CN115834525B - 基于arp控制的终端准入方法、装置、电子设备及存储介质 - Google Patents

基于arp控制的终端准入方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115834525B
CN115834525B CN202211447662.4A CN202211447662A CN115834525B CN 115834525 B CN115834525 B CN 115834525B CN 202211447662 A CN202211447662 A CN 202211447662A CN 115834525 B CN115834525 B CN 115834525B
Authority
CN
China
Prior art keywords
address
mac address
source
destination
arp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211447662.4A
Other languages
English (en)
Other versions
CN115834525A (zh
Inventor
戴茜
许剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211447662.4A priority Critical patent/CN115834525B/zh
Publication of CN115834525A publication Critical patent/CN115834525A/zh
Application granted granted Critical
Publication of CN115834525B publication Critical patent/CN115834525B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)

Abstract

本申请提供一种基于ARP控制的终端准入方法、装置、电子设备及存储介质。其中,基于ARP控制的终端准入方法包括:接收所述交换机发送的ARP Probe报文;解析所述ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;将所述源MAC地址与数据库存储的MAC地址进行匹配,并确定所述源MAC地址对应的预设IP地址等步骤。本申请能够防止局域网的终端设备私自修改IP地址,并对私自修改IP地址的终端设备进行处理。与此同时,本申请还具有网络负担小、管理便捷等优点。

Description

基于ARP控制的终端准入方法、装置、电子设备及存储介质
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种基于ARP控制的终端准入方法、装置、电子设备及存储介质。
背景技术
目前互联网高速发展,网络给人们的生活和工作带来了巨大便利,但是随之而来的就是网络安全问题,网络安全问题不容忽视,针对局域网内的网络安全还是重中之重,典型漏洞攻击“永恒之蓝”、OpenSSL“心脏滴血”仍然给网络带来巨大威胁,终端安全十分重要,网络中私自接入HUB、终端肆意修改IP地址等行为,为网络安全带来隐患,增加运维成本。现有局域网在IP冲突检测过程中,存在网络管理便利性低、网络负担大的问题,具体表现为:1.终端需要安装相关代理软件;2.需要在网络设备进行相关配置,不够精细且配置繁琐,不便管理;3.根据相关网络设备日志查看,不能及时处理。
发明内容
本申请实施例的目的在于提供一种基于ARP控制的终端准入方法、装置、电子设备及存储介质,用以防止局域网的终端设备私自修改IP,并对私自修改IP的终端设备进行处理。与此同时,本申请还具有网络负担小、管理便捷等优点。
第一方面,本发明提供一种基于ARP控制的终端准入方法,所述方法应用于服务器,所述服务器与广播域对应的交换机通信连接,所述方法包括:
接收所述交换机发送的ARP Probe报文;
解析所述ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
将所述源MAC地址与数据库存储的MAC地址进行匹配,并确定所述源MAC地址对应的预设IP地址,其中,在所述数据库中,每个MAC地址映射一个所述预设IP地址;
将所述目的IP地址与所述源MAC地址对应的预设IP地址进行比较,若所述目的IP地址与所述源MAC地址对应的预设IP地址不相同,则基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文;
将所述ARP reply报文发送至所述交换机,以使得所述交换机将所述ARP reply报文转发至所述广播域中的终端设备,并使所述终端设备在接收到所述ARP reply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,所述预设网段内的地址无法访问网络资源。
在本申请第一方面中,通过目的IP地址与所述源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与所述源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
在可选的实施方式中,所述方法还包括:
当所述数据库不存在所述源MAC地址时,则将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,以使用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
在上述可选的实施方式中,当所述数据库不存在所述源MAC地址时,通过将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,能够便于用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
在可选的实施方式中,在所述将所述ARP reply报文发送至所述交换机之后,所述方法还包括:
基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址生成报警日志,并存储所述报警日志。
在上述可选的实施方式中,通过生成报警日志,并存储所述报警日志,能够便于后续的安全分析和便于用户基于日志采取更进一步地处理。
在可选的实施方式中,在所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文之前,所述方法还包括:
判断所述服务器的操作模式是否为处理模式,若所述服务器的操作模式为所述处理模式,则触发执行所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文。
在上述可选的实施方式中,通过判断所述服务器的操作模式是否为处理模式,能够只在处理模式下,构造ARP reply报文,这样一来,用户可以根据实际需求开启或关闭防止私自修改IP地址的功能。
第二方面,本发明提供一种基于ARP控制的终端准入装置,所述装置应用于服务器,所述服务器与广播域对应的交换机通信连接,所述装置包括:
接收模块,用于接收所述交换机发送的ARP Probe报文;
解析模块,用于解析所述ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
匹配模块,用于将所述源MAC地址与数据库存储的MAC地址进行匹配,并确定所述源MAC地址对应的预设IP地址,其中,在所述数据库中,每个MAC地址映射一个所述预设IP地址;
比较模块,用于将所述目的IP地址与所述源MAC地址对应的预设IP地址进行比较,若所述目的IP地址与所述源MAC地址对应的预设IP地址不相同,则基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文;
发送模块,用于将所述ARP reply报文发送至所述交换机,以使得所述交换机将所述ARP reply报文转发至所述广播域中的终端设备,并使所述终端设备在接收到所述ARPreply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,所述预设网段内的地址无法访问网络资源。
本申请第二方面的装置通过执行基于ARP控制的终端准入方法,能够将目的IP地址与所述源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与所述源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
在可选的实施方式中,所述装置还包括:
存储模块,用于当所述数据库不存在所述源MAC地址时,则将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,以使用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
在上述可选的实施方式中,通过日志生成模块,进而当所述数据库不存在所述源MAC地址时,能够将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,从而便于用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
在可选的实施方式中,所述装置还包括:
日志生成模块,用于在所述将所述ARP reply报文发送至所述交换机之后,基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址生成报警日志,并存储所述报警日志。
在上述可选的实施方式中,通过日志生成模块,能够生成报警日志,并存储所述报警日志,从而便于后续的安全分析和便于用户基于日志采取更进一步地处理。
在可选的实施方式中,所述装置还包括:
判断模块,用于在所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文之前,判断所述服务器的操作模式是否为处理模式,若所述服务器的操作模式为所述处理模式,则触发执行所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文。
在上述可选的实施方式中,通过判断模块,能够判断所述服务器的操作模式是否为处理模式,进而能够只在处理模式下,构造ARP reply报文,这样一来,用户可以根据实际需求开启或关闭防止私自修改IP地址的功能。
本申请第三方面公开一种电子设备,该电子设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请的基于ARP控制的终端准入方法。
本申请第三方面的电子设备通过执行基于ARP控制的终端准入方法,能够将目的IP地址与所述源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与所述源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行本申请的基于ARP控制的终端准入方法。
本申请第四方面的存储介质通过执行基于ARP控制的终端准入方法,能够将目的IP地址与所述源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与所述源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种ARP控制的终端准入方法的流程示意图;
图2是本申请实施例提供的一种服务器部署示意图;
图3是本申请实施例公开的一种ARP控制的终端准入装置的结构示意图;
图4是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种ARP控制的终端准入方法的流程示意图,其中,该方法应用于服务器,服务器与广播域对应的交换机通信连接。如图1所示,本申请实施例的方法包括以下步骤:
101、接收交换机发送的ARP Probe报文;
102、解析ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
103、将源MAC地址与数据库存储的MAC地址进行匹配,并确定源MAC地址对应的预设IP地址,其中,在数据库中,每个MAC地址映射一个预设IP地址;
104、将目的IP地址与源MAC地址对应的预设IP地址进行比较,若目的IP地址与源MAC地址对应的预设IP地址不相同,则基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP Rep l y报文;
105、将ARP reply报文发送至交换机,以使得交换机将ARP reply报文转发至广播域中的终端设备,并使终端设备在接收到ARP reply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,预设网段内的地址无法访问网络资源。
在本申请实施例中,通过目的IP地址与源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
在本申请实施例中,作为一种示例,假设一终端设备采用的目的IP地址是A地址,其中,A地址预先与终端设备的源MAC地址形成映射关系并存储在数据库中,此时,如果终端设备基于A地址发起访问,则由于A地址与源MAC地址形成之间的映射关系存在于数据库中,因此该访问允许接入,而如果终端设备将A地址修改为B地址,由于B地址与终端设备的源MAC地址之间的映射关系不存在于数据库中,因此可认定终端设备私自修改IP地址,并基于ARP reply报文使终端设备无法访问网络资源。
在本申请实施例中,请参阅图2,图2是本申请实施例提供的一种服务器部署示意图。如图2所示,服务器与汇聚交换机通信连接,其中,终端设备PC1、PC2、PC3、PC4、PC5、PC6可构成一个广播域,即构成能接收到同样广播消息的设备的集合。如图2所示,服务器无需与每个终端设备通信连接。
在本申请实施例中,ARP Probe报文用于终端设备在配置IP地址时,为了防止配置的IP地址和局域网内的其他地址冲突,而主动发送的ARP探针,刺探其他终端设备的IP地址是否相同。进一步地,ARP Probe报文基于ARP(Address Reso l ut i on Protoco l,地址解析协议)生成,其中,ARP是根据IP地址获取物理地址的一个TCP/IP协议。
在本申请实施例中,终端设备通过ARP Announcement报文向其他终端设备宣告自己使用预设网段内的地址。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
当数据库不存在源MAC地址时,则将源MAC地址与目的MAC地址存入未确认缓存列表,以使用户基于未确认缓存列表对源MAC地址与目的MAC地址之间的映射关系进行确认。
在上述可选的实施方式中,当数据库不存在源MAC地址时,通过将源MAC地址与目的MAC地址存入未确认缓存列表,能够便于用户基于未确认缓存列表对源MAC地址与目的MAC地址之间的映射关系进行确认。
在可选的实施方式中,在步骤:将ARP reply报文发送至交换机之后,本申请实施例的方法还包括以下步骤:
基于源MAC地址、源IP地址、目的MAC地址和目的IP地址生成报警日志,并存储报警日志。
在上述可选的实施方式中,通过生成报警日志,并存储报警日志,能够便于后续的安全分析和便于用户基于日志采取更进一步地处理。
在可选的实施方式中,在步骤:基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文之前,本申请实施例的方法还包括以下步骤:
判断服务器的操作模式是否为处理模式,若服务器的操作模式为处理模式,则触发执行基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文。
在上述可选的实施方式中,通过判断服务器的操作模式是否为处理模式,能够只在处理模式下,构造ARP reply报文,这样一来,用户可以根据实际需求开启或关闭防止私自修改IP地址的功能。
在上述可选的实施方式中,服务器的操作模式有两种,一种是处理模式,一种是收集模式,其中,处理模式下,服务器执行基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文。而在收集模式下,服务器不执行基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文这一步骤。
实施例二
请参阅图3,图3是本申请实施例公开的一种基于ARP控制的终端准入装置的结构示意图,其中,该装置应用于服务器,服务器与广播域对应的交换机通信连接。如图3所示,本申请实施例的装置包括以下功能模块:
接收模块201,用于接收交换机发送的ARP Probe报文;
解析模块202,用于解析ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
匹配模块203,用于将源MAC地址与数据库存储的MAC地址进行匹配,并确定源MAC地址对应的预设IP地址,其中,在数据库中,每个MAC地址映射一个预设IP地址;
比较模块204,用于将目的IP地址与源MAC地址对应的预设IP地址进行比较,若目的IP地址与源MAC地址对应的预设IP地址不相同,则基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文;
发送模块205,用于将ARP reply报文发送至交换机,以使得交换机将ARP reply报文转发至广播域中的终端设备,并使终端设备在接收到ARP reply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,预设网段内的地址无法访问网络资源。
本申请实施例的装置通过执行基于ARP控制的终端准入方法,能够将目的IP地址与源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
在可选的实施方式中,本申请实施例的装置还包括以下功能模块:
存储模块,用于当数据库不存在源MAC地址时,则将源MAC地址与目的MAC地址存入未确认缓存列表,以使用户基于未确认缓存列表对源MAC地址与目的MAC地址之间的映射关系进行确认。
在上述可选的实施方式中,通过日志生成模块,进而当数据库不存在源MAC地址时,能够将源MAC地址与目的MAC地址存入未确认缓存列表,从而便于用户基于未确认缓存列表对源MAC地址与目的MAC地址之间的映射关系进行确认。
在可选的实施方式中,本申请实施例的装置还包括以下功能模块:
日志生成模块,用于在将ARP reply报文发送至交换机之后,基于源MAC地址、源IP地址、目的MAC地址和目的IP地址生成报警日志,并存储报警日志。
在上述可选的实施方式中,通过日志生成模块,能够生成报警日志,并存储报警日志,从而便于后续的安全分析和便于用户基于日志采取更进一步地处理。
在可选的实施方式中,本申请实施例的装置还包括以下功能模块:
判断模块,用于在基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARPreply报文之前,判断服务器的操作模式是否为处理模式,若服务器的操作模式为处理模式,则触发执行基于源MAC地址、源IP地址、目的MAC地址和目的IP地址构造ARP reply报文。
在上述可选的实施方式中,通过判断模块,能够判断服务器的操作模式是否为处理模式,进而能够只在处理模式下,构造ARP reply报文,这样一来,用户可以根据实际需求开启或关闭防止私自修改IP地址的功能。
需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图4,图4是本申请实施例公开的一种电子设备的结构示意图,如图4所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行本申请的基于ARP控制的终端准入方法。
本申请实施例的电子设备通过执行基于ARP控制的终端准入方法,能够将目的IP地址与源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行本申请的基于ARP控制的终端准入方法。
本申请实施例的存储介质通过执行基于ARP控制的终端准入方法,能够将目的IP地址与源MAC地址对应的预设IP地址进行比较,进而能够在目的IP地址与源MAC地址对应的预设IP地址不相同,构造ARP reply报文,进而终端设备在接收到ARP reply后采用无法访问网络资源的地址,这样一来,当终端设备修改IP地址后,由于修改后的IP地址不在数据库中,此时,终端设备就只能够使用无法访问网络资源的地址,最终限制终端设备私自修改IP地址,并及时使终端设备无法访问网络资源。
与此同时,由于服务器与广播域对应的交换机通信连接,而不需要与每一台终端设备通信连接,因此,本申请还具有网络负担小的优点。再一方面,由于本申请不需要预先在终端设备安装相关代理软件并配置参数,因此,具有管理便捷的优点。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于ARP控制的终端准入方法,其特征在于,所述方法应用于服务器,所述服务器与广播域对应的交换机通信连接,所述方法包括:
接收所述交换机发送的ARP Probe报文;
解析所述ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
将所述源MAC地址与数据库存储的MAC地址进行匹配,并确定所述源MAC地址对应的预设IP地址,其中,在所述数据库中,每个MAC地址映射一个所述预设IP地址;
将所述目的IP地址与所述源MAC地址对应的预设IP地址进行比较,若所述目的IP地址与所述源MAC地址对应的预设IP地址不相同,则基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文;
将所述ARP reply报文发送至所述交换机,以使得所述交换机将所述ARP reply报文转发至所述广播域中的终端设备,并使所述终端设备在接收到所述ARP reply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,所述预设网段内的地址无法访问网络资源。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述数据库不存在所述源MAC地址时,则将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,以使用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
3.如权利要求1所述的方法,其特征在于,在所述将所述ARP reply报文发送至所述交换机之后,所述方法还包括:
基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址生成报警日志,并存储所述报警日志。
4.如权利要求1所述的方法,其特征在于,在所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文之前,所述方法还包括:
判断所述服务器的操作模式是否为处理模式,若所述服务器的操作模式为所述处理模式,则触发执行所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文。
5.一种基于ARP控制的终端准入装置,其特征在于,所述装置应用于服务器,所述服务器与广播域对应的交换机通信连接,所述装置包括:
接收模块,用于接收所述交换机发送的ARP Probe报文;
解析模块,用于解析所述ARP Probe报文,并得到源MAC地址、源IP地址、目的MAC地址、目的IP地址;
匹配模块,用于将所述源MAC地址与数据库存储的MAC地址进行匹配,并确定所述源MAC地址对应的预设IP地址,其中,在所述数据库中,每个MAC地址映射一个所述预设IP地址;
比较模块,用于将所述目的IP地址与所述源MAC地址对应的预设IP地址进行比较,若所述目的IP地址与所述源MAC地址对应的预设IP地址不相同,则基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文;
发送模块,用于将所述ARP reply报文发送至所述交换机,以使得所述交换机将所述ARP reply报文转发至所述广播域中的终端设备,并使所述终端设备在接收到所述ARPreply报文后,发送携带预设网段内的地址的ARP Announcement报文,其中,所述预设网段内的地址无法访问网络资源。
6.如权利要求5所述的装置,其特征在于,所述装置还包括:
存储模块,用于当所述数据库不存在所述源MAC地址时,则将所述源MAC地址与所述目的MAC地址存入未确认缓存列表,以使用户基于所述未确认缓存列表对所述源MAC地址与所述目的MAC地址之间的映射关系进行确认。
7.如权利要求5所述的装置,其特征在于,所述装置还包括:
日志生成模块,用于在所述将所述ARP reply报文发送至所述交换机之后,基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址生成报警日志,并存储所述报警日志。
8.如权利要求5所述的装置,其特征在于,所述装置还包括:
判断模块,用于在所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文之前,判断所述服务器的操作模式是否为处理模式,若所述服务器的操作模式为所述处理模式,则触发执行所述基于所述源MAC地址、所述源IP地址、所述目的MAC地址和所述目的IP地址构造ARP reply报文。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-4任一项所述的基于ARP控制的终端准入方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-4任一项所述的基于ARP控制的终端准入方法。
CN202211447662.4A 2022-11-18 2022-11-18 基于arp控制的终端准入方法、装置、电子设备及存储介质 Active CN115834525B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211447662.4A CN115834525B (zh) 2022-11-18 2022-11-18 基于arp控制的终端准入方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211447662.4A CN115834525B (zh) 2022-11-18 2022-11-18 基于arp控制的终端准入方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115834525A CN115834525A (zh) 2023-03-21
CN115834525B true CN115834525B (zh) 2024-05-28

Family

ID=85529186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211447662.4A Active CN115834525B (zh) 2022-11-18 2022-11-18 基于arp控制的终端准入方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115834525B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921491A (zh) * 2006-09-14 2007-02-28 杭州华为三康技术有限公司 防范利用地址解析协议进行网络攻击的方法及设备
CN1925493A (zh) * 2006-09-15 2007-03-07 杭州华为三康技术有限公司 一种arp报文处理方法及装置
CN101895587A (zh) * 2010-07-06 2010-11-24 中兴通讯股份有限公司 防止用户私自修改ip地址的方法、装置和系统
KR101382527B1 (ko) * 2012-11-23 2014-04-07 유넷시스템주식회사 에이알피 포이즈닝 방지를 위한 네트워크 보안방법 및 보안시스템
CN105245632A (zh) * 2015-10-16 2016-01-13 电子科技大学 一种sdn网络中不同网段主机间通信方法
CN115208606A (zh) * 2022-03-28 2022-10-18 深圳铸泰科技有限公司 一种网络安全防范的实现方法、系统及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921491A (zh) * 2006-09-14 2007-02-28 杭州华为三康技术有限公司 防范利用地址解析协议进行网络攻击的方法及设备
CN1925493A (zh) * 2006-09-15 2007-03-07 杭州华为三康技术有限公司 一种arp报文处理方法及装置
CN101895587A (zh) * 2010-07-06 2010-11-24 中兴通讯股份有限公司 防止用户私自修改ip地址的方法、装置和系统
KR101382527B1 (ko) * 2012-11-23 2014-04-07 유넷시스템주식회사 에이알피 포이즈닝 방지를 위한 네트워크 보안방법 및 보안시스템
CN105245632A (zh) * 2015-10-16 2016-01-13 电子科技大学 一种sdn网络中不同网段主机间通信方法
CN115208606A (zh) * 2022-03-28 2022-10-18 深圳铸泰科技有限公司 一种网络安全防范的实现方法、系统及存储介质

Also Published As

Publication number Publication date
CN115834525A (zh) 2023-03-21

Similar Documents

Publication Publication Date Title
US8732296B1 (en) System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
CN101453495B (zh) 防止授权地址解析协议信息丢失的方法、系统和设备
CN108809890B (zh) 漏洞检测方法、测试服务器及客户端
CN106209920B (zh) 一种dns服务器的安全防护方法以及装置
CN103929429A (zh) 基于RESTful Web服务的网络漏洞扫描系统及方法
CN104205774A (zh) 网络地址储存库管理
WO2013185483A1 (zh) 签名规则的处理方法、服务器及入侵防御系统
CN112221121A (zh) 应用软件联网加速方法、装置及存储介质
CN106789486B (zh) 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN104883360A (zh) 一种arp欺骗的细粒度检测方法及系统
CN101383818B (zh) 一种接入网络的处理方法及装置
CN110691398A (zh) 智能设备的网络交互方法、系统、设备及存储介质
CN111683162A (zh) 一种基于流量识别的ip地址管理方法和装置
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
CN113014602B (zh) 一种基于最优通信路径的工业网络防御方法和系统
CN106790745A (zh) 一种基于arp协议实时监测子网内ip冲突并实时告警的方法及系统
CN110737565B (zh) 一种数据监控方法、装置、电子设备及存储介质
CN115834525B (zh) 基于arp控制的终端准入方法、装置、电子设备及存储介质
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
US8661102B1 (en) System, method and computer program product for detecting patterns among information from a distributed honey pot system
CN109495602B (zh) 一种网络接入异常的处理方法及装置
Song et al. Using FDAD to prevent DAD attack in secure neighbor discovery protocol
CN109218315A (zh) 一种安全管理方法和安全管理装置
US10015179B2 (en) Interrogating malware
Kishimoto et al. An adaptive honeypot system to capture ipv6 address scans

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant