CN1925493A - 一种arp报文处理方法及装置 - Google Patents
一种arp报文处理方法及装置 Download PDFInfo
- Publication number
- CN1925493A CN1925493A CNA2006101521482A CN200610152148A CN1925493A CN 1925493 A CN1925493 A CN 1925493A CN A2006101521482 A CNA2006101521482 A CN A2006101521482A CN 200610152148 A CN200610152148 A CN 200610152148A CN 1925493 A CN1925493 A CN 1925493A
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- address
- arp message
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种ARP报文处理方法:配置网关设备禁止直接对ARP报文的二层转发;网关设备接收ARP报文,判断ARP报文中的目标IP地址是否为网关设备IP地址,如果否,则网关设备将ARP报文中的源MAC地址替换为网关设备MAC地址,并转发至目标端IP设备,目标端IP设备保存ARP报文中的源IP地址和网关设备MAC地址。一种ARP报文处理装置,包括:ARP信息收发单元、目标IP地址判断单元、源IP地址判断单元、ARP信息控制单元和ARP信息存储单元。实施本发明,可以实现广播形式或者单播形式的伪造网关设备IP地址的ARP报文攻击的自动防范,增强网络的可靠性,对IP设备端不需要添加或者更改任何配置,降低配置的工作量,实现简单有效。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种以太网中ARP(AddressResolution Protocol,地址解析协议)报文处理方法及装置。
背景技术
在当前网络技术中,对网络的破坏呈现多元化发展,对网络可靠性、安全性的攻击就是其中的一种,该种攻击不以盗取信息为目的,而是针对网络中的漏洞,对网络中的设备进行破坏或进行配置的更改,破坏网络的正常通信,甚至造成网络瘫痪,其中,对以太网的攻击就是该种攻击的一种常见方式。
以太网中,IP(Internet Protocol,因特网协议)设备之间要进行相互通信,发起通信的源IP设备需要获取目标IP设备的MAC(Media Access Control,媒体访问控制)地址,IP设备之间实际传输帧数据,帧数据中包括目标IP设备的MAC地址,而IP设备在网络中是以IP地址来区分的,则需要实现从IP地址到MAC地址的转换,该转换由ARP协议实现。ARP协议全称为地址解析协议,所谓地址解析即为IP设备在发送帧数据前将目标IP设备的IP地址转换为MAC地址的过程。ARP协议的基本功能是通过目标IP设备的IP地址,查询目标IP设备的MAC地址,以保证通信的顺利进行。
网络中每台支持IP协议的IP设备,其内部均保存有ARP缓存表,ARP缓存表中的IP地址与MAC地址一一对应,代表了IP设备IP地址与MAC地址的映射关系。该映射关系可以通过ARP报文动态学习的方式获取,即IP设备在收到其它IP设备发送的ARP报文后,将报文中该IP设备的IP地址-MAC地址与其自身ARP缓存表中的数据相比较,如果报文中的IP地址-MAC地址在ARP缓存表中不存在,则在ARP缓存表中创建新的ARP表项,并将该IP地址-MAC地址填入;该映射关系还可以通过用户静态配置的方式获取,即用户创建ARP缓存表中的ARP表项,并将IP地址-MAC地址填入,以表示特定的IP设备。
由于在ARP协议设计之初没有考虑安全机制问题,因此ARP协议是一个非常容易受攻击的协议,因此对以太网的攻击则以ARP报文攻击为主。现有技术中,网关设备被配置为对接收到的ARP报文不进行解析处理,而进行该ARP报文的直接二层转发,即直接将源IP设备发送的ARP报文转发至目标IP设备。
较常见的ARP报文攻击为:
非法IP设备伪造网关设备的IP地址向其它合法IP设备发送ARP报文,如果合法IP设备支持ARP报文动态学习,则合法IP设备上ARP缓存表中的网关ARP表项将被修改,该ARP表项具体为:网关设备IP地址-网关设备MAC地址,使得合法IP设备与网关设备的通信失败。
其分为两类攻击形式:
一、非法IP设备通过广播形式发起ARP报文攻击:非法IP设备伪造网关设备的IP地址通过网关设备向网络中所有IP设备发送ARP报文,以修改各IP设备ARP缓存表中网关ARP表项。
二、非法IP设备通过单播形式发起ARP报文攻击:非法IP设备伪造网关设备的IP地址向预攻击的IP设备发送ARP报文,该ARP报文中的目标MAC地址为该预攻击的IP设备的MAC地址,该IP设备收到该ARP报文后,ARP缓存表中的网关ARP表项将被修改,该IP设备与网关设备的通信失败。
如图1所示,现有技术中,非法IP设备通过广播/单播的形式发起伪造网关设备IP地址的ARP报文攻击的步骤如下所述:
步骤(101)、合法IP设备A通过网关设备G与广域网保持通信,此时,在网关设备G的ARP缓存表中建立IP设备A的ARP表项:IP A-MAC A,在IP设备A的ARP缓存表中建立网关ARP表项:IP G-MAC G。
步骤(102)、非法IP设备B伪造网关设备G的IP地址向IP设备A发送ARP报文,该ARP报文可以是ARP广播报文或者ARP单播报文,报文中的源MAC地址为非法IP设备B的MAC地址或者其它无效MAC地址,本步骤中为非法IP设备B的MAC地址:MAC B;IP设备A收到该ARP报文后,进行ARP报文动态学习,IP设备A的ARP缓存表中网关ARP表项被修改为:IP G-MAC B,因此IP设备A与网关设备G的通信失败。
现有技术中针对上述ARP报文攻击采用如下方法进行处理:
第一种方法:对广播形式的ARP报文攻击,网关设备同样可以收到该ARP广播报文,且网关设备收到该ARP广播报文后,根据ARP报文中的IP地址-MAC地址判断该IP地址对应的MAC地址是否为网关设备的MAC地址,如果不是,则网关设备认为该ARP广播报文是非法的攻击报文,网关设备将构造一个合法的ARP报文并在网络中进行广播发送,该合法的ARP报文中包含正确的网关设备的IP地址-MAC地址,网络中各IP设备收到该ARP报文后将ARP缓存表中网关ARP表项修改回来。
第二种方法:在网络中各IP设备上配置静态的网关ARP表项,以防止非法IP设备通过ARP报文攻击对其进行修改。
现有技术的缺点是:
对第一种方法,网关设备只能对非法IP设备发送的ARP广播报文进行检查,如果ARP报文为针对预攻击的IP设备的ARP单播报文,则网关设备不对ARP报文做任何处理;且对ARP广播报文,即使可以通过构造合法ARP报文将各IP设备ARP缓存表中网关ARP表项修改回来,但在修改完毕之前,网络仍会出现中断。
对第二种方法,每个IP设备都必须配置静态的网关ARP表项,增加了配置工作量,且网关设备发生变化时,需要同步修改每个IP设备的配置以保持IP设备与网关的正常通信。
发明内容
本发明要解决的问题是提供一种ARP报文处理方法及装置,以克服现有技术中针对伪造网关设备IP地址的ARP报文攻击处理的不足,以及采用静态配置方法时配置工作量大的缺陷。
为实现本发明的目的,本发明提供一种ARP报文处理方法,包括如下步骤:
A、配置网关设备禁止直接对地址解析协议ARP报文的二层转发;
B、所述网关设备接收ARP报文,判断所述ARP报文中的目标因特网协议IP地址是否为网关设备IP地址,如果否,则执行下述步骤;
C、所述网关设备将所述ARP报文中的源媒体访问控制MAC地址替换为网关设备MAC地址;
D、所述网关设备转发所述ARP报文至目标端IP设备。
步骤D之后还包括:
所述目标端IP设备保存所述ARP报文中的源IP地址和网关设备MAC地址。
步骤B所述网关设备接收ARP报文后,还包括:
所述网关设备判断所述ARP报文中源IP地址是否为网关设备IP地址,如果是,则丢弃所述ARP报文。
步骤B所述网关设备接收ARP报文后,还包括:
所述网关设备保存所述ARP报文中的源IP地址和源MAC地址。
所述步骤D具体为:
所述网关设备查询是否有目标端IP设备对应的ARP表项,如果是,则将所述ARP报文中的目标MAC地址替换为所述ARP表项中的MAC地址并单播转发所述ARP报文;如果否,则广播转发所述ARP报文。
所述ARP报文为ARP请求报文或者ARP应答报文。
所述ARP报文为广播ARP报文或者单播ARP报文。
本发明提供一种ARP报文处理装置,包括:ARP信息收发单元、目标IP地址判断单元和ARP信息控制单元,
所述ARP信息收发单元,用于接收ARP报文;
所述目标IP地址判断单元,用于判断所述ARP信息收发单元接收的所述ARP报文中的目标IP地址是否为网关设备IP地址,如果否,则发送所述ARP报文至所述ARP信息控制单元;
所述ARP信息控制单元,用于将所述ARP报文中的源MAC地址替换为网关设备MAC地址,并发送所述ARP报文至所述ARP信息收发单元进行转发。
还包括:源IP地址判断单元,
所述源IP地址判断单元,用于判断所述ARP信息收发单元接收的所述ARP报文中源IP地址是否为网关设备IP地址,如果是,则发送所述ARP报文至所述ARP信息控制单元进行丢弃。
还包括:ARP信息存储单元,
所述ARP信息存储单元,用于保存所述ARP报文中的源IP地址和源MAC地址。
所述ARP报文为ARP请求报文或者ARP应答报文。
所述ARP报文为广播ARP报文或者单播ARP报文。
与现有技术相比,实施本发明,带来的有益效果是:
实施本发明的ARP报文处理方法及装置,可以实现广播形式或者单播形式的伪造网关设备IP地址的ARP报文攻击的自动防范,增强网络的可靠性,对IP设备端不需要添加或者更改任何配置,降低配置的工作量,实现简单有效:
1.对以广播形式发起的伪造网关设备IP地址的ARP报文攻击,网关设备可以对该ARP报文解析后直接丢弃,网络中的其它IP设备不会接收到该ARP报文,因此其它IP设备ARP缓存表中的网关ARP表项不会被修改;或者网关设备对该ARP报文作ARP代理处理:替换该ARP报文中的源MAC地址为网关设备的MAC地址,则该ARP攻击报文被转换成合法ARP报文,其它IP设备接收到该ARP报文后不会修改网关ARP表项,进而不会导致IP设备与网关设备的通信中断。
2.对以单播形式发起的伪造网关设备IP地址的ARP报文攻击,由于发起攻击的IP设备只能从其ARP缓存表中获取网关设备的MAC地址,而并非预攻击IP设备的真实MAC地址,因此,该ARP报文会发送至网关设备进行解析,网关设备可以对该ARP报文解析后直接丢弃;或者网关设备对该ARP报文作ARP代理处理:替换该ARP报文中的源MAC地址为网关设备的MAC地址,则该ARP攻击报文被转换成合法ARP报文,其它IP设备接收到该ARP报文后不会修改网关ARP表项,因此同样不会导致IP设备与网关设备的通信中断。
附图说明
图1是现有技术ARP报文攻击的示意图;
图2是本发明的ARP报文处理方法的流程图;
图3A是本发明的ARP报文处理系统的示意图1;
图3B是本发明的ARP报文处理系统的示意图2;
图4是本发明的ARP报文处理装置的逻辑工作关系图。
具体实施方式
以下结合附图,对本发明的ARP报文处理方法及装置做进一步说明。
根据现有协议,封装后的帧格式的ARP报文中包括如下内容:
1、用于转发该ARP报文的以太网头部MAC地址,分别包括:
以太网头部的源MAC地址、以太网头部的目标MAC地址。
2、用于网络中网关设备或者IP设备接收到该ARP报文后进行ARP报文动态学习的ARP报文承载内容中发送方和接收方IP地址或者MAC地址:
ARP报文的源IP地址、ARP报文的源MAC地址、ARP报文的目标IP地址和ARP报文的目标MAC地址。
本发明中,对转发封装后的帧格式的ARP报文中以太网头部MAC地址的处理与现有技术相同,而主要针对ARP报文承载内容中发送方和接收方IP地址或者MAC地址进行配置上的改进,因此下述本发明的详细技术方案中不对ARP报文转发过程中以太网头部MAC地址的处理进行赘述,而所提及的源IP地址、源MAC地址、目标IP地址和目标MAC地址均指ARP报文承载内容中发送方和接收方IP地址或者MAC地址。
根据现有技术可知,网络中每个IP设备中都保存有ARP缓存表,ARP缓存表中保存有表示网络中其它IP设备的ARP表项:IP地址-MAC地址。
一个正常ARP报文通信过程为:IP设备1主动向IP设备2发送ARP请求报文,IP设备1根据IP设备2的IP地址首先查询其ARP缓存表中是否有对应的IP设备2的MAC地址,如果没有,则将目标MAC地址填写为全0或者全1的MAC地址,并通过网关设备以广播形式向网络中所有IP设备发送该ARP请求报文。IP设备2接收到该目标IP地址为IP 2的ARP请求报文后,向IP设备1回复ARP应答报文,并在ARP应答报文中携带IP设备2的MAC地址,IP设备1接收该ARP应答报文,在其ARP缓存表中添加表示IP设备2的ARP表项:IP 2-MAC 2。
本发明中,提供一种ARP报文处理方法,如图2所示,以IP设备A、IP设备B以及网关设备G为例,详细说明如下,包括步骤:
步骤(201)、配置网关设备G禁止直接对ARP报文的二层转发,即当网关设备G接收到ARP报文后,不论该ARP报文的目标MAC地址是广播MAC地址还是对网关设备的单播MAC地址,网关设备G均不对该ARP报文进行直接二层转发。
步骤(202)、IP设备B主动发起与IP设备A之间的通信,其需要向IP设备A主动发送ARP请求报文,IP设备B在其ARP缓存表中根据IP设备A的IP地址IP A查询是否有对应的IP设备A的MAC地址MAC A,查询不到,则IP设备B向网关设备G发起对IP设备A的广播形式的ARP请求报文。
由于没有获得IP设备A的MAC地址,因此ARP请求报文中的目标MAC地址项填写为全0或者全1的MAC地址,该ARP请求报文中源IP地址、源MAC地址、目标IP地址和目标MAC地址分别为IP B、MAC B、IP A和全0或者全1的MAC地址。
步骤(203)、网关设备G接收IP设备B发送的ARP请求报文,网关设备G不进行该ARP请求报文的直接二层转发,对该ARP请求报文进行解析处理,解析处理分为两个方案:
一、判断ARP请求报文是否合法:网关设备G判断该ARP请求报文中的源IP地址是否为网关设备IP地址,如果是,则判断该ARP请求报文非法并丢弃该ARP请求报文。
该方案的解析处理为针对ARP报文攻击的特殊处理,具体将会于后续实施例中说明。
二、网关设备G判断该ARP请求报文中的目标IP地址是否为网关设备G的IP地址,由步骤(202)可知,该ARP请求报文中的目标IP地址为IP A,因此网关设备G将对该ARP请求报文作ARP代理处理:替换该ARP请求报文中的源MAC地址为网关设备G的MAC地址:MAC G。
同时网关设备G对该ARP请求报文进行ARP报文动态学习,则网关设备G的ARP缓存表中保存表示IP设备B的ARP表项:IP B-MAC B。
该方案的解析处理为针对合法ARP报文和ARP报文攻击的通用处理,实施后可以达到防范ARP报文攻击的效果,具体将会于后续实施例中说明。
步骤(204)、网关设备G在其ARP缓存表中根据IP设备A的IP地址IPA查询是否有对应的IP设备A的MAC地址MAC A,如果有,则网关设备G将此表项的IP设备A的MAC地址MAC A替换ARP请求报文中的目标MAC地址,并将该ARP请求报文单播转发至IP设备A;如果没有,则网关设备G将该ARP请求报文以广播形式向网络中所有IP设备发送。
步骤(205)、IP设备A接收网关设备G发送的ARP请求报文,对该ARP请求报文进行ARP报文动态学习,由于该ARP请求报文中的源IP地址和源MAC地址分别为:IP B和MAC G;则IP设备A的ARP缓存表中保存表示IP设备B的ARP表项:IP B-MAC G。
ARP报文动态学习完成后,IP设备A回复对应该ARP请求报文的ARP应答报文,并以单播形式回复,在ARP应答报文中的源IP地址、源MAC地址、目标IP地址和目标MAC地址分别为:IP A、MAC A、IP B和MAC G。
步骤(206)、网关设备G接收IP设备A回复的ARP应答报文,不进行该ARP应答报文的直接二层转发,对该ARP应答报文进行解析处理,解析处理分为两个方案:
一、判断ARP应答报文是否合法:网关设备G判断该ARP应答报文中的源IP地址是否为网关设备IP地址,如果是,则判断该ARP应答报文非法并丢弃该ARP应答报文。
该方案的解析处理为针对ARP报文攻击的特殊处理,具体将会于后续实施例中说明。
二、网关设备G判断该ARP请求报文中的目标IP地址是否为网关设备G的IP地址,由步骤(205)可知,该ARP应答报文中的目标IP地址为IP B,因此网关设备G将对该ARP应答报文作ARP代理处理:替换该ARP应答报文中的源MAC地址为网关设备G的MAC地址:MAC G。
同时对该ARP应答报文进行ARP报文动态学习,则网关设备G的ARP缓存表中添加表示IP设备A的ARP表项:IP A-MAC A。
该方案的解析处理为针对合法ARP报文和ARP报文攻击的通用处理,实施后可以达到防范ARP报文攻击的效果,具体将会于后续实施例中说明。
步骤(207)、网关设备G在其ARP缓存表中根据IP设备B的IP地址IPB查询是否有对应的IP设备B的MAC地址MAC B,如果有,则网关设备G用此表项的IP设备B的MAC地址MAC B替换ARP应答报文中目标MAC地址,并将该ARP应答报文单播转发至IP设备B;如果没有,则网关设备G将该ARP应答报文以广播形式向网络中所有IP设备发送。
步骤(208)、IP设备B接收网关设备G回复的ARP应答报文,对该ARP应答报文进行ARP报文动态学习,由于该ARP应答报文中的源IP地址和源MAC地址分别为:IP A、MAC G;则IP设备B的ARP缓存表中保存表示IP设备A的ARP表项:IP A-MAC G。
实施上述方法,最终IP设备A的ARP缓存表中表示IP设备B的ARP表项为:IP B-MAC G。IP设备B的ARP缓存表中表示IP设备A的ARP表项为:IP A-MAC G。网关设备G的ARP缓存表中的ARP表项为:IP A-MACA、IP B-MAC B。则IP设备A与IP设备B之间的通信通过网关设备G三层转发实现。
由现有技术可知,ARP报文攻击没有形式上的限制,可以ARP请求报文的形式进行,也可以ARP应答报文的形式进行,且对于ARP报文攻击,可以广播形式发送,也可以单播形式发送。
通过上述ARP报文处理方法的实施,则实现了ARP报文攻击的自动防范,下面分别以广播形式的ARP报文攻击和单播形式的ARP报文攻击为具体实施例作进一步说明:
实施例一、防范以广播形式发起的ARP报文攻击:以连接到网关设备G的IP设备A、IP设备B为例,具体实现如下所述:
IP设备B伪造网关设备G的IP地址通过网关设备G以广播形式向IP设备A发送ARP报文,该ARP报文中的源IP地址、源MAC地址、目标IP地址和目标MAC地址分别为:IP G、MAC B、IP A和全0或者全1的MAC地址。
网关设备G接收该ARP报文,不进行该ARP报文的直接二层转发,而对该ARP报文进行解析处理:
根据本发明ARP报文处理方法中解析处理方案一、解析过程中,网关设备G发现ARP报文中的源IP地址为:IP G,为其自身IP地址,对应的源MAC地址应为:MAC G,而ARP报文中的源MAC地址为:MAC B,因此判断该ARP报文为非法的攻击报文,网关设备G直接丢弃该ARP报文。
根据本发明ARP报文处理方法中解析处理方案二、解析过程中,网关设备G判断该ARP报文中的目标IP地址是否为网关设备G的IP地址,由于该ARP报文中的目标IP地址为IP A,因此网关设备G将对该ARP报文作ARP代理处理:替换该ARP报文中的源MAC地址为网关设备G的MAC地址:MAC G,则该ARP攻击报文被转换成合法ARP报文,IP设备A接收到该ARP报文后不会修改网关ARP表项。
实施例二、防范以单播形式发起的ARP报文攻击:
以连接到网关设备G的IP设备A、IP设备B为例,具体实现如下所述:
如果IP设备预通过单播形式的伪造网关设备IP地址的ARP报文对网络中其它IP设备进行ARP报文攻击时,攻击端的IP设备首先需要与目标端IP设备进行合法ARP报文通信以获得目标端IP设备的MAC地址,并在获取目标端IP设备的MAC地址后,通过单播形式的伪造网关设备IP地址的ARP报文对目标端IP设备进行ARP报文攻击,即修改目标端IP设备的网关ARP表项。
IP设备B伪造网关设备G的IP地址以单播形式向IP设备A发送ARP报文,根据上述ARP报文处理方法,IP设备B的ARP缓存表中表示IP设备A的ARP表项为:IP A-MAC G,则ARP报文中的源IP地址、源MAC地址、目标IP地址和目标MAC地址分别为:IP G、MAC B、IP A和MAC G。
因此实际上,该ARP报文将会发送至网关设备G,网关设备G接收该ARP报文,不进行该ARP报文的直接二层转发,对该ARP报文进行解析处理:
根据本发明ARP报文处理方法中解析处理方案一、解析过程中,网关设备G发现ARP报文中的源IP地址为:IP G,为其自身IP地址,对应的源MAC地址应为:MAC G,而ARP报文中的源MAC地址为:MAC B,因此判断该ARP报文为非法的攻击报文,则网关设备G直接丢弃该ARP报文。
根据本发明ARP报文处理方法中解析处理方案二、解析过程中,网关设备G判断该ARP报文中的目标IP地址是否为网关设备G的IP地址,由于该ARP报文中的目标IP地址为IP A,因此网关设备G将对该ARP报文作ARP代理处理:替换该ARP报文中的源MAC地址为网关设备G的MAC地址:MAC G,则该ARP攻击报文被转换成合法ARP报文,IP设备A接收到该ARP报文后不会修改网关ARP表项。
由上述实施例可知,实施本发明的ARP报文处理方法,则可以实现以太网中IP设备之间对伪造网关设备IP地址的广播形式或者单播形式的ARP报文攻击的自动防范。
本发明中,同时也提供了一种ARP报文处理系统,该系统建立在多个IP设备及IP设备接入的至少一个网关设备G之间,其中,如图3A所示,各IP设备可以直接接入网关设备G;或者如图3B所示,各IP设备也可以通过不同的网关设备接入同一网关设备G。
如上所述,IP设备向网关设备G发送ARP请求报文或者回复ARP应答报文;接收网关设备G转发的ARP请求报文或者ARP应答报文并对其进行ARP报文动态学习。
网关设备G接收IP设备发送的ARP请求报文或者回复的ARP应答报文,对接收的ARP报文不进行直接二层转发,而首先进行解析处理:
判断该ARP报文中源IP地址是否为网关设备IP地址,如果是,则丢弃该ARP报文。
判断该ARP报文中的目标IP地址是否为网关设备IP地址,如果否,则网关设备将该ARP报文中的源MAC地址替换为网关设备MAC地址并转发。
同时网关设备G对接收的ARP报文进行ARP报文动态学习。
本发明中,还提供一种ARP报文处理装置,实为网关设备,包括:
ARP信息收发单元、目标IP地址判断单元、源IP地址判断单元、ARP信息控制单元和ARP信息存储单元。
如图4所示,上述各功能单元的逻辑工作关系如下所述:
ARP信息收发单元接收ARP报文,并发送该ARP报文至源IP地址判断单元或者目标IP地址判断单元。
源IP地址判断单元判断该ARP报文中源IP地址是否为网关设备IP地址,如果是,则发送该ARP报文至ARP信息控制单元进行丢弃。
目标IP地址判断单元判断该ARP报文中的目标IP地址是否为网关设备IP地址,如果否,则发送该ARP报文至ARP信息控制单元,ARP信息控制单元将该ARP报文中的源MAC地址替换为网关设备MAC地址,并发送该ARP报文至ARP信息收发单元进行转发。
ARP信息存储单元保存该ARP报文中的源IP地址和源MAC地址。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (12)
1.一种ARP报文处理方法,其特征在于,包括如下步骤:
A、配置网关设备禁止直接对地址解析协议ARP报文的二层转发;
B、所述网关设备接收ARP报文,判断所述ARP报文中的目标因特网协议IP地址是否为网关设备IP地址,如果否,则执行下述步骤;
C、所述网关设备将所述ARP报文中的源媒体访问控制MAC地址替换为网关设备MAC地址;
D、所述网关设备转发所述ARP报文至目标端IP设备。
2.根据权利要求1所述ARP报文处理方法,其特征在于,步骤D之后还包括:
所述目标端IP设备保存所述ARP报文中的源IP地址和网关设备MAC地址。
3.根据权利要求1所述ARP报文处理方法,其特征在于,步骤B所述网关设备接收ARP报文后,还包括:
所述网关设备判断所述ARP报文中源IP地址是否为网关设备IP地址,如果是,则丢弃所述ARP报文。
4.根据权利要求1所述ARP报文处理方法,其特征在于,步骤B所述网关设备接收ARP报文后,还包括:
所述网关设备保存所述ARP报文中的源IP地址和源MAC地址。
5.根据权利要求1所述ARP报文处理方法,其特征在于,所述步骤D具体为:
所述网关设备查询是否有目标端IP设备对应的ARP表项,如果是,则将所述ARP报文中的目标MAC地址替换为所述ARP表项中的MAC地址并单播转发所述ARP报文;如果否,则广播转发所述ARP报文。
6.根据权利要求1至5中任一项所述ARP报文处理方法,其特征在于,所述ARP报文为ARP请求报文或者ARP应答报文。
7.根据权利要求1至5中任一项所述ARP报文处理方法,其特征在于,所述ARP报文为广播ARP报文或者单播ARP报文。
8.一种ARP报文处理装置,其特征在于,包括:ARP信息收发单元、目标IP地址判断单元和ARP信息控制单元,
所述ARP信息收发单元,用于接收ARP报文;
所述目标IP地址判断单元,用于判断所述ARP信息收发单元接收的所述ARP报文中的目标IP地址是否为网关设备IP地址,如果否,则发送所述ARP报文至所述ARP信息控制单元;
所述ARP信息控制单元,用于将所述ARP报文中的源MAC地址替换为网关设备MAC地址,并发送所述ARP报文至所述ARP信息收发单元进行转发。
9.根据权利要求8所述ARP报文处理装置,其特征在于,还包括:源IP地址判断单元,
所述源IP地址判断单元,用于判断所述ARP信息收发单元接收的所述ARP报文中源IP地址是否为网关设备IP地址,如果是,则发送所述ARP报文至所述ARP信息控制单元进行丢弃。
10.根据权利要求8所述ARP报文处理装置,其特征在于,还包括:ARP信息存储单元,
所述ARP信息存储单元,用于保存所述ARP报文中的源IP地址和源MAC地址。
11.根据权利要求8至10中任一项所述ARP报文处理装置,其特征在于,所述ARP报文为ARP请求报文或者ARP应答报文。
12.根据权利要求8至10中任一项所述ARP报文处理装置,其特征在于,所述ARP报文为广播ARP报文或者单播ARP报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101521482A CN100553259C (zh) | 2006-09-15 | 2006-09-15 | 一种arp报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101521482A CN100553259C (zh) | 2006-09-15 | 2006-09-15 | 一种arp报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1925493A true CN1925493A (zh) | 2007-03-07 |
| CN100553259C CN100553259C (zh) | 2009-10-21 |
Family
ID=37817958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101521482A Active CN100553259C (zh) | 2006-09-15 | 2006-09-15 | 一种arp报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100553259C (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009033402A1 (fr) * | 2007-09-06 | 2009-03-19 | Huawei Technologies Co., Ltd. | Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp |
| WO2010060246A1 (zh) * | 2008-11-25 | 2010-06-03 | 中兴通讯股份有限公司 | 实现arp请求广播限制的方法和装置 |
| CN101193116B (zh) * | 2007-07-09 | 2010-07-28 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN101026591B (zh) * | 2007-04-13 | 2010-11-03 | 杭州华三通信技术有限公司 | 一种网段地址重叠的用户互访方法及路由转发设备 |
| CN101562542B (zh) * | 2009-05-21 | 2011-06-29 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| CN101394360B (zh) * | 2008-11-10 | 2011-07-20 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
| CN102196054A (zh) * | 2010-03-11 | 2011-09-21 | 正文科技股份有限公司 | 路由装置及相关的控制电路 |
| CN101521631B (zh) * | 2009-04-14 | 2012-05-23 | 华为技术有限公司 | Vpls网络报文处理方法、设备及系统 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
| CN102655473A (zh) * | 2011-03-03 | 2012-09-05 | 华为技术有限公司 | 一种通信方法、设备及系统 |
| CN103023818A (zh) * | 2012-12-10 | 2013-04-03 | 杭州华三通信技术有限公司 | 媒体接入控制强制转发arp报文的方法及装置 |
| US8542684B2 (en) | 2007-07-20 | 2013-09-24 | Huawei Technologies Co., Ltd. | ARP packet processing method, communication system and device |
| CN104601460A (zh) * | 2015-02-16 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN111683073A (zh) * | 2020-05-29 | 2020-09-18 | 烽火通信科技股份有限公司 | 一种基于mac的三层应用的通信方法及系统 |
| CN112532526A (zh) * | 2020-11-30 | 2021-03-19 | 迈普通信技术股份有限公司 | 数据转发方法、装置及网络设备 |
| CN112688958A (zh) * | 2020-12-30 | 2021-04-20 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
| US11109094B2 (en) | 2004-07-16 | 2021-08-31 | TieJun Wang | Method and system for efficient communication |
| CN115834525A (zh) * | 2022-11-18 | 2023-03-21 | 湖北天融信网络安全技术有限公司 | 基于arp控制的终端准入方法、装置、电子设备及存储介质 |
| US20230198934A1 (en) * | 2020-05-30 | 2023-06-22 | Huawei Technologies Co., Ltd. | Reverse address resolution method and electronic device |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
-
2006
- 2006-09-15 CN CNB2006101521482A patent/CN100553259C/zh active Active
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11109094B2 (en) | 2004-07-16 | 2021-08-31 | TieJun Wang | Method and system for efficient communication |
| CN101026591B (zh) * | 2007-04-13 | 2010-11-03 | 杭州华三通信技术有限公司 | 一种网段地址重叠的用户互访方法及路由转发设备 |
| CN101193116B (zh) * | 2007-07-09 | 2010-07-28 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| US9148374B2 (en) | 2007-07-20 | 2015-09-29 | Huawei Technologies Co., Ltd. | ARP packet processing method, communication system and device |
| US8542684B2 (en) | 2007-07-20 | 2013-09-24 | Huawei Technologies Co., Ltd. | ARP packet processing method, communication system and device |
| US8302190B2 (en) | 2007-09-06 | 2012-10-30 | Huawei Technologies Co., Ltd. | Method and apparatus for defending against ARP spoofing attacks |
| WO2009033402A1 (fr) * | 2007-09-06 | 2009-03-19 | Huawei Technologies Co., Ltd. | Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp |
| CN101394360B (zh) * | 2008-11-10 | 2011-07-20 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
| CN101741702B (zh) * | 2008-11-25 | 2012-02-29 | 中兴通讯股份有限公司 | 实现arp请求广播限制的方法和装置 |
| WO2010060246A1 (zh) * | 2008-11-25 | 2010-06-03 | 中兴通讯股份有限公司 | 实现arp请求广播限制的方法和装置 |
| CN101521631B (zh) * | 2009-04-14 | 2012-05-23 | 华为技术有限公司 | Vpls网络报文处理方法、设备及系统 |
| CN101562542B (zh) * | 2009-05-21 | 2011-06-29 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| CN102196054A (zh) * | 2010-03-11 | 2011-09-21 | 正文科技股份有限公司 | 路由装置及相关的控制电路 |
| CN102655473A (zh) * | 2011-03-03 | 2012-09-05 | 华为技术有限公司 | 一种通信方法、设备及系统 |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
| CN102571579B (zh) * | 2011-12-30 | 2015-01-07 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| CN103023818A (zh) * | 2012-12-10 | 2013-04-03 | 杭州华三通信技术有限公司 | 媒体接入控制强制转发arp报文的方法及装置 |
| CN103023818B (zh) * | 2012-12-10 | 2016-04-20 | 杭州华三通信技术有限公司 | 媒体接入控制强制转发arp报文的方法及装置 |
| CN104601460B (zh) * | 2015-02-16 | 2018-12-25 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN104601460A (zh) * | 2015-02-16 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN111683073A (zh) * | 2020-05-29 | 2020-09-18 | 烽火通信科技股份有限公司 | 一种基于mac的三层应用的通信方法及系统 |
| US20230198934A1 (en) * | 2020-05-30 | 2023-06-22 | Huawei Technologies Co., Ltd. | Reverse address resolution method and electronic device |
| US12041026B2 (en) * | 2020-05-30 | 2024-07-16 | Huawei Technologies Co., Ltd. | Reverse address resolution method and electronic device |
| CN112532526A (zh) * | 2020-11-30 | 2021-03-19 | 迈普通信技术股份有限公司 | 数据转发方法、装置及网络设备 |
| CN112532526B (zh) * | 2020-11-30 | 2022-05-17 | 迈普通信技术股份有限公司 | 数据转发方法、装置及网络设备 |
| CN112688958A (zh) * | 2020-12-30 | 2021-04-20 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
| CN112688958B (zh) * | 2020-12-30 | 2023-03-21 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
| CN115834525A (zh) * | 2022-11-18 | 2023-03-21 | 湖北天融信网络安全技术有限公司 | 基于arp控制的终端准入方法、装置、电子设备及存储介质 |
| CN115834525B (zh) * | 2022-11-18 | 2024-05-28 | 湖北天融信网络安全技术有限公司 | 基于arp控制的终端准入方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100553259C (zh) | 2009-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1925493A (zh) | 一种arp报文处理方法及装置 | |
| CN1863157A (zh) | 穿越nat实现网络通信的方法及装置 | |
| CN1310467C (zh) | 基于端口的网络访问控制方法 | |
| CN1856163A (zh) | 一种具有会话边界控制器的通信系统及其传输信令的方法 | |
| CN1756213A (zh) | P2p及udp、tcp类型和多策略的p2p连接建立方法 | |
| CN1744572A (zh) | 控制组播数据转发的交换设备及方法 | |
| CN1921457A (zh) | 一种网络设备和基于多核处理器的报文转发方法 | |
| CN101043510A (zh) | Pci-e总线分布式系统单板内及单板间数据通讯方法 | |
| CN1272947C (zh) | 防垃圾邮件的实现方法 | |
| CN101060493A (zh) | 一种私网内用户通过域名访问私网内服务器的方法 | |
| CN1697456A (zh) | 在具有多个接口的移动站中的通信方法和装置 | |
| CN1878118A (zh) | 一种实现数据通讯的系统及其方法 | |
| CN101064736A (zh) | 一种计算机网络风险评估的装置及其方法 | |
| CN1960565A (zh) | 演进的移动通信网络及终端向演进的3g接入网络注册方法 | |
| CN1805388A (zh) | 一种建立对等直连通道的方法 | |
| CN1722729A (zh) | 用于在异构网络之间通信的系统和方法 | |
| CN1825828A (zh) | 一种两端均处于不同nat下直接穿透通信的控制方法和设备 | |
| CN1921491A (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
| CN1801711A (zh) | 一种组播组成员认证方法和装置 | |
| CN1925450A (zh) | 一种防止媒体流迂回的通信方法 | |
| CN1501659A (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
| CN1731740A (zh) | 网络设备的管理方法及网络管理系统 | |
| CN1809032A (zh) | 媒体接入控制层地址的动态学习方法 | |
| CN1777150A (zh) | 隔离用户虚拟局域网的实现方法及其应用的网络设备 | |
| CN1767493A (zh) | 实现voip业务穿越私网的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |