在这种情况下,网管服务器可以在向接入交换机下发上述地址绑定信息表之前,下发上述ACL表项。
各接入交换机获得上述ACL表项后,接入交换机的转发芯片在后续接收到ARP报文后,会将ARP报文上送至CPU,以由CPU对ARP报文进行检查。
在本申请实施例中,当网关设备上的网关接口发生更新时,网关设备会将上述网关接口更新后的地址绑定信息上传至上述网管服务器。网管服务器接收到该地址绑定信息后,根据网关设备的标识和接口标识确定对应于该网关接口的地址绑定信息表项,然后将更新后的接口的地址绑定信息中的IP地址和MAC地址替换上述地址绑定信息表项中的IP地址和MAC地址。
此外,网管服务器还需更新各交换机上对应于上述网关接口的地址绑定信息表项。
具体地,网管服务器可以先向各交换机发送删除地址绑定信息表项的消息;其中,该消息中包括上述地址绑定信息表项中的IP地址和MAC地址。各接入交换机接收到该消息以后,根据上述地址绑定信息表项中的IP地址和MAC地址在本地的地址绑定信息表中进行匹配,确定对应的地址绑定信息表项,并进行删除。
网管服务器可以接着向各交换机发送添加地址绑定信息表项的消息;其中,该消息包括更新后的接口的地址绑定信息中的IP地址和MAC地址。各接入交换机接收到该消息以后,在本地的地址绑定信息表中添加对应于上述接口的地址绑定信息表项。
通过该措施,当网关设备上的网关接口发生更新时,网管服务器可以及时更新各接入交换机上的地址绑定信息表,使得各接入交换机可以根据最新的地址绑定信息表防护ARP网关欺骗。避免了因接入交换机上的地址绑定信息表未及时更新,导致接入交换机丢弃携带正确的网关ARP信息的ARP报文。
综上所述,在本申请实施例中,网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息,其中上述地址绑定信息包括IP地址和MAC地址的映射关系;网管服务器基于上述地址绑定信息创建地址绑定信息表,然后向各接入交换机下发上述地址绑定信息表;各接入交换机获得上述地址绑定信息表以后,可以根据上述地址绑定信息表防护ARP网关欺骗;
由于网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息后,创建地址绑定信息表并统一下发至各接入交换机;接入交换机可根据地址绑定信息表防护ARP网关欺骗;本申请取消了网络管理员在终端设备上配置网关接口的ARP信息的人工操作,并可显著提高工作效率。
与前述防ARP网关欺骗的方法的实施例相对应,本申请还提供了防ARP网关欺骗的装置的实施例。
参见图4,为本申请示出的一种防ARP网关欺骗的装置的实施例框图:
如图4所示,该防ARP网关欺骗的装置40包括:
接收单元410,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系。
创建单元420,用于基于所述地址绑定信息创建地址绑定信息表。
下发单元430,用于向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
在本例中,所述接收单元410,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。
在本例中,所述下发单元430,进一步用于:
向所述接入交换机下发ACL表项;其中,所述ACL表项用于将ARP报文上送至CPU处理。
在本例中,所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。
在本例中,所述装置还包括:
所述接收单元410,进一步用于接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识。
生成单元440,用于基于不同的设备型号标识,生成对应于不同类型设备的分组。
本申请防ARP网关欺骗的装置的实施例可以应用在网管服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网管服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请防ARP网关欺骗的装置所在网管服务器的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网管服务器通常根据该防ARP网关欺骗的装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种防ARP网关欺骗的方法,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,其特征在于,包括:
在接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识后,基于不同的设备型号标识,生成对应于不同类型设备的分组;
接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识的映射关系;
基于所述地址绑定信息中的接口标识和网关设备的标识确定对应于所述网关接口的地址绑定信息表项,并利用所述地址绑定信息表项创建地址绑定信息表;所述地址绑定信息表项包括所述地址绑定信息中的IP地址和MAC地址;
按照交换机所在分组向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
2.根据权利要求1所述的方法,其特征在于,所述接收到所述网关设备上传的与网关接口对应的地址绑定信息,包括:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述接入交换机下发ACL表项;其中,所述ACL表项用于将ARP报文上送至CPU处理。
4.根据权利要求1所述的方法,其特征在于,所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。
5.一种防ARP网关欺骗的装置,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,其特征在于,包括:
分组单元,用于在接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识后,基于不同的设备型号标识,生成对应于不同类型设备的分组;
接收单元,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息;其中,所述地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识的映射关系;
创建单元,用于基于所述地址绑定信息中的接口标识和网关设备的标识确定对应于所述网关接口的地址绑定信息表项,并利用所述地址绑定信息表项创建地址绑定信息表;所述地址绑定信息表项包括所述地址绑定信息中的IP地址和MAC地址;
下发单元,用于按照交换机所在分组向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到ARP报文时,根据所述地址绑定信息表防护ARP网关欺骗。
6.根据权利要求5所述的装置,其特征在于,所述接收单元,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。
7.根据权利要求5所述的装置,其特征在于,所述下发单元,进一步用于:
向所述接入交换机下发ACL表项;其中,所述ACL表项用于将ARP报文上送至CPU处理。
8.根据权利要求5所述的装置,其特征在于,所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710536647.XA CN107294989B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp网关欺骗的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710536647.XA CN107294989B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp网关欺骗的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107294989A CN107294989A (zh) | 2017-10-24 |
| CN107294989B true CN107294989B (zh) | 2020-02-11 |
Family
ID=60098500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710536647.XA Active CN107294989B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp网关欺骗的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107294989B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108430063B (zh) * | 2018-04-13 | 2021-11-19 | 上海尚往网络科技有限公司 | 一种用于监测无线局域网中arp欺骗的方法与设备 |
| CN115801709B (zh) * | 2023-01-20 | 2023-05-23 | 苏州浪潮智能科技有限公司 | 路由mac地址的管理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100591554B1 (ko) * | 2005-02-04 | 2006-06-20 | (주)넷맨 | 네트워크 자원 관리 정책에 따른 통신 제어 방법 |
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN103001868A (zh) * | 2012-12-31 | 2013-03-27 | 杭州华三通信技术有限公司 | 用于虚拟路由器冗余协议备份组同步arp表项的方法和装置 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
| CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094236B (zh) * | 2007-07-20 | 2011-08-10 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
-
2017
- 2017-07-04 CN CN201710536647.XA patent/CN107294989B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100591554B1 (ko) * | 2005-02-04 | 2006-06-20 | (주)넷맨 | 네트워크 자원 관리 정책에 따른 통신 제어 방법 |
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN103001868A (zh) * | 2012-12-31 | 2013-03-27 | 杭州华三通信技术有限公司 | 用于虚拟路由器冗余协议备份组同步arp表项的方法和装置 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
| CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于SNMP的ARP欺骗监控研究;刘素平,等;《计算机应用与软件》;20090331;第26卷(第1期);论文第1至3章,图1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107294989A (zh) | 2017-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11895154B2 (en) | Method and system for virtual machine aware policy management | |
| US10659342B2 (en) | Flow entry configuration method, apparatus, and system | |
| US9110703B2 (en) | Virtual machine packet processing | |
| CN107438068B (zh) | 一种防arp攻击的方法及装置 | |
| US11575592B2 (en) | Message processing method and apparatus, control-plane device, and computer storage medium | |
| CN106921578B (zh) | 一种转发表项的生成方法和装置 | |
| CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
| CN105379218A (zh) | 业务流的处理方法、装置及设备 | |
| CN107547242B (zh) | Vm配置信息的获取方法及装置 | |
| US20220200844A1 (en) | Data processing method and apparatus, and computer storage medium | |
| CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
| US11689499B2 (en) | Management of endpoint address discovery in a software defined networking environment | |
| CN109041086B (zh) | 一种OpenFlow实例的配置方法及装置 | |
| CN106507414B (zh) | 报文转发方法及装置 | |
| CN104796338A (zh) | 虚拟机迁移方法及装置 | |
| CN107517129B (zh) | 一种基于OpenStack配置设备上行接口的方法和装置 | |
| CN107294989B (zh) | 一种防arp网关欺骗的方法及装置 | |
| CN107911496A (zh) | 一种vpn服务端代理dns的方法及装置 | |
| CN110958124B (zh) | 多播组管理方法、装置、可读存储介质、及计算机 | |
| CN110769462B (zh) | 网络访问控制方法和装置 | |
| CN112511440A (zh) | 报文转发方法、系统、存储介质和电子设备 | |
| US11902087B2 (en) | Forwarding fault location determining method and device | |
| CN111355818B (zh) | 地址解析调度方法、装置及地址解析系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |