CN111835764A - 一种arp防欺骗方法、隧道端点以及电子设备 - Google Patents
一种arp防欺骗方法、隧道端点以及电子设备 Download PDFInfo
- Publication number
- CN111835764A CN111835764A CN202010668623.1A CN202010668623A CN111835764A CN 111835764 A CN111835764 A CN 111835764A CN 202010668623 A CN202010668623 A CN 202010668623A CN 111835764 A CN111835764 A CN 111835764A
- Authority
- CN
- China
- Prior art keywords
- arp request
- request message
- arp
- packet
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种ARP防欺骗方法、隧道端点以及电子设备,所述ARP防欺骗方法包括:接收ARP请求报文,APR请求报文包括源IP地址和源MAC地址;若ARP请求报文需要进入VXLAN隧道,则判断本地MAC表中是否包含源MAC地址;若没有,则以ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,扩展的APR数据包是验证包;根据发送的扩展的APR数据包的响应情况来处理ARP请求报文。该ARP防欺骗方法、隧道端点以及电子设备解决了现有的VTEP在接收到伪造的ARP欺骗报文时由于直接生成本地MAC地址表项,以及广播伪造的ARP欺骗报文而造成的数据包无法正确传送的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种ARP防欺骗方法、隧道端点以及电子设备。
背景技术
ARP(Address Resolution Protocol,地址解析协议)欺骗,是针对ARP的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC(Media Access Control,介质访问控制层)地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通或到达错误的终端。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
在VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)网络中,同一个网段内属于同一个VNI(VXLAN Network Identifier,VXLAN网络标识符)的不同VM(VirtualMachine,虚拟机)之间通信时,若VM发出ARP欺骗报文,上联的VTEP(VXLAN Tunnel EndPoint,VXLAN隧道端点)接收到ARP欺骗报文后,将会学习ARP欺骗报文中的IP地址和MAC地址,这样当有VM访问这个IP地址时,VTEP将无法保障数据包的正确传送。
因此,提供一种ARP防欺骗方法是本领域技术人员亟待解决的问题。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种ARP防欺骗方法、隧道端点以及电子设备,用以解决现有VXLAN网络中无法有效防止ARP欺骗,保障数据包正确传送的问题。
第一方面,本发明实施例提供一种ARP防欺骗方法,应用于本端VTEP,所述方法包括:
接收ARP请求报文,所述APR请求报文包括源IP地址和源MAC地址;
若所述ARP请求报文需要进入VXLAN隧道,则判断本地MAC表中是否包含所述源MAC地址;
若没有,则以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,所述扩展的APR数据包是验证包;
根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文。
优选地,在所述接收ARP请求报文的步骤之后,所述方法还包括:
根据二层子接口上的配置判断所述ARP请求报文是否要进入VXLAN隧道;
若确定所述ARP请求报文需要进入VXLAN隧道,获取所述ARP请求报文所属的VXLAN网络标识符VNI。
优选地,根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文,包括:
在预设时间内若接收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文发送给对端VTEP。
优选地,在预设时间内若接收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文发送给对端VTEP,具体包括:
在预设时间内若接收到所述扩展的APR数据包的响应数据包,则学习所述ARP请求报文中的源MAC地址、所属的VNI和所述ARP请求报文的入接口的对应关系,并记录在本地MAC表中;
将所述ARP请求报文封装后发送给对端VTEP,以使所述ARP请求报文的相应方发送ARP响应。
优选地,将所述ARP请求报文封装后发送给对端VTEP,以使所述ARP请求报文的相应方发送ARP响应,包括:
获取所述VNI对应的头端复制列表;
根据所述头端复制列表对所述ARP请求报文进行复制,并分别进行VXLAN封装;
将所述VXLAN封装后的报文发送给所述头端复制列表中的所有出端口所对应的VTEP,以使所述ARP请求报文的相应方发送ARP响应。
优选地,在以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包的步骤之前,所述方法还包括:
生成源IP地址为本端VTEP的IP地址、源MAC地址为本端VTEP的MAC地址、目的IP地址为所述ARP请求报文中的源IP地址、目的MAC地址为所述ARP请求报文中的源MAC地址以及OP对应数值为0x0003的扩展的APR数据包;
所述扩展的APR数据包的响应数据包的OP对应数值为0x0004。
优选地,根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文,还包括:
在预设时间内若未收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文丢弃。
第二方面,本发明实施例提供一种隧道端点,包括:
接收模块,用于接收ARP请求报文,所述APR请求报文包括源IP地址和源MAC地址;
判断模块,与所述接收模块相连,用于在所述ARP请求报文需要进入VXLAN隧道时,判断本地MAC表中是否包含所述源MAC地址,并在判断结果为否时,发送第一信号给发送模块;
发送模块,与所述判断模块相连,用于在接收到所述第一信号时,以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,所述扩展的APR数据包是验证包;
处理模块,用于根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文。
优选地,还包括:
确定模块,用于根据二层子接口上的配置判断所述ARP请求报文是否要进入VXLAN隧道;
获取模块,用于若确定所述ARP请求报文需要进入VXLAN隧道,获取所述ARP请求报文所属的VXLAN网络标识符VNI。
第三方面,本发明实施例提供一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现上述第一方面所述的ARP防欺骗方法。
本发明实施例提供的ARP防欺骗方法、隧道端点以及电子设备,在本地MAC表中没有包含所述ARP请求报文中的源MAC地址的情况下,以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包来验证所述ARP请求报文中的源IP地址和源MAC地址映射关系是否正确,而不是立刻生成本地MAC地址表项,和广播所述ARP请求报文,从而解决了现有的VTEP在接收到伪造的ARP欺骗报文时由于直接生成本地MAC地址表项,以及广播伪造的ARP欺骗报文而造成的数据包无法正确传送的问题。
附图说明
图1:为本发明实施例1的一种ARP防欺骗方法的流程图;
图2:为ARP报文格式;
图3:为本发明实施例2的隧道端点的结构图;
图4:为本发明实施例3的电子设备的结构图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1:
本实施例提供一种ARP防欺骗方法,应用于本端隧道端点VTEP,如图1所示,该方法包括:
步骤S102:接收ARP请求报文,APR请求报文包括源IP地址和源MAC地址;
步骤S104:若ARP请求报文需要进入VXLAN隧道,则判断本地MAC表中是否包含源MAC地址;
步骤S106:若没有,则以ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,扩展的APR数据包是验证包;
步骤S108:根据发送的扩展的APR数据包的响应情况来处理ARP请求报文。
可选地,在以ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包的步骤之前,方法还可以包括:
生成源IP地址为本端VTEP的IP地址、源MAC地址为本端VTEP的MAC地址、目的IP地址为ARP请求报文中的源IP地址、目的MAC地址为ARP请求报文中的源MAC地址以及OP对应数值为0x0003的扩展的APR数据包。
在本实施例中,扩展的APR数据包是基于现有的ARP报文格式对操作类型OP进行扩展,现有的ARP报文格式如图2所示,OP为两个字节,用于指示当前包是请求包还是应答包,对应的值分别是0x0001和0x0002,本发明对OP进行扩展,增加验证包和响应包,对应的值可以是0x0003和0x0004,也可以是除0x0001和0x0002以外的其他数值,用于指示当前包是验证包还是响应包,其中,扩展的APR数据包是验证包,OP对应数值可以为0x0003,扩展的APR数据包的响应数据包是响应包,OP对应数值可以为0x0004,验证包表明当前包是在二层网络上发出的验证请求,若目的IP地址和目的MAC地址映射关系正确,则本端VTEP会收到相应的响应包。
可选地,在步骤S102:在接收ARP请求报文的步骤之后,方法还可以包括:
根据二层子接口上的配置判断ARP请求报文是否要进入VXLAN隧道;
若确定ARP请求报文需要进入VXLAN隧道,获取ARP请求报文所属的VXLAN网络标识符VNI。
其中,本端VTEP上的接口是一个叫做“二层子接口”的逻辑接口,可以根据需要定义不同的流封装类型,不同流封装类型的接口对报文的处理方式不同,可以根据二层子接口上的配置来确定哪些报文需要进入VXLAN隧道。根据二层子接口所加入的BD(Bridge-Domain,同一大二层域),可以确定所对应的VNI,BD与VNI通常是1:1的映射关系,这种映射关系是事先通过在VTEP上配置命令行建立起来的。
可选地,步骤S108:根据发送的扩展的APR数据包的响应情况来处理ARP请求报文,可以包括:
在预设时间内若接收到扩展的APR数据包的响应数据包,则将ARP请求报文发送给对端VTEP。
具体地,在预设时间内若接收到扩展的APR数据包的响应数据包,则将ARP请求报文发送给对端VTEP,可以包括:
在预设时间内若接收到扩展的APR数据包的响应数据包,则学习ARP请求报文中的源MAC地址、所属的VNI和ARP请求报文的入接口的对应关系,并记录在本地MAC表中;
将ARP请求报文封装后发送给对端VTEP,以使ARP请求报文的相应方发送ARP响应。
在本实施例中,若在预设时间内收到扩展的APR数据包的响应数据包,即OP指示当前包是响应包,则表明ARP请求报文不是攻击者模拟的ARP请求,即ARP请求报文中的源IP地址和源MAC地址映射关系正确,本端VTEP学习ARP请求报文中的源MAC地址、VNI和ARP请求报文入接口(即二层子接口对应的物理接口)的对应关系,并记录在本地MAC表中。
可选地,将ARP请求报文封装后发送给对端VTEP,以使ARP请求报文的相应方发送ARP响应,可以包括:
获取VNI对应的头端复制列表;
根据头端复制列表对ARP请求报文进行复制,并分别进行VXLAN封装;
将VXLAN封装后的报文发送给头端复制列表中的所有出端口所对应的VTEP,以使ARP请求报文的相应方发送ARP响应。
在本实施例中,头端复制列表是属于同一个VNI的VTEP列表,本端VTEP根据对应的VNI的头端复制列表进行报文复制,并进行VXLAN封装。基于每个出端口和VXLAN封装信息封装VXLAN头和外层IP信息,并从出端口转发。即封装的外层源IP地址为本端VTEP的IP地址,外层目的IP地址为所有对端VTEP的IP地址;外层源MAC地址为本端VTEP的MAC地址,而外层目的MAC地址为去往目的IP地址的网络中下一跳设备的MAC地址。封装并转发后的报文,根据外层MAC和IP信息,在IP网络中进行传输,直至到达对端VTEP。
报文到达对端VTEP后,对端VTEP对封装后的报文进行解封装。同时,对端VTEP学习MAC地址、VNI和本端VTEP的IP地址的对应关系,并记录在本地MAC表中。对端VTEP根据二层子接口上的配置对解封后的报文进行相应的处理并在对应的二层域内广播。目的IP地址所对应的VM接收到ARP请求报文后发送ARP应答包。
可选地,步骤S108:根据发送的扩展的APR数据包的响应情况来处理ARP请求报文,可以包括:
在预设时间内若未收到扩展的APR数据包的响应数据包,则将ARP请求报文丢弃。
在本实施例中,若ARP请求报文是攻击者模拟的ARP请求,本端VTEP将不会接收到扩展的APR数据包的响应数据包,该扩展的APR数据包的响应数据包可以是OP对应数据为0x0004的数据包,本端VTEP判断这是一个ARP欺骗包,即判断判断ARP请求报文为ARP欺骗报文,则不会生成本地MAC地址表项,也不会广播ARP请求报文,以避免因ARP请求报文中的源IP地址和源MAC地址映射关系错误而导致的后续数据包无法正确传送的问题。
假设属于同一个VNI的VM1要与VM2通信,VM1在ARP缓存中没有获取到VM2的MAC地址,会向本端VTEP1发出ARP请求,ARP请求中包含VM1的IP地址和MAC地址。当VTEP1接收到ARP请求报文后可以执行以下步骤:
(1)根据二层子接口上的配置判断ARP请求报文需要进入VXLAN隧道,再确定ARP请求报文所属BD以及报文所属的VNI。
(2)VTEP1判断在本地MAC地址表中是否包含VM1的MAC地址。
(3)若没有,则发出扩展的ARP数据包,扩展的ARP数据包在OP指示中对应的值是0x0003,表明在二层向VM1发出验证请求,扩展的ARP数据包中目的MAC地址是VM1的MAC地址,目的IP地址是VM1的IP地址,源MAC地址是VTEP1的MAC地址,源IP地址是VTEP1的IP地址。
(4)如果ARP请求报文是攻击者模拟的ARP请求,VTEP1将不会接收到扩展的ARP响应数据包,VTEP1判断这是一个ARP欺骗包,不会生成本地MAC地址表项,也不会广播ARP请求。
(5)如果ARP请求报文不是攻击者模拟的ARP请求,VM1接收到扩展的ARP数据包后发送扩展的ARP响应包,扩展的ARP响应数据包在OP指示中对应的值是0x0004,数据包中目的MAC地址是VTEP1的MAC地址,目的IP地址是VTEP1的IP地址,源MAC地址是VM1的MAC地址,源IP地址是VM1的IP地址。
(6)接收到扩展的ARP响应数据包后,VTEP1学习VM1的MAC、VNI和报文入接口(即二层子接口对应的物理接口)的对应关系,并记录在本地MAC表中。
(7)VTEP1会根据头端复制列表对报文进行复制,并分别进行封装。这里封装的外层源IP地址为本地VTEP(VTEP1)的IP地址,外层目的IP地址为所有对端VTEP的IP地址;外层源MAC地址为本地VTEP的MAC地址,而外层目的MAC地址为去往目的IP的网络中下一跳设备的MAC地址。
(8)封装后的报文,根据外层MAC和IP信息,在IP网络中进行传输,直至到达对端VTEP。
报文到达对端VTEP后,VTEP对报文进行解封装,得到VM1发送的原始报文。同时,对端VTEP学习VM1的MAC地址、VNI和VTEP1的IP地址的对应关系,并记录在本地MAC表中。对端VTEP根据二层子接口上的配置对报文进行相应的处理并在对应的二层域内广播。VM2接收到ARP请求后发送ARP响应。
本发明实施例提供的ARP防欺骗方法,在本地MAC表中没有包含所述ARP请求报文中的源MAC地址的情况下,以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包来验证所述ARP请求报文中的源IP地址和源MAC地址映射关系是否正确,而不是立刻生成本地MAC地址表项,和广播所述ARP请求报文,从而解决了现有的VTEP在接收到伪造的ARP欺骗报文时由于直接生成本地MAC地址表项,以及广播伪造的ARP欺骗报文而造成的数据包无法正确传送的问题。
实施例2:
如图3所示,本实施例提供一种隧道端点,包括:
接收模块202,用于接收ARP请求报文,APR请求报文包括源IP地址和源MAC地址;
判断模块204,与接收模块202相连,用于在ARP请求报文需要进入VXLAN隧道时,判断本地MAC表中是否包含源MAC地址,并在判断结果为否时,发送第一信号给发送模块;
发送模块206,与判断模块204相连,用于在接收到第一信号时,以ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,扩展的APR数据包是验证包;
处理模块208,用于根据发送的扩展的APR数据包的响应情况来处理ARP请求报文。
可选地,还可以包括:
确定模块,用于根据二层子接口上的配置判断ARP请求报文是否要进入VXLAN隧道;
获取模块,用于若确定ARP请求报文需要进入VXLAN隧道,获取ARP请求报文所属的VXLAN网络标识符VNI。
实施例3:
如图4所示,本实施例提供一种电子设备,包括存储器21和处理器22,存储器21中存储有计算机程序,处理器22被设置为运行所述计算机程序以执行实施例1中的ARP防欺骗方法。
其中,存储器21与处理器22连接,存储器21可采用闪存或只读存储器或其他存储器,处理器22可采用中央处理器或单片机。
本发明实施例提供的隧道端点以及电子设备,在本地MAC表中没有包含所述ARP请求报文中的源MAC地址的情况下,以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包来验证所述ARP请求报文中的源IP地址和源MAC地址映射关系是否正确,而不是立刻生成本地MAC地址表项,和广播所述ARP请求报文,从而解决了现有的VTEP在接收到伪造的ARP欺骗报文时由于直接生成本地MAC地址表项,以及广播伪造的ARP欺骗报文而造成的数据包无法正确传送的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种ARP防欺骗方法,其特征在于,应用于本端VTEP,所述方法包括:
接收ARP请求报文,所述APR请求报文包括源IP地址和源MAC地址;
若所述ARP请求报文需要进入VXLAN隧道,则判断本地MAC表中是否包含所述源MAC地址;
若没有,则以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,所述扩展的APR数据包是验证包;
根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文。
2.根据权利要求1所述的ARP防欺骗方法,其特征在于,在所述接收ARP请求报文的步骤之后,所述方法还包括:
根据二层子接口上的配置判断所述ARP请求报文是否要进入VXLAN隧道;
若确定所述ARP请求报文需要进入VXLAN隧道,获取所述ARP请求报文所属的VXLAN网络标识符VNI。
3.根据权利要求2所述的ARP防欺骗方法,其特征在于,根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文,包括:
在预设时间内若接收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文发送给对端VTEP。
4.根据权利要求3所述的ARP防欺骗方法,其特征在于,在预设时间内若接收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文发送给对端VTEP,具体包括:
在预设时间内若接收到所述扩展的APR数据包的响应数据包,则学习所述ARP请求报文中的源MAC地址、所属的VNI和所述ARP请求报文的入接口的对应关系,并记录在本地MAC表中;
将所述ARP请求报文封装后发送给对端VTEP,以使所述ARP请求报文的相应方发送ARP响应。
5.根据权利要求4所述的ARP防欺骗方法,其特征在于,将所述ARP请求报文封装后发送给对端VTEP,以使所述ARP请求报文的相应方发送ARP响应,包括:
获取所述VNI对应的头端复制列表;
根据所述头端复制列表对所述ARP请求报文进行复制,并分别进行VXLAN封装;
将所述VXLAN封装后的报文发送给所述头端复制列表中的所有出端口所对应的VTEP,以使所述ARP请求报文的相应方发送ARP响应。
6.根据权利要求5所述的ARP防欺骗方法,其特征在于,在以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包的步骤之前,所述方法还包括:
生成源IP地址为本端VTEP的IP地址、源MAC地址为本端VTEP的MAC地址、目的IP地址为所述ARP请求报文中的源IP地址、目的MAC地址为所述ARP请求报文中的源MAC地址以及OP对应数值为0x0003的扩展的APR数据包;
所述扩展的APR数据包的响应数据包的OP对应数值为0x0004。
7.根据权利要求3所述的ARP防欺骗方法,其特征在于,根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文,还包括:
在预设时间内若未收到所述扩展的APR数据包的响应数据包,则将所述ARP请求报文丢弃。
8.一种隧道端点,其特征在于,包括:
接收模块,用于接收ARP请求报文,所述APR请求报文包括源IP地址和源MAC地址;
判断模块,与所述接收模块相连,用于在所述ARP请求报文需要进入VXLAN隧道时,判断本地MAC表中是否包含所述源MAC地址,并在判断结果为否时,发送第一信号给发送模块;
发送模块,与所述判断模块相连,用于在接收到所述第一信号时,以所述ARP请求报文中的源IP地址和源MAC地址分别作为目的IP地址和目的MAC地址发送扩展的APR数据包,所述扩展的APR数据包是验证包;
处理模块,用于根据发送的所述扩展的APR数据包的响应情况来处理所述ARP请求报文。
9.根据权利要求8所述的隧道端点,其特征在于,还包括:
确定模块,用于根据二层子接口上的配置判断所述ARP请求报文是否要进入VXLAN隧道;
获取模块,用于若确定所述ARP请求报文需要进入VXLAN隧道,获取所述ARP请求报文所属的VXLAN网络标识符VNI。
10.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010668623.1A CN111835764B (zh) | 2020-07-13 | 2020-07-13 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010668623.1A CN111835764B (zh) | 2020-07-13 | 2020-07-13 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835764A true CN111835764A (zh) | 2020-10-27 |
| CN111835764B CN111835764B (zh) | 2023-04-07 |
Family
ID=72901357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010668623.1A Active CN111835764B (zh) | 2020-07-13 | 2020-07-13 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835764B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866113A (zh) * | 2020-12-29 | 2021-05-28 | 京信网络系统股份有限公司 | 路由分组转发中arp代理的方法、系统、计算机设备及存储介质 |
| CN113037883A (zh) * | 2021-02-23 | 2021-06-25 | 中国联合网络通信集团有限公司 | 一种mac地址表项的更新方法及装置 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060088037A1 (en) * | 2004-10-21 | 2006-04-27 | International Business Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| CN102255984A (zh) * | 2011-08-08 | 2011-11-23 | 华为技术有限公司 | 一种arp请求报文验证方法及装置 |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
| CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN104780139A (zh) * | 2014-01-09 | 2015-07-15 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
| CN106161461A (zh) * | 2016-08-29 | 2016-11-23 | 东软集团股份有限公司 | 一种arp报文的处理方法及装置 |
| CN106656722A (zh) * | 2016-12-12 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种vxlan组播方法和装置 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
| CN107579881A (zh) * | 2017-10-23 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种路由器地址解析协议的测试方法和系统 |
-
2020
- 2020-07-13 CN CN202010668623.1A patent/CN111835764B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US20060088037A1 (en) * | 2004-10-21 | 2006-04-27 | International Business Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| WO2009033402A1 (fr) * | 2007-09-06 | 2009-03-19 | Huawei Technologies Co., Ltd. | Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp |
| WO2013020501A1 (zh) * | 2011-08-08 | 2013-02-14 | 华为技术有限公司 | 一种arp请求报文验证方法及装置 |
| CN102255984A (zh) * | 2011-08-08 | 2011-11-23 | 华为技术有限公司 | 一种arp请求报文验证方法及装置 |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
| CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN104780139A (zh) * | 2014-01-09 | 2015-07-15 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
| CN106161461A (zh) * | 2016-08-29 | 2016-11-23 | 东软集团股份有限公司 | 一种arp报文的处理方法及装置 |
| CN106656722A (zh) * | 2016-12-12 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种vxlan组播方法和装置 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
| CN107579881A (zh) * | 2017-10-23 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种路由器地址解析协议的测试方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 于康存;: "网络通信中ARP攻击的防范方法" * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866113A (zh) * | 2020-12-29 | 2021-05-28 | 京信网络系统股份有限公司 | 路由分组转发中arp代理的方法、系统、计算机设备及存储介质 |
| CN112866113B (zh) * | 2020-12-29 | 2022-11-01 | 京信网络系统股份有限公司 | 路由分组转发中arp代理的方法、系统、计算机设备及存储介质 |
| CN113037883A (zh) * | 2021-02-23 | 2021-06-25 | 中国联合网络通信集团有限公司 | 一种mac地址表项的更新方法及装置 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835764B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835764B (zh) | 一种arp防欺骗方法、隧道端点以及电子设备 | |
| WO2018040529A1 (zh) | 一种报文处理方法、设备及系统 | |
| US7317734B2 (en) | Method and apparatus for emulating ethernet functionality over a serial bus | |
| CN105591982B (zh) | 一种报文传输的方法和装置 | |
| WO2019227891A1 (zh) | 一种实现节点间通讯的方法、装置及电子设备 | |
| JP7322088B2 (ja) | パケット検出方法および第1のネットワーク機器 | |
| WO2020108531A1 (zh) | 报文转发 | |
| CN112737954B (zh) | 报文处理方法、装置、系统、设备及存储介质 | |
| US11855888B2 (en) | Packet verification method, device, and system | |
| EP4156626A1 (en) | Ipv6 network communication method, apparatus and system | |
| JP7247351B2 (ja) | データ送信方法及び機器 | |
| WO2020135381A1 (zh) | 一种处理报文的方法、设备及系统 | |
| US10819617B1 (en) | Loop-back packet for determining operational capabilities of border relay device | |
| CN109818869B (zh) | 组播流量转发端口的生成方法及相关设备 | |
| WO2021139568A1 (zh) | 发送应答报文的方法、装置、计算设备和存储介质 | |
| CN113132364A (zh) | Arp拟制表项的生成方法、电子设备 | |
| CN107547691B (zh) | 地址解析协议报文代理方法和装置 | |
| CN116566763A (zh) | 网络系统、通信方法、网络节点和存储介质 | |
| WO2022199486A1 (zh) | 路径跟踪方法、设备和存储介质 | |
| CN113472912B (zh) | 一种arp缓存表项的更新方法、vtep、vm及装置 | |
| US9998376B2 (en) | Control device, communication system, control method, and non-transitory recording medium | |
| CN115834472A (zh) | 一种报文处理方法、转发策略获取方法及装置 | |
| KR20230022251A (ko) | Bier oam 검출 방법, 디바이스, 및 시스템 | |
| CN113300931B (zh) | 一种虚拟机迁移发现方法及vtep | |
| CN113347101B (zh) | 一种路由信息的发送控制方法、vtep及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |