CN104009999A - 防止arp欺骗的方法、装置及网络接入服务器 - Google Patents
防止arp欺骗的方法、装置及网络接入服务器 Download PDFInfo
- Publication number
- CN104009999A CN104009999A CN201410256080.7A CN201410256080A CN104009999A CN 104009999 A CN104009999 A CN 104009999A CN 201410256080 A CN201410256080 A CN 201410256080A CN 104009999 A CN104009999 A CN 104009999A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- source
- information
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种防止ARP欺骗的方法、装置及网络接入服务器。该方法包括:通过将获取到的第一报文的报文信息记录到第一转发数据库中;在获知认证数据库中不存在第一报文的源IP地址信息对应的源IP地址后,将源IP地址添加至认证数据库中;并向ARP数据库添加一条对应于源IP地址的静态ARP表项;根据第一转发数据库中对应于源IP地址的表项中的所述物理端口信息,将第二报文发送到与物理端口信息对应的物理端口,以使与源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,第二报文是第一报文的重定向报文,从而实现在web认证过程中防止ARP欺骗。
Description
技术领域
本发明涉及一种通信技术,尤其涉及一种防止地址解析协议(AddressResolution Protocol,简称:ARP)欺骗的方法、装置及网络接入服务器(NetwoekAccess Server,简称:NAS)。
背景技术
网络(web)认证是一种基于超文本传输协议(Hyper Text TransferProtocol,简称:HTTP)技术对用户访问网络的权限进行控制的身份认证方法,通常,未认证用户访问网络前需要先使用浏览器打开一个站点,部署身份认证功能的NAS会强制浏览器访问web认证服务器,即Portal服务器,用户通过浏览器在Portal服务器推送的页面上输入身份信息进行身份认证,只有认证通过后才可以使用网络资源。
ARP是指局域网上两台互联网协议(Internet Protocol,简称:IP)设备之间通信时,根据对方的IP地址获知对方媒质接入控制(Medium AccessControl,简称:MAC)地址的过程,ARP可以将MAC地址和IP地址绑定,以IP地址作为输入,ARP能够知道该IP地址关联的MAC地址。ARP欺骗是指某个IP设备对外发送假的ARP报文,伪造成其他IP设备,从而将发往其他IP设备的数据流引向自己,实现窥探,并导致其他合法的IP设备无法通信。
现有技术中,为了防止ARP欺骗,通常由预存有IP地址与MAC地址的映射数据库的NAS将所有终端发出的ARP报文全部拦截下来,通过映射数据库对接收到的ARP报文进行校验,若校验通过则由NAS将ARP报文转发出去。现有技术的方案中的映射数据库,若通过静态配置,则不够灵活且管理工作量巨大;若通过动态主机配置协议(Dynamic Host ConfigurationProtocol,简称:DHCP)嗅探自动生成,则要求所有接入NAS的终端必须是通过DHCP获得IP地址的,对于网络部署有很大的限制,并且使用DHCP也会存在DHCP被欺骗的可能性。因此,亟需提出一种有效防止ARP欺骗的方法。
发明内容
本发明提供一种防止ARP欺骗的方法、装置及网络接入服务器,以在web认证过程中有效防止ARP欺骗。
第一方面,本发明实施例提供一种防止ARP欺骗的方法,包括:
获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;
若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
在第一方面的第一种可能的实现方式中,所述方法还包括:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述获取接收到的第一报文的报文信息之前,还包括:
在满足预设条件时,拦截所述第一报文。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述预设条件包括:
所述第一报文是TCP报文;
第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;
所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
第二方面,本发明实施例提供一种防止ARP欺骗的装置,包括:
获取模块,用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源MAC地址信息、源IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;
处理模块,用于若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送模块,用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
在第二方面的第一种可能的实现方式中,所述处理模块还用于:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述装置还包括拦截模块,用于在满足预设条件时,拦截所述第一报文。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述预设条件包括:
所述第一报文是TCP报文;
第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;
所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
第三方面,本发明实施例提供一种网络接入服务器NAS,包括:
处理器,用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送器,用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
在第三方面的第一种可能的实现方式中,所述处理器还用于:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器还用于在满足预设条件时,拦截所述第一报文。
结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述预设条件包括:
所述第一报文是传输控制协议TCP报文;
第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;
所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
本发明实施例提供的防止ARP欺骗的方法、装置及NAS,通过将获取到的第一报文的报文信息记录到第一转发数据库中;在获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址后,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文,从而实现在web认证过程中防止ARP欺骗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明防止ARP欺骗的方法实施例一的流程图;
图2为应用本发明防止ARP欺骗的方法的NAS的结构示意图;
图3为本发明防止ARP欺骗的装置实施例的结构示意图;
图4为本发明NAS实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明防止ARP欺骗的方法实施例一的流程图。本实施例提供的方法具体可以由NAS执行,如图1所示,本实施例提供的方法可以包括:
步骤101、获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源MAC地址信息、源IP地址信息,以及接收所述第一报文的物理端口的物理端口信息。
需要说明的是,NAS在获取第一报文的报文信息之前,需要先判断第一报文是否满足预设条件,若判断出第一报文满足预设条件,则拦截第一报文;其中,预设条件包括:所述第一报文是传输控制协议(Transmission ControlProtocol,简称:TCP)报文;第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步,即,所述第一报文的源IP地址没有进行过web认证;且所述第一报文的目的IP地址不是所述web认证服务器的IP地址。在第一报文同时满足上述三个预设条件时,NAS会对第一报文进行拦截,再获取第一报文的报文信息。
步骤102、若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址。
以源IP地址为索引,在认证数据库中检索所述源IP地址是否存在,若认证数据库中不存在所述源IP地址,表明所述源IP地址并没有进行过web认证,则将所述源IP地址添加至认证数据库中。
同时,为了在web认证过程中防止ARP欺骗,NAS会向ARP数据库中添加一条对应于所述源IP地址的静态ARP表项,由于静态ARP表项的信息来自第一报文的源IP地址和源MAC地址,因此信息准确,并且由于设置为静态信息,在通信过程中就不会被欺骗篡改;在添加静态ARP表项后,NAS启动与所述静态ARP表项对应的定时器对所述静态ARP表项进行维护,在定时器超时后,NAS会将所述静态ARP表项删除,以节省NAS的资源,同时可以避免在出现可能的HTTP伪造时,NAS被欺骗的情况。
需要说明的是,NAS在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,会启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
步骤103、根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
本步骤中,在完成步骤101-步骤102之后,NAS通过将第二报文发送至所述物理端口,从而使与源IP地址对应的浏览器访问web认证服务器进行web认证;也就是说,NAS向终端发送第二报文时,避开了TCP/IP协议中标准的发送过程,没有使用到ARP报文,因此,即便存在ARP欺骗,也不会对web认证产生影响。
本实施例的技术方案,通过将获取到的第一报文的报文信息记录到第一转发数据库中;在获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址后,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文,从而实现在web认证过程中防止ARP欺骗。
下面结合图2,对发明提供的防止ARP欺骗的方法的实现过程和原理作进一步的说明,以帮助理解本发明。
首先要说明的是,本实施例提供的方法中,NAS具体可以是交换机、路由器、防火墙、无线设备、出口设备等多种形态的设备。本实施例中,是以超文本传输协议(Hypertext Transfer Protocol,简称:HTTP)交互过程为例、针对web认证的应用场景进行说明的,但实际应用中,在部署了HTTPS的网络中,基于TCP/IP标准进行通信的网络中也适用。
终端在进行web认证时,主要涉及两个通信过程:HTTP重定向过程和web认证过程。这两个通信过程都是基于IP通信的,因此只要在这两个过程防止ARP欺骗,就可以解决web认证过程的ARP欺骗。
如图2所示,本实施例中,涉及到三个网络设备,终端、NAS和认证服务器。具体的,在NAS中,可以包括硬件报文拦截模块、TCP报文嗅探模块、HTTP重定向模块、ARP模块以及硬件数据转发模块;其中,NAS通过硬件报文拦截模块与终端通信,通过硬件数据转发模块与认证服务器通信。
在HTTP重定向过程防止ARP欺骗时,首先用户在终端的浏览器输入一个网址,如www.ruijie.com.cn,并敲击回车;NAS的硬件对所有的DNS报文放行,使终端的操作***可以通过域名***(Domain Name System,简称:DNS)协议正常解析到域名对应的IP地址,并发送TCP报文与用户想要访问的网站建立连接。
硬件报文拦截模块接收到报文,即上述实施例中提及的第一报文后,根据预设条件判断是否要拦截报文;其中,预设条件包括:接收到的报文是TCP报文;第二转发数据库中存在报文的源IP地址信息;其中,第二转发数据库与认证数据库同步,即,报文的源IP地址没有进行过web认证;且报文的目的IP地址不是认证服务器的IP地址,在这三个条件同时满足的条件下,硬件报文拦截模块会将TCP报文拦截下来,并发送到TCP报文嗅探模块。
TCP报文嗅探模块收到TCP报文后,获取TCP报文的报文信息,即接收报文的物理端口的物理端口信息、TCP报文的源MAC地址信息、源IP地址信息,并将报文信息记录到第一转发数据库中。在TCP报文嗅探模块将报文信息记录到第一转发数据库后,将HTTP报文发送给HTTP重定向模块进行处理。
HTTP重定向模块动态建立一个以HTTP报文的源IP地址为索引的认证数据库,当收到HTTP报文时,提取HTTP报文的源IP地址,然后在认证数据库中搜索该源IP地址是否存在,如果不存在,证明这是一个还未认证的用户,于是将源IP地址添加至认证数据库;并向ARP模块的ARP数据库添加一条对应于源IP地址的静态ARP表项,启动与所述静态ARP表项对应的定时器。
完成上述操作后,HTTP重定向模块向源IP地址推送一个HTTP重定向页面,促使源IP地址对应的浏览器去访问认证服务器,以便进行web认证。
在上述过程中,由于HTTP重定向模块不是按照正常的TCP/IP协议栈的通信流程将HTTP报文发送到IP协议栈,而是直接发送到TCP报文嗅探模块;TCP报文嗅探模块在接收到报文后,根据第一转发数据库中对应于源IP地址的表项中的物理端口信息,选择将HTTP报文发送到与物理端口信息对应的物理端口,从而在HTTP重定向过程中没有使用到ARP报文,因此即便存在ARP欺骗,也不会对HTTP重定向过程产生影响。
在web认证过程防止ARP欺骗时,终端在接收到NAS发送的重定向报文,即上述实施例中的第二报文后,需要访问认证服务器进行认证,这个过程也是一个标准的TCP/IP通信过程。因此在这个过程中,如果NAS受到ARP欺骗,也会导致NAS在转发认证服务器和终端之间的报文时出现错误,导致终端无法进行web认证。
在HTTP重定向过程防止ARP欺骗的过程中,HTTP重定向模块会向ARP模块的ARP数据库中添加一条静态ARP表项,由于静态ARP表项的信息来自终端的HTTP报文源IP地址和源MAC地址,因此信息准确,且被设置为静态信息,在终端通信过程中,不会被其他终端所欺骗篡改。
同时,在HTTP重定向模块把源IP地址加入ARP数据库后,启动相应的定时器对静态ARP表项进行维护。因为存在一种极端的情况,就是终端出现故障,则静态ARP表项不能一直保存在NAS上,否则会造成资源浪费,或者,甚至能发出报文的终端也是一个欺骗终端,在发出一个报文后,就不再进行web认证了,在这种情况下,通过在定时器超时后删除相应的静态ARP表项可以避免NAS被这种极端情况所欺骗。
本实施例的技术方案,可以有效解决web认证过程中存在的ARP欺骗的问题。
图3为本发明防止ARP欺骗的装置实施例的结构示意图。如图3所示,本实施例提供的装置具体可以集成在NAS中,本实施例提供的防止ARP欺骗的装置10可以包括:获取模块11,处理模块12及发送模块13。
其中,获取模块11可以用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源MAC地址信息、源IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;
处理模块12可以用于若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送模块13可以用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
进一步地,本实施例提供的防止ARP欺骗的装置10还可以包括拦截模块,用于在满足预设条件时,拦截所述第一报文。其中,所述预设条件包括:所述第一报文是TCP报文;第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
具体的,获取模块11可以对应于图2中的TCP报文嗅探模块;处理模块12可以对应于图2中的HTTP重定向模块和ARP模块;发送模块13可以对应于图2中的硬件数据转发模块;拦截模块可以对应于图2中的硬件报文拦截模块。
本实施例提供的防止ARP欺骗的装置,可用于执行上述方法实施例的技术方案,其实现原理及技术效果类似,此处不再赘述。
图4为本发明NAS实施例的结构示意图。如图4所示,本实施例提供的NAS20具体可以包括:处理器21和发送器22。
其中,处理器21可以用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源MAC地址信息、源IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送器22可以用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
所述处理器21还可以用于在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
进一步地,所述处理器21还可以用于在满足预设条件时,拦截所述第一报文;其中,所述预设条件包括:所述第一报文是传输控制协议TCP报文;第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
本实施例提供的NAS,可用于执行上述方法实施例的技术方案,其实现原理及技术效果类似,此处不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种防止地址解析协议ARP欺骗的方法,其特征在于,包括:
获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;
若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
3.根据权利要求1或2所述的方法,其特征在于,在所述获取接收到的第一报文的报文信息之前,还包括:
在满足预设条件时,拦截所述第一报文。
4.根据权利要求3所述的方法,其特征在于,所述预设条件包括:
所述第一报文是传输控制协议TCP报文;
第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;
所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
5.一种防止地址解析协议ARP欺骗的装置,其特征在于,包括:
获取模块,用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;
处理模块,用于若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送模块,用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
6.根据权利要求5所述的装置,其特征在于,所述处理模块还用于:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
7.根据权利要求5或6所述的装置,其特征在于,还包括拦截模块,用于在满足预设条件时,拦截所述第一报文。
8.根据权利要求7所述的装置,其特征在于,所述预设条件包括:
所述第一报文是传输控制协议TCP报文;
第二转发数据库中存在所述第一报文的源IP地址信息;其中,所述第二转发数据库与所述认证数据库同步;
所述第一报文的目的IP地址不是所述web认证服务器的IP地址。
9.一种网络接入服务器NAS,其特征在于,包括:
处理器,用于获取接收到的第一报文的报文信息,将所述报文信息记录到第一转发数据库中;其中,所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息,以及接收所述第一报文的物理端口的物理端口信息;若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址,将所述源IP地址添加至所述认证数据库中;并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项;其中,所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址;
发送器,用于根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息,将第二报文发送到与所述物理端口信息对应的物理端口,以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证;其中,所述第二报文是所述第一报文的重定向报文。
10.根据权利要求9所述的NAS,其特征在于,所述处理器还用于:
在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时,启动与所述静态ARP表项对应的定时器,在所述定时器超时后删除所述静态ARP表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410256080.7A CN104009999B (zh) | 2014-06-10 | 2014-06-10 | 防止arp欺骗的方法、装置及网络接入服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410256080.7A CN104009999B (zh) | 2014-06-10 | 2014-06-10 | 防止arp欺骗的方法、装置及网络接入服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104009999A true CN104009999A (zh) | 2014-08-27 |
| CN104009999B CN104009999B (zh) | 2017-06-23 |
Family
ID=51370493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410256080.7A Active CN104009999B (zh) | 2014-06-10 | 2014-06-10 | 防止arp欺骗的方法、装置及网络接入服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104009999B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016034006A1 (zh) * | 2014-09-05 | 2016-03-10 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
| CN107786496A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
| CN109391548A (zh) * | 2018-11-06 | 2019-02-26 | 迈普通信技术股份有限公司 | 表项迁移方法、装置及网络通信*** |
| CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| KR100875669B1 (ko) * | 2008-05-19 | 2008-12-26 | (주)넷맨 | 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及*** |
| CN102638472A (zh) * | 2012-05-07 | 2012-08-15 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
| CN102739684A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种基于虚拟IP地址的Portal认证方法及服务器 |
-
2014
- 2014-06-10 CN CN201410256080.7A patent/CN104009999B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| KR100875669B1 (ko) * | 2008-05-19 | 2008-12-26 | (주)넷맨 | 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及*** |
| CN102638472A (zh) * | 2012-05-07 | 2012-08-15 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
| CN102739684A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种基于虚拟IP地址的Portal认证方法及服务器 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016034006A1 (zh) * | 2014-09-05 | 2016-03-10 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
| CN105472054A (zh) * | 2014-09-05 | 2016-04-06 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
| CN105472054B (zh) * | 2014-09-05 | 2019-05-24 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
| CN107786496A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
| CN107786496B (zh) * | 2016-08-25 | 2020-06-19 | 大连楼兰科技股份有限公司 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
| CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
| CN110741604B (zh) * | 2017-06-23 | 2021-12-17 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和记录介质 |
| CN109391548A (zh) * | 2018-11-06 | 2019-02-26 | 迈普通信技术股份有限公司 | 表项迁移方法、装置及网络通信*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104009999B (zh) | 2017-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
| CN104735066B (zh) | 一种面向网页应用的单点登录方法、装置和*** | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN102891826B (zh) | 网页访问的控制方法、设备和*** | |
| CN110300133B (zh) | 跨域数据传输方法、装置、设备及存储介质 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| JP2011515767A (ja) | クロスドメインクッキーを使用したウェブアクセス | |
| CN106657010B (zh) | 访问数据的方法、装置及*** | |
| CN105162802B (zh) | Portal认证方法及认证服务器 | |
| CN101764808B (zh) | 自动登录的认证处理方法、服务器和*** | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN105141605A (zh) | 会话方法、网站服务器及浏览器 | |
| CN106209727B (zh) | 一种会话访问方法和装置 | |
| CN104009999A (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和*** | |
| CN106911681A (zh) | 上网认证方法及装置 | |
| WO2017215650A1 (zh) | 微端的自动登录方法、装置、程序及介质 | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| CN107707569A (zh) | Dns请求处理方法及dns*** | |
| CN108600259B (zh) | 设备的认证和绑定方法及计算机存储介质、服务器 | |
| CN108322420A (zh) | 后门文件的检测方法和装置 | |
| US10686834B1 (en) | Inert parameters for detection of malicious activity | |
| CN111225038B (zh) | 服务器访问方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |