CN101834870A - 一种防止mac地址欺骗攻击的方法和装置 - Google Patents
一种防止mac地址欺骗攻击的方法和装置 Download PDFInfo
- Publication number
- CN101834870A CN101834870A CN201010171167A CN201010171167A CN101834870A CN 101834870 A CN101834870 A CN 101834870A CN 201010171167 A CN201010171167 A CN 201010171167A CN 201010171167 A CN201010171167 A CN 201010171167A CN 101834870 A CN101834870 A CN 101834870A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- mac address
- dhcp message
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止MAC地址欺骗攻击的方法和装置,所述方法包括:交换设备在接收到用户端口侧发送的非动态主机配置协议DHCP报文时,基于预先配置的静态MAC地址表,检测所述非DHCP报文的合法性,当所述非DHCP报文不合法时,丢弃该报文。所述装置包括:报文接收模块和非DHCP报文转发/过滤模块。本发明提供的方法防止了接入设备的MAC地址欺骗,并且有效的避免了交换设备上的MAC地址协议发生迁移,造成数据转发紊乱,使用户遭受Dos攻击的情况。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防止MAC(Media Access Control,介质访问控制)地址欺骗攻击的方法和装置。
背景技术
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。动态主机配置协议DHCP(Dynamic Host Configuration Protocol)就是为满足这些需求而发展起来的,在网络规模较大的情况下,通常采用DHCPServer来完成IP地址分配。
DHCP协议本身不具有安全性,应用DHCP协议的网络环境中存在被攻击的风险。攻击者可以利用模拟发包软件,发送大量伪造源MAC变化的报文。交换机CAM表很快被攻击者发出的海量MAC拥塞并溢出,无法学习新的MAC地址,报文将在VLAN内所有端口产生广播。攻击者利用VLAN上所有端口的广播可以进行流量监听,扫描其中有用信息,从攻击者通过MAC地址攻击实现广播风暴的蔓延,使交换机以HUB的方式工作,从而达到DoS的目的而产生安全隐患。攻击者还可以冒充另一个合法用户的MAC地址发送数据报文,交换设备就会把MAC地址学习到恶意用户的端口上,从而造成合法用户MAC地址学习迁移,扰乱设备的报文转发,使合法用户无法正常访问网络。
发明内容
本发明提供一种防止MAC地址欺骗攻击的方法和装置,用以解决现有技术中DHCP存在安全隐患,使得正常用户存在被攻击风险的问题。
具体的,本发明提供一种防止MAC地址欺骗攻击的方法,包括:
交换设备在接收到用户端口侧发送的非DHCP报文时,基于预先配置的静态MAC地址表,检测所述非DHCP报文的合法性,当所述非DHCP报文不合法时,丢弃该报文。
所述方法中,静态MAC地址表中包括:已通过DHCP完成IP地址申请的用户所对应的MAC地址及与该MAC地址绑定的用户端口号。
所述方法中,非DHCP报文不合法是指:
所述非DHCP报文的源MAC地址不在预先配置的静态MAC地址表中;或者,所述非DHCP报文的源MAC地址在所述静态MAC地址表中,但非DHCP报文的接收端口号与所述静态MAC地址表项中用户端口号不对应。
所述方法中,所述交换设备接收到DHCP服务器或者汇聚交换机发送的非DHCP报文时,判断所述非DHCP报文的源MAC地址是否在所述交换设备维护的动态MAC地址表中,若是,转发所述非DHCP报文;否则,将所述非DHCP报文的源MAC地址学习到接收该报文的端口上,并转发所述非DHCP报文。
所述方法中,交换设备在接收到DHCP报文时,基于所述DHCP报文的类型进行DHCP用户信息绑定表的创建、更新或删除,并完成对所述DHCP报文的转发。
所述方法中,静态MAC地址表的配置方式包括:
所述交换设备在接收到DHCP报文且所述DHCP报文的类型为ACK报文时,基于所述ACK消息更新已创建的DHCP用户信息绑定表,并将更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口号配置到所述静态MAC地址表中。
进一步的,所述交换设备在接收到的所述DHCP报文的类型为Release或Decline报文时,或者在所述DHCP用户信息绑定表中某一表项租期到期时,删除所述静态MAC地址表中对应用户的MAC地址信息。
本发明还提供一种交换设备,包括:
报文接收模块,用于在接收到用户端口侧发送的非DHCP报文时,触发非DHCP报文转发/过滤模块;
非DHCP报文转发/过滤模块,用于基于预先配置的静态MAC地址表,检测所述非DHCP报文的合法性,当所述所述非DHCP报文不合法时,丢弃所述非DHCP报文。
本发明提供的交换设备,进一步具有以下特点:
所述非DHCP报文转发/过滤模块中静态MAC地址表包括:已通过DHCP完成IP地址申请的用户所对应的MAC地址及与该MAC地址绑定的用户端口号。
所述非DHCP报文转发/过滤模块中非DHCP报文不合法是指:
所述非DHCP报文的源MAC地址不在预先配置的静态MAC地址表中;或者,所述非DHCP报文的源MAC地址在所述静态MAC地址表中,但非DHCP报文的接收端口号与所述静态MAC地址表项中用户端口号不对应。
所述交换设备还包括:DHCP报文侦听模块;
所述报文接收模块,还用于在接收到DHCP报文时,触发所述DHCP报文侦听模块
DHCP报文侦听模块,用于基于所述DHCP报文的类型进行DHCP用户信息绑定表的创建、更新或删除,并完成对所述DHCP报文的转发。
进一步的,所述DHCP报文侦听模块在所述DHCP报文的类型为ACK报文时,基于所述ACK消息更新已创建的DHCP用户信息绑定表,并将更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口号配置到所述静态MAC地址表中。
所述DHCP报文侦听模块在接收到的所述DHCP报文的类型为Release或Decline报文时,或者在所述DHCP用户信息绑定表中某一表项租期到期时,删除所述静态MAC地址表中对应用户的MAC地址信息。
与现有技术相比,本发明有益效果如下:
本发明提供的方法,根据静态MAC地址表,对来自用户端口侧的报文进行源MAC地址过滤,丢弃掉报文源MAC地址不在静态MAC地址表中的报文,从而防止了接入设备的MAC地址欺骗,并且有效的避免了交换设备上的MAC地址协议发生迁移,造成数据转发紊乱,使用户遭受Dos攻击的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为接入网络基本结构图;
图2为本发明提供的防止MAC地址欺骗攻击的方法流程图;
图3为本发明提供的防止MAC地址欺骗攻击的装置结构图;
图4为本发明中DHCP侦听模块进行DHCP报文的处理流程图;
图5为本发明中非DHCP报文转发/过滤模块对非DHCP报文的处理流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中存在的问题,本发明提供了一种防止MAC地址欺骗攻击的方法和装置。
在进行方法阐述前,首先对所述方法应用的接入网络进行简单说明,如图1所示,为接入网络的基本结构图。具体的,该接入网络包括用户终端、交换设备和DHCP服务器。
其中,用户终端,一般是PC,作为DHCP Client通过DHCP协议获取IP地址及其他配置信息;
交换设备,根据MAC地址进行报文转发;
DHCP服务器,处理用户终端的DHCP请求,分配给DHCP Client包括IP,网关,DNS等配置信息。
本发明所述方法为了解决现有技术中存在的问题,将上述交换设备接用户终端的端口设置为非信任端口;将连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口设置为信任端口。对于不信任端口,关闭MAC地址学习,并对除DHCP外的报文进行源MAC地址检查;对于信任端口,进行动态MAC地址学习,不进行源MAC地址检查。
基于上述的原理性表述,下面给出本发明提供的防止MAC地址欺骗攻击方法的具体实现过程,如图2所示,包括以下步骤:
步骤S201、交换设备接收用户端口侧(即非信任端口)发送的非DHCP报文。
步骤S202、基于预先配置的静态MAC地址表检测所述非DHCP报文的合法性,若合法,执行步骤S203;否则,执行步骤S204。
其中,静态MAC地址表中包括:已通过DHCP完成IP地址申请的用户所对应的MAC地址及与该MAC地址绑定的用户端口号。
步骤S203、查找所述非DHCP报文的目的MAC地址,若查找到,根据目的MAC地址,完成报文转发;若未查找到,通过广播的方式完成报文转发。
步骤S204、丢弃所述非DHCP报文。
本发明提供的方法,有效的防止了接入设备的MAC地址欺骗,并且有效的避免了交换设备上的MAC地址协议发生迁移,造成数据转发紊乱,使用户遭受Dos攻击的情况。
为了更清楚的表述本发明,下面结合交换设备的具体结构,对本发明所述方法进行描述,使其能够更好地说明本发明提供方法的具体实现过程。
如图3所示,为交换设备的结构框图,具体的,该交换设备包括:报文接收模块310,非DHCP报文转发/过滤模块320、MAC地址表模块330、DHCP报文侦听模块340;其中:
报文接收模块310:接收信任端口和非信任端口发送的报文,根据DHCP协议报文的特征,从接收到的报文中,提取出DHCP报文,将DHCP报文送及其对应的用户端口信息传递给DHCP侦听模块340;将非DHCP报文及其对应的用户端口信息传递给非DHCP报文转发/过滤模块320。
非DHCP报文转发/过滤模块320:接收到非DHCP报文时,检测报文的用户端口信息,如果用户端口信息是非信任端口,基于MAC地址表模块330中的静态MAC地址表项,对所述非DHCP报文的源MAC地址进行合法性检查,当非DHCP报文不合法时,丢弃该非DHCP报文;否则,获取所述非DHCP报文的目的MAC地址,并根据获取到的目的MAC地址查找交换设备中存储的MAC转发表,根据该MAC转发表中存储的与MAC地址相应的端口转发接收的报文;然而,若在MAC转发表中查找不到目的MAC地址,则将该报文通过广播的方式向除接收端口外的所有端口转发。
其中,非DHCP报文不合法是指:非DHCP报文的源MAC地址,在MAC地址表模块330中的静态MAC地址表项中不存在,或者非DHCP报文的源MAC地址在所述静态MAC地址表中,但该非DHCP报文的接收端口与静态MAC地址表项中记录的用户端口号不对应。
另一种情况,如果用户端口信息为信任端口,判断非DHCP报文的源MAC地址是否在MAC地址表模块330中的动态MAC地址表中,若是,根据该报文目的MAC地址及交换设备中存储的MAC转发表转发该报文;否则,将所述非DHCP报文的源MAC地址学习到接收该报文的端口上,并根据该报文目的MAC地址及交换设备中存储的MAC转发表转发该报文。
需要说明的是,上述报文转发过程中,若在交换设备的MAC转发表中查找不到目的MAC地址,则将该报文通过广播的方式向除接收端口外的所有端口转发。
MAC地址表模块330:该模块是非DHCP报文转发/过滤模块320报文转发和过滤的依据;该MAC地址表中包括静态MAC地址表和动态MAC地址表,动态MAC地址是非DHCP报文转发/过滤模块320从信任端口学习到的;静态MAC地址表是DHCP侦听模块根据DHCP用户信息绑定表配置的。
DHCP报文侦听模块340:在接收到DHCP报文时,基于所述DHCP报文的类型进行DHCP用户信息绑定表的创建、更新或删除,并完成对所述DHCP报文的转发。优选的,该DHCP报文侦听模块还会基于创建的DHCP用户信息绑定表对MAC地址表模块330中的静态MAC地址表进行配置。
具体的,该DHCP报文侦听模块340包括:DHCP报文解析模块341、DHCP用户信息绑定表模块342和DHCP报文转发模块343。
DHCP报文解析模块341:用于对接收到的DHCP报文进行解析,获取用户配置信息,用来进行DHCP用户信息绑定表的创建和维护。其中,配置信息包括IP地址、MAC地址、用户端口信息和租期。
DHCP用户信息绑定表模块342:根据DHCP报文解析模块341获取的用户配置信息,生成、维护或更新绑定表,绑定表包括:IP地址,租期,用户端口,MAC地址。绑定表中的每个表项都有一个根据租期进行老化的定时器,超过这个周期时进行表项老化删除。
下面结合DHCP报文的类型对DHCP用户信息绑定表的创建、维护和更新过程进行说明,并结合获取的DHCP用户信息绑定表对静态MAC地址表的配置过程进行说明,具体包括:
如果接收到的DHCP报文为请求报文Discover,则基于报文的配置信息建立DHCP用户信息绑定表,填入用户MAC地址,用户端口,租期设置为60秒,这时没有用户IP,IP设置为0。
如果接收到的DHCP报文为请求报文Request,查看是否存在相应的DHCP用户信息绑定表,不存在则创建DHCP用户信息绑定表,否则,维护当前存在的DHCP用户信息绑定表。
如果接收到的DHCP报文为响应报文ACK,从报文中获取分配的IP地址和租期等信息,更新绑定表,将分配给用户的IP地址设置到对应的DHCP用户信息绑定表项中,把租期设置为报文中的租期;并将绑定表中的用户MAC和用户端口设置到静态MAC地址表中,使MAC地址和用户端口绑定。
如果接收到的DHCP报文为Release或Decline,删除该用户的DHCP用户信息绑定表项,同时删除静态MAC地址表中的该用户MAC地址信息,解除用户MAC地址和用户端口的绑定关系。
如果DHCP用户信息绑定表中某表项的租期到了,则删除对应用户绑定表,同时删除静态MAC地址表中的该用户MAC地址信息,解除用户MAC地址和用户端口的关联。
DHCP报文转发模块343:为增加DHCP协议应用的安全性,同时减少二层网络的广播报文发送,节省网络带宽资源,DHCP报文转发是根据已创建的DHCP用户信息绑定表转发的;具体的,对于DHCP请求报文,根据接口属性,只向信任端口转发;对于DHCP响应报文,根据从报文中获取到的用户主机MAC地址,查询DHCP用户信息绑定表,向DHCP用户信息绑定表中的用户端口转发DHCP报文。
下面通过图4对DHCP侦听模块进行DHCP报文的处理流程进行进一步说明,如图4所示,该过程包括以下步骤:
步骤S401、DHCP侦听模块接收到从报文接收模块传递过来的DHCP报文。
步骤S402、解析DHCP报文,获取用户配置信息。
步骤S403、判断DHCP报文的类型是请求报文还是响应报文,若为请求报文,执行步骤S404;若为响应报文,执行步骤S408。
步骤S404、判断是否是Discover或Request报文,若是,执行步骤S405;若不是,则请求报文为Release或Decline报文,执行步骤S406。
步骤S405、对于Discover或Request报文,查看是否存在相应的DHCP用户信息绑定表,不存在则创建DHCP用户信息绑定表,并向信任端口转发报文。
步骤S406、对于Release或Decline报文,删除对应用户的DHCP用户信息绑定表项、删除静态MAC地址表中的用户MAC地址,解除和用户端口的绑定关系。
步骤S407、向信任端口转发报文。
步骤S408、对于响应报文,判断报文接收端口是否是信任端口,若是非信任端口,执行步骤S409;若是信任端口,执行步骤S410。
步骤S409、丢弃报文。
步骤S410、在响应报文是ACK报文时,从报文中获取相关信息,更新DHCP用户信息绑定表(即更新表项中的IP地址和租期信息),将更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口设置到静态MAC地址表中,使MAC地址和用户端口绑定;同时,根据更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口转发该ACK报文;
在响应报文是Offer报文时,根据DHCP用户信息绑定表中的用户MAC和用户接入端口转发该Offer报文;
在响应报文是Nak报文时,根据DHCP用户信息绑定表中的用户MAC和用户接入端口转发该Nak报文,并删除该用户对应的DHCP用户信息绑定表项、删除静态MAC地址表中的用户MAC地址,解除和用户端口的绑定关系。
如图5所示,为非DHCP报文转发/过滤模块对报文的处理流程,包括以下步骤:
步骤S501、接收非DHCP报文。
步骤S502、判断接收到的非DHCP报文端口是信任端口还是非信任端口,若是信任端口,执行步骤S506;若是非信任端口,执行步骤S503。
步骤S503、对于来自非信任端口的报文,基于静态MAC地址表,检测非DHCP报文是否合法,若是,执行步骤S505;否则,执行步骤S504。
步骤S504、丢弃该非DHCP报文。
步骤S505、进行报文转发。
步骤S506、对于来自信任端口的报文,检测报文的源MAC是否在交换设备的MAC转发表中,若在,执行步骤S508;否则,执行步骤S507。
步骤S507、对报文的源MAC地址进行动态MAC地址学习,然后执行步骤S508。
步骤S508、进行报文转发。
本发明提供的方法和装置,基于配置的静态MAC地址表,对来自用户端口侧的非DHCP报文进行过滤,通过对报文的源MAC地址这一合法性检查,使得只有通过DHCP申请IP地址的用户才能访问网络,从而防止了接入设备的MAC地址欺骗,并且有效的避免了交换设备上的MAC地址协议发生迁移,造成数据转发紊乱,使用户遭受Dos攻击的情况。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种防止介质访问控制MAC地址欺骗攻击的方法,其特征在于,包括:
交换设备在接收到用户端口侧发送的非动态主机配置协议DHCP报文时,基于预先配置的静态MAC地址表,检测所述非DHCP报文的合法性,当所述非DHCP报文不合法时,丢弃该报文。
2.如权利要求1所述的方法,其特征在于,所述静态MAC地址表中包括:已通过DHCP完成IP地址申请的用户所对应的MAC地址及与该MAC地址绑定的用户端口号。
3.如权利要求2所述的方法,其特征在于,所述非DHCP报文不合法是指:
所述非DHCP报文的源MAC地址不在预先配置的静态MAC地址表中;或者,所述非DHCP报文的源MAC地址在所述静态MAC地址表中,但非DHCP报文的接收端口号与所述静态MAC地址表项中用户端口号不对应。
4.如权利要求1或2或3所述的方法,其特征在于,所述交换设备接收到DHCP服务器或者汇聚交换机发送的非DHCP报文时,判断所述非DHCP报文的源MAC地址是否在所述交换设备维护的动态MAC地址表中,若是,转发所述非DHCP报文;否则,将所述非DHCP报文的源MAC地址学习到接收该报文的端口上,并转发所述非DHCP报文。
5.如权利要求1所述的方法,其特征在于,所述交换设备在接收到DHCP报文时,基于所述DHCP报文的类型进行DHCP用户信息绑定表的创建、更新或删除,并完成对所述DHCP报文的转发。
6.如权利要求5所述的方法,其特征在于,所述静态MAC地址表的配置方式包括:
所述交换设备在接收到DHCP报文且所述DHCP报文的类型为ACK报文时,基于所述ACK消息更新已创建的DHCP用户信息绑定表,并将更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口号配置到所述静态MAC地址表中。
7.如权利要求5所述的方法,其特征在于,所述交换设备在接收到的所述DHCP报文的类型为Release或Decline报文时,或者在所述DHCP用户信息绑定表中某一表项租期到期时,删除所述静态MAC地址表中对应用户的MAC地址信息。
8.一种交换设备,其特征在于,包括:
报文接收模块,用于在接收到用户端口侧发送的非DHCP报文时,触发非DHCP报文转发/过滤模块;
非DHCP报文转发/过滤模块,用于基于预先配置的静态MAC地址表,检测所述非DHCP报文的合法性,当所述所述非DHCP报文不合法时,丢弃所述非DHCP报文。
9.如权利要求8所述的交换设备,其特征在于,所述非DHCP报文转发/过滤模块中静态MAC地址表包括:已通过DHCP完成IP地址申请的用户所对应的MAC地址及与该MAC地址绑定的用户端口号。
10.如权利要求9所述的交换设备,其特征在于,所述非DHCP报文转发/过滤模块中非DHCP报文不合法是指:
所述非DHCP报文的源MAC地址不在预先配置的静态MAC地址表中;或者,所述非DHCP报文的源MAC地址在所述静态MAC地址表中,但非DHCP报文的接收端口与所述静态MAC地址表项中用户端口号不对应。
11.如权利要求8所述的交换设备,其特征在于,还包括:DHCP报文侦听模块;
所述报文接收模块,还用于在接收到DHCP报文时,触发所述DHCP报文侦听模块
DHCP报文侦听模块,用于基于所述DHCP报文的类型进行DHCP用户信息绑定表的创建、更新或删除,并完成对所述DHCP报文的转发。
12.如权利要求11所述的交换设备,其特征在于,
所述DHCP报文侦听模块在所述DHCP报文的类型为ACK报文时,基于所述ACK消息更新已创建的DHCP用户信息绑定表,并将更新后的DHCP用户信息绑定表中的用户MAC地址和用户端口号配置到所述静态MAC地址表中。
13.如权利要求11所述的交换设备,其特征在于,所述DHCP报文侦听模块在接收到的所述DHCP报文的类型为Release或Decline报文时,或者在所述DHCP用户信息绑定表中某一表项租期到期时,删除所述静态MAC地址表中对应用户的MAC地址信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010171167A CN101834870A (zh) | 2010-05-13 | 2010-05-13 | 一种防止mac地址欺骗攻击的方法和装置 |
PCT/CN2010/078957 WO2011140795A1 (zh) | 2010-05-13 | 2010-11-22 | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010171167A CN101834870A (zh) | 2010-05-13 | 2010-05-13 | 一种防止mac地址欺骗攻击的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101834870A true CN101834870A (zh) | 2010-09-15 |
Family
ID=42718799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010171167A Pending CN101834870A (zh) | 2010-05-13 | 2010-05-13 | 一种防止mac地址欺骗攻击的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101834870A (zh) |
WO (1) | WO2011140795A1 (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101984693A (zh) * | 2010-11-16 | 2011-03-09 | 中兴通讯股份有限公司 | 终端接入局域网的监控方法和监控装置 |
CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及*** |
WO2011140795A1 (zh) * | 2010-05-13 | 2011-11-17 | 中兴通讯股份有限公司 | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 |
CN102710811A (zh) * | 2012-06-14 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
CN103491081A (zh) * | 2013-09-16 | 2014-01-01 | 北京星网锐捷网络技术有限公司 | 检测dhcp攻击源的方法和装置 |
CN103685257A (zh) * | 2013-12-06 | 2014-03-26 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护***及方法 |
CN104009967A (zh) * | 2013-02-27 | 2014-08-27 | 上海斐讯数据通信技术有限公司 | 防止非信任服务器攻击的方法 |
CN104837138A (zh) * | 2015-03-27 | 2015-08-12 | 广东欧珀移动通信有限公司 | 一种终端硬件标识的检测方法及装置 |
WO2017219777A1 (zh) * | 2016-06-24 | 2017-12-28 | 中兴通讯股份有限公司 | 一种报文处理方法及装置 |
CN107786679A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 保证arp报文安全性的方法及装置 |
CN108429823A (zh) * | 2018-02-28 | 2018-08-21 | 迈普通信技术股份有限公司 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
CN112688940A (zh) * | 2020-12-23 | 2021-04-20 | 新华三技术有限公司 | 报文处理方法及装置 |
CN114520800A (zh) * | 2022-01-07 | 2022-05-20 | 锐捷网络股份有限公司 | Mac地址表的更新方法及装置 |
CN115766434A (zh) * | 2021-09-03 | 2023-03-07 | ***通信集团山东有限公司 | Vxlan的配置方法和设备 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103171277B (zh) * | 2011-12-21 | 2016-06-01 | 北大方正集团有限公司 | 印刷设备的授权方法和装置 |
CN105471615A (zh) * | 2014-09-12 | 2016-04-06 | 中兴通讯股份有限公司 | 一种动态主机配置协议dhcp信息异常的处理方法及装置 |
CN110557397A (zh) * | 2019-09-12 | 2019-12-10 | 贵州电网有限责任公司 | 一种基于混沌理论分析的DDoS攻击检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US20060114863A1 (en) * | 2004-12-01 | 2006-06-01 | Cisco Technology, Inc. | Method to secure 802.11 traffic against MAC address spoofing |
CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、***和设备 |
CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和*** |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
KR100807933B1 (ko) * | 2006-11-28 | 2008-03-03 | 엘지노텔 주식회사 | 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체 |
CN101635731B (zh) * | 2009-08-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
-
2010
- 2010-05-13 CN CN201010171167A patent/CN101834870A/zh active Pending
- 2010-11-22 WO PCT/CN2010/078957 patent/WO2011140795A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
US20060114863A1 (en) * | 2004-12-01 | 2006-06-01 | Cisco Technology, Inc. | Method to secure 802.11 traffic against MAC address spoofing |
CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、***和设备 |
CN101115063A (zh) * | 2007-08-30 | 2008-01-30 | 中兴通讯股份有限公司 | 宽带接入设备中防止mac地址/ip地址欺骗的方法 |
CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和*** |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011140795A1 (zh) * | 2010-05-13 | 2011-11-17 | 中兴通讯股份有限公司 | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 |
CN101984693A (zh) * | 2010-11-16 | 2011-03-09 | 中兴通讯股份有限公司 | 终端接入局域网的监控方法和监控装置 |
CN102137109B (zh) * | 2011-03-18 | 2013-08-28 | 华为技术有限公司 | 一种访问控制方法、接入设备及*** |
CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及*** |
WO2012126335A1 (zh) * | 2011-03-18 | 2012-09-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及*** |
CN102710811B (zh) * | 2012-06-14 | 2016-02-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
CN102710811A (zh) * | 2012-06-14 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现dhcp地址安全分配的方法和交换机 |
CN104009967A (zh) * | 2013-02-27 | 2014-08-27 | 上海斐讯数据通信技术有限公司 | 防止非信任服务器攻击的方法 |
CN103491081B (zh) * | 2013-09-16 | 2017-01-04 | 北京星网锐捷网络技术有限公司 | 检测dhcp攻击源的方法和装置 |
CN103491081A (zh) * | 2013-09-16 | 2014-01-01 | 北京星网锐捷网络技术有限公司 | 检测dhcp攻击源的方法和装置 |
CN103685257B (zh) * | 2013-12-06 | 2018-04-06 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护***及方法 |
CN103685257A (zh) * | 2013-12-06 | 2014-03-26 | 上海斐讯数据通信技术有限公司 | 一种dhcp网络防护***及方法 |
CN104837138A (zh) * | 2015-03-27 | 2015-08-12 | 广东欧珀移动通信有限公司 | 一种终端硬件标识的检测方法及装置 |
WO2017219777A1 (zh) * | 2016-06-24 | 2017-12-28 | 中兴通讯股份有限公司 | 一种报文处理方法及装置 |
CN107547667A (zh) * | 2016-06-24 | 2018-01-05 | 中兴通讯股份有限公司 | 一种报文处理方法及装置 |
CN107786679A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 保证arp报文安全性的方法及装置 |
CN108429823A (zh) * | 2018-02-28 | 2018-08-21 | 迈普通信技术股份有限公司 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
CN108429823B (zh) * | 2018-02-28 | 2021-06-29 | 迈普通信技术股份有限公司 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
CN112688940A (zh) * | 2020-12-23 | 2021-04-20 | 新华三技术有限公司 | 报文处理方法及装置 |
CN115766434A (zh) * | 2021-09-03 | 2023-03-07 | ***通信集团山东有限公司 | Vxlan的配置方法和设备 |
CN114520800A (zh) * | 2022-01-07 | 2022-05-20 | 锐捷网络股份有限公司 | Mac地址表的更新方法及装置 |
CN114520800B (zh) * | 2022-01-07 | 2024-04-16 | 锐捷网络股份有限公司 | Mac地址表的更新方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2011140795A1 (zh) | 2011-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101834870A (zh) | 一种防止mac地址欺骗攻击的方法和装置 | |
EP3481029A1 (en) | Internet defense method and authentication server | |
US8495738B2 (en) | Stealth network node | |
US8180874B2 (en) | Facilitating defense against MAC table overflow attacks | |
EP2615793A1 (en) | Methods and systems for protecting network devices from intrusion | |
CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及*** | |
CN101170515B (zh) | 一种处理报文的方法、***和网关设备 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
TWI506472B (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
KR20080063209A (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 | |
KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
Cabaj et al. | Network threats mitigation using software-defined networking for the 5G internet of radio light system | |
CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及*** | |
CN102347903B (zh) | 一种数据报文转发方法、装置及*** | |
OConnor | Detecting and responding to data link layer attacks | |
US9686311B2 (en) | Interdicting undesired service | |
CN102752266B (zh) | 访问控制方法及其设备 | |
KR20180000100A (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
CN101945053A (zh) | 一种报文的发送方法和装置 | |
KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
TWI427995B (zh) | 用戶端設備及其防止攻擊的方法 | |
EP3200433A1 (en) | Ipv6 address management method, device and terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100915 |