CN108418806A - 一种报文的处理方法及装置 - Google Patents
一种报文的处理方法及装置 Download PDFInfo
- Publication number
- CN108418806A CN108418806A CN201810112946.5A CN201810112946A CN108418806A CN 108418806 A CN108418806 A CN 108418806A CN 201810112946 A CN201810112946 A CN 201810112946A CN 108418806 A CN108418806 A CN 108418806A
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- mac address
- security table
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Abstract
本发明实施例提供了一种报文的处理方法及装置,涉及网络安全技术领域,所述方法包括:获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址,根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系,当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址,如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文,如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。采用本发明实施例,可以提高网络的安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种报文的处理方法及装置。
背景技术
目前,为了防止非法用户盗用合法用户的互联网协议(英文:Internet Protocol,简称:IP)地址接入局域网,对局域网进行攻击,管理员可以在接入设备上启用安全检测功能。具体的,接入设备中存储有安全表,安全表包含IP地址和媒体访问控制(英文:MediaAccess Control,简称:MAC)地址的对应关系。接入设备根据存储的安全表对终端发送的数据报文进行对应处理。
现有技术中,通常采用批量生成的方式建立安全表。接入设备根据管理员的设置指令,获取指定接口上存储的地址解析协议(英文:Address Resolution Protocol,简称:ARP)表。其中,ARP表中存储有当前接入的终端的IP地址和MAC地址的对应关系,然后,接入设备根据该ARP表中的IP地址和MAC地址的对应关系,生成安全表。
然而,基于现有技术,当非法终端接入局域网,接入设备也会将非法终端的IP地址和MAC地址的对应关系存储在ARP表中,这样,基于ARP表建立安全表,会将非法终端的IP地址和MAC地址的对应关系存储在安全表中,导致接入设备会对非法终端发送的非法数据报文放行,网络的安全性较差。
发明内容
本发明实施例的目的在于提供一种报文的处理方法及装置,以提高网络的安全性。具体技术方案如下:
第一方面,提供了一种报文的处理方法,所述方法包括:
获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址;
如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文;
如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。
可选的,所述根据获取到的终端信息和预设的更新策略,更新安全表,包括:
如果所述安全表中不存在所述合法终端的IP地址,且不存在所述合法终端的MAC地址,则根据所述合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
可选的,所述终端信息还包括所述合法终端的IP地址的老化时长,所述方法包括:
当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
可选的,所述方法还包括:
当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
接收所述DHCP服务器发送的查询响应消息;
如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
可选的,所述方法还包括:
接收第二终端发送的地址解析协议ARP报文,所述ARP报文中携带有所述第二终端的IP地址和MAC地址;
查询所述安全表中是否存在包含所述第二终端的IP地址和MAC地址的表项;
如果所述安全表中不存在包含所述第二终端的IP地址和MAC地址的表项,则向所述DHCP服务器发送第二查询消息,所述第二查询消息中携带有所述第二终端的IP地址和MAC地址,以使所述DHCP服务器根据所述第二终端的IP地址和MAC地址查询所述第二终端是否为通过身份验证的合法终端;
接收所述DHCP服务器返回的查询结果;
如果所述查询结果表示所述第二终端为通过身份验证的合法终端,则根据所述第二终端的IP地址和MAC地址添加表项。
可选的,所述方法还包括:
接收用户输入的IP地址和MAC地址;
根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
所述根据获取到的终端信息和预设的更新策略,更新安全表,包括:
根据获取到的终端信息和预设的更新策略,对所述安全表中除固定表项以外的表项进行更新。
第二方面,提供了一种报文的处理装置,所述装置包括:
第一获取模块,用于获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
更新模块,用于根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
第二获取模块,用于当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址;
转发模块,用于如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文;
丢弃模块,用于如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。
可选的,所述更新模块,具体用于:
如果所述安全表中不存在所述合法终端的IP地址,且不存在所述合法终端的MAC地址,则根据所述合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
可选的,所述终端信息还包括所述合法终端的IP地址的老化时长,所述装置包括:
第一删除模块,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
可选的,所述装置还包括:
第一发送模块,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
第一接收模块,用于接收所述DHCP服务器发送的查询响应消息;
记录模块,用于如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
第二删除模块,用于如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
可选的,所述装置还包括:
第二接收模块,用于接收第二终端发送的地址解析协议ARP报文,所述ARP报文中携带有所述第二终端的IP地址和MAC地址;
查询模块,用于查询所述安全表中是否存在包含所述第二终端的IP地址和MAC地址的表项;
第二发送模块,用于如果所述安全表中不存在包含所述第二终端的IP地址和MAC地址的表项,则向所述DHCP服务器发送第二查询消息,所述第二查询消息中携带有所述第二终端的IP地址和MAC地址,以使所述DHCP服务器根据所述第二终端的IP地址和MAC地址查询所述第二终端是否为通过身份验证的合法终端;
第三接收模块,用于接收所述DHCP服务器返回的查询结果;
第一添加模块,用于如果所述查询结果表示所述第二终端为通过身份验证的合法终端,则根据所述第二终端的IP地址和MAC地址添加表项。
可选的,所述装置还包括:
第四接收模块,用于接收用户输入的IP地址和MAC地址;
第二添加模块,用于根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
所述更新模块,具体用于:
根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项。
第三方面,提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面提供的方法步骤。
本发明实施例提供的一种报文的处理方法及装置,接入设备根据获取到的DHCP服务器中存储的通过身份验证的合法终端的终端信息和预设的更新策略,更新安全表。当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址;如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文,否则,丢弃数据报文。这样,通过DHCP服务器中通过身份验证的合法终端的终端信息,来建立安全表,可以有效的防止将未经过身份验证的非法终端的终端信息添加到安全表中,避免放行非法终端的数据报文,从而提高了网络的安全性。当然,实施本发明实施例的任一产品或方法必不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种局域网的网络结构示意图;
图2为本发明实施例提供的一种报文的处理方法的方法流程图;
图3为本发明实施例提供的一种更新安全表的方法流程图;
图4为本发明实施例提供的一种更新安全表的方法流程图;
图5为本发明实施例提供的一种报文的处理装置的结构示意图;
图6为本发明实施例提供的一种报文的处理装置的结构示意图;
图7为本发明实施例提供的一种报文的处理装置的结构示意图;
图8为本发明实施例提供的一种报文的处理装置的结构示意图;
图9为本发明实施例提供的一种报文的处理装置的结构示意图;
图10为本发明实施例提供的一种接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种报文的处理方法,该方法可以应用于接入设备,该接入设备可以是交换机、路由器等作为网关的网络设备。图1为本发明实施例提供的一种局域网的网络结构示意图,如图1所示,该网络包括终端、接入设备和动态主机配置协议(DynamicHost Configuration Protocol,DHCP)服务器,接入设备分别与终端和DHCP服务器相连。其中,接入设备用于将终端接入至局域网中,DHCP服务器用于对终端进行身份验证,并为通过身份验证的合法终端分配IP地址。
下面将结合具体实施方式,对本发明实施例提供的报文的处理方法进行详细的说明,如图2所示,具体步骤如下:
步骤201,获取DHCP服务器中存储的终端信息。
其中,终端信息包括通过身份验证的合法终端的IP地址和MAC地址。
本发明实施例中,网络中存在若干个DHCP服务器。当终端上电启动后,终端广播发送DHCP发现消息。该DHCP发现消息中携带有终端的MAC地址和身份验证信息,其中,身份验证信息包括用户的用户名和密码等信息。
针对每个DHCP服务器,DHCP服务器接收到DHCP发现消息后,对DHCP发现消息进行解析,得到终端的MAC地址和身份验证信息。DHCP服务器根据终端的身份验证信息,对终端进行身份验证。如果验证通过,则根据预先存储的地址分配策略,为终端分配IP地址,并向终端返回DHCP响应消息,该DHCP响应消息中携带有DHCP服务器分配给终端的IP地址和DHCP服务器的IP地址。
在本发明实施例中,身份验证信息存储在DHCP发现消息中的option60字段中。
其中,IP地址的类型可分为手工分配类型、自动分配类型和动态分配类型三种。手工分配是指技术人员在DHCP服务器中手动为终端配置IP地址。手工分配类型和自动分配类型的IP地址的使用时间为无限时长(即老化时长为无限时长),而动态分配类型的IP地址的使用时间为有限时长(即老化时长为有限时长)。
由于是多个DHCP服务器向终端发送DHCP响应消息,终端仅接收最先到达的DHCP响应消息。终端对该DHCP响应消息进行解析,得到DHCP服务器分配的IP地址和DHCP服务器的IP地址。终端将该DHCP服务器选定为目标DHCP服务器,然后,终端广播发送DHCP请求消息,该DHCP请求消息中携带有终端的IP地址和目标DHCP服务器的IP地址。
目标DHCP服务器接收到该DHCP请求消息后,如果目标DHCP服务器确认将DHCP请求消息中携带的终端IP地址分配给该终端,则向终端返回DHCP确认消息。同时,DHCP服务器将终端的MAC地址和IP地址对应关系进行存储。由于终端时广播发送DHCP请求消息,其他DHCP服务器接收到DHCP请求信息后,释放为终端分配的IP地址。
终端接收到目标DHCP服务器发送的DHCP确认消息后,再次广播发送ARP报文,该ARP请求消息中携带有终端的IP地址。可以理解的是,终端发送ARP报文时用于探测在网络中是否存在其他终端使用相同的IP地址。如果在预设时长内,终端未接收到其他终端返回的ARP响应消息且终端上不存在与该IP地址同网段的其他IP地址时,终端将该IP地址作为自身的IP地址,否则,终端重新申请IP地址。
另外,DHCP服务器还可以存储该终端的IP地址的地址类型(即该IP地址的分配类型)和老化时长。终端接收到DHCP确认消息后,则可以使用该IP地址与其他终端或者互联网进行通信。
当接入设备需要更新安全表时,向DHCP服务器发送查询消息,DHCP服务器接收到查询消息后,将本地存储的终端信息(即通过身份验证的各合法中终端的MAC地址和IP地址)发送给接入设备,这样,接入设备就可以获取到DHCP服务器中存储终端信息。
需要说明的是,为了实现安全表的实时更新,接入设备中会预先存储有更新周期,该更新周期可以根据管理员的经验进行设定。当达到更新周期时,接入设备向DHCP服务器发送查询消息,获取DHCP服务器中存储的终端信息,以便根据获取到的终端信息和预设的更新策略,更新安全表。或者,接入设备也可以在接收到技术人员的更新指令时,获取DHCP服务器中存储的终端信息。
步骤202,根据获取到的终端信息和预设的更新策略,更新安全表。
其中,安全表存储终端的IP地址与MAC地址之间的对应关系。
本发明实施例中,接入设备中预先存储有更新策略,该更新策略可以由技术人员配置。接入设备根据获取到的终端信息和该更新策略,更新安全表。具体可以包括以下几种情况:
情况一,如果安全表中不存在合法终端的IP地址,且不存在合法终端的MAC地址,则根据合法终端的IP地址和MAC地址添加表项。
本发明实施例中,针对每个合法终端的终端信息(即合法终端的MAC地址和IP地址),接入设备根据该合法终端的MAC地址和IP地址,在安全表中查询是否存在包括该合法终端的MAC地址和IP地址的表项,如果存在,则判定该安全表中已经建立有该合法终端的MAC地址和IP地址的表项,接入设备不进行处理;如果不存在该合法终端的MAC地址、且不存在该合法终端的IP地址,则判定该安全表中未建立该合法终端对应的表项,接入设备根据该合法终端的MAC地址和IP地址,在安全表中添加表项。
情况二,如果安全表的第一表项中,包含合法终端的IP地址或者合法终端的MAC地址的任一一项,则根据合法终端的IP地址和MAC地址修改第一表项。
本发明实施例中,如果在安全表中存在该合法终端的IP地址的表项(即第一表项),但IP地址对应的MAC地址与合法终端的MAC地址不同,则说明该IP地址对应的合法终端已经发生了变化,接入设备将第一表项中的MAC地址,修改为该合法终端的MAC地址。
如果在安全表中存在该合法终端的MAC地址的第一表项,但MAC地址对应的IP地址与合法终端的IP地址不同,则说明该合法终端的IP地址发生了更新,即DHCP服务器重新为该合法终端分配了IP地址,接入设备会将第一表项中的IP地址,修改为该合法终端的IP地址。
情况三,如果安全表的第二表项中包含的IP地址和MAC地址,均未出现在终端信息中,则删除第二表项。
本发明实施例中,针对安全表中的每个表项,如果安全表中存在第二表项,该第二表项中包含的IP地址和MAC地址,均未出现在任意一个合法终端的终端信息中,则说明该DHCP服务器已经将该MAC地址对应的合法终端的IP地址回收,或者,该MAC地址对应的终端已经下线,接入设备已删除该第二表项。
需要说明的是,本发明实施例中,接入设备在更新安全表时,可以获取DHCP服务器中存储的全部终端信息,此时,接入设备基于上述情况一、情况二和情况三的更新方式,更新安全表。或者,接入设备在更新安全表时,也可以获取DHCP服务器中存储的部分终端信息,此时,接入设备基于上述情况一和情况二的更新方式,更新安全表。
步骤203,当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址。
本发明实施例中,当接入设备接收到第一终端发送的数据报文后,对该数据报文进行解析,得到该数据报文中携带的源IP地址和源MAC地址(即第一终端的IP地址和MAC地址)。
步骤204,如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文。
本发明实施例中,接入设备获取到数据报文中携带的第一终端的IP地址和MAC地址后,在安全表中查询是否存在包含该第一终端的IP地址和MAC地址的表项,如果存在,则判定该第一终端为合法终端,转发该数据报文。
步骤205,如果安全表中不存在包含第一终端的IP地址和MAC地址的表项,则丢弃数据报文。
本发明实施例中,接入设备根据获取到的DHCP服务器中存储的通过身份验证的合法终端的终端信息和预设的更新策略,更新安全表。当接收到第一终端发送的数据报文时,获取该数据报文中携带的第一终端的IP地址和MAC地址,如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文,否则,丢弃数据报文。这样,通过DHCP服务器中通过身份验证的合法终端的终端信息,来建立安全表,可以有效的防止将未经过身份验证的非法终端的终端信息添加到安全表中,避免放行非法终端的数据报文,从而提高了网络的安全性。
可选的,终端信息还包括合法终端的IP地址的老化时长。在本发明实施例中,还包括接入设备根据IP地址的老化时长,对安全表中已存储的IP地址和IP地址对应的MAC地址进行处理的步骤,通过该步骤,接入设备实时对安全表进行更新,保证安全表的准确性,避免放行非法终端的数据报文。
当IP地址和IP地址对应的MAC地址在安全表中的存储时长达到老化时长时,接入设备删除该IP地址和该IP地址对应的MAC地址。
本发明实施例中,接入设备还会在安全表中记录合法终端的IP地址的老化时长,进而根据该合法终端的IP地址的老化时长更新安全表。其中,通过不同分配方式分配的IP地址,其对应的老化时长不同。
例如,终端1的MAC地址为0001-5369-0001,技术人员通过手工分配的方式,在DHCP服务器中为终端1分配IP地址10.10.10.200,并设置该IP地址的老化时间为无限时长;终端2的MAC地址为0001-5369-0002,DHCP服务器通过自动分配的方式为终端2分配IP地址10.10.10.201,并设置该IP地址的老化时间为无限时长;终端3的MAC地址为0002-6360-0001,DHCP服务器通过动态方式为终端3分配的IP地址10.10.10.1,并设置该IP地址的老化时长为3300s;终端4的MAC地址为0002-6360-0002,DHCP服务器通过动态方式为终端4分配的IP地址为10.10.10.2,并设置该IP地址的老化时长为2900s。
在一种实现方式中,DHCP服务器可以将各IP地址的老化时长携带在终端信息中发送给接入设备,以使接入设备获知各IP地址的老化时长;在另一种实现方式中,DHCP服务器可以将各IP地址的地址类型携带在终端信息中发送给接入设备,接入设备根据预先存储的地址类型和老化时长的对应关系,确定各IP地址的老化时长;在另一种实现方式中,DHCP服务器还可以将各IP地址的地址类型和老化时长均携带在终端信息中,发送给接入设备。
本发明实施例中,接入设备根据DHCP服务器存储的合法终端的终端信息生成的安全表,可以如表一所示。其中,手工分配和自动分配的IP地址的地址类型用S表示,动态分配的IP地址的地址类型用D表示,老化时间为无限时长用Unlimited表示。
表一
IP地址 | MAC地址 | 地址类型 | 老化时长(s) |
10.10.10.200 | 0001-5369-0001 | S | Unlimited |
10.10.10.201 | 0001-5369-0002 | S | Unlimited |
10.10.10.1 | 0002-6360-0001 | D | 3300 |
10.10.10.2 | 0002-6360-0002 | D | 2900 |
接入设备会记录各IP地址和其对应的MAC地址的存储时长,当某合法终端IP地址和其对应的MAC地址的存储时长达到老化时长时,接入设备删除该IP地址和该IP地址对应的MAC地址(即删除该IP地址所属的表项)。例如,当IP地址10.10.10.1和MAC地址0002-6360-0001的存储时长达到3300s时,接入设备删除该表项。这样,可以及时删除冗余表项,节约接入设备的存储空间。
可选的,在本发明实施例中,针对IP地址类型为动态类型的表项,接入设备可以根据该表项的老化时长对该表项进行更新,这样,可以及时更新安全表中的表项。如图3所示,具体处理过程如下:
步骤301,当IP地址和该IP地址对应的MAC地址在安全表中的存储时长达到预设时长阈值时,向DHCP服务器发送第一查询消息,第一查询消息中携带有合法终端的IP地址。
其中,预设时长阈值小于老化时长。
本发明实施例中,接入设备中存储有预设时长阈值,该预设时长阈值可以根据老化时长进行设置,且小于老化时长。例如,预设时长阈值可以为老化时长的1/2或者7/8。另外,预设时长阈值的数目可以是一个也可以是多个。当某IP地址和该IP地址对应的MAC地址在安全表中的存储时长达到预设时长阈值时,接入设备向DHCP服务器发送第一查询消息,第一查询消息中携带有该IP地址。
DHCP服务器接收到该第一查询消息后,获取该第一查询消息中携带的合法终端的IP地址,根据该IP地址查询该合法终端是否进行租约更新,并根据查询结果向接入设备返回查询响应消息。
步骤302,接收DHCP服务器发送的查询响应消息。
步骤303,判断该合法终端是否进行租约更新,如果查询响应消息表示合法终端的IP地址租约更新,则执行步骤304;如果查询响应消息表示合法终端的IP地址租约未更新,则执行步骤305。
本发明实施例中,对于预设时长阈值的数目为多个的情况,如果接入设备第一次未查询到合法终端的租约更新,则可以在达到第二个预设时长阈值时,再次发送第一查询消息进行判断。例如,预设时长阈值为两个,分别是老化时长的1/2和老化时长的7/8,则当该合法终端对应的表项的存储时长达到老化时长的1/2时,接入设备向DHCP服务器发送第一查询消息,如果接收到DHCP服务器发送的查询响应消息,且该查询响应消息表示该合法终端的IP地址租约更新,则执行步骤三,并且不再发送第一查询消息;否则,当该合法终端对应的表项的存储时长达到老化时长的7/8时,接入设备再次向DHCP服务器发送第一查询消息,以便进行判断。
步骤304,当IP地址和该IP地址对应的MAC地址在安全表中的存储时长达到老化时长时,重新记录IP地址和IP地址对应的MAC地址在安全表中的存储时长。
本发明实施例中,如果查询响应消息表示合法终端的IP地址租约更新,则当IP地址和IP地址对应的MAC地址在安全表中的存储时长达到老化时长时,接入设备重新记录该IP地址和该MAC地址在安全表中的存储时长。这样,可以继续保持该表项在下一个老化时长内不变,以便对该合法终端的数据报文进行转发处理。
步骤305,当IP地址和该IP地址对应的MAC地址在安全表中的存储时长达到老化时长时,删除IP地址和IP地址对应的MAC地址。
本发明实施例中,如果查询响应消息表示合法终端的IP地址租约未更新,则当IP地址和IP地址对应的MAC地址在安全表中的存储时长达到老化时长时,接入设备删除该IP地址和该MAC地址(即删除该IP地址所属的表项)。这样,由于从安全表中删除了该终端对应的表项,当后续接收到该终端发送的数据报文时,将丢弃该数据报文,避免了已下线的终端接入局域网中,从而提高了网络的安全性。
可选的,在本发明实施例中,为了保证新接入的合法终端的能够及时添加到安全表中,接入设备可以在接收到终端发送的ARP报文时,对安全表进行更新,如图4所示,具体处理过程如下:
步骤401,接收第二终端发送的地址解析协议ARP报文。
其中,ARP报文中携带有第二终端的IP地址和MAC地址。
本发明实施例中,第二终端接收到DHCP服务器发送的DHCP确认消息后,第二终端广播发送ARP报文,该ARP报文中携带有第二终端的IP地址和MAC地址,以确认其他终端是否正在使用该第二终端的IP地址。接入设备接收到第二终端发送的ARP报文后,对该ARP进行解析,得到该第二终端的IP地址和MAC地址。
步骤402,查询安全表中是否存在包含第二终端的IP地址和MAC地址的表项。
本发明实施例中,接入设备在得到该第二终端的IP地址和MAC地址后,可以在安全表中查询是否存在包含该第二终端的IP地址和MAC地址的表项。如果安全表中不存在包含第二终端的IP地址和MAC地址的表项,则执行步骤403;如果存在,则不执行其他处理。
步骤403,向DHCP服务器发送第二查询消息。
其中,第二查询消息中携带有第二终端的IP地址和MAC地址。
本发明实施例中,如果安全表中不存在包含第二终端的IP地址和MAC地址的表项,接入设备则向DHCP服务器发送第二查询消息。该第二查询消息中携带有第二终端的IP地址和MAC地址。
DHCP服务器接收到该第二查询消息后,对第二查询消息进行解析,得到第二终端的IP地址和MAC地址,然后根据第二终端的IP地址和MAC地址,查询第二终端是否为通过身份验证的合法终端(即DHCP服务器中是否为第二终端分配了该IP地址),然后向接入设备返回该查询结果。其中,该查询结果用于表示该第二终端是否为合法终端,查询结果还可以包括第二终端的终端信息。
步骤404,接收DHCP服务器返回的查询结果。
步骤405,如果查询结果表示第二终端为通过身份验证的合法终端,则根据第二终端的IP地址和MAC地址添加表项。
本发明实施例中,如果查询结果表示第二终端为通过身份验证的合法终端,接入设备则根据该第二终端的IP地址和MAC地址添加表项,具体的处理过程参考步骤202,此处不再赘述。
基于上述处理,即使未达到安全表的更新周期,接入设备也可以在该终端上线时,及时存储该终端对应的表项,以使该终端可以在网络中正常通信。
可选的,在本发明实施例中,接入设备除了可以根据DHCP服务器中存储的合法终端的终端信息更新安全表,还可以根据技术人员的配置更新安全表,具体处理流程如下:
步骤一,接收用户输入的IP地址和MAC地址。
本发明实施例中,技术人员可以通过远程登录或者直接登录的方式登录接入设备,并在接入设备上配置命令,该命令中携带有IP地址和MAC地址。接入设备接收到命令后,获取命令中携带的IP地址和MAC地址。
步骤二,根据接收到的IP地址和MAC地址,添加第二表项,并将第二表项的记录为安全表中的固定表项。
本发明实施例中,接入设备获取到命令中携带的IP地址和MAC地址后,在安全表中添加第三表项,该第三表项包括该IP地址和MAC地址,同时,将第三表项记录为安全表中的固定表项,以标记第三表项为技术人员手动配置的表项。
由于技术人员手动配置的表项的可靠性最高,因此,在根据获取到的终端信息和预设的更新策略,更新安全表时,接入设备只对安全表中除固定表项以外的表项进行更新。具体的更新过程参考步骤202,此处不再赘述。
需要说明的是,除了接入设备主动获取DHCP服务器存储的合法终端的终端信息来更新安全表外,当DHCP服务器中存储的合法终端的终端信息发生变更时,DHCP服务器也可以主动向接入设备发送更新消息,具体处理过程如下:
步骤一,接收到DHCP服务器更新消息。
其中,更新消息包括更新类型和发生变化的合法终端的终端消息。
本发明实施例中,当DHCP服务器中存储的终端信息发生变化时,DHCP服务器可以主动向接入设备发送更新信息,该更新消息中携带有更新类型和发生变化的合法终端的终端消息。接入设备接收到该更新消息后,对该更新消息进行解析,得到更新类型和发生变化的合法终端的终端消息。
步骤二,如果更新类型为删除类型,则在地址绑定表中删除终端对应的表项;如果更新类型为新增类型,则在地址绑定表中新增终端对应的表项;如果更新类型为修改,则在地址绑定表中修改终端对应的表项。
本发明实施例中,如果更新类型为删除类型,接入设备在安全表中,查询接收到的MAC地址对应的表项,并删除该表项;如果更新类型为新增类型,接入设备根据接收到的合法终端的IP地址和MAC地址,在安全表中添加表项;如果更新类型为修改类型,接入设备在安全表中,查询接收到的MAC地址对应的表项,并将该表项中的IP地址修改为接收到的IP地址。
本发明实施例提供的一种报文的处理方法,接入设备根据获取到的DHCP服务器中存储的通过身份验证的合法终端的终端信息和预设的更新策略,更新安全表,当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址;如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文,否则,丢弃数据报文。这样,通过DHCP服务器中通过身份验证的合法终端的终端信息,来建立安全表,可以有效的防止将未经过身份验证的非法终端的终端信息添加到安全表中,避免放行非法终端的数据报文,从而提高了网络的安全性。
基于相同的技术构思,如图5所示,本发明实施例还提供了一种报文的处理装置,该装置包括:
第一获取模块510,用于获取动态主机配置协议DHCP服务器中存储的终端信息,终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
更新模块520,用于根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
第二获取模块530,用于当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址;
转发模块540,用于如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文;
丢弃模块550,用于如果安全表中不存在包含第一终端的IP地址和MAC地址的表项,则丢弃数据报文。
可选的,更新模块520,具体用于:
如果安全表中不存在合法终端的IP地址,且不存在合法终端的MAC地址,则根据合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
可选的,终端信息还包括合法终端的IP地址的地址类型和老化时长,如图6所示,装置包括:
第一删除模块560,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
可选的,如图7所示,装置还包括:
第一发送模块570,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
第一接收模块580,用于接收DHCP服务器发送的查询响应消息;
记录模块590,用于如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
第二删除模块5010,用于如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
可选的,如图8所示,装置还包括:
第二接收模块5020,用于接收第二终端发送的地址解析协议ARP报文,ARP报文中携带有第二终端的IP地址和MAC地址;
查询模块5030,用于查询安全表中是否存在包含第二终端的IP地址和MAC地址的表项;
第二发送模块5040,用于如果安全表中不存在包含第二终端的IP地址和MAC地址的表项,则向DHCP服务器发送第二查询消息,第二查询消息中携带有第二终端的IP地址和MAC地址,以使DHCP服务器根据第二终端的IP地址和MAC地址查询第二终端是否为通过身份验证的合法终端;
第三接收模块5050,用于接收DHCP服务器返回的查询结果;
第一添加模块5060,用于如果查询结果表示第二终端为通过身份验证的合法终端,则根据第二终端的IP地址和MAC地址添加表项。
可选的,如图9所示,装置还包括:
第四接收模块5070,用于接收用户输入的IP地址和MAC地址;
第二添加模块5080,用于根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
更新模块520,具体用于:
根据获取到的终端信息和预设的更新策略,对所述安全表中除固定表项以外的表项进行更新。
本发明实施例提供的一种报文的处理装置,接入设备根据获取到的DHCP服务器中存储的通过身份验证的合法终端的终端信息和预设的更新策略,更新安全表,当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址;如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文,否则,则丢弃数据报文。这样,通过DHCP服务器中通过身份验证的合法终端的终端信息,来建立安全表,可以有效的防止将未经过身份验证的非法终端的终端信息添加到安全表中,避免放行非法终端的数据报文,从而提高了网络的安全性。
本发明实施例还提供了一种接入设备,如图10所示,包括处理器1001、通信接口1002、存储器1003和通信总线1004,其中,处理器1001,通信接口1002,存储器1003通过通信总线1004完成相互间的通信,
存储器1003,用于存放计算机程序;
处理器1001,用于执行存储器1003上所存放的程序时,以使该接入设备执行如下步骤,该步骤包括:
获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址;
如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文;
如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。
可选的,所述处理器1001执行计算机程序包括的所述根据获取到的终端信息和预设的更新策略,更新安全表指令具体为:
如果所述安全表中不存在所述合法终端的IP地址,且不存在所述合法终端的MAC地址,则根据所述合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
可选的,所述终端信息还包括所述合法终端的IP地址的地址类型和老化时长,所述处理器1001执行计算机程序还包括执行下述指令:
当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
可选的,所述处理器1001执行计算机程序还包括执行下述指令:
当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
接收所述DHCP服务器发送的查询响应消息;
如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
可选的,所述处理器1001执行计算机程序还包括执行下述指令:
接收第二终端发送的地址解析协议ARP报文,所述ARP报文中携带有所述第二终端的IP地址和MAC地址;
查询所述安全表中是否存在包含所述第二终端的IP地址和MAC地址的表项;
如果所述安全表中不存在包含所述第二终端的IP地址和MAC地址的表项,则向所述DHCP服务器发送第二查询消息,所述第二查询消息中携带有所述第二终端的IP地址和MAC地址,以使所述DHCP服务器根据所述第二终端的IP地址和MAC地址查询所述第二终端是否为通过身份验证的合法终端;
接收所述DHCP服务器返回的查询结果;
如果所述查询结果表示所述第二终端为通过身份验证的合法终端,则根据所述第二终端的IP地址和MAC地址添加表项。
可选的,所述处理器1001执行计算机程序还包括执行下述指令:
接收用户输入的IP地址和MAC地址;
根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
所述根据获取到的终端信息和预设的更新策略,更新安全表,包括:
根据获取到的终端信息和预设的更新策略,对所述安全表中除固定表项以外的表项进行更新。
机器可读存储介质可以包括随机存取存储器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,接入设备根据获取到的DHCP服务器中存储的通过身份验证的合法终端的终端信息和预设的更新策略,更新安全表,当接收到第一终端发送的数据报文时,获取数据报文中携带的第一终端的IP地址和MAC地址;如果安全表中存在包含第一终端的IP地址和MAC地址的表项,则转发数据报文,否则,则丢弃数据报文。这样,通过DHCP服务器中通过身份验证的合法终端的终端信息,来建立安全表,可以有效的防止将未经过身份验证的非法终端的终端信息添加到安全表中,避免放行非法终端的数据报文,从而提高了网络的安全性。
在本发明提供的又一实施例中,还提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述实施例中任一所述的报文的处理方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种报文的处理方法,其特征在于,所述方法包括:
获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址;
如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文;
如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。
2.根据权利要求1所述的方法,其特征在于,所述根据获取到的终端信息和预设的更新策略,更新安全表,包括:
如果所述安全表中不存在所述合法终端的IP地址,且不存在所述合法终端的MAC地址,则根据所述合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
3.根据权利要求1所述的方法,其特征在于,所述终端信息还包括所述合法终端的IP地址的老化时长,所述方法还包括:当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
接收所述DHCP服务器发送的查询响应消息;
如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收第二终端发送的地址解析协议ARP报文,所述ARP报文中携带有所述第二终端的IP地址和MAC地址;
查询所述安全表中是否存在包含所述第二终端的IP地址和MAC地址的表项;
如果所述安全表中不存在包含所述第二终端的IP地址和MAC地址的表项,则向所述DHCP服务器发送第二查询消息,所述第二查询消息中携带有所述第二终端的IP地址和MAC地址,以使所述DHCP服务器根据所述第二终端的IP地址和MAC地址查询所述第二终端是否为通过身份验证的合法终端;
接收所述DHCP服务器返回的查询结果;
如果所述查询结果表示所述第二终端为通过身份验证的合法终端,则根据所述第二终端的IP地址和MAC地址添加表项。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户输入的IP地址和MAC地址;
根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
所述根据获取到的终端信息和预设的更新策略,更新安全表,包括:
根据获取到的终端信息和预设的更新策略,对所述安全表中除固定表项以外的表项进行更新。
7.一种报文的处理装置,其特征在于,所述装置包括:
第一获取模块,用于获取动态主机配置协议DHCP服务器中存储的终端信息,所述终端信息包括通过身份验证的合法终端的互联网协议IP地址和媒体访问控制MAC地址;
更新模块,用于根据获取到的终端信息和预设的更新策略,更新安全表,所述安全表存储终端的IP地址与MAC地址之间的对应关系;
第二获取模块,用于当接收到第一终端发送的数据报文时,获取所述数据报文中携带的所述第一终端的IP地址和MAC地址;
转发模块,用于如果所述安全表中存在包含所述第一终端的IP地址和MAC地址的表项,则转发所述数据报文;
丢弃模块,用于如果所述安全表中不存在包含所述第一终端的IP地址和MAC地址的表项,则丢弃所述数据报文。
8.根据权利要求7所述的装置,其特征在于,所述更新模块,具体用于:
如果所述安全表中不存在所述合法终端的IP地址,且不存在所述合法终端的MAC地址,则根据所述合法终端的IP地址和MAC地址添加表项;
如果所述安全表的第一表项中,包含所述合法终端的IP地址或者所述合法终端的MAC地址的任一一项,则根据所述合法终端的IP地址和MAC地址修改所述第一表项。
9.根据权利要求7所述的装置,其特征在于,所述终端信息还包括所述合法终端的IP地址的老化时长,所述装置包括:
第一删除模块,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第一发送模块,用于当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到预设时长阈值时,向所述DHCP服务器发送第一查询消息,所述第一查询消息中携带有所述合法终端的IP地址,其中,所述预设时长阈值小于所述老化时长;
第一接收模块,用于接收所述DHCP服务器发送的查询响应消息;
记录模块,用于如果所述查询响应消息表示所述合法终端的IP地址租约更新,则当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,重新记录所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长;
第二删除模块,用于如果所述查询响应消息表示所述合法终端的IP地址租约未更新,则执行所述当所述IP地址和所述IP地址对应的MAC地址在所述安全表中的存储时长达到所述老化时长时,删除所述IP地址和所述IP地址对应的MAC地址步骤。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收第二终端发送的地址解析协议ARP报文,所述ARP报文中携带有所述第二终端的IP地址和MAC地址;
查询模块,用于查询所述安全表中是否存在包含所述第二终端的IP地址和MAC地址的表项;
第二发送模块,用于如果所述安全表中不存在包含所述第二终端的IP地址和MAC地址的表项,则向所述DHCP服务器发送第二查询消息,所述第二查询消息中携带有所述第二终端的IP地址和MAC地址,以使所述DHCP服务器根据所述第二终端的IP地址和MAC地址查询所述第二终端是否为通过身份验证的合法终端;
第三接收模块,用于接收所述DHCP服务器返回的查询结果;
第一添加模块,用于如果所述查询结果表示所述第二终端为通过身份验证的合法终端,则根据所述第二终端的IP地址和MAC地址添加表项。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第四接收模块,用于接收用户输入的IP地址和MAC地址;
第二添加模块,用于根据接收到的IP地址和MAC地址,添加第二表项,并将所述第二表项的记录为所述安全表中的固定表项;
所述更新模块,具体用于:
根据获取到的终端信息和预设的更新策略,对所述安全表中除固定表项以外的表项进行更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810112946.5A CN108418806B (zh) | 2018-02-05 | 2018-02-05 | 一种报文的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810112946.5A CN108418806B (zh) | 2018-02-05 | 2018-02-05 | 一种报文的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108418806A true CN108418806A (zh) | 2018-08-17 |
CN108418806B CN108418806B (zh) | 2021-09-24 |
Family
ID=63127762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810112946.5A Active CN108418806B (zh) | 2018-02-05 | 2018-02-05 | 一种报文的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108418806B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109255653A (zh) * | 2018-08-27 | 2019-01-22 | 阿里巴巴集团控股有限公司 | 一种动销方法、装置及电子设备 |
CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
CN112866438A (zh) * | 2021-03-26 | 2021-05-28 | 新华三信息安全技术有限公司 | 一种地址分配方法、装置及地址分配服务器 |
CN113076113A (zh) * | 2021-04-12 | 2021-07-06 | 武汉深之度科技有限公司 | 安装操作系统的方法、客户端、服务端应用和系统 |
CN113556337A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端地址识别方法、网络系统、电子设备及存储介质 |
CN114374543A (zh) * | 2021-12-20 | 2022-04-19 | 北京北信源软件股份有限公司 | 网络安全防护方法、系统、装置、安全交换机及存储介质 |
CN115277645A (zh) * | 2022-06-30 | 2022-11-01 | 南京云柜网络科技有限公司 | 快递业务的广域网ip地址更新方法、装置、设备及介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
CN101436936A (zh) * | 2008-12-15 | 2009-05-20 | 中兴通讯股份有限公司 | 一种基于dhcp协议的接入认证方法及系统 |
CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
WO2013041882A2 (en) * | 2011-09-21 | 2013-03-28 | The Cloud Networks Limited | User authentication in a network access system |
CN103795584A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 客户端身份检测方法及网关 |
CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
CN106487948A (zh) * | 2016-12-26 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种dhcp服务管理系统以及dhcp服务管理方法 |
-
2018
- 2018-02-05 CN CN201810112946.5A patent/CN108418806B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
CN101436936A (zh) * | 2008-12-15 | 2009-05-20 | 中兴通讯股份有限公司 | 一种基于dhcp协议的接入认证方法及系统 |
CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
WO2013041882A2 (en) * | 2011-09-21 | 2013-03-28 | The Cloud Networks Limited | User authentication in a network access system |
CN103795584A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 客户端身份检测方法及网关 |
CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
CN106487948A (zh) * | 2016-12-26 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种dhcp服务管理系统以及dhcp服务管理方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109255653A (zh) * | 2018-08-27 | 2019-01-22 | 阿里巴巴集团控股有限公司 | 一种动销方法、装置及电子设备 |
TWI706345B (zh) * | 2018-08-27 | 2020-10-01 | 香港商阿里巴巴集團服務有限公司 | 促銷方法、裝置及電子設備 |
US11055733B2 (en) | 2018-08-27 | 2021-07-06 | Advanced New Technologies Co., Ltd. | Sales promotion method, apparatus and electronic device |
CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
CN112866438A (zh) * | 2021-03-26 | 2021-05-28 | 新华三信息安全技术有限公司 | 一种地址分配方法、装置及地址分配服务器 |
CN112866438B (zh) * | 2021-03-26 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种地址分配方法、装置及地址分配服务器 |
CN113076113A (zh) * | 2021-04-12 | 2021-07-06 | 武汉深之度科技有限公司 | 安装操作系统的方法、客户端、服务端应用和系统 |
CN113556337A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端地址识别方法、网络系统、电子设备及存储介质 |
CN114374543A (zh) * | 2021-12-20 | 2022-04-19 | 北京北信源软件股份有限公司 | 网络安全防护方法、系统、装置、安全交换机及存储介质 |
CN114374543B (zh) * | 2021-12-20 | 2023-10-13 | 北京北信源软件股份有限公司 | 网络安全防护方法、系统、装置、安全交换机及存储介质 |
CN115277645A (zh) * | 2022-06-30 | 2022-11-01 | 南京云柜网络科技有限公司 | 快递业务的广域网ip地址更新方法、装置、设备及介质 |
CN115277645B (zh) * | 2022-06-30 | 2024-02-23 | 南京云柜网络科技有限公司 | 快递业务的广域网ip地址更新方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108418806B (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108418806A (zh) | 一种报文的处理方法及装置 | |
CN105554179B (zh) | 局域网内dns解析方法、系统 | |
US10491561B2 (en) | Equipment for offering domain-name resolution services | |
CN102771149B (zh) | 用于管理IPv6地址和访问策略的系统和方法 | |
CN106878483A (zh) | 一种ip地址分配方法及装置 | |
CN105245629B (zh) | 基于dhcp的主机通信方法及装置 | |
Ollmann | Botnet communication topologies | |
Ullrich et al. | {IPv6} Security: Attacks and Countermeasures in a Nutshell | |
CN109981803A (zh) | 业务请求处理方法及装置 | |
CN105635342B (zh) | 建立连接的方法、域名服务器以及存储节点 | |
CN105939337A (zh) | Dns缓存投毒的防护方法及装置 | |
CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
CN106464745B (zh) | Dns的服务器、客户端及数据同步方法 | |
CN106331216A (zh) | 域名的解析方法和装置 | |
CN105939332A (zh) | 防御arp攻击报文的方法及装置 | |
WO2018214853A1 (zh) | 一种减小dns报文长度的方法、装置、介质及设备 | |
CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
CN108337257A (zh) | 一种免认证访问方法和网关设备 | |
US8713306B1 (en) | Network decoys | |
CN102801716B (zh) | 一种dhcp防攻击方法及装置 | |
CN101577723B (zh) | 一种防止邻居发现协议报文攻击的方法及装置 | |
CN106302384A (zh) | Dns报文处理方法及装置 | |
CN112688900A (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
CN106411742A (zh) | 一种报文传输的方法和装置 | |
EP2677716A1 (en) | Access control method, access device and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |