CN102761499B - 网关及其避免受攻击的方法 - Google Patents

网关及其避免受攻击的方法 Download PDF

Info

Publication number
CN102761499B
CN102761499B CN201110105115.3A CN201110105115A CN102761499B CN 102761499 B CN102761499 B CN 102761499B CN 201110105115 A CN201110105115 A CN 201110105115A CN 102761499 B CN102761499 B CN 102761499B
Authority
CN
China
Prior art keywords
client
address
gateway
package
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201110105115.3A
Other languages
English (en)
Other versions
CN102761499A (zh
Inventor
林泽贤
郑祺文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ambit Microsystems Shanghai Ltd
Original Assignee
Ambit Microsystems Shanghai Ltd
Hon Hai Precision Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ambit Microsystems Shanghai Ltd, Hon Hai Precision Industry Co Ltd filed Critical Ambit Microsystems Shanghai Ltd
Priority to CN201110105115.3A priority Critical patent/CN102761499B/zh
Priority to TW100114753A priority patent/TWI429240B/zh
Priority to US13/433,312 priority patent/US20120278888A1/en
Publication of CN102761499A publication Critical patent/CN102761499A/zh
Application granted granted Critical
Publication of CN102761499B publication Critical patent/CN102761499B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种网关,包括存储媒介、分配模块、查询模块、记录模块、发送模块及确认模块。存储媒介存储有记录多个IP地址的地址列表。分配模块分配IP地址给客户端。查询模块查询该IP地址是否有被其他客户端使用。记录模块在其他的客户端没有使用该IP地址时,记录客户端的MAC地址以及分配给所述客户端的IP地址于一对应关系表中。发送模块向所述客户端发送ARP请求封包,并判断是否从客户端接收到ARP响应封包。确认模块在没有从所述客户端接收到ARP响应封包时,确认客户端为攻击者。本发明还提供一种避免网关受攻击的方法。本发明所提供的网关及避免网关受攻击的方法可以降低大大降低网关受到恶意者攻击的现象,进而提高通信的服务质量。

Description

网关及其避免受攻击的方法
技术领域
本发明涉及网络设备,尤其涉及网关及其避免受攻击的方法。
背景技术
目前,越来越多的网关(Gateway)中集成了动态主机设置协议(DynamicHost Configuration Protocol,DHCP)模组的功能,其中,该DHCP模组主要用于为动态主机设置协议客户端(DHCP Client)分配因特网协议(InternetProtocol,IP)地址,当DHCP Client有访问因特网的请求时,其首先会向DHCP模组发送请求封包以请求分配IP地址,并根据所分配的IP地址来实现访问因特网,而且请求封包一般包括该DHCP Client的介质访问控制(Medium AccessControl,MAC)地址,DHCP模组则根据请求封包中的MAC地址分配IP地址给DHCP Client。
在实际应用中,有一些网关攻击者会通过特定程序不停修改DHCP Client的MAC地址,并将每次修改后的MAC地址设置于发送给DHCP模组的请求封包中,这样一来,网关在短时间内会接收到大量的请求封包并分配出大量的IP地址,这会导致DHCP模组中所存储的能分配的IP地址很快被耗尽,从而影响到该网关所连接的其他用户的正常通信。
因此,如何降低网关被攻击而导致IP地址的分配很快被耗尽的现象,以致影响了服务质量是当前业界急需改进的目标。
发明内容
有鉴于此,需要提供一种网关,以减少网关受攻击进而提高通信的服务质量。
还需要提供一种避免网关受攻击的方法,以提高通信的服务质量。
本发明实施方式的网关,与局域网内的多个客户端相连,所述网关用于将所述局域网内的多个客户端接入因特网,所述网关包括存储媒介、分配模块、查询模块、记录模块、发送模块及确认模块。存储媒介用于存储地址列表,所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址。分配模块接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述地址列表中存储的所述因特网协议地址。查询模块发送第一地址解析协议请求封包至所述局域网内的其他的客户端,以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址。记录模块在当前状态下其他的客户端没有使用所述因特网协议地址时,记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中,并启动一计时器开始计时。发送模块在预设的计时时间结束时,向所述客户端发送第二地址解析协议请求封包,并判断是否从所述客户端接收到地址解析协议响应封包。确认模块在没有从所述客户端接收到所述地址解析协议响应封包时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
优选的,所述确认模块还用于在从所述客户端接收到所述地址解析协议响应封包时,判断所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址是否存在于所述对应关系表中。
优选的,所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址存在于所述对应关系表中时,确认所述客户端不是攻击者。
优选的,所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址不存在于所述对应关系表中时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
本发明实施方式的避免网关攻击的方法,其中所述网关与局域网内的多个客户端相连,用于将所述局域网内的多个客户端接入因特网,所述方法包括以下步骤:提供一个地址列表,其中所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址;接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述因特网协议地址;发送第一地址解析协议请求封包至所述局域网内的其他的客户端,以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址;在当前状态下所述其他的客户端没有使用所述因特网协议地址时,记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中,并启动一计时器开始计时;在预设的计时时间结束时,向所述客户端发送第二地址解析协议请求封包,并判断是否从所述客户端接收到地址解析协议响应封包;及在没有从所述客户端接收到所述地址解析协议响应封包时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
优选的,所述方法还包括在从所述客户端接收到所述地址解析协议响应封包时,判断所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址是否存在于所述对应关系表中。
优选的,所述方法还包括在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址存在于所述对应关系表中时,确认所述客户端不是攻击者。
优选的,所述方法还包括在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址不存在于所述对应关系表中时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
本发明实施方式所提供的网关及其避免网关攻击的方法,根据网关主动发送第二地址解析协议请求封包至客户端,并通过判断是否从客户端接收到地址解析协议响应封包来确定客户端是否为攻击者,同时在确定其为攻击者时停止分配因特网协议地址地址给该客户端,以减少网关受攻击,进而提高通信的服务质量。
附图说明
图1为本发明一实施方式中网关的应用环境示意图。
图2为本发明一实施方式中网关的结构示意图。
图3为图2中的对应关系表的示意图。
图4为本发明一实施方式中网关避免受攻击的方法流程图。
主要元件符号说明
局域网      10
第一客户端  101
第二客户端  103
第三客户端  105
网关        20
分配模块    201
查询模块    202
记录模块    203
发送模块    204
确认模块    205
存储媒介    206
地址列表    2062
对应关系表  2064
处理器      207
计时器      208
因特网      30
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
请参阅图1,所示为本发明一实施方式中网关20的应用环境示意图。在本实施方式中,局域网(Local Area Network,LAN)10包括多个客户端,如第一客户端101、第二客户端103、第三客户端105等,通过网关(Gateway)20将多个客户端接入因特网(Internet)30。在本实施方式中,每一个客户端既可以是动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)客户端,也可以是其他的客户端,如个人计算机(Personal Computer,PC)、掌上电脑(PersonalDigital Assistant,PDA)、移动电话(Mobile Phone)等用户终端设备,而且局域网10内的客户端与网关20之间的通信,以及网关20与因特网30之间的通信既可以是有线通信也可以是无线通信。
请参阅图2,所示为本发明一实施方式中网关20的结构示意图。在本实施方式中,网关20包括分配模块201、查询模块202、记录模块203、发送模块204、确认模块205、存储媒介206、处理器207及计时器208,其中存储媒介206存储有地址列表2062及对应关系表2064,模块201~205为存储于存储媒介206中的可执行程序,处理器207执行这些可执行程序,以实现其各自功能。
地址列表2062记录有多个可供分配给多个客户端使用的因特网协议(Internet Protocol,IP)地址。在本实施方式中,由于每一个客户端只有分配到相应的IP地址才能实现访问因特网,因此以第一客户端101向网关20请求分配IP地址为例进行说明。
当第一客户端101第一次登录网络的时候,由于本身没有IP地址,因此第一客户端101首先向网络广播动态主机设置协议发现(Dynamic HostConfiguration Protocol Discover,DHCP Discover)封包,用于在网络上寻找能分配IP地址的网络设备,其中DHCP Discover封包包括有第一客户端101的介质访问控制(Medium Access Control,MAC)地址。在本实施方式中,由于DHCP Discover封包是以广播的方式在网络中传输,因此包括网关20在内的其他有能力分配IP地址的网络设备均能接收到DHCP Discover封包。
分配模块201根据接收到的第一客户端101的请求封包为第一客户端101分配IP地址。在本实施方式中,分配模块201可以是能分配IP地址的动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)模块,也可以是其他具备分配IP地址功能的模块。在本实施方式中,分配模块201从第一客户端101接收DHCP Discover封包,并判断在当前状态下地址列表2062中是否还有未分配出去的IP地址。若有未分配出去的IP地址,则分配模块201发送动态主机设置协议提供(Dynamic Host Configuration Protocol Offer,DHCPOffer)封包至第一客户端101,其中DHCP Offer封包包括网关20的MAC地址以及分配给第一客户端101使用的IP地址。
在本实施方式中,由于在实际的网络中不是只仅仅存在一个网络设备有能力分配IP地址给第一客户端101,因此,当有能力分配IP地址的其他网络设备在接收到第一客户端101所广播出去的DHCP Discover封包后亦会回复DHCP Offer封包至第一客户端101。这样一来,第一客户端101势必将接收到多个不同的DHCP Offer封包,通常第一客户端101只挑选其中的一个DHCPOffer封包,即选择最先就收到的DHCP Offer封包。在本实施方式中,为了方便说明,假设第一客户端101最先从网关20接收到DHCP Offer封包。
在本实施方式中,第一客户端101在最先从网关20接收到DHCP Offer封包后,将向网络广播动态主机设置协议请求(Dynamic Host ConfigurationProtocol Request,DHCP Request)封包。其中DHCP Request封包用于告诉网络中的所有有能力分配IP地址的网络设备(包括网关20)第一客户端101将指定接受哪台网络设备所分配的IP地址,在本实施方式中即指定接受网关20所分配的IP地址。
分配模块201从第一客户端101接收DHCP Request封包后,表明第一客户端101接受网关20分配给它使用的IP地址。此时,查询模块202则向局域网10中的其他每一个客户端发送第一地址解析协议请求(Address ResolutionProtocol Request,ARP Request)封包,用于询问在当前状态下其他的客户端,如第二客户端103、第三客户端105等,是否有使用分配给第一客户端101的IP地址。若其他的客户端在当前状态下没有使用分配给第一客户端101的IP地址,则查询模块202根据第一客户端101的MAC地址向第一客户端101发送动态主机设置协议确认(Dynamic Host Configuration Protocol Ack,DHCPAck)封包,用于确认已经向第一客户端101分配了IP地址。同时,记录模块203记录第一客户端101的MAC地址以及分配其使用的IP地址于一对应关系表2064中,如图3所示。
请参阅图3,所示为图2中的对应关系表2064的示意图。在本实施方式中,对应关系表2064包括客户端的MAC地址以及分配其使用的IP地址,且为一一对应的关系,记录模块203在完成记录后将该对应关系表2064存储于存储媒介206中。
请继续参阅图2,记录模块203在完成记录后除了将对应关系表2064存储于存储媒介206之外,还向第一客户端101发送DHCP Ack封包,并启动计时器208开始计时,其中预设的计时时间为第一计时时间T1。
第一客户端101在接收到网关20发出的DHCP Ack封包后亦开始计时,并在预设的第二计时时间T2结束时向网络中广播免费地址解析协议(Gratuitous ARP)封包,用于探测网络中是否有其他网路设备使用其刚从网关20分配到的IP地址,若在预设的第三计时时间T3结束时没有从网络中接收到其他网路设备对Gratuitous ARP的响应封包,则表明在当前状态下没有其他的网路设备使用其刚从网关20分配到的IP地址。
在本实施方式中,第二计时时间T2从第一客户端101接收到网关20发出的DHCP Ack封包时开始计时,第三计时时间T3从第一客户端101发出Gratuitous ARP封包时开始计时。在本实施方式中,第二计时时间T2与第三计时时间T3均通过Gratuitous ARP封包告知第一客户端101,并将第一计时时间T1设置为第二计时时间T2和第三计时时间T3中的最大值与一经验值之和。在本实施方式中,该经验值可取50ms。在其他实施方式中,可以根据需要将该经验值调整为其他的值。
在第一计时时间T1的计时结束时,发送模块204则向第一客户端101发送第二地址解析协议请求(Address Resolution Protocol Request,ARP Request)封包,并判断是否从第一客户端101接收到地址解析协议响应(AddressResolution Protocol Reply,ARP Reply)封包。在本实施方式中,第二ARPRequest封包的目的MAC地址是第一客户端101的MAC地址。
在本实施方式中,由于攻击者是通过特定程序不停修改客户端的MAC地址,并将每次修改后的MAC地址设置于请求封包中以发送至有能力分配IP地址的网络设备,以此来获取大量的IP地址从而达到攻击的目的。鉴于攻击者的这个特征,在本实施方式中,由于第二ARP Request封包的目的MAC地址是第一客户端101的MAC地址,若没有从第一客户端101接收到ARP Reply封包,则表明第一客户端101的MAC地址被改变了,这符合攻击者的特性。因此,当没有从第一客户端101接收到ARP Reply封包,则确认模块205确认第一客户端101为攻击者,此时网关20将停止分配IP地址给第一客户端101。
若从第一客户端101接收到ARP Reply封包,则确认模块205判断ARPReply封包中所包括的第一客户端101的MAC地址是否存在于对应关系表2064中。
在本实施方式中,若ARP Reply封包中所包括的第一客户端101的MAC地址存在于对应关系表2064中,则确认模块205确认第一客户端101不是攻击者。若ARP Reply封包中所包括的第一客户端101MAC地址不存在于对应关系表2064中,则表明第一客户端101是攻击者,此时网关20将停止分配IP地址给第一客户端101。
请参阅图4,所示为本发明一实施方式中网关20避免受攻击的方法流程图。在本实施方式中,该方法通过图2所示的各个模块来实现。
在步骤S400中,地址列表2062记录有多个可供分配给多个客户端使用的IP地址。在本实施方式中,每一个客户端只有分配到相应的IP地址才能实现访问因特网30。
在步骤S402中,分配模块201根据接收到的第一客户端101的请求封包为第一客户端101分配IP地址。在本实施方式中,分配模块201从第一客户端101接收DHCP Discover封包,并判断在当前状态下地址列表2062中是否还有未分配出去的IP地址。
若在当前状态下地址列表2062中还有未分配出去的IP地址,则分配模块201发送DHCP Offer封包至第一客户端101,其中DHCP Offer封包包括网关20的MAC地址以及分配给第一客户端101使用的IP地址。
在本实施方式中,由于在实际的网络中不是只仅仅存在一个网络设备有能力分配IP地址给第一客户端101,因此,当有能力分配IP地址的其他网络设备在接收到第一客户端101所广播出去的DHCP Discover封包后亦会回复DHCP Offer封包至第一客户端101。这样一来,第一客户端101势必将接收到多个不同的DHCP Offer封包,通常第一客户端101只挑选其中的一个DHCPOffer封包,即选择最先就收到的DHCP Offer封包。在本实施方式中,为了方便说明,假设第一客户端101最先从网关20接收到DHCP Offer封包。
在本实施方式中,第一客户端101在最先从网关20接收到DHCP Offer封包后,将向网络广播DHCP Request封包,其中DHCP Request封包用于告诉网络中的所有有能力分配IP地址的网络设备(包括网关20)第一客户端101将指定接受哪台网络设备所分配的IP地址,在本实施方式中即指定接受网关20所分配的IP地址。例如,若分配模块201从第一客户端101接收DHCPRequest封包,则表明第一客户端101接受网关20分配给它使用的IP地址。
在步骤S404中,查询模块202向局域网10中的其他每一个客户端发送第一ARP Request封包,用于询问在当前状态下其他的客户端,如第二客户端103、第三客户端105等,是否有使用分配给第一客户端101的IP地址。
若其他的客户端没有使用分配给第一客户端101的IP地址,查询模块202则根据第一客户端101的MAC地址向第一客户端101发送DHCP Ack封包,用于确认已经向第一客户端101分配了IP地址。
在步骤S406中,记录模块203记录第一客户端101的MAC地址以及分配其使用的IP地址于一对应关系表2064中。
在本实施方式中,在查询模块202向第一客户端101发送DHCP Ack封包后,计时器208开始计时,其中预设的计时时间为第一计时时间T1。
第一客户端101在接收到网关20发出的DHCP Ack封包后亦开始计时,并在预设的第二计时时间T2结束时向网络中广播Gratuitous ARP封包,用于探测网络中是否有其他网路设备使用其刚从网关20分配到的IP地址,若在预设的第三计时时间T3结束时没有从网络中接收到其他网路设备对GratuitousARP的响应封包,则表明在当前状态下没有其他的网路设备使用其刚从网关20分配到的IP地址。
在本实施方式中,第二计时时间T2从第一客户端101接收到网关20发出的DHCP Ack封包时开始计时,第三计时时间T3从第一客户端101发出Gratuitous ARP封包时开始计时。在本实施方式中,第二计时时间T2与第三计时时间T3均通过Gratuitous ARP封包告知第一客户端101,并将第一计时时间T1设置为第二计时时间T2和第三计时时间T3中的最大值与一经验值之和。在本实施方式中,该经验值可取50ms。在其他实施方式中,可以根据需要将该经验值调整为其他的值。
在步骤S408中,在第一计时时间T1的计时结束时,发送模块204向第一客户端101发送第二ARP Request封包。
在步骤S410中,发送模块204在向第一客户端101发送第二ARP Request封包后,判断是否从第一客户端101接收到ARP Reply封包。在本实施方式中,第二ARP Request封包的目的MAC地址是第一客户端101的MAC地址。
若没有从第一客户端101接收到ARP Reply封包,则在步骤S412中,确认模块205确认第一客户端101为攻击者。
在本实施方式中,由于攻击者是通过特定程序不停修改客户端的MAC地址,并将每次修改后的MAC地址设置于请求封包中以发送至有能力分配IP地址的网络设备,以此来获取大量的IP地址从而达到攻击的目的。鉴于攻击者的这个特征,在本实施方式中,由于第二ARP Request封包的目的MAC地址是第一客户端101的MAC地址,若没有从第一客户端101接收到ARP Reply封包,则表明第一客户端101的MAC地址被改变了,这符合攻击者的特性。因此,当没有从第一客户端101接收到ARP Reply封包,则确认模块205确认第一客户端101为攻击者,此时网关20将停止分配IP地址给第一客户端101。
若从第一客户端101接收到ARP Reply封包,则在步骤S414中,确认模块205判断ARP Reply封包中所包括的第一客户端101的MAC地址是否存在于对应关系表2064中。
在本实施方式中,若ARP Reply封包中所包括的第一客户端101的MAC地址存在于对应关系表2064中,则在步骤S416中,确认模块205确认第一客户端101不是攻击者。
若ARP Reply封包中所包括的第一客户端101的MAC地址不存在于对应关系表2064中,则在步骤S412中,确认模块205确认第一客户端101是攻击者,此时网关20将停止分配IP地址给第一客户端101。
本发明实施方式所提供的网关20及其避免受攻击的方法,根据网关20主动发送第二ARP Request封包至第一客户端101,并通过判定是否接收到第一客户端101回应的ARP Reply封包来确定第一客户端101是否为攻击者,同时在确定其为攻击者时停止分配IP地址给第一客户端101,以减少网关20受攻击,进而提高通信的服务质量。

Claims (8)

1.一种网关,与局域网内的多个客户端相连,所述网关用于将所述局域网内的多个客户端接入因特网,其特征在于,所述网关包括:
存储媒介,用于存储地址列表,所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址;
分配模块,用于接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述地址列表中存储的所述因特网协议地址;
查询模块,用于发送第一地址解析协议请求封包至所述局域网内的其他的客户端,以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址;
记录模块,用于在当前状态下其他的客户端没有使用所述因特网协议地址时,记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中,向所述客户端发送确认封包,并启动一计时器开始计时,所述计时时间为所述客户端收到确认封包到发送免费地址解析协议封包的时间和所述客户端发送免费地址解析协议封包超时的时间中的最大值与一预设时间之和;
发送模块,用于在所述计时时间结束时,向所述客户端发送第二地址解析协议请求封包,并判断是否从所述客户端接收到地址解析协议响应封包;及
确认模块,用于在没有从所述客户端接收到所述地址解析协议响应封包时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
2.如权利要求1所述的网关,其特征在于,所述确认模块还用于在从所述客户端接收到所述地址解析协议响应封包时,判断所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址是否存在于所述对应关系表中。
3.如权利要求2所述的网关,其特征在于,所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址存在于所述对应关系表中时,确认所述客户端不是攻击者。
4.如权利要求2所述的网关,其特征在于,所述确认模块还用于在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址不存在于所述对应关系表中时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
5.一种避免网关攻击的方法,其中,所述网关与局域网内的多个客户端相连,用于将所述局域网内的多个客户端接入因特网,其特征在于,所述方法包括:
提供一个地址列表,其中所述地址列表记录有多个可分配给所述局域网内的多个客户端使用的因特网协议地址;
接收其中一个客户端的请求封包并根据所述请求封包为所述客户端分配所述因特网协议地址;
发送第一地址解析协议请求封包至所述局域网内的其他的客户端,以询问在当前状态下所述其他的客户端是否有使用所述因特网协议地址;
在当前状态下所述其他的客户端没有使用所述因特网协议地址时,记录所述客户端的介质访问控制地址以及分配给所述客户端的所述因特网协议地址于一对应关系表中,向所述客户端发送确认封包,并启动一计时器开始计时,所述计时时间为所述客户端收到确认封包到发送免费地址解析协议封包的时间和所述客户端发送免费地址解析协议封包超时的时间中的最大值与一预设时间之和;
在所述计时时间结束时,向所述客户端发送第二地址解析协议请求封包,并判断是否从所述客户端接收到地址解析协议响应封包;及
在没有从所述客户端接收到所述地址解析协议响应封包时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
6.如权利要求5所述的避免网关攻击的方法,其特征在于,所述方法还包括在从所述客户端接收到所述地址解析协议响应封包时,判断所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址是否存在于所述对应关系表中。
7.如权利要求6所述的避免网关攻击的方法,其特征在于,所述方法还包括在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址存在于所述对应关系表中时,确认所述客户端不是攻击者。
8.如权利要求6所述的避免网关攻击的方法,其特征在于,所述方法还包括在所述地址解析协议响应封包中所包括的所述客户端的介质访问控制地址不存在于所述对应关系表中时,确认所述客户端为攻击者,并停止分配因特网协议地址给所述客户端以避免所述网关受攻击。
CN201110105115.3A 2011-04-26 2011-04-26 网关及其避免受攻击的方法 Expired - Fee Related CN102761499B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201110105115.3A CN102761499B (zh) 2011-04-26 2011-04-26 网关及其避免受攻击的方法
TW100114753A TWI429240B (zh) 2011-04-26 2011-04-27 閘道器及其避免受攻擊的方法
US13/433,312 US20120278888A1 (en) 2011-04-26 2012-03-29 Gateway and method for avoiding attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110105115.3A CN102761499B (zh) 2011-04-26 2011-04-26 网关及其避免受攻击的方法

Publications (2)

Publication Number Publication Date
CN102761499A CN102761499A (zh) 2012-10-31
CN102761499B true CN102761499B (zh) 2015-02-04

Family

ID=47055825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110105115.3A Expired - Fee Related CN102761499B (zh) 2011-04-26 2011-04-26 网关及其避免受攻击的方法

Country Status (3)

Country Link
US (1) US20120278888A1 (zh)
CN (1) CN102761499B (zh)
TW (1) TWI429240B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI474668B (zh) * 2012-11-26 2015-02-21 網點之判斷與阻擋之方法
JP6260310B2 (ja) * 2014-02-03 2018-01-17 富士通株式会社 ネットワークスイッチ、ネットワークシステム及びネットワークシステムの制御方法
CN104917729A (zh) * 2014-03-12 2015-09-16 国基电子(上海)有限公司 网络设备及其防止地址解析协议报文攻击的方法
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
CN103957288A (zh) * 2014-04-28 2014-07-30 福建星网锐捷网络有限公司 一种动态分配ip地址的方法、装置及设备
CN104363243A (zh) * 2014-11-27 2015-02-18 福建星网锐捷网络有限公司 一种防网关欺骗的方法及装置
US20180077113A1 (en) * 2016-09-09 2018-03-15 Hongfujin Precision Electronics (Tianjin) Co.,Ltd. Method for automatic distribution of ip address, system and client using the same
CN108234522B (zh) * 2018-03-01 2021-01-22 深圳市共进电子股份有限公司 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质
CN109802951B (zh) * 2018-12-28 2020-12-29 东软集团股份有限公司 一种报文转发方法、设备及存储设备
US10819676B1 (en) * 2019-05-22 2020-10-27 Verizon Patent And Licensing Inc. System and method of acquiring network-centric information for customer premises equipment (CPE) management
CN114285826B (zh) * 2021-12-28 2023-04-21 威创集团股份有限公司 分布式设备配置ip地址且检测冲突的方法、***、设备及介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7649866B2 (en) * 2003-06-24 2010-01-19 Tropos Networks, Inc. Method of subnet roaming within a network
JP4664143B2 (ja) * 2005-07-22 2011-04-06 株式会社日立製作所 パケット転送装置、通信網及びパケット転送方法
US8572217B2 (en) * 2008-02-15 2013-10-29 Ericsson Ab Methods and apparatuses for dynamically provisioning a dynamic host configuration protocol (DHCP) client as a clientless internet protocol services (CLIPS) subscriber on a last-resort interface

Also Published As

Publication number Publication date
TWI429240B (zh) 2014-03-01
CN102761499A (zh) 2012-10-31
US20120278888A1 (en) 2012-11-01
TW201244426A (en) 2012-11-01

Similar Documents

Publication Publication Date Title
CN102761499B (zh) 网关及其避免受攻击的方法
JP5663549B2 (ja) パブリックipアドレスを割り当てる方法、装置、及びシステム
EP2267984B1 (en) Address configuring method, apparatus and system
US8228848B2 (en) Method and apparatus for facilitating push communication across a network boundary
CN102148878B (zh) Ip地址分配方法、***和设备
CN101741702B (zh) 实现arp请求广播限制的方法和装置
CN102752413B (zh) Dhcp服务器选择方法和网络设备
EP2579519A1 (en) Method, network device and system for automatically configuring network device in internet protocol version 6 network
CN102833732A (zh) 一种IPv6地址无状态自动配置的***、数据卡及其实现方法
CN110995886B (zh) 网络地址的管理方法、装置、电子设备及介质
US20030093542A1 (en) Communication device and communication control method using efficient echonet address determination scheme
CN101188514A (zh) 自动发现网元设备的方法、装置及***
CN101355594A (zh) 一种分配ip地址时地址冲突的检测方法
CN105245629A (zh) 基于dhcp的主机通信方法及装置
US20240163243A1 (en) Systems and methods for improving arp/nd performance on host communication devices
CN101018193A (zh) 负载分流的方法和***及分配备份组虚ip地址的装置
US20080201477A1 (en) Client side replacement of DNS addresses
EP2238735B1 (en) Method and apparatus for allocation of parameter values in a communications system
JP5737367B2 (ja) ネットワークモード選択方法及び装置
KR101213159B1 (ko) 무선 네트워크에서 ip 어드레스를 할당하기 위한 휴대단말기 및 방법
KR100595524B1 (ko) 기기 검색 시스템 및 방법
US7702812B2 (en) Address allocation system and method
KR100959018B1 (ko) 단말 기반 접속 제어 시스템 및 그 방법
CN114745359B (zh) 一种可以减少用户终端地址续约频率的方法
CN114760269B (zh) 虚拟机地址分配方法、装置及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20180301

Address after: Shanghai City, Songjiang Export Processing Zone South Road No. 1925

Patentee after: Ambit Microsystems (Shanghai) Co., Ltd.

Address before: 201613 Shanghai City, Songjiang District Shanghai city south of Songjiang Export Processing Zone Road No. 1925

Co-patentee before: Hon Hai Precision Industry Co., Ltd.

Patentee before: Ambit Microsystems (Shanghai) Co., Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150204

Termination date: 20190426