CN103347031A - 一种防范arp报文攻击的方法及设备 - Google Patents
一种防范arp报文攻击的方法及设备 Download PDFInfo
- Publication number
- CN103347031A CN103347031A CN2013103203041A CN201310320304A CN103347031A CN 103347031 A CN103347031 A CN 103347031A CN 2013103203041 A CN2013103203041 A CN 2013103203041A CN 201310320304 A CN201310320304 A CN 201310320304A CN 103347031 A CN103347031 A CN 103347031A
- Authority
- CN
- China
- Prior art keywords
- arp
- address information
- message
- control module
- exchange chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种防范ARP报文攻击的方法及设备,涉及通信网络技术领域,解决了控制平面处理器处理ARP报文占用较多处理资源的问题。本发明实施例包括:地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文,然后获取第一ARP报文中的第一地址信息;当ARP控制模块确定第一地址信息合法、存在于ARP表并且ARP表中第一地址信息对应的状态为第一预设状态时,ARP控制模块调用交换芯片驱动模块,指示交换芯片驱动模块将第一地址信息写入交换芯片中;交换芯片对接收的携带有第一地址信息的ARP报文进行限速。本发明实施例提供的方案适于防范ARP报文攻击时采用。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种防范ARP报文攻击的方法及设备。
背景技术
地址解析协议(Address Resolution Protocol,ARP)用于在以太网环境下通过因特网协议(Internet Protocol,IP)地址获取对应媒体访问控制(Media AccessControl,MAC)地址的协议。由于ARP没有提供安全认证、通信终端合法性鉴别等功能。在以太网实际应用的过程中,出现了各种各样与ARP相关的攻击,比如网关欺骗、ARP报文泛洪以及ARP扫描等。
现有技术中,控制平面处理器上运行的软件模块规定在预定的时间范围内接收到终端发送的ARP报文流量和/或报文数量上限作为是否受到ARP攻击的判断依据。例如,当控制平面处理器接收某一ARP报文时,对接收的ARP报文按照来源终端进行报文数量和/或流量的统计,然后在预定的时间范围内检测接收的报文数量和/或流量是否超过上限。当接收的报文数量和/或流量超过上限之后,控制平面处理器将发送上述ARP报文的终端标记为攻击终端。则控制平面处理器在接收到该攻击终端发送的ARP报文时,丢弃该攻击终端发送的全部ARP报文,或者丢弃该攻击终端发送的部分ARP报文。
然而,通过控制平面处理器对接收的ARP报文进行流量统计、丢弃等处理操作,占用了控制平面处理器大量的处理资源,从而影响控制平面处理器的处理效率,以及由于攻击终端发送大量ARP报文流量影响其它终端与控制平面处理器之间正常的ARP报文交互。
发明内容
本发明的实施例提供一种防范ARP报文攻击的方法及设备,解决了控制平面处理器处理ARP报文占用较多处理资源的问题。
一方面,本发明的实施例提供一种防范ARP报文攻击的方法,包括:
地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文;
所述ARP控制模块获取所述第一ARP报文中的第一地址信息;
当所述ARP控制模块确定所述第一地址信息合法、存在于ARP表并且所述ARP表中所述第一地址信息对应的状态为第一预设状态时,所述ARP控制模块调用交换芯片驱动模块,指示所述交换芯片驱动模块将所述第一地址信息写入所述交换芯片中;
所述交换芯片对接收的携带有所述第一地址信息的ARP报文进行限速。
在本发明的另一实施例中,在所述地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文之前,所述方法还包括:
所述ARP控制模块接收所述交换芯片发送的第二ARP报文;
所述ARP控制模块获取所述第二ARP报文中的第二地址信息,所述第二地址信息与所述第一地址信息相同;
当所述ARP控制模块确定所述第二地址信息合法并且不存在于所述ARP表时,所述ARP控制模块将所述第二地址信息写入所述ARP表中,并将所述第二地址信息对应的状态写为所述第一预设状态,所述第一预设状态用于指示所述ARP控制模块确定未收到第一ARP报文;
所述ARP控制模块通知所述第二ARP报文对应的终端发送第一ARP报文。
在本发明的另一实施例中,所述方法还包括:
所述ARP控制模块获取所述ARP表中的所述第一地址信息;
所述ARP控制模块更新所述ARP表中的所述第一地址信息对应的老化值;
所述ARP控制模块判断所述第一地址信息对应的老化值是否超过预设门限;
当所述第一地址信息对应的老化值大于等于所述预设门限时,所述ARP控制模块删除所述ARP表中的第一地址信息,或者,所述ARP控制模块删除所述ARP表中的所述第一地址信息以及调用所述交换芯片驱动模块,指示所述交换芯片驱动模块删除所述交换芯片中的所述第一地址信息。
在本发明的另一实施例中,所述第一地址信息包括所述第一ARP报文源MAC地址、所述第一地址信息对应的终端源MAC地址以及源IP地址;
在所述ARP控制模块调用交换芯片驱动模块之前,还包括:
所述ARP控制模块检测所述第一地址信息是否合法;
当所述第一地址信息中所述第一ARP报文源MAC地址与所述第一地址信息对应的终端源MAC地址一致时,所述ARP控制模块确定所述第一地址信息合法。
在本发明的另一实施例中,在所述ARP控制模块调用交换芯片驱动模块之前,还包括:
在所述ARP控制模块确定所述第一地址信息合法并且存在于ARP表之后,所述ARP控制模块清除所述ARP表中所述第一地址信息对应的老化值;
所述ARP控制模块检测所述ARP表中所述第一地址信息对应的状态是否为所述第一预设状态;
当所述ARP表中所述第一地址信息对应的状态为所述第一预设状态时,将所述第一预设状态修改为第二预设状态,所述第二预设状态用于所述ARP控制模块确定已收到第一ARP报文。
在本发明的另一实施例中,在所述交换芯片对接收携带所述第一地址信息的ARP报文进行限速之前,还包括:
所述交换芯片接收输入的ARP报文特征、限速规则,所述ARP报文特征用于指示所述交换芯片检测接收的报文是否为ARP报文;所述限速规则用于对所述交换芯片进行交互的终端发送的ARP报文进行限速。
另一方面,本发明的实施例提供一种防范ARP报文攻击的设备,所述设备包括控制平面处理器和交换芯片,所述控制平面处理器上运行的软件模块包括地址解析协议ARP控制模块和交换芯片驱动模块;
所述交换芯片,用于接收终端发送的第一ARP报文,并将所述第一ARP报文发送给所述ARP控制模块;
所述ARP控制模块,用于接收交换芯片发送的第一ARP报文;获取所述第一ARP报文中的第一地址信息;
所述ARP控制模块,还用于当所述ARP控制模块确定所述第一地址信息合法、存在于ARP表并且所述ARP表中所述第一地址信息对应的状态为第一预设状态时,调用交换芯片驱动模块,指示所述交换芯片驱动模块将所述第一地址信息写入所述交换芯片中;
所述交换芯片驱动模块,用于根据所述ARP控制模块的指示,将所述第一地址信息写入所述交换芯片中;
所述交换芯片,还用于对接收的携带有所述第一地址信息的ARP报文进行限速。
在本发明的另一实施例中,所述交换芯片,还用于接收所述终端发送的第二ARP报文,并将所述第二ARP报文发送给所述ARP控制模块;
所述ARP控制模块,还用于接收所述交换芯片发送的所述第二ARP报文;以及获取所述第二ARP报文中的第二地址信息,所述第二地址信息与所述第一地址信息相同;当所述ARP控制模块确定所述第二地址信息合法并且不存在于所述ARP表时,将所述第二地址信息写入所述ARP表中,并将所述第二地址信息对应的状态写为所述第一预设状态,所述第一预设状态用于所述ARP控制模块确定未收到第一ARP报文;
所述ARP控制模块,还用于通知所述第二ARP报文对应的终端发送第一ARP报文。
在本发明的另一实施例中,所述ARP控制模块,还用于获取所述ARP表中的所述第一地址信息;以及更新所述ARP表中的所述第一地址信息对应的老化值,判断所述第一地址信息对应的老化值是否超过预设门限;当所述第一地址信息对应的老化值大于等于所述预设门限时,删除所述ARP表中的第一地址信息,或者,删除所述ARP表中的所述第一地址信息以及调用所述交换芯片驱动模块,指示所述交换芯片驱动模块删除所述交换芯片中的所述第一地址信息;
所述交换芯片驱动模块,还用于根据所述ARP控制模块的删除指示,删除所述交换芯片中的所述第一地址信息。
在本发明的另一实施例中,所述第一地址信息包括所述第一ARP报文源MAC地址、所述第一地址信息对应的终端源MAC地址以及源IP地址;
所述ARP控制模块,还用于检测所述第一地址信息是否合法;当所述第一地址信息中所述第一ARP报文源MAC地址与所述第一地址信息对应的终端源MAC地址一致时,确定所述第一地址信息合法。
在本发明的另一实施例中,所述ARP控制模块,还用于在所述ARP控制模块确定所述第一地址信息合法并且存在于ARP表之后,清除所述ARP表中所述第一地址信息对应的老化值;
所述ARP控制模块,还用于检测所述ARP表中所述第一地址信息对应的状态是否为第一预设状态;当所述ARP表中所述第一地址信息对应的状态为第一预设状态时,将所述第一预设状态修改为第二预设状态,所述第二预设状态用于所述ARP控制模块确定已收到第一ARP报文。
在本发明的另一实施例中,所述交换芯片包括报文匹配引擎模块和报文限速引擎模块;
所述报文匹配引擎模块,还用于接收输入的ARP报文特征,所述ARP报文特征用于指示所述交换芯片检测接收的报文是否为ARP报文;
所述报文限速引擎模块,还用于接收输入的限速规则,所述限速规则用于对所述交换芯片进行交互的终端发送的ARP报文进行限速。
本发明实施例提供的一种防范ARP报文攻击的方法及设备,通过ARP控制模块接收交换芯片发送的第一ARP报文,然后获取第一ARP报文中的第一地址信息;当ARP控制模块确定第一地址信息合法、存在于ARP表并且ARP表中第一地址信息对应的状态为第一预设状态时,ARP控制模块调用交换芯片驱动模块,指示交换芯片驱动模块将第一地址信息写入交换芯片中,ARP表用于存储与交换芯片进行交互的终端的地址信息;交换芯片对接收的携带有第一地址信息的ARP报文进行限速。现有技术中控制平面处理器通过规定在预定的时间范围内接收的流量和/或报文数量上限的方法,对接收的ARP报文进行流量统计、丢弃等处理操作,占用了控制平面处理器大量的处理资源,从而影响控制平面处理器的处理效率。与现有技术相比,本发明实施例可以提高控制平面处理器的处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种防范ARP报文攻击的方法的流程图;
图2为本发明实施例提供的另一种防范ARP报文攻击的方法的流程图;
图3为本发明实施例提供的又一种防范ARP报文攻击的方法的流程图;
图4为图1提供的防范ARP报文攻击的方法中的对接收的ARP报文进行限速的一种方法的流程图;
图5为图1提供的防范ARP报文攻击的方法中的对接收的ARP报文进行限速的另一种方法的流程图;
图6为本发明实施例提供的一种防范ARP报文攻击的设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种防范ARP报文攻击的方法,该方法实现于一种防范ARP报文攻击的设备上,该设备可以为交换机或者具有交换功能的设备等。该设备包括控制平面处理器和交换芯片。其中控制平面处理器用于检测、收集ARP报文的地址信息,控制平面处理器运行包括ARP控制模块和交换芯片驱动模块在内的软件模块。ARP控制模块用于处理与终端之间的ARP报文交互、以及本地存储区域中ARP表的管理。交换芯片驱动模块用于根据所述ARP控制模块的指示,与交换芯片进行交互。交换芯片用于识别ARP报文,以及对识别的ARP报文进行限速或者丢弃处理。交换芯片包括报文匹配引擎模块和报文限速引擎模块。报文匹配引擎模块用于识别接收的报文是否是ARP报文,以及识别ARP报文中包含的终端源MAC地址信息,并将识别结果提供给报文限速引擎模块。报文限速引擎模块用于按照限速规则对识别结果中的ARP报文进行限速或者丢弃处理。
实施例1
如图1所示,本发明实施例提供一种防范ARP报文攻击的方法,该方法包括:
101,ARP控制模块接收交换芯片发送的第一ARP报文。
交换芯片通过交换机网关接口接收终端发送的第一ARP报文。具体的,第一ARP报文为ARP响应报文。ARP控制模块根据获取第一ARP报文中的操作字段确定第一ARP报文是否为ARP响应报文。当该操作字段的值为0x0002时,表明第一ARP报文为ARP响应报文。
102,ARP控制模块获取第一ARP报文中的第一地址信息。
具体的,ARP控制模块从第一ARP报文的以太报文头部中获取报文源MAC地址(可以记为SMAC-h),从第一ARP报文的发送方硬件地址字段中获取终端源MAC地址(可以记为SMAC-d)以及从第一ARP报文的发送方IP地址字段中获取终端源IP地址(可以记为SIP-d)。即第一地址信息包括:SMAC-h、SMAC-d以及SIP-d。例如,报文源MAC地址(SMAC-h)为00.01.7a.00.00.10,终端对应的源MAC地址(SMAC-d)为00.01.7a.00.00.10,终端对应的源IP地址(SIP-d)为192.168.10。
在ARP控制模块获取第一ARP报文中的第一地址信息之后,可选的,ARP控制模块为了节约本地存储的资源将第一ARP报文丢弃。
103,当ARP控制模块确定第一地址信息合法、存在于ARP表并且ARP表中第一地址信息对应的状态为第一预设状态时,ARP控制模块调用交换芯片驱动模块,指示交换芯片驱动模块将第一地址信息写入交换芯片中,ARP表用于存储与交换芯片进行交互的终端的地址信息。
在ARP控制模块调用交换芯片驱动模块之前,ARP控制模块对第一地址信息进行合法性检测。具体实现过程为:ARP控制模块将SMAC-h的内容与SMAC-d的内容进行对比,检测SMAC-h的内容与SMAC-d的内容是否一致。当SMAC-h的内容与SMAC-d的内容一致(如均为00.01.7a.00.00.10)时,ARP控制模块确定第一地址信息合法;当SMAC-h的内容与SMAC-d的内容不一致时,ARP控制模块确定第一地址信息不合法。
在ARP控制模块确定第一地址信息合法之后,ARP控制模块查询第一地址信息是否存在于ARP表中,当第一地址信息存在于ARP表时,继续执行103;当第一地址信息不存在于ARP表时,终止此次处理。
ARP控制模块查询第一地址信息是否存在于ARP表的具体过程为:ARP控制模块使用第一地址信息中的终端源MAC地址00.01.7a.00.00.10和终端源IP地址192.168.10作为关键值,来查询ARP表中是否存在第一地址信息。当ARP表中存在第一地址信息时,ARP控制模块清除ARP表中第一地址信息对应的老化值。然后ARP控制模块检测ARP表中第一地址信息对应的状态是否为第一预设状态;当ARP表中第一地址信息对应的状态为第一预设状态时,将第一预设状态修改为第二预设状态,第二预设状态用于ARP控制模块确定已收到第一ARP报文。可以理解的是,ARP表中至少包括的表项有地址信息、老化值、状态。其中,地址信息可以包括终端源MAC地址、终端源IP地址、终端与设备连接对应的物理端口号等。老化值用于ARP控制模块检测ARP控制模块所在的设备与终端间的互动性。状态为有标识或者无标识两种形式。本实施例不限制第一预设状态和第二预设状态的具体内容。例如,第一预设状态可以为1,第二预设状态可以为0。或者第一预设状态可以为待确认,第二预设状态为空/已确认均可。
104,交换芯片对接收的携带有第一地址信息的ARP报文进行限速。
在交换芯片中的报文匹配引擎模块和报文限速引擎模块对携带有第一地址信息的ARP报文进行限速之前,交换芯片中的报文匹配引擎模块接收输入的ARP报文特征,交换芯片中的报文限速引擎模块接收输入的限速规则。其中,ARP报文特征用于报文匹配引擎模块识别接收的报文是否为ARP报文。当报文匹配引擎模块接收的以太报文中以太类型字段为0x0806时,确定该报文为ARP报文。限速规则用于对交换芯片进行交互的终端发送的ARP报文进行限速。具体的,交换芯片中的报文限速引擎模块将报文匹配引擎模块识别出来的ARP报文按照限速规则进行限速。
报文匹配引擎模块的本地存储区域存储终端源MAC地址和终端源IP地址以及对应的序号。限速规则包括限速值以及限速值对应的序号。可以理解的是,报文匹配引擎模块的本地存储中存储的地址信息对应的序号与报文限速引擎模块中的限速规则中限速值对应的序号一致。
例如,报文匹配引擎模块的本地存储区域包括第一地址信息中的终端源MAC地址00.01.7a.00.00.10、终端源IP地址192.168.10以及对应的序号1;其他发送ARP报文的终端以及对应的序号2。报文限速引擎模块中的限速规则包括序号1以及对应序号1的速率为5pps,序号2以及对应序号2的速率为100pps。其中,速率5pps表示当地址信息为终端源MAC地址00.01.7a.00.00.10、终端源IP地址192.168.10的终端发送ARP报文时,该交换芯片每秒至多接收5个ARP报文;速率100pps表示所有地址信息不存在与报文匹配引擎模块的本地存储区域的终端发送ARP报文时,该交换芯片每秒至多接收100个ARP报文。
本发明实施例提供的一种防范ARP报文攻击的方法,通过ARP控制模块接收交换芯片发送的第一ARP报文,然后获取第一ARP报文中的第一地址信息;当ARP控制模块确定第一地址信息合法、存在于ARP表并且ARP表中第一地址信息对应的状态为第一预设状态时,ARP控制模块调用交换芯片驱动模块,指示交换芯片驱动模块将第一地址信息写入交换芯片中,ARP表用于存储与交换芯片进行交互的终端的地址信息;交换芯片对接收的携带有第一地址信息的ARP报文进行限速。现有技术中控制平面处理器通过规定在预定的时间范围内接收的ARP报文流量和/或报文数量上限的方法,对接收的ARP报文进行流量统计、丢弃等处理操作,占用了控制平面处理器大量的处理资源,从而影响控制平面处理器的处理效率。与现有技术相比,本发明实施例可以通过交换芯片识别并处理ARP报文,从而提高控制平面处理器的处理效率,以及避免由于攻击终端大量ARP报文流量影响其它终端与控制平面处理器之间的正常通信。
在本发明的一种实现方式中,提供交换芯片对接收的ARP报文进行限速的一种方法,设置第一地址信息对应的终端为终端A,如图2所示,该方法如下:
201,终端A向交换芯片发送报文A。
202,交换芯片中的报文匹配引擎模块接收该报文A。
203,报文匹配引擎模块检测该报文A是否为ARP报文。
报文匹配引擎模块获取报文A中的以太类型字段,当该以太类型字段值为0x0806时,确定报文A为ARP报文,然后继续执行204;当该以太类型字段值不是0x0806时,确定报文A不是ARP报文,然后结束此次操作。
204,报文匹配引擎模块获取该报文A的地址信息,查看该报文A的地址信息是否存在于本地存储中。
报文匹配引擎模块获取该报文A中的地址信息(报文源MAC地址00.01.7a.00.00.10、终端源MAC地址00.01.7a.00.00.10、终端源IP地址192.168.10)。然后使用终端源MAC地址00.01.7a.00.00.10和终端源IP地址192.168.10作为关键值查看本地存储区域是否存在该终端源MAC地址和终端源IP地址,由于本地存储区域存在00.01.7a.00.00.10和192.168.10,确定00.01.7a.00.00.10和192.168.10存在于报文匹配引擎模块的本地存储区域中。当报文A的地址信息存在于本地存储区域时,报文A的地址信息对应的序号为序号1。
205,报文匹配引擎模块将该报文A的地址信息对应的序号发送给报文限速引擎模块中。
206,报文限速引擎模块按照接收的序号对应限速规则中的速率对该报文A进行限速。
具体的,报文限速引擎模块接收序号1之后,在限速规则中查找序号1对应的速率(5pps),然后按照该速率对报文A进行限速。比如,当交换芯片在该秒内未接收完终端A发送的5个ARP报文时,则交换芯片接收该报文A;当交换芯片在该秒内已接收完终端A发送的5个ARP报文时,则交换芯片丢弃该报文A。
本发明实施例可以对ARP控制模块认证的终端(具有第二预设状态的地址信息对应的终端)进行保护,保证每秒接收来自该终端发送的一定数量的ARP报文,同时防止该终端发送大量的报文。本发明实施例采用交换芯片对接收的报文进行识别和限速,从而提高了处理平面处理器的处理效率。
在本发明的另一种实现方式中,如图3所示,提供交换芯片对接收的ARP报文进行限速的一种方法,该方法如下:
301,终端B向交换芯片发送报文B。
302,交换芯片中的报文匹配引擎模块接收该报文B。
303,报文匹配引擎模块检测该报文B是否为ARP报文。
报文匹配引擎模块获取报文B中的eth type字段,当该eth type字段值为0x0806时,确定报文B为ARP报文,然后继续执行404;当该eth type字段值不是0x0806时,确定报文B不是ARP报文,然后结束此次操作。
304,报文匹配引擎模块获取该报文B的地址信息,查看该报文B的地址信息是否存在于本地存储中。
报文匹配引擎模块获取该报文B中的地址信息(报文源MAC地址00.01.7a.00.00.11、终端源MAC地址00.01.7a.00.00.11、终端源IP地址192.168.11)。然后使用终端源MAC地址00.01.7a.00.00.10和终端源IP地址192.168.11作为关键值查看本地存储区域是否存在该终端源MAC地址和终端源IP地址,由于本地存储区域不存在00.01.7a.00.00.11和192.168.11,确定00.01.7a.00.00.11和192.168.11不存在于报文匹配引擎模块的本地存储区域中。当报文B的地址信息不存在与报文匹配引擎模块时,报文B的地址信息对应的序号为序号2。
305,报文匹配引擎模块将该报文B的地址信息对应的序号发送给报文限速引擎模块中。
306,报文限速引擎模块按照接收的序号对应限速规则中的速率对该报文B进行限速。
具体的,报文限速引擎模块接收序号2之后,在限速规则中查找序号2对应的速率(100pps),然后按照该速率对报文B进行限速。比如,当交换芯片该秒未接收完其他终端(其他终端的地址信息均不存在于报文匹配引擎模块的本地存储区域中)发送的100个ARP报文时,则交换芯片接收该报文B;当交换芯片该秒已接收完其他终端发送的100个ARP报文时,则交换芯片丢弃该报文B。
本发明实施例可以对ARP控制模块认证之后的终端进行保护,保证每秒接收来自该终端发送的一定数量的ARP报文,防止该终端发送大量的报文。同时对未认证的终端(具有第一预设状态的地址信息对应的终端或者该终端的地址信息不存在于报文匹配引擎模块中的终端)进行限速,使得每秒接收这些未认证的终端发送的报文不超过预设值。本发明实施例采用交换芯片对接收的报文进行识别和限速,从而提高了处理平面处理器的处理效率。
需要说明的是,终端在两种情况下发送第一ARP报文。
第一种情况,ARP控制模块在ARP表中写入该终端的第一地址信息之后,ARP控制模块构造第三ARP报文,并通过交换芯片发送给该终端。第三ARP报文用于通知终端发送第一ARP报文。该终端接收该第三ARP报文之后,通过交换芯片向ARP控制模块发送第一ARP报文。当ARP控制模块接收到第一ARP报文之后,调用交换芯片驱动模块,指示交换芯片驱动模块将第一ARP报文的第一地址信息写入交换芯片中。
第二种情况,ARP控制模块在检查ARP表中长时间没有交互的终端的地址信息时,ARP控制模块构造第四ARP报文,并通过交换芯片发送给该终端。第四ARP报文用于通知终端发送第一ARP报文。该终端接收该第四ARP报文之后,通过交换芯片向ARP控制模块发送第一ARP报文。当ARP控制模块在预定的时间内未收到第一ARP报文时,删除ARP表中的第一ARP报文的第一地址信息。
根据图1中101包括的ARP控制模块接收交换芯片发送的第一ARP报文,在本发明的一种实现方式中,提供一种防范ARP报文攻击的方法,在本实现方式中,终端在采用第一种情况发送第一ARP报文。如图4所示,该方法包括:
401,终端通过交换机网关接口向交换芯片发送第二ARP报文。
该第二ARP报文为ARP请求报文。ARP控制模块根据获取第二ARP报文中的操作字段,当该字段的值为0x0001时,表明第二ARP报文为ARP请求报文。
402,交换芯片向ARP控制模块发送第二ARP报文。
具体的,交换芯片将接收第二ARP报文转发给ARP控制模块。
403,ARP控制模块接收交换芯片发送的第二ARP报文,获取第二ARP报文中的地址信息。
可以理解的是,该第二ARP报文中的地址信息与图1中101的第一地址信息内容相同。即第二ARP报文中的地址信息包括以太报文源MAC地址(SMAC-h)、终端对应的源MAC地址(SMAC-d)、终端对应的源IP地址(SIP-d)。例如,报文源MAC地址(SMAC-h)为00.01.7a.00.00.10,终端对应的源MAC地址(SMAC-d)为00.01.7a.00.00.10,终端对应的源IP地址(SIP-d)为192.168.10。
在ARP控制模块获取第二ARP报文中的第一地址信息之后,可选的,将第二ARP报文丢弃。
404,当ARP控制模块确定第二地址信息合法并且不存在于ARP表时,ARP控制模块将第二地址信息写入ARP表中,并将第二地址信息对应的状态写为第一预设状态,第一预设状态用于指示ARP控制模块确定未收到第一ARP报文。
ARP控制模块对第二ARP报文的地址信息进行合法性检测的方法,以及检测第二ARP报文的地址信息是否存在于ARP表中的方法,可参考图1的102中ARP控制模块对第一ARP报文的地址信息进行合法性检测,以及第一ARP报文的地址信息是否存在于ARP表的详细描述。
405,ARP控制模块构造第三ARP报文,并发送给交换芯片。
在ARP控制模块将第二ARP报文中的地址信息写入ARP表中,并对第二ARP报文中的地址信息添加标识之后,ARP控制模块构造一个第三ARP报文,该第三ARP报文为ARP请求报文。
具体的,第三ARP报文的以太报文头部地址字段包括目的MAC地址SMAC-h(如00.01.7a.00.00.10)、源MAC地址为ARP控制模块所在的交换机网关接口对应的MAC地址(如00.01.7a.00.00.01),以太报文头部以太类型字段为0x0806。第三ARP报文的报文格式包括协议类型字段(0x0800)、操作字段(0x0001)、发送硬件地址字段为交换机网关接口对应的MAC地址(如00.01.7a.00.00.01),发送方IP地址为交换机网关接口对应的IP地址(如192.168.1.1)。
该第三ARP报文用于第三ARP报文对应的终端发送第一ARP报文。
406,交换芯片将接收的第三ARP报文发送给第二ARP报文对应的终端。
该终端在接收第三ARP报文之后,若终端在正常运行中,会按照第三ARP报文的地址信息向交换芯片发送第一ARP报文。
本发明实施例提高了处理平面控制器的处理效率,以及避免由于攻击终端大量ARP报文流量影响其它终端与控制平面处理器之间的正常通信。
根据图1中101包括的ARP控制模块接收交换芯片发送的第一ARP报文,在本发明的一种实现方式中,提供一种防范ARP报文攻击的方法,在本实现方式中,终端在采用第二种情况发送第一ARP报文。如图5所示,该方法包括:
501,ARP控制模块获取ARP表中的第一地址信息。
ARP控制模块为了避免某终端与ARP控制模块所在的交换机长时间不进行交互,却占用ARP表资源的情况时,ARP控制模块对ARP表中存储的地址信息进行检测。具体的,以第一地址信息为例进行说明。
502,ARP控制模块根据第一地址信息的内容,构造第四ARP报文,并发送给交换芯片,在发送所述第四ARP报文之后,更新所述ARP表中的所述第一地址信息对应的老化值。
第四ARP报文为ARP请求报文。该第四ARP报文构造的方式与图4的405中ARP控制模块构造第三ARP报文的方式相同,并且第四ARP报文的内容与第三ARP报文的内容也相同。故可参考图4的405。
需要说明的是,第四ARP报文用途与第三ARP报文的用途不同。第四ARP报文用于ARP控制模块清除ARP表中长时间不交互的终端对应的地址信息。
503,交换芯片将第四ARP报文发送给第四ARP报文对应的终端。
504,ARP控制模块判断第一地址信息对应的老化值是否超过预设门限。
当第一地址信息对应的老化值超过预设门限时,ARP控制模块继续执行505;当第一地址信息对应的老化值没有超过预设门限时,ARP控制模块继续执行501,然后获取ARP表中的下一条地址信息,按照方法流程继续执行。
本实施例不限制预设门限的取值范围,例如预设门限为10或者100等均可。根据实际情况,ARP控制模块设置预设门限的取值。
505,当第一地址信息对应的老化值大于等于预设门限时,ARP控制模块删除ARP表中的第一地址信息,或者,ARP控制模块删除ARP表中的第一地址信息以及调用交换芯片驱动模块,指示交换芯片驱动模块删除交换芯片中的第一地址信息。
可选的,当第一地址信息对应的老化值大于等于预设门限时,ARP控制模块删除ARP表中的第一地址信息,然后查看ARP表中的第一地址信息对应的状态。当ARP表中的第一地址信息的状态为第一预设状态时,结束此次操作,ARP控制模块获取ARP表中的下一条地址信息,并按照检测第一地址信息的方法重新执行501。
可选的,当第一地址信息对应的老化值大于等于预设门限时,ARP控制模块删除ARP表中的第一地址信息,然后查看ARP表中的第一地址信息对应的状态。当ARP表中第一地址信息对应的状态为第二预设状态时,ARP控制模块调用交换芯片驱动模块,指示交换芯片驱动模块删除交换芯片中的第一地址信息。
506,交换芯片删除第一地址信息,第一地址信息对应的序号以及对应的限速规则。
交换芯片中的报文匹配引擎模块删除第一地址信息和第一地址信息对应的序号;报文限速引擎模块删除第一地址信息对应的序号和对应的限速规则。
在ARP控制模块检测并处理完第一地址信息之后,对ARP表中的下一条地址信息按照上述处理方法重新执行501。
需要说明的是,步骤503与步骤504-506没有先后顺序,本实施例可以先执行步骤503再执行步骤504-506,或者本实施例可以先执行步骤504-506再执行步骤503,或者本实施例可以同时执行步骤504-506和步骤503。
本发明实施例提高了处理平面控制器的处理效率。
实施例2
如图6所示,本发明实施例提供一种防范ARP报文攻击的设备60,所述设备包括控制平面处理器601和交换芯片602,所述控制平面处理器601上运行的软件模块包括包括ARP控制模块6011和交换芯片驱动模块6012;交换芯片602包括报文匹配引擎模块6021和报文限速引擎模块6022;
交换芯片602,用于接收终端发送的第一ARP报文,并将所述第一ARP报文发送给ARP控制模块6011。
ARP控制模块6011,用于接收交换芯片602发送的第一ARP报文;获取第一ARP报文中的第一地址信息;当第一地址信息合法、存在于ARP表并且ARP表中第一地址信息对应的状态为第一预设状态时,调用交换芯片驱动模块6012,指示交换芯片驱动模块将第一地址信息写入交换芯片中,ARP表用于存储与交换芯片进行交互的终端的地址信息。
交换芯片驱动模块6012,用于根据ARP控制模块601的指示,将第一地址信息写入交换芯片602中。
交换芯片602,还用于对接收的携带有第一地址信息的ARP报文进行限速。
进一步的,在交换芯片602接收终端发送的第一ARP报文之前,交换芯片602还用于接收终端发送的第二ARP报文,并将第二ARP报文发送给ARP控制模块6011。
ARP控制模块6011,还用于接收交换芯片602发送的第二ARP报文;以及获取第二ARP报文中的地址信息,第二ARP报文中的地址信息与第一地址信息相同;当第二ARP报文中的地址信息合法并且不存在于ARP表时,ARP控制模块6011将第二ARP报文中的地址信息写入ARP表中,并将第二地址信息对应的状态写为第一预设状态,第一预设状态用于ARP控制模块确定未收到第一ARP报文。
ARP控制模块6011还用于通知第二ARP报文对应的终端发送第一ARP报文。
ARP控制模块6011通知第二ARP报文对应的终端发送第一ARP报文具体实现方式可以为:ARP控制模块6011构造第三ARP报文,并发送给交换芯片602;交换芯片602将接收的第三ARP报文发送给第二ARP报文对应的终端。当然,ARP控制模块6011通知第二ARP报文对应的终端发送第一ARP报文的具体实现方式不限于此,在此不一一赘述。
进一步的,ARP控制模块6011,还用于获取ARP表中的第一地址信息;然后更新ARP表中的第一地址信息对应的老化值,并通知第二ARP报文对应的终端发送第一ARP报文。
ARP控制模块6011通知第二ARP报文对应的终端发送第一ARP报文的具体实现方式可以为:根据第一地址信息的内容,构造第四ARP报文,并将第四ARP报文发送给交换芯片602。交换芯片602将第四ARP报文发送给第四ARP报文对应的终端。当然,ARP控制模块6011通知第二ARP报文对应的终端发送第一ARP报文的具体实现方式不限于此,在此不一一赘述。
ARP控制模块6011,还用于判断第一地址信息对应的老化值是否超过预设门限;当第一地址信息对应的老化值大于等于预设门限时,ARP控制模块6011删除ARP表中的第一地址信息,或者,ARP控制模块6011删除ARP表中的第一地址信息以及调用交换芯片驱动模块,指示交换芯片驱动模块6012删除交换芯片中的第一地址信息。
进一步的,第一地址信息包括第一ARP报文源MAC地址、第一地址信息对应的终端源MAC地址以及源IP地址;
ARP控制模块6011,还用于检测第一地址信息是否合法;当第一地址信息中第一ARP报文源MAC地址与第一地址信息对应的终端源MAC地址一致时,确定第一地址信息合法。
当第一地址信息合法并且存在于ARP表时,ARP控制模块6011,还用于清除ARP表中第一地址信息对应的老化值;
ARP控制模块6011还用于检测ARP表中第一地址信息对应的状态是否为第一预设状态;当ARP表中第一地址信息对应的状态为第一预设状态时,将第一预设状态修改为第二预设状态,第二预设状态用于ARP控制模块确定已收到第一ARP报文。
在交换芯片602对携带第一地址信息的ARP报文进行限速之前,报文匹配引擎模块6021,还用于接收输入的ARP报文特征,ARP报文特征用于指示交换芯片检测接收的报文是否为ARP报文。
报文限速引擎模块6022,还用于接收输入的限速规则,限速规则用于对交换芯片进行交互的终端发送的ARP报文进行限速。
需要说明的是,图6所示设备60中,其各个模块的具体实施过程以及各个模块之间的信息交互等内容,由于与本发明方法实施例基于同一发明构思,可以参见方法实施例,在此不一一赘述。
本发明实施例提供的一种防范ARP报文攻击设备,可以提高控制平面处理器的处理速率,以及避免由于攻击终端大量ARP报文流量影响其它终端与控制平面处理器之间的正常通信。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的设备,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个设备,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种防范ARP报文攻击的方法,其特征在于,包括:
地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文;
所述ARP控制模块获取所述第一ARP报文中的第一地址信息;
当所述ARP控制模块确定所述第一地址信息合法、存在于ARP表并且所述ARP表中所述第一地址信息对应的状态为第一预设状态时,所述ARP控制模块调用交换芯片驱动模块,指示所述交换芯片驱动模块将所述第一地址信息写入所述交换芯片中;
所述交换芯片对接收的携带有所述第一地址信息的ARP报文进行限速。
2.根据权利要求1所述的防范ARP报文攻击的方法,其特征在于,在所述地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文之前,所述方法还包括:
所述ARP控制模块接收所述交换芯片发送的第二ARP报文;
所述ARP控制模块获取所述第二ARP报文中的第二地址信息,所述第二地址信息与所述第一地址信息相同;
当所述ARP控制模块确定所述第二地址信息合法并且不存在于所述ARP表时,所述ARP控制模块将所述第二地址信息写入所述ARP表中,并将所述第二地址信息对应的状态写为所述第一预设状态,所述第一预设状态用于指示所述ARP控制模块确定未收到第一ARP报文;
所述ARP控制模块通知所述第二ARP报文对应的终端发送第一ARP报文。
3.根据权利要求2所述的防范ARP报文攻击的方法,其特征在于,所述方法还包括:
所述ARP控制模块获取所述ARP表中的所述第一地址信息;
所述ARP控制模块更新所述ARP表中的所述第一地址信息对应的老化值;
所述ARP控制模块判断所述第一地址信息对应的老化值是否超过预设门限;
当所述第一地址信息对应的老化值大于等于所述预设门限时,所述ARP控制模块删除所述ARP表中的第一地址信息,或者,所述ARP控制模块删除所述ARP表中的所述第一地址信息以及调用所述交换芯片驱动模块,指示所述交换芯片驱动模块删除所述交换芯片中的所述第一地址信息。
4.根据权利要求1或3所述的防范ARP报文攻击的方法,其特征在于,所述第一地址信息包括所述第一ARP报文源MAC地址、所述第一地址信息对应的终端源MAC地址以及源IP地址;
在所述ARP控制模块调用交换芯片驱动模块之前,还包括:
所述ARP控制模块检测所述第一地址信息是否合法;
当所述第一地址信息中所述第一ARP报文源MAC地址与所述第一地址信息对应的终端源MAC地址一致时,所述ARP控制模块确定所述第一地址信息合法。
5.根据权利要求4所述的防范ARP报文攻击的方法,其特征在于,在所述ARP控制模块调用交换芯片驱动模块之前,还包括:
在所述ARP控制模块确定所述第一地址信息合法并且存在于ARP表之后,所述ARP控制模块清除所述ARP表中所述第一地址信息对应的老化值;
所述ARP控制模块检测所述ARP表中所述第一地址信息对应的状态是否为所述第一预设状态;
当所述ARP表中所述第一地址信息对应的状态为所述第一预设状态时,将所述第一预设状态修改为第二预设状态,所述第二预设状态用于所述ARP控制模块确定已收到第一ARP报文。
6.根据权利要求5所述的防范ARP报文攻击的方法,其特征在于,在所述交换芯片对接收携带所述第一地址信息的ARP报文进行限速之前,还包括:
所述交换芯片接收输入的ARP报文特征、限速规则,所述ARP报文特征用于指示所述交换芯片检测接收的报文是否为ARP报文;所述限速规则用于对所述交换芯片进行交互的终端发送的ARP报文进行限速。
7.一种防范ARP报文攻击的设备,其特征在于,所述设备包括控制平面处理器和交换芯片,所述控制平面处理器上运行的软件模块包括地址解析协议ARP控制模块和交换芯片驱动模块;
所述交换芯片,用于接收终端发送的第一ARP报文,并将所述第一ARP报文发送给所述ARP控制模块;
所述ARP控制模块,用于接收交换芯片发送的第一ARP报文;获取所述第一ARP报文中的第一地址信息;
所述ARP控制模块,还用于当所述ARP控制模块确定所述第一地址信息合法、存在于ARP表并且所述ARP表中所述第一地址信息对应的状态为第一预设状态时,调用交换芯片驱动模块,指示所述交换芯片驱动模块将所述第一地址信息写入所述交换芯片中;
所述交换芯片驱动模块,用于根据所述ARP控制模块的指示,将所述第一地址信息写入所述交换芯片中;
所述交换芯片,还用于对接收的携带有所述第一地址信息的ARP报文进行限速。
8.根据权利要求7所述的防范ARP报文攻击的设备,其特征在于,
所述交换芯片,还用于接收所述终端发送的第二ARP报文,并将所述第二ARP报文发送给所述ARP控制模块;
所述ARP控制模块,还用于接收所述交换芯片发送的所述第二ARP报文;以及获取所述第二ARP报文中的第二地址信息,所述第二地址信息与所述第一地址信息相同;当所述ARP控制模块确定所述第二地址信息合法并且不存在于所述ARP表时,将所述第二地址信息写入所述ARP表中,并将所述第二地址信息对应的状态写为所述第一预设状态,所述第一预设状态用于所述ARP控制模块确定未收到第一ARP报文;
所述ARP控制模块,还用于通知所述第二ARP报文对应的终端发送第一ARP报文。
9.根据权利要求8所述的防范ARP报文攻击的设备,其特征在于,
所述ARP控制模块,还用于获取所述ARP表中的所述第一地址信息;以及更新所述ARP表中的所述第一地址信息对应的老化值,判断所述第一地址信息对应的老化值是否超过预设门限;当所述第一地址信息对应的老化值大于等于所述预设门限时,删除所述ARP表中的第一地址信息,或者,删除所述ARP表中的所述第一地址信息以及调用所述交换芯片驱动模块,指示所述交换芯片驱动模块删除所述交换芯片中的所述第一地址信息;
所述交换芯片驱动模块,还用于根据所述ARP控制模块的删除指示,删除所述交换芯片中的所述第一地址信息。
10.根据权利要求7或9所述的防范ARP报文攻击的设备,其特征在于,所述第一地址信息包括所述第一ARP报文源MAC地址、所述第一地址信息对应的终端源MAC地址以及源IP地址;
所述ARP控制模块,还用于检测所述第一地址信息是否合法;当所述第一地址信息中所述第一ARP报文源MAC地址与所述第一地址信息对应的终端源MAC地址一致时,确定所述第一地址信息合法。
11.根据权利要求10所述的防范ARP报文攻击的设备,其特征在于,
所述ARP控制模块,还用于在所述ARP控制模块确定所述第一地址信息合法并且存在于ARP表之后,清除所述ARP表中所述第一地址信息对应的老化值;
所述ARP控制模块,还用于检测所述ARP表中所述第一地址信息对应的状态是否为第一预设状态;当所述ARP表中所述第一地址信息对应的状态为第一预设状态时,将所述第一预设状态修改为第二预设状态,所述第二预设状态用于所述ARP控制模块确定已收到第一ARP报文。
12.根据权利要求11所述的防范ARP报文攻击的设备,其特征在于,所述交换芯片包括报文匹配引擎模块和报文限速引擎模块;
所述报文匹配引擎模块,还用于接收输入的ARP报文特征,所述ARP报文特征用于指示所述交换芯片检测接收的报文是否为ARP报文;
所述报文限速引擎模块,还用于接收输入的限速规则,所述限速规则用于对所述交换芯片进行交互的终端发送的ARP报文进行限速。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310320304.1A CN103347031B (zh) | 2013-07-26 | 2013-07-26 | 一种防范arp报文攻击的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310320304.1A CN103347031B (zh) | 2013-07-26 | 2013-07-26 | 一种防范arp报文攻击的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103347031A true CN103347031A (zh) | 2013-10-09 |
CN103347031B CN103347031B (zh) | 2016-03-16 |
Family
ID=49281805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310320304.1A Active CN103347031B (zh) | 2013-07-26 | 2013-07-26 | 一种防范arp报文攻击的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103347031B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及*** |
CN105429908A (zh) * | 2015-11-09 | 2016-03-23 | 福建星网锐捷网络有限公司 | 一种报文处理方法及装置 |
CN105939397A (zh) * | 2015-08-13 | 2016-09-14 | 杭州迪普科技有限公司 | 一种报文的传输方法和装置 |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
WO2020103614A1 (zh) * | 2018-11-23 | 2020-05-28 | 中兴通讯股份有限公司 | 报文的处理方法及装置 |
CN112165483A (zh) * | 2020-09-24 | 2021-01-01 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1825853A (zh) * | 2006-03-30 | 2006-08-30 | 迈普(四川)通信技术有限公司 | 提高局域网通信安全的方法 |
CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
KR20070106893A (ko) * | 2006-05-01 | 2007-11-06 | 이형우 | 에이알피 포이즌 공격차단방법 |
CN200973108Y (zh) * | 2006-06-29 | 2007-11-07 | 中兴通讯股份有限公司 | 实现安全访问的接入设备 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯***及转发平面处理器 |
-
2013
- 2013-07-26 CN CN201310320304.1A patent/CN103347031B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
CN1825853A (zh) * | 2006-03-30 | 2006-08-30 | 迈普(四川)通信技术有限公司 | 提高局域网通信安全的方法 |
KR20070106893A (ko) * | 2006-05-01 | 2007-11-06 | 이형우 | 에이알피 포이즌 공격차단방법 |
CN200973108Y (zh) * | 2006-06-29 | 2007-11-07 | 中兴通讯股份有限公司 | 实现安全访问的接入设备 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯***及转发平面处理器 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939397A (zh) * | 2015-08-13 | 2016-09-14 | 杭州迪普科技有限公司 | 一种报文的传输方法和装置 |
CN105939397B (zh) * | 2015-08-13 | 2018-10-26 | 杭州迪普科技股份有限公司 | 一种报文的传输方法和装置 |
CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及*** |
CN105429908A (zh) * | 2015-11-09 | 2016-03-23 | 福建星网锐捷网络有限公司 | 一种报文处理方法及装置 |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
WO2020103614A1 (zh) * | 2018-11-23 | 2020-05-28 | 中兴通讯股份有限公司 | 报文的处理方法及装置 |
CN112165483A (zh) * | 2020-09-24 | 2021-01-01 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103347031B (zh) | 2016-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103347031B (zh) | 一种防范arp报文攻击的方法及设备 | |
CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
CN113301568B (zh) | 用于配网的方法、装置和智能家居设备 | |
CN105516080A (zh) | Tcp连接的处理方法、装置及*** | |
CN101123492A (zh) | 检测扫描攻击的方法和设备 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN106790291B (zh) | 一种入侵检测提示方法及装置 | |
CN101562542B (zh) | 免费arp请求的响应方法和网关设备 | |
CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
CN112152940B (zh) | 报文处理方法、装置以及*** | |
CN107193673A (zh) | 一种报文处理方法及设备 | |
CN103491134A (zh) | 一种监控容器的方法、装置与代理服务*** | |
CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
CN107707569A (zh) | Dns请求处理方法及dns*** | |
CN100499528C (zh) | 一种dhcp监听方法及其装置 | |
CN101621526B (zh) | 一种防止无用连接占用***资源的iSCSI方法及装置 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
CN106453663B (zh) | 改进的基于云服务的存储扩容方法及装置 | |
CN110913351B (zh) | 组播控制方法、装置、网络设备及存储介质 | |
CN103051612B (zh) | 防火墙及防止网络攻击方法 | |
CN104348660A (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
CN103051484A (zh) | 会话业务处理方法、***和会话边缘控制器 | |
CN105653412A (zh) | 一种指纹器件兼容检测方法及终端 | |
CN101771575A (zh) | 一种处理ip分片报文的方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |