CN107438068A - 一种防arp攻击的方法及装置 - Google Patents
一种防arp攻击的方法及装置 Download PDFInfo
- Publication number
- CN107438068A CN107438068A CN201710536610.7A CN201710536610A CN107438068A CN 107438068 A CN107438068 A CN 107438068A CN 201710536610 A CN201710536610 A CN 201710536610A CN 107438068 A CN107438068 A CN 107438068A
- Authority
- CN
- China
- Prior art keywords
- arp
- binding information
- address
- arp messages
- address binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
Abstract
本申请提供一种防ARP攻击的方法及装置,所述方法包括:网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息和与终端设备对应的地址绑定信息,其中所述地址绑定信息包括IP地址和MAC地址的映射关系;基于所述地址绑定信息创建地址绑定信息表,并向各接入交换机下发所述地址绑定信息表;各接入交换机接收到目标终端设备发送的ARP报文后,根据所述地址绑定信息表防护ARP攻击。本申请通过网管服务器对接入交换机统一部署地址绑定信息表项,实现了自动化的ARP攻击防御,减少了现有技术中大量的人工操作,提高了工作效率,并且有效地解决了ARP攻击造成的网络阻塞的问题。
Description
技术领域
本申请涉及安全防护领域,特别涉及一种防ARP攻击的方法及装置。
背景技术
ARP(Address Resolution Protocol,地址解析协议)协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。而ARP攻击是指攻击者通过发送错误的ARP信息使网络通信出现异常。
当局域网中的终端设备发送ARP请求报文获取网关的MAC地址时,攻击者可以通过局域网内的终端设备向上述终端设备返回ARP应答报文,该ARP应答报文携带错误的网关ARP信息。上述终端设备接收到该ARP应答报文后,保存错误的网关ARP信息,则在后续通信过程中,上述终端设备发出的数据包无法正常发送到网关设备,这就导致上述终端设备无法连接网络。
当局域网中的终端设备A发送ARP请求报文获取局域网中终端设备B的MAC地址时,攻击者可以通过局域网内的终端设备向上述终端设备A返回ARP应答报文,该ARP应答报文携带错误的终端设备B的ARP信息。上述终端设备A接收到该ARP应答报文并保存错误的ARP信息后,无法与终端设备B正常通信。
此外,攻击者还可以通过局域网中的终端设备主动发送大量携带错误ARP信息的ARP报文,使得局域网内的其它终端设备无法正常通信,并造成网络阻塞。
在现有技术中,通常可以利用ARP双绑措施来防护ARP攻击。具体地,网络管理员可以将局域网内的网关设备和终端设备上都进行ARP信息绑定,在绑定完成后,终端设备或网关设备在接收到携带错误ARP信息的ARP报文后,不再更改已保存的ARP信息。因此,利用ARP双绑措施可以使局域网内的终端设备正常通信。
然而,ARP双绑措施需要人工在网关设备和终端设备上进行操作,当出现网卡更换或IP更改的情况时,就需要重新配置,工作量巨大。此外,ARP双绑措施对于攻击者发出的大量ARP报文而造成的网络阻塞的问题并无改善。
发明内容
有鉴于此,本申请提供一种防ARP攻击的方法及装置,用以解决ARP双绑措施在防护ARP攻击时,依赖大量人工操作,以及,大量的ARP报文造成的网络阻塞的问题。
具体地,本申请是通过如下技术方案实现的:
一种防ARP攻击的方法,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,包括:
接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
基于所述地址绑定信息创建地址绑定信息表;
向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
在所述防ARP攻击的方法中,所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息;
所述接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,包括:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息;以及,
当所述终端设备发生更新时,接收到所述网关设备上传的与所述终端设备对应的地址绑定信息。
一种防ARP攻击的方法,应用于目标局域网的接入交换机,所述目标局域网还包括网关设备、网管服务器以及通过所述接入交换机接入所述网关设备的若干终端设备,其中,所述网管服务器与所述网关设备对接,包括:
接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系;
接收到目标终端设备发送的ARP报文;
基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
在所述防ARP攻击的方法中,所述基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护,包括:
判断所述目标终端设备是否为已认证的合法终端设备;
根据判断结果,对所述ARP报文进行防护。
在所述防ARP攻击的方法中,所述判断所述目标终端设备是否为已认证的合法终端设备,包括:
当所述地址绑定信息表中存在IP地址与所述ARP报文的源IP相同,且MAC地址与所述ARP报文的源MAC相同的地址绑定信息表项时,确定所述目标终端设备为已认证的合法终端设备;
当所述地址绑定信息表中存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为非法终端设备;
当所述地址绑定信息表中不存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为未认证的合法终端设备。
在所述防ARP攻击的方法中,所述根据判断结果,对所述ARP报文进行防护,包括:
当所述目标终端设备为已认证的合法终端设备时,确定所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC是否一致;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC不一致,丢弃所述ARP报文;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部的源MAC一致,进一步判断所述ARP报文的类型,并基于所述ARP报文的类型进行相应的处理。
在所述防ARP攻击的方法中,所述基于所述ARP报文的类型进行相应的处理,包括:
如果所述ARP报文为免费ARP报文,确定所述ARP报文的目的IP是否与源IP一致,如果一致,转发所述ARP报文;如果不一致,丢弃所述ARP报文;
如果所述ARP报文为ARP应答报文,确定所述地址绑定信息表中是否存在IP地址与所述ARP报文的目的IP相同,且MAC地址与所述ARP报文的目的MAC相同的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文;
如果所述ARP报文为ARP请求报文,确定所述地址绑定信息表中是否存在对应于所述ARP报文的目的IP的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文。
在所述防ARP攻击的方法中,所述根据判断结果,对所述ARP报文进行防护,包括:
当所述目标终端设备为非法终端设备时,丢弃所述ARP报文;
当所述目标终端设备为未认证的合法终端设备时,如果所述ARP报文为ARP应答报文或免费ARP报文,丢弃所述ARP报文;如果所述ARP报文为ARP请求报文,将所述ARP请求报文的目的IP在所述地址绑定信息表中进行查找,若查找到对应于网关接口的地址绑定信息表项,转发所述ARP报文,否则丢弃所述ARP报文。
一种防ARP攻击的装置,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,包括:
第一接收单元,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
创建单元,用于基于所述地址绑定信息创建地址绑定信息表;
下发单元,用于向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
在所述防ARP攻击的装置中,所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息;
所述第一接收单元,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息;以及,
当所述终端设备发生更新时,接收到所述网关设备上传的与所述终端设备对应的地址绑定信息。
一种防ARP攻击的装置,应用于目标局域网的接入交换机,所述目标局域网还包括网关设备、网管服务器以及通过所述接入交换机接入所述网关设备的若干终端设备,其中,所述网管服务器与所述网关设备对接,包括:
第二接收单元,用于接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系;接收到目标终端设备发送的ARP报文;
防护单元,用于基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
在所述防ARP攻击的装置中,所述防护单元,进一步用于:判断所述目标终端设备是否为已认证的合法终端设备;
根据判断结果,对所述ARP报文进行防护。
在所述防ARP攻击的装置中,所述防护单元,进一步用于:
当所述地址绑定信息表中存在IP地址与所述ARP报文的源IP相同,且MAC地址与所述ARP报文的源MAC相同的地址绑定信息表项时,确定所述目标终端设备为已认证的合法终端设备;
当所述地址绑定信息表中存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为非法终端设备;
当所述地址绑定信息表中不存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为未认证的合法终端设备。
在所述防ARP攻击的装置中,所述防护单元,进一步用于:
当所述目标终端设备为已认证的合法终端设备时,确定所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC是否一致;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC不一致,丢弃所述ARP报文;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部的源MAC一致,进一步判断所述ARP报文的类型,并基于所述ARP报文的类型进行相应的处理。
在所述防ARP攻击的装置中,所述防护单元,进一步用于:
如果所述ARP报文为免费ARP报文,确定所述ARP报文的目的IP是否与源IP一致,如果一致,转发所述ARP报文;如果不一致,丢弃所述ARP报文;
如果所述ARP报文为ARP应答报文,确定所述地址绑定信息表中是否存在IP地址与所述ARP报文的目的IP相同,且MAC地址与所述ARP报文的目的MAC相同的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文;
如果所述ARP报文为ARP请求报文,确定所述地址绑定信息表中是否存在对应于所述ARP报文的目的IP的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文。
在所述防ARP攻击的装置中,所述防护单元,进一步用于:
当所述目标终端设备为非法终端设备时,丢弃所述ARP报文;
当所述目标终端设备为未认证的合法终端设备时,如果所述ARP报文为ARP应答报文或免费ARP报文,丢弃所述ARP报文;如果所述ARP报文为ARP请求报文,将所述ARP请求报文的目的IP在所述地址绑定信息表中进行查找,若查找到对应于网关接口的地址绑定信息表项,转发所述ARP报文,否则丢弃所述ARP报文。
在本申请技术方案中,网管服务器接收到网关设备上传的所述网关设备的接口的地址绑定信息和终端设备的地址绑定信息,其中,所述地址绑定信息包括IP地址和MAC地址的映射关系,然后基于所述地址绑定信息创建地址绑定信息表,并向各接入交换机下发所述地址绑定信息表;各接入交换机接收到所述地址绑定信息表,在接收到目标终端设备发送的ARP报文后,可以根据所述地址绑定信息表针对所述ARP报文执行ARP攻击防护;
由于网管服务器创建的地址绑定信息表中包括目标局域网内所有合法终端设备和网关设备的接口的ARP信息,各接入交换机获得所述地址绑定信息表后,可以检查接收到的ARP报文是否合法,从而实现ARP攻击的近源防护,避免了大量的ARP报文造成的网络阻塞,并且相比现有技术,无需大量的人工操作,极大地提升了工作效率。
附图说明
图1是现有技术的一种局域网架构图;
图2是本申请示出的一种局域网架构图;
图3是本申请示出的一种防ARP攻击的方法的流程图;
图4是本申请示出的另一种防ARP攻击的方法的流程图;
图5是本申请示出的一种防ARP攻击的装置的实施例框图;
图6是本申请示出的一种防ARP攻击的装置的硬件结构图;
图7是本申请示出的另一种防ARP攻击的装置的实施例框图;
图8是本申请示出的另一种防ARP攻击的装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
ARP攻击是指攻击者通过发送错误的ARP信息使网络通信出现异常。参见图1,为现有技术的一种局域网架构图,如图1所示,局域网中的主机的ARP信息分别为:
计算机A的IP地址:192.168.1.1;MAC地址:AA-AA-AA-AA-AA-AA;
计算机B的IP地址:192.168.1.2;MAC地址:BB-BB-BB-BB-BB-BB;
计算机C的IP地址:192.168.1.3;MAC地址:CC-CC-CC-CC-CC-CC。
在正常情况下,计算机A上运行ARP-A查询ARP缓存表可以查找到本地已保存的计算机C的ARP信息,查询结果如下所示:
Interface:192.168.1.1on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3CC-CC-CC-CC-CC-CC dynamic
攻击者可以通过计算机B向计算机A发送携带错误的计算机C的ARP信息的ARP报文,其中,该ARP报文中发送方IP地址是192.168.1.3(计算机C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD。计算机A接收到该ARP报文后,会更新本地的ARP缓存,从而将错误的计算机C的ARP信息取代正确的计算机C的ARP信息。在后续的通信过程中,计算机A无法与计算机C进行通信。另外,如果上述ARP报文中的MAC地址为计算机B的MAC地址,则攻击者可以窃取到计算机A发出的数据包。
如果攻击者向局域网发送携带错误的网关ARP信息的ARP报文,局域网内的终端设备接收到ARP报文后,会保存错误的网关ARP信息。上述终端设备在后续通信过程中,无法将数据包正常发送到网关设备,导致上述终端设备无法连接网络。
此外,攻击者还可以向局域网发送大量携带错误ARP信息的ARP报文,使得局域网内的其它终端设备无法正常通信,并造成网络阻塞。
在现有技术中,通常可以利用ARP双绑措施来防护ARP攻击。具体地,网络管理员可以将局域网内的网关设备和终端设备上都进行ARP信息绑定,在绑定完成后,终端设备或网关设备在接收到携带错误ARP信息的ARP报文后,不再更改已保存的ARP信息。因此,利用ARP双绑措施可以使局域网内的终端设备正常通信。
然而,ARP双绑措施需要人工在网关设备和终端设备上进行配置操作,当出现网卡更换或IP更改的情况时,就需要重新配置,工作量巨大。此外,ARP双绑措施对于攻击者发出的大量ARP报文而造成的网络阻塞的问题并无改善。
有鉴于此,本申请实施例通过网管服务器对局域网中的接入交换机集中部署网关接口和终端设备的ARP信息,来实现自动化防ARP攻击的目的。
请参见图2,为本申请示出的一种局域网架构图,如图2所示,相比普通的局域网架构图,本申请示出的局域网架构图增加了网管服务器。网管服务器与局域网中的网关设备对接,可以接收到网关设备上传的与网关接口对应的地址绑定信息和与终端设备对应的地址绑定信息,然后生成地址绑定信息表后统一下发至各接入交换机。
接入交换机获得上述地址绑定信息表后,可以防护ARP攻击。由于网管服务器统一对各接入交换机进行管理,而各接入交换机在防护ARP攻击时可以丢弃所有携带错误ARP信息的ARP报文,从而在防护ARP攻击时减少了网络管理员的人工操作,提升了工作效率;并由于通过接入交换机实现了近源防护,减少了ARP攻击的影响范围,从而可以解决ARP攻击造成的网络阻塞的问题。
参见图3,为本申请示出的一种防ARP攻击的方法的流程图,该方法应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,该方法包括以下步骤:
步骤301:接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系。
步骤302:基于所述地址绑定信息创建地址绑定信息表。
步骤303:向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
与图3示出的方法相对应,请继续参见图4,为本申请示出的另一种防ARP攻击的方法的流程图,该方法应用于目标局域网的接入交换机,所述目标局域网还包括网关设备、网管服务器以及通过所述接入交换机接入所述网关设备的若干终端设备,其中,所述网管服务器与所述网关设备对接,该方法包括以下步骤:
步骤401:接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系。
步骤402:接收到目标终端设备发送的ARP报文;
步骤403:基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
在本申请实施例中,网管服务器可以统一管理整个目标局域网;其中,上述目标局域网中可以包括网关设备、汇聚交换机、接入交换机和终端设备等。
为更有效地防护ARP攻击,网关设备上可以预先开启认证功能,目标局域网内的所有终端设备在接入网络时需进行合法性认证,可以通过Portal认证、802.1X认证、微信认证、短信认证等方式实现,具体可参照现有的相关技术,在此不再赘述。
在认证完成后,网关设备可以保存终端设备的地址绑定信息和认证账号的关联关系,并将上述地址绑定信息上传至网管服务器。其中,上述地址绑定信息包括终端设备的IP地址和MAC地址的映射关系;上述认证账号可以是用户名、微信号、手机号等。
当用户退出认证时,网关设备可以删除已保存的认证账号及该认证账号对应的地址绑定信息;此外,网关设备可以通过老化机制来删除达到预设老化时间的认证账号及该认证账号对应的地址绑定信息。网关设备在删除认证账号和该认证账号对应的地址绑定信息后,可以向网管服务器发送消息,以由网管服务器删除对应的地址绑定信息。
开启合法性认证功能后,用户通过终端设备连网必须提交认证账号,可以增加攻击者连网的难度,并提高ARP攻击的成本,从而减少了ARP攻击。
另外,网关设备在配置接口地址时,可以向网管服务器上传与网关接口对应的地址绑定信息;其中,上述地址绑定信息包括网关接口的IP地址和MAC地址的映射关系。
在本申请实施例中,网管服务器接收到目标局域网内各网关设备上传的上述地址绑定信息后,可以创建地址绑定信息表,该地址绑定信息表包括目标局域网内全部网关接口对应的地址绑定信息和全部认证完成的终端设备对应的地址绑定信息。
在示出的一种实施方式中,网关设备上传的与网关接口对应的地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识的映射关系。在这种情况下,网管服务器接收到与网关接口对应的地址绑定信息后,可以更方便地更新地址绑定信息表项。
其中,不同的网关设备的接口标识可能是相同的,因此需要网关设备的标识用以准确地确定对应于更新后的接口的地址绑定信息表项;上述网关设备的标识可以是网关设备的一个接口的MAC地址。
具体地,网管服务器可以根据网关设备的标识和接口标识确定对应于该网关接口的地址绑定信息表项,并更新上述地址绑定信息表项中的IP地址和MAC地址。
在本申请实施例中,网管服务器在创建上述地址绑定信息表之后,可以向目标局域网中的各接入交换机下发上述地址绑定信息表。
需要指出的是,即使网关设备上传的与网关接口对应的地址绑定信息包括IP地址、MAC地址、接口标识和网关设备的标识,网管服务器向各接入交换机下发的地址绑定信息表中,对应于网关接口的地址绑定信息表项只包括网关接口的IP地址和MAC地址的映射关系。
其中,为区分对应于网关接口的地址绑定信息表项和对应于终端设备的地址绑定信息表项,网管服务器可以为对应于网关接口的地址绑定信息表项添加指示标识。接入交换机可以根据该指示标识确定对应于网关接口的地址绑定信息表项。
在本申请实施例中,当网关设备上的网关接口发生更新时,网关设备会将上述网关接口更新后的地址绑定信息上传至上述网管服务器。网管服务器接收到该地址绑定信息后,可以根据该地址绑定信息中的网关设备的标识和接口标识确定对应于上述网关接口的地址绑定信息表项,然后将更新后的该地址绑定信息中的IP地址和MAC地址替换上述地址绑定信息表项中的IP地址和MAC地址。
此外,网管服务器还需要更新各交换机上对应于上述网关接口的地址绑定信息表项。
具体地,网管服务器可以向各交换机发送删除地址绑定信息表项的消息;其中,该消息包括上述地址绑定信息中的IP地址和MAC地址。各接入交换机接收到该消息以后,根据上述地址绑定信息表项中的IP地址和MAC地址在本地的地址绑定信息表中进行匹配,确定对应的地址绑定信息表项,并将其删除。
网管服务器接着向各交换机发送添加地址绑定信息表项的消息;其中,该消息包括更新后的网关接口的地址绑定信息中的IP地址和MAC地址。各接入交换机接收到该消息以后,在本地的地址绑定信息表中添加对应于上述网关接口的地址绑定信息表项。
在本申请实施例中,当在网关设备上完成合法性认证的终端设备发生更新时,网关设备可以将对应于上述终端设备的地址绑定信息上传至上述网管服务器。
具体地,当有新的终端设备在网关设备上完成合法性认证时,网关设备可以向网管服务器发送添加地址绑定信息表项的消息;其中,该消息包括上述终端设备的IP地址和MAC地址。网管服务器接收到该消息以后,可以在地址绑定信息表中添加对应于上述终端设备的地址绑定信息表项。
当有终端设备在网关设备下线(用户主动退出认证账号或认证账号的老化时间超时)时,网关设备可以向网管服务器发送删除地址绑定信息表项的消息;其中该消息包括上述终端设备的IP地址和MAC地址。网管服务器接收到该消息以后,可以在地址绑定信息表中对上述终端设备的IP地址和MAC地址进行匹配,并删除匹配到的对应于上述终端设备的地址绑定信息表项。
当已完成合法性认证的终端设备的IP地址或MAC地址发生变化,网关设备可以先向网管服务器发送删除原来的地址绑定信息表项的消息,再向网管服务器发送添加新的地址绑定信息表项的消息。网管服务器接收到消息后,先删除原来的地址绑定信息表项,然后增加新的地址绑定信息表项。
网管服务器在更新本地的地址绑定信息表后,可以向各接入交换机发送添加地址绑定信息表项的消息或删除地址绑定表项的消息。各接入交换机接收到消息以后,对本地的地址绑定信息表进行更新。具体更新过程与前述更新对应于网关接口的地址绑定信息表项的过程类似,在此不再赘述。
在本申请实施例中,各接入交换机接收到上述网管服务器下发的地址绑定信息表后,可以根据上述地址绑定信息表防护ARP攻击。
接入交换机接收到目标终端设备发送的ARP报文后,可以首先判断上述目标终端设备是否在网关设备上完成合法性认证。
具体地,上述接入交换机可以将上述ARP报文的源IP在本地的地址绑定信息表中进行查找。
一方面,如果查找到对应于上述ARP报文的源IP的地址绑定信息表项,上述接入交换机可以进一步确定上述ARP报文的源MAC与该地址绑定信息表项中的MAC地址是否一致;
当上述ARP报文的源MAC与该地址绑定信息表项中的MAC地址一致时,上述接入交换机可以确定上述目标终端设备为已认证的合法终端设备;
当上述ARP报文的源MAC与该地址绑定信息表项中的MAC地址不一致时,上述接入交换机可以确定上述ARP报文的源MAC是伪造的MAC地址,以及,上述目标终端设备是非法终端设备。
另一方面,如果无法查找到对应于上述ARP报文的源IP的地址绑定信息表项,上述接入交换机可以进一步将上述ARP报文的源MAC在本地的地址绑定信息表中进行查找;
当上述接入交换机查找到对应于上述ARP报文的源MAC的地址绑定信息表项时,可以确定上述ARP报文的源IP是伪造的IP地址,以及,上述目标终端设备是非法终端设备;
当上述接入交换机无法查找到对应于上述ARP报文的源MAC的地址绑定信息表项时,可以确定上述目标终端设备是未认证的合法终端设备。
上述接入交换机在判断上述目标终端设备是否在网关设备上完成合法性认证后,可以根据判断结果进一步对上述ARP报文进行检测。
一方面,如果上述目标终端设备为已认证的合法终端设备,可以进一步确定上述ARP报文的源MAC与上述ARP报文的以太网头部的源MAC是否一致;
如果上述ARP报文的源MAC与上述ARP报文的以太网头部的源MAC不一致,则可以丢弃上述ARP报文。该措施是为了防止目标局域网中的设备通过学习ARP报文的以太网头部的源MAC来学习ARP信息,而攻击者利用已认证的合法终端设备向目标局域网发送的ARP报文的以太网头部携带错误的MAC地址进行ARP攻击的情况。
如果上述ARP报文的源MAC与上述ARP报文的以太网头部的源MAC一致,则可以进一步判断上述ARP报文的类型,并基于上述ARP报文的类型进行处理:
当上述ARP报文为免费ARP报文时,上述接入交换机可以确定上述ARP报文的目的IP是否与源IP一致,如果一致,转发上述ARP报文;如果不一致,丢弃上述ARP报文。该措施可防止攻击者利用已认证的合法终端设备发送无效的ARP报文造成网络阻塞。
当上述ARP报文为ARP应答报文时,上述接入交换机可以确定上述地址绑定信息表中是否存在IP地址与上述ARP报文的目的IP相同,且MAC地址与上述ARP报文的目的MAC相同的地址绑定信息表项。具体地,上述接入交换机可以将上述ARP报文的目的IP在上述地址绑定信息表中进行查找,并在查到对应的地址绑定信息表项时,进一步确定该地址绑定信息表项中的MAC地址与上述ARP报文的目的MAC是否一致。如果查找后确定存在IP地址与上述ARP报文的目的IP相同,且MAC地址与上述ARP报文的目的MAC相同的地址绑定信息表项,则可以转发上述ARP报文;如果查找后确定不存在IP地址与上述ARP报文的目的IP相同,且MAC地址与上述ARP报文的目的MAC相同的地址绑定信息表项,则可以丢弃上述ARP报文。该措施可防止攻击者利用已认证的合法终端设备发送无效的ARP报文造成网络阻塞以及ARP欺骗。
当上述ARP报文为ARP请求报文时,上述接入交换机可以确定上述地址绑定信息表中是否存在对应于上述ARP报文的目的IP的地址绑定信息表项。具体地,上述接入交换机可以将上述ARP报文的目的IP在上述地址绑定信息表中进行查找,并在查找到对应于该目的IP的地址绑定信息表项时,转发上述ARP报文;如果无法查找到对应于该目的IP的地址绑定信息表项,则丢弃上述ARP报文。该措施可防止攻击者利用已认证的合法终端设备发送无效的ARP报文导致网络阻塞。
另一方面,如果上述目标终端设备为非法终端设备,则可以确定上述目标终端设备发送的ARP报文都是ARP攻击报文,可以直接丢弃上述ARP报文。
再一方面,如果上述目标终端设备为未认证的合法终端设备,则上述目标终端设备发送的ARP应答报文和免费ARP报文携带的ARP信息都未经过认证,因此,当上述ARP报文为ARP应答报文或免费ARP报文时,上述接入交换机可以直接丢弃上述ARP报文;
而如果上述ARP报文为ARP请求报文,只允许上述目标终端设备向网关设备发送ARP请求报文进行合法性认证,因此,上述接入交换机可以将上述ARP报文的目的IP在本地的地址绑定信息表中进行查找,当查找到对应的地址绑定信息表项,且该地址绑定信息表项预设了指示标识,则可以转发上述ARP请求报文;当无法查找到对应的地址绑定信息表项,或查找到的地址绑定信息表项不具有指示标识,则可以丢弃上述ARP报文。
综上所述,在本申请实施例中,网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息和与终端设备对应的地址绑定信息,其中,上述地址绑定信息包括IP地址和MAC地址的映射关系;网管服务器可以基于上述地址绑定信息创建地址绑定信息表,然后向各接入交换机下发上述地址绑定信息表;各接入交换机接收到上述地址绑定信息表,在接收到目标终端设备发送的ARP报文后,可以跟据上述地址绑定信息表防护ARP攻击;
由于网管服务器统一对局域网内各接入交换机部署地址绑定信息表,减少了网络管理员的人工操作;而各接入交换机根据上述地址绑定信息表防护ARP攻击时,通过近源防护减少ARP攻击造成的影响,避免了大量的ARP报文造成的网络阻塞的问题。
与前述防ARP攻击的方法的实施例相对应,本申请还提供了防ARP攻击的装置的实施例。
参见图5,为本申请示出的一种防ARP攻击的装置的实施例框图:
如图5所示,该防ARP攻击的装置50包括:
第一接收单元510,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系。
创建单元520,用于基于所述地址绑定信息创建地址绑定信息表。
下发单元530,用于向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
在本例中,所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息;所述第一接收单元510,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息;以及,
当所述终端设备发生更新时,接收到所述网关设备上传的与所述终端设备对应的地址绑定信息。
本申请防ARP攻击的装置的实施例可以应用在网管服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网管服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,为本申请防ARP攻击的装置所在网管服务器的一种硬件结构图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网管服务器通常根据该防ARP攻击的装置的实际功能,还可以包括其他硬件,对此不再赘述。
参见图7,为本申请示出的另一种防ARP攻击的装置的实施例框图:
如图7所示,该防ARP攻击的装置70包括:
第二接收单元710,用于接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系;接收到目标终端设备发送的ARP报文。
防护单元720,用于基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
在本例中,所述防护单元720,进一步用于:
判断所述目标终端设备是否为已认证的合法终端设备;
根据判断结果,对所述ARP报文进行防护。
在本例中,所述防护单元720,进一步用于:
当所述地址绑定信息表中存在IP地址与所述ARP报文的源IP相同,且MAC地址与所述ARP报文的源MAC相同的地址绑定信息表项时,确定所述目标终端设备为已认证的合法终端设备;
当所述地址绑定信息表中存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为非法终端设备;
当所述地址绑定信息表中不存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为未认证的合法终端设备。
在本例中,所述防护单元720,进一步用于:
当所述目标终端设备为已认证的合法终端设备时,确定所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC是否一致;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC不一致,丢弃所述ARP报文;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部的源MAC一致,进一步判断所述ARP报文的类型,并基于所述ARP报文的类型进行相应的处理。
在本例中,所述防护单元720,进一步用于:
如果所述ARP报文为免费ARP报文,确定所述ARP报文的目的IP是否与源IP一致,如果一致,转发所述ARP报文;如果不一致,丢弃所述ARP报文;
如果所述ARP报文为ARP应答报文,确定所述地址绑定信息表中是否存在IP地址与所述ARP报文的目的IP相同,且MAC地址与所述ARP报文的目的MAC相同的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文;
如果所述ARP报文为ARP请求报文,确定所述地址绑定信息表中是否存在对应于所述ARP报文的目的IP的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文。
在本例中,所述防护单元720,进一步用于:
当所述目标终端设备为非法终端设备时,丢弃所述ARP报文;
当所述目标终端设备为未认证的合法终端设备时,如果所述ARP报文为ARP应答报文或免费ARP报文,丢弃所述ARP报文;如果所述ARP报文为ARP请求报文,将所述ARP请求报文的目的IP在所述地址绑定信息表中进行查找,若查找到对应于网关接口的地址绑定信息表项,转发所述ARP报文,否则丢弃所述ARP报文。
本申请防ARP攻击的装置的实施例可以应用在接入交换机上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在接入交换机的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图8所示,为本申请防ARP攻击的装置所在接入交换机的一种硬件结构图,除了图8所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的接入交换机通常根据该防ARP攻击的装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种防ARP攻击的方法,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,其特征在于,包括:
接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
基于所述地址绑定信息创建地址绑定信息表;
向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
2.根据权利要求1所述的方法,其特征在于,所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息;
所述接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,包括:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息;以及,
当所述终端设备发生更新时,接收到所述网关设备上传的与所述终端设备对应的地址绑定信息。
3.一种防ARP攻击的方法,应用于目标局域网的接入交换机,所述目标局域网还包括网关设备、网管服务器以及通过所述接入交换机接入所述网关设备的若干终端设备,其中,所述网管服务器与所述网关设备对接,其特征在于,包括:
接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系;
接收到目标终端设备发送的ARP报文;
基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
4.根据权利要求3所述的方法,其特征在于,所述基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护,包括:
判断所述目标终端设备是否为已认证的合法终端设备;
根据判断结果,对所述ARP报文进行防护。
5.根据权利要求4所述的方法,其特征在于,所述判断所述目标终端设备是否为已认证的合法终端设备,包括:
当所述地址绑定信息表中存在IP地址与所述ARP报文的源IP相同,且MAC地址与所述ARP报文的源MAC相同的地址绑定信息表项时,确定所述目标终端设备为已认证的合法终端设备;
当所述地址绑定信息表中存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为非法终端设备;
当所述地址绑定信息表中不存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为未认证的合法终端设备。
6.根据权利要求5所述的方法,其特征在于,所述根据判断结果,对所述ARP报文进行防护,包括:
当所述目标终端设备为已认证的合法终端设备时,确定所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC是否一致;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC不一致,丢弃所述ARP报文;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部的源MAC一致,进一步判断所述ARP报文的类型,并基于所述ARP报文的类型进行相应的处理。
7.根据权利要求6所述的方法,其特征在于,所述基于所述ARP报文的类型进行相应的处理,包括:
如果所述ARP报文为免费ARP报文,确定所述ARP报文的目的IP是否与源IP一致,如果一致,转发所述ARP报文;如果不一致,丢弃所述ARP报文;
如果所述ARP报文为ARP应答报文,确定所述地址绑定信息表中是否存在IP地址与所述ARP报文的目的IP相同,且MAC地址与所述ARP报文的目的MAC相同的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文;
如果所述ARP报文为ARP请求报文,确定所述地址绑定信息表中是否存在对应于所述ARP报文的目的IP的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文。
8.根据权利要求5所述的方法,其特征在于,所述根据判断结果,对所述ARP报文进行防护,包括:
当所述目标终端设备为非法终端设备时,丢弃所述ARP报文;
当所述目标终端设备为未认证的合法终端设备时,如果所述ARP报文为ARP应答报文或免费ARP报文,丢弃所述ARP报文;如果所述ARP报文为ARP请求报文,将所述ARP请求报文的目的IP在所述地址绑定信息表中进行查找,若查找到对应于网关接口的地址绑定信息表项,转发所述ARP报文,否则丢弃所述ARP报文。
9.一种防ARP攻击的装置,应用于网管服务器,所述网管服务器与目标局域网中的网关设备对接;所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备,其特征在于,包括:
第一接收单元,用于接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息;其中,所述地址绑定信息包括IP地址和MAC地址的映射关系;
创建单元,用于基于所述地址绑定信息创建地址绑定信息表;
下发单元,用于向各接入交换机下发所述地址绑定信息表,以使各接入交换机在接收到目标终端设备发送的ARP报文时,根据所述地址绑定信息表防护ARP攻击。
10.根据权利要去9所述的装置,其特征在于,所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息;
所述第一接收单元,进一步用于:
当所述网关设备的网关接口发生更新时,接收到所述网关设备上传的与所述网关接口对应的地址绑定信息;以及,
当所述终端设备发生更新时,接收到所述网关设备上传的与所述终端设备对应的地址绑定信息。
11.一种防ARP攻击的装置,应用于目标局域网的接入交换机,所述目标局域网还包括网关设备、网管服务器以及通过所述接入交换机接入所述网关设备的若干终端设备,其中,所述网管服务器与所述网关设备对接,其特征在于,包括:
第二接收单元,用于接收到所述网管服务器下发的地址绑定信息表;其中,所述地址绑定信息表包括与所述网关设备的网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息,所述地址绑定信息包括IP地址和MAC地址的映射关系;接收到目标终端设备发送的ARP报文;
防护单元,用于基于所述地址绑定信息表针对所述ARP报文执行ARP攻击防护。
12.根据权利要求11所述的装置,其特征在于,所述防护单元,进一步用于:
判断所述目标终端设备是否为已认证的合法终端设备;
根据判断结果,对所述ARP报文进行防护。
13.根据权利要求12所述的装置,其特征在于,所述防护单元,进一步用于:
当所述地址绑定信息表中存在IP地址与所述ARP报文的源IP相同,且MAC地址与所述ARP报文的源MAC相同的地址绑定信息表项时,确定所述目标终端设备为已认证的合法终端设备;
当所述地址绑定信息表中存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为非法终端设备;
当所述地址绑定信息表中不存在IP地址或MAC地址任一一项与所述ARP报文的源IP和源MAC相同的地址绑定信息表项时,确定所述目标终端设备为未认证的合法终端设备。
14.根据权利要求13所述的装置,其特征在于,所述防护单元,进一步用于:
当所述目标终端设备为已认证的合法终端设备时,确定所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC是否一致;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部中的源MAC不一致,丢弃所述ARP报文;
如果所述ARP报文的源MAC与所述ARP报文的以太网头部的源MAC一致,进一步判断所述ARP报文的类型,并基于所述ARP报文的类型进行相应的处理。
15.根据权利要求14所述的装置,其特征在于,所述防护单元,进一步用于:
如果所述ARP报文为免费ARP报文,确定所述ARP报文的目的IP是否与源IP一致,如果一致,转发所述ARP报文;如果不一致,丢弃所述ARP报文;
如果所述ARP报文为ARP应答报文,确定所述地址绑定信息表中是否存在IP地址与所述ARP报文的目的IP相同,且MAC地址与所述ARP报文的目的MAC相同的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文;
如果所述ARP报文为ARP请求报文,确定所述地址绑定信息表中是否存在对应于所述ARP报文的目的IP的地址绑定信息表项,如果存在,转发所述ARP报文;如果不存在,丢弃所述ARP报文。
16.根据权利要求13所述的装置,其特征在于,所述防护单元,进一步用于:
当所述目标终端设备为非法终端设备时,丢弃所述ARP报文;
当所述目标终端设备为未认证的合法终端设备时,如果所述ARP报文为ARP应答报文或免费ARP报文,丢弃所述ARP报文;如果所述ARP报文为ARP请求报文,将所述ARP请求报文的目的IP在所述地址绑定信息表中进行查找,若查找到对应于网关接口的地址绑定信息表项,转发所述ARP报文,否则丢弃所述ARP报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710536610.7A CN107438068B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710536610.7A CN107438068B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107438068A true CN107438068A (zh) | 2017-12-05 |
| CN107438068B CN107438068B (zh) | 2019-12-06 |
Family
ID=60459666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710536610.7A Active CN107438068B (zh) | 2017-07-04 | 2017-07-04 | 一种防arp攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107438068B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962906A (zh) * | 2017-12-22 | 2019-07-02 | 诺防网络科技有限公司 | Arp欺骗探测系统及其方法 |
| CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN111756700A (zh) * | 2020-05-29 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种局域网内防arp攻击的方法及系统 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN113556337A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端地址识别方法、网络系统、电子设备及存储介质 |
| JP2022525205A (ja) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | 異常ホストのモニタニング |
| CN114499949A (zh) * | 2021-12-23 | 2022-05-13 | 北京环宇博亚科技有限公司 | 设备绑定方法、装置、电子设备和计算机可读介质 |
| CN115567483A (zh) * | 2022-09-23 | 2023-01-03 | 苏州浪潮智能科技有限公司 | 一种基于bmc获取闸道器mac地址的方法、系统及终端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
| CN105071945A (zh) * | 2015-06-26 | 2015-11-18 | 国网山东省电力公司济南供电公司 | 一种基于交换机技术的网络终端地址批量绑定方法 |
-
2017
- 2017-07-04 CN CN201710536610.7A patent/CN107438068B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
| CN105071945A (zh) * | 2015-06-26 | 2015-11-18 | 国网山东省电力公司济南供电公司 | 一种基于交换机技术的网络终端地址批量绑定方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962906A (zh) * | 2017-12-22 | 2019-07-02 | 诺防网络科技有限公司 | Arp欺骗探测系统及其方法 |
| JP2022525205A (ja) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | 異常ホストのモニタニング |
| JP7228712B2 (ja) | 2019-03-20 | 2023-02-24 | 新華三技術有限公司 | 異常ホストのモニタニング |
| CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN110677439B (zh) * | 2019-11-18 | 2022-03-01 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN111756700A (zh) * | 2020-05-29 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种局域网内防arp攻击的方法及系统 |
| CN111756700B (zh) * | 2020-05-29 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种局域网内防arp攻击的方法及系统 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN111835764B (zh) * | 2020-07-13 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN113556337A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端地址识别方法、网络系统、电子设备及存储介质 |
| CN114499949A (zh) * | 2021-12-23 | 2022-05-13 | 北京环宇博亚科技有限公司 | 设备绑定方法、装置、电子设备和计算机可读介质 |
| CN115567483A (zh) * | 2022-09-23 | 2023-01-03 | 苏州浪潮智能科技有限公司 | 一种基于bmc获取闸道器mac地址的方法、系统及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107438068B (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107438068A (zh) | 一种防arp攻击的方法及装置 | |
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| US11330016B2 (en) | Generating collection rules based on security rules | |
| CN107332812A (zh) | 网络访问控制的实现方法及装置 | |
| CN107404470A (zh) | 接入控制方法及装置 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN108616490A (zh) | 一种网络访问控制方法、装置及系统 | |
| CN103179100B (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| CN107623661A (zh) | 阻断访问请求的系统、方法及装置,服务器 | |
| CN107360184A (zh) | 终端设备认证方法和装置 | |
| CN106603491A (zh) | 基于https协议的Portal认证方法及路由器 | |
| CN107547349A (zh) | 一种虚拟机迁移的方法及装置 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| CN103916400B (zh) | 一种用户账号管理方法及系统 | |
| CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN105991655A (zh) | 缓解基于邻居发现的拒绝服务攻击 | |
| CN104660597B (zh) | 三层认证方法、装置及三层认证交换机 | |
| CN110493366A (zh) | 一种接入点加入网络管理的方法及装置 | |
| CN105915428A (zh) | 基于open_flow协议的sdn网络l2vpn实现方法及系统 | |
| CN108337257A (zh) | 一种免认证访问方法和网关设备 | |
| CN107800626A (zh) | 数据报文的处理方法、装置及设备 | |
| CN107360270A (zh) | 一种dns解析的方法及装置 | |
| Data | The defense against arp spoofing attack using semi-static arp cache table | |
| CN107733926A (zh) | 一种基于NAT的portal认证的方法及装置 | |
| CN108540588A (zh) | Mac地址获取方法及系统、网络安全设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |