CN113347198B - Arp报文处理方法、装置、网络设备及存储介质 - Google Patents
Arp报文处理方法、装置、网络设备及存储介质 Download PDFInfo
- Publication number
- CN113347198B CN113347198B CN202110702777.2A CN202110702777A CN113347198B CN 113347198 B CN113347198 B CN 113347198B CN 202110702777 A CN202110702777 A CN 202110702777A CN 113347198 B CN113347198 B CN 113347198B
- Authority
- CN
- China
- Prior art keywords
- target
- mac address
- arp
- equipment
- target equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请实施例提供了一种ARP报文处理方法、装置、网络设备及存储介质,本申请涉及安全防护技术领域,该方法包括:获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址;获取所述目标设备的公钥,并根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;利用所述目标设备的虚拟MAC地址更新ARP缓存表。采用本申请,可以有效地防御ARP欺骗攻击。本申请涉及区块链技术,如可以将ARP缓存表加密后写入区块链,避免信息被篡改。
Description
技术领域
本申请涉及安全防护技术领域,尤其涉及一种ARP报文处理方法、装置、网络设备及存储介质。
背景技术
目前基于内网的地址解析协议(Address Resolution Protocol,ARP),用于实现从互联网协议(Internet Protocol,IP)地址到媒体接入控制(Media Access Control,MAC)地址的映射,即询问目的IP地址对应的MAC地址。在通信过程中,主机和主机通信的数据包需要依据OSI模型从上到下进行数据封装,当数据封装完整后,再向外发出。所以在局域网的通信中,不仅需要对源目IP地址的封装,也需要源目MAC地址的封装。一般情况下,上层应用程序更多关心IP地址而不关心MAC地址,所以需要通过ARP协议来获知目的主机的MAC地址,完成数据封装。所以在传统意义上来讲这类传统技术在于IP地址,MAC地址明确而被利用使得一些不法手段可以知晓其真实的主机地址,所以经常其网络上或者内网上使用ARP欺骗的手段来进行IP地址和MAC地址的欺骗使得主机之间的通讯,以进行数据表文的截取,进而使得重要信息被截取成功导致数据被泄露。因此,如何有效防御ARP欺骗攻击成为亟待解决的问题。
发明内容
本申请实施例提供了一种ARP报文处理方法、装置、网络设备及存储介质,可以有效地防御ARP欺骗攻击。
第一方面,本申请实施例提供了一种ARP报文处理方法,包括:
获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址;
获取所述目标设备的公钥,并根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;
若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;
利用所述目标设备的虚拟MAC地址更新ARP缓存表。
可选的,所述根据所述目标设备的公钥以及所述目标MAC地址进行地址解析,包括:
从服务设备下载所述目标设备对应的目标字符串;
对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串;
利用所述目标设备的公钥对所述拼接后的字符串进行解密处理;
若解密成功,则得到所述目标设备的真实MAC地址。
可选的,所述方法还包括:
获取所述目标设备的真实MAC地址;
获取所述目标设备的私钥,并利用所述目标设备的私钥对所述目标设备的真实MAC地址进行加密处理,得到目标加密数据;
利用所述目标加密数据中的预设数量个字符构建所述目标设备的虚拟MAC地址;
将所述目标加密数据中除所述预设数量个字符之外的字符串确定为所述目标设备对应的目标字符串,并将所述目标字符串上传至服务设备。
可选的,所述ARP报文为ARP请求报文,所述获取目标设备关联的ARP报文,包括:
接收目标设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址;或,
接收第一设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址,所述ARP请求报文包括的源互联网协议IP地址为所述目标设备的IP地址。
可选的,所述ARP报文为ARP应答报文,所述获取目标设备关联的ARP报文,包括:
接收目标设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址;或,
接收第二设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址,所述ARP应答报文包括的源IP地址为所述目标设备的IP地址。
可选的,所述将所述目标MAC地址确定为所述目标设备的虚拟MAC地址之后,所述方法还包括:
将所述ARP报文中的源MAC地址改写为所述网络设备的MAC地址,得到新的ARP报文,并对所述新的ARP报文进行转发处理;或,
对所述ARP报文进行转发处理。
可选的,所述将所述目标MAC地址确定为所述目标设备的虚拟MAC地址之后,所述方法还包括:
获取所述目标设备关联的数据帧,所述数据帧为所述目标设备发送的数据帧或为待发送至所述目标设备的数据帧;
根据所述数据帧进行数据处理或转发处理。
第二方面,本申请实施例提供了一种ARP报文处理装置,包括:
获取模块,用于获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址;
所述获取模块,还用于获取所述目标设备的公钥;
解析模块,用于根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;
确定模块,用于若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;
更新模块,用于利用所述目标设备的虚拟MAC地址更新ARP缓存表。
第三方面,本申请实施例提供了一种网络设备,包括处理器和存储器,所述处理器和所述存储器相互连接,其中,所述存储器用于存储计算机程序指令,所述处理器被配置用于执行所述程序指令,实现如第一方面所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被处理器执行时,用于执行如第一方面所述的方法。
综上所述,网络设备可以获取目标设备关联的ARP报文,还可以获取目标设备的公钥,并根据目标设备的公钥以及ARP报文包括的目标MAC地址进行地址解析,若解析得到目标设备的真实MAC地址,则将目标MAC地址确定为目标设备的虚拟MAC地址,从而利用目标设备的虚拟MAC地址更新ARP缓存表,相较于现有技术直接将ARP请求中的源MAC地址更新到ARP缓存表导致的ARP欺骗攻击的情况,本申请通过上述解析过程等过程可以有效防御ARP欺骗攻击。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种ARP报文处理方法的流程示意图;
图2是本申请实施例提供的另一种ARP报文处理方法的流程示意图;
图3是本申请实施例提供的一种ARP报文处理***的网络架构示意图;
图4是本申请实施例提供的一种ARP报文处理装置的结构示意图;
图5是本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在局域网或以太网中,数据传输前必须通过ARP协议来完成IP地址转换为MAC地址。其中,关于ARP协议的几种典型应用有:
(1)主机要把IP数据包发送到本网段上的另一个主机。这时用ARP协议找到目的主机的MAC地址。
(2)主机要把IP数据包发送到另一个网段上的一个主机。这时用ARP协议找到本网段上的一个路由器的MAC地址。剩下的工作由这个路由器来完成。
(3)路由器要把IP数据包转发到本网段上的一个主机。这时用ARP协议找到目的主机的MAC地址。
除开以上应用,还有其它多种应用,在此不做赘述。基于这些应用,可以通过伪造IP地址和MAC地址实现ARP欺骗攻击。ARP欺骗攻击有两种攻击可能,一种是路由器欺骗攻击,实际上是对路由器的ARP缓存表的欺骗攻击,另一种是主机欺骗攻击,实际上是对主机的ARP缓存表的欺骗,当然也可能两种攻击同时进行。下面结合几种典型的欺骗攻击场景进行阐述。
路由器欺骗攻击
场景1:假设主机1所在网段内有路由器,主机1想要通过路由器与主机2通信,但是主机3欺骗路由器自己就是主机2,这里路由器会将从主机3获取到的MAC地址误认为就是主机2的MAC地址,以更新到路由器的ARP缓存表,从而达到路由器欺骗攻击的目的。
场景2:与场景1类似,主机3还可能欺骗路由器自己就是主机1,这里路由器会将从主机3获取到的MAC地址误认为就是主机1的MAC地址,以更新到路由器ARP缓存表,从而达到路由器欺骗攻击的目的。
主机欺骗攻击
场景3:假设主机1所在网段内没有路由器,主机1想要与主机2通信,主机3欺骗主机1自己就是主机2,这里主机1会将从主机3获取到的MAC地址误认为是主机2的MAC地址,以更新到主机1的ARP缓存表中,从而达到主机欺骗攻击的目的。
为了避免ARP欺骗攻击,本申请提出了一种ARP报文处理方案,可以结合目标设备的公钥、ARP报文包括的目标MAC地址判断是否能够解析得到目标设备的真实MAC地址,从而达到判断目标MAC地址是否为目标设备的虚拟MAC地址的目的。在确定目标MAC地址为目标设备的虚拟MAC地址后,可以利用目标设备的虚拟MAC地址更新ARP缓存表,之后可以与目标设备之间进行数据传输。如果这个过程未获取到目标设备的公钥,和/或,确定目标MAC地址不为目标设备的虚拟MAC地址,将无法与目标设备间进行数据传输。上述过程可以避免伪造的MAC地址被更新到ARP缓存表中,达到避免ARP欺骗攻击的目的,该过程可以有效地保证通信双方通信过程的安全性,还可以有效地避免通信双方因ARP欺骗攻击导致的数据泄露等。
结合上述描述,下面对本申请实施例提供的一种ARP报文处理方法进行阐述。请参阅图1,为本申请实施例提供的一种ARP报文处理方法的流程示意图。该方法可以应用于网络设备中。网络设备可以为主机、路由设备、交换机等。具体地,该方法可以包括以下步骤。
S101、获取目标设备关联的ARP报文,所述ARP报文包括目标媒体接入控制MAC地址。
其中,ARP报文可以为ARP请求报文或ARP应答报文。
其中,ARP请求报文可以由目标设备生成,或可以由第一设备伪装目标设备生成。
其中,ARP应答报文可以由目标设备生成,或可以由第二设备伪装目标设备生成。
下面对网络设备获取目标设备关联的ARP报文的几种方式进行阐述。
第一种情况,在目标设备关联的ARP报文为ARP请求报文时,网络设备获取目标设备关联的ARP报文的方式有:
第一种方式:网络设备接收目标设备发送的ARP请求报文,ARP请求报文包括目标MAC地址。ARP请求报文包括的目标MAC地址为ARP请求报文包括的源MAC地址。在一个实施例中,此处的ARP请求报文可以由目标设备生成。例如,在主机1想要通过路由器与主机2之间进行通信的场景下,此处的目标设备可以为主机1,网络设备可以为路由器。再如,在主机1想要与主机2之间进行通信的场景下,此处的目标设备可以为主机1,网络设备可以为主机2.
第二种方式:网络设备接收第一设备发送的ARP请求报文,ARP请求报文包括目标MAC地址。ARP请求报文包括的目标MAC地址为ARP请求报文包括的源MAC地址。此处ARP请求报文包括的源IP地址为所述目标设备的IP地址。ARP请求报文可以由第一设备伪装目标设备生成,例如,在主机1想要通过路由器与主机2之间进行通信的场景下,此处的第一设备可以为主机3(假冒主机1)、目标设备可以为主机1,网络设备可以为路由器。再如,在主机1想要与主机2之间进行通信的场景下,此处的第一设备可以为主机3(假冒主机1),目标设备可以为主机1,网络设备可以为主机2。
第二种情况,在目标设备关联的ARP报文为ARP响应报文时,网络设备获取目标设备关联的ARP报文的方式有:
第一种方式:网络设备接收目标设备发送的ARP响应报文,ARP响应报文包括目标MAC地址。ARP响应报文包括的目标MAC地址为ARP响应报文包括的源MAC地址。在一个实施例中,ARP响应报文由目标设备生成。例如,在主机1想要通过路由器与主机2之间进行通信的场景下,此处的目标设备可以为主机2,网络设备可以为路由器。再如,在主机1想要与主机2之间进行通信的情况下,目标设备可以为主机2,网络设备可以为主机1。
第二种方式:网络设备接收第二设备发送的ARP响应报文,ARP响应报文包括目标MAC地址。ARP响应报文包括的目标MAC地址为ARP响应报文包括的源MAC地址。此处ARP应答报文包括的源IP地址为目标设备的IP地址。ARP响应报文可以由第二设备伪装目标设备生成。例如,在主机1想要与主机2之间进行通信的场景下,此处的第二设备可以为主机3(假冒主机2)、目标设备可以为主机2,网络设备可以为路由器。再如,在主机1想要与主机2之间进行数据传输的场景下,第二设备可以为主机3(假冒主机2)、目标设备可以为主机2,网络设备可以为主机1。
S102、获取所述目标设备的公钥,并根据所述目标设备的公钥以及所述目标MAC地址进行地址解析。
本申请实施例中,网络设备可以接收与ARP报文一并发送的公钥,这个公钥有可能是目标设备的公钥,也有可能不是目标设备的公钥。当这个公钥不是目标设备的公钥时,网络设备便无法通过这个公钥以及目标MAC地址解析得到目标设备的真实MAC地址,此时则表明此ARP报文不是目标设备发送的,便可以丢弃该ARP报文,从而避免ARP欺骗攻击。当这个公钥是目标设备的公钥时,网络设备便可以判断是否能够通过目标设备的公钥以及目标MAC地址解析得到目标设备的真实MAC地址。如果不能解析得到,说明目标MAC地址不为目标设备的虚拟MAC地址,此时则表明此ARP报文不是目标设备发送的,便可以丢弃该ARP报文,从而避免ARP欺骗攻击。
本申请实施例中,网络设备根据所述目标设备的公钥以及所述目标MAC地址进行地址解析的方式可以为:网络设备利用目标设备的公钥对目标MAC地址进行解密处理,若解密成功,则得到目标设备的真实MAC地址。若解密成功,则解密得到的数据即为目标设备的真实MAC地址。
S103、若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址。
S104、利用所述目标设备的虚拟MAC地址更新ARP缓存表。
在步骤S103-步骤S104中,网络设备在解析得到目标设备的真实MAC地址时,可以将目标MAC地址确定为目标设备的虚拟MAC地址,并利用目标设备的虚拟MAC地址更新ARP缓存表。该ARP缓存表可以为网络设备本地的ARP缓存表。采用这种方式使得ARP缓存表对外暴露的为目标设备的虚拟MAC地址,能够避免目标设备的真实MAC地址的泄露。
在一个实施例中,将所述目标MAC地址确定为所述目标设备的虚拟MAC地址之后,网络设备可以将所述ARP报文中的源MAC地址改写为所述网络设备的MAC地址,得到新的ARP报文,并对所述新的ARP报文进行转发处理;或,网络设备直接对所述ARP报文进行转发处理。
在一个实施例中,在ARP报文为ARP请求报文且网络设备为路由设备,如路由器时,网络设备可以将ARP请求报文中的源MAC地址改写为网络设备自己的MAC地址,得到新的ARP请求报文,并广播新的ARP请求报文。和/或,在ARP报文为ARP应答报文且网络设备为路由设备,如路由器时,网络设备可以将ARP应答报文中的源MAC地址改写为该网络设备自己的MAC地址,得到新的ARP应答报文,并转发新的ARP应答报文。
在一个实施例中,在ARP报文为ARP请求报文且网络设备为二层交换机等设备时,网络设备可以转发ARP请求报文。和/或,在ARP报文为ARP应答报文且网络设备为交换机,如二层交换机时,网络设备可以转发ARP应答报文。
可见,图1实施例中,网络设备可以获取目标设备关联的ARP报文;获取目标设备的公钥,并根据目标设备的公钥以及ARP报文包括的目标MAC地址进行地址解析,若解析得到目标设备的真实MAC地址,则将目标MAC地址确定为目标设备的虚拟MAC地址,从而利用目标设备的虚拟MAC地址更新ARP缓存表,采用该过程可以有效防御ARP欺骗攻击。
在一个实施例中,假如其它设备能够获取到目标设备的私钥,虽然这种可能性非常小,然后利用目标设备的私钥来加密其它设备自己的MAC地址或其它设备伪造的MAC地址,从而得到目标MAC地址,这种情况下若采用图1实施例提及的用公钥对目标MAC地址进行解密处理,仍然可以得到一个MAC地址,但显然的这个MAC地址不是目标设备的真实MAC地址,此时若认为目标MAC地址为目标设备的虚拟MAC地址并将其添加至ARP缓存表中,显然没办法避免ARP欺骗攻击,因此本申请实施例提出了图2实施例的ARP报文处理方法,该方法引入服务设备存储的字符串来进行拼接处理、公钥解密等,避免因单一使用公钥可能导致的ARP欺骗攻击。具体地,请参阅图2实施例,为本申请实施例提供的另一种ARP报文处理方法的流程示意图。该方法可以应用于网络设备中。网络设备可以为主机、路由设备、交换机等。具体地,该方法可以包括以下步骤:
S201、获取目标设备关联的ARP报文,所述ARP报文包括目标MAC地址。
其中,步骤S201可以参见图1实施例的步骤S101,在此不做赘述。
S202、获取所述目标设备的公钥,并从服务设备下载所述目标设备对应的目标字符串。
S203、对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串。
S204、利用所述目标设备的公钥对所述拼接后的字符串进行解密处理。
S205、若解密成功,则得到所述目标设备的真实MAC地址。
在步骤S202-步骤S205中,网络设备可以获取目标设备的公钥,并从服务设备下载目标设备对应的目标字符串。网络设备可以对目标MAC地址以及目标字符串进行拼接处理,得到拼接后的字符串,然后利用目标设备的公钥对拼接后的字符串进行解密处理。网络设备若解密成功,则得到目标设备的真实MAC地址。所述的服务设备可以为服务器等设备。服务设备可以存储有至少一台设备中每台设备对应的字符串,如存储有至少一台主机中每台主机对应的字符串。在一个实施例中,服务设备可以存储有至少一个网段中每个网段下至少一台设备中每台设备对应的字符串,如存储有至少一个网段中每个网段下所有主机中每台主机对应的字符串。服务设备存储的字符串中包括目标设备对应的字符串。该过程可以有效识别其它设备利用公钥加密其它设备的MAC地址或其它设备伪造的MAC地址而生成的目标MAC地址,从而避免可能的ARP欺骗攻击。
本申请实施例中,网络设备可以接收与ARP报文一并发送的公钥,这个公钥有可能是目标设备的公钥,也有可能不是目标设备的公钥。当这个公钥不是目标设备的公钥时,网络设备便无法通过这个公钥以及目标MAC地址解析得到目标设备的真实MAC地址,此时则表明此ARP报文不是目标设备发送的,便可以丢弃该ARP报文,从而避免ARP欺骗攻击。当这个公钥是目标设备的公钥时,网络设备便可以判断是否能够通过目标设备的公钥以及目标MAC地址解析得到目标设备的真实MAC地址。如果不能解析得到,说明目标MAC地址不为目标设备的虚拟MAC地址,此时则表明此ARP报文不是目标设备发送的,便可以丢弃该ARP报文,从而避免ARP欺骗攻击。
在一个实施例中,网络设备还可以通过其它方式获取目标设备的公钥,在此不做赘述。
本申请实施例中,网络设备根据目标设备的公钥以及目标MAC地址进行地址解析的过程可以如下:网络设备从服务设备下载目标设备对应的目标字符串;网络设备对目标MAC地址以及目标字符串进行拼接处理,得到拼接后的字符串;网络设备利用目标设备的公钥对拼接后的字符串进行解密处理,若解密成功,则得到目标设备的真实MAC地址。若解密成功,则将可以解密得到的数据确定为目标设备的真实MAC地址。此时,则表明能够根据目标设备的公钥以及目标MAC地址解析得到目标设备的真实MAC地址。
在一个实施例中,目标设备的虚拟MAC地址通过如下方式生成:获取目标设备的真实MAC地址,并通过目标设备的私钥对目标设备的真实MAC地址进行加密处理,得到目标加密数据,并根据目标加密数据获取目标设备的虚拟MAC地址。在目标MAC地址为目标设备的虚拟MAC地址时,前述提及的拼接后的字符串为此处的目标加密数据。
在一个实施例中,根据目标设备的私钥对目标设备的真实MAC地址进行加密处理的方式可以为:采用非对称加密算法,如AES算法根据目标设备的私钥对目标设备的真实MAC地址进行加密处理。根据目标加密数据获取目标设备的虚拟MAC地址的方式可以为:利用目标加密数据中的预设数量个字符构建目标设备的虚拟MAC地址。具体地,可以是从目标加密数据中确定出预设数量个字符,并构建包括改预设数量个字符的MAC地址,以作为目标设备的虚拟MAC地址。其中,所述的预设数量个字符可以为按照从左往右的顺序排在前预设数量位(例如前12位)的字符。之所以取前12位字符是因为MAC地址包括12位字符。
在一个实施例中,目标设备对应的目标字符串通过如下方式获得:将目标加密数据中除所述预设数量个字符之外的字符串确定为目标字符串。
在一个实施例中,目标字符串可由网络设备上传至服务设备,或与网络设备相连的能够与服务设备进行通信的设备上传至服务设备的,或可以由网络管理人员等人员在服务设备中配置的。
S206、若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址。
S207、利用所述目标设备的虚拟MAC地址更新ARP缓存表。
其中,步骤S206-步骤S207可参见图1实施例中的步骤S103-步骤S104,在此不做赘述。
在一个实施例中,在网络设备利用目标设备的虚拟MAC地址更新ARP缓存表后,网络设备可以和目标设备之间进行数据传输。
在一个实施例中,网络设备可以获取目标设备关联的数据帧,并根据数据帧进行数据处理或转发处理,该数据帧为目标设备发送的数据帧或为待发送至目标设备的数据帧。
在一个实施例中,在数据帧为目标设备发送的数据帧时,数据帧中的源IP地址为目标设备的IP地址,数据帧中的目的IP地址为待发送至的设备的IP地址,数据帧中的源MAC地址为目标设备的虚拟MAC地址。数据帧中的目的MAC地址为待发送至的设备的虚拟MAC地址。
在一个实施例中,在数据帧为待发送至目标设备的数据帧时,数据帧中的源IP地址为发送数据帧的设备的IP地址,数据帧中的目的IP地址为目标设备的IP地址,数据帧中的源MAC地址为发送数据帧的设备的虚拟MAC地址,数据帧中的目的MAC地址为目标设备的虚拟MAC地址。
在一个实施例中,在网络设备为主机且数据帧为目标设备发送的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备接收目标设备发送的数据帧。网络设备在接收到目标设备发送的数据帧后,可以对数据帧进行数据处理等。
在一个实施例中,在网络设备为二层交换机且数据帧为目标设备发送的数据帧时,网络设备获取目标设备关联的数据帧的方式为:网络设备接收目标设备发送的数据帧。在接收到目标设备发送的数据帧后,可以对数据帧进行转发处理。
在一个实施例中,在网络设备为路由设备且数据帧为目标设备发送的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备接收目标设备发送的数据帧,将数据帧中的目的MAC地址由待发送至的设备的虚拟MAC地址修改为待发送至的设备的真实MAC地址,得到新的数据帧。在得到新的数据帧之后,网络设备可以对新的数据帧进行转发处理。和/或,在网络设备为路由设备且数据帧为目标设备发送的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备接收目标设备发送的数据帧,将数据帧的源MAC地址由目标设备的虚拟MAC地址改写为网络设备的真实MAC地址,得到新的数据帧。在得到新的数据帧之后,网络设备可以对新的数据帧进行转发处理。
在一个实施例中,在网络设备为主机且数据帧为待发送至目标设备的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备可以生成待发送至目标设备的数据帧。在生成待发送至目标设备的数据帧后,可以将数据帧发送至目标设备。
在一个实施例中,在网络设备为二层交换机且数据帧为待发送至目标设备的数据帧时,网络设备获取目标设备关联的数据帧的方式为:网络设备接收待发送至目标设备的数据帧。在接收到待发送至目标设备的数据帧后,可以对数据帧进行转发处理。
在一个实施例中,在网络设备为路由器设备且数据帧为待发送至目标设备的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备接收待发送至目标设备的数据帧,并将数据帧中的目的MAC地址由目标设备的虚拟MAC地址修改为目标设备的真实MAC地址,得到新的数据帧。在得到新的数据帧之后,网络设备可以对新的数据帧进行转发处理。和/或.在网络设备为路由设备且数据帧为待发送至目标设备的数据帧时,网络设备获取目标设备关联的数据帧的方式可以为:网络设备可以接收待发送至目标设备的数据帧,并将数据帧的源MAC地址由发送数据帧的设备的虚拟MAC地址改写为网络设备的真实MAC地址,得到新的数据帧。在得到新的数据帧之后,网络设备可以对新的数据帧进行转发处理。
可见,图2实施例中,网络设备可以获取目标设备的公钥,从服务设备下载目标设备对应的目标字符串,然后对目标MAC地址以及目标字符串进行拼接处理,得到拼接后的字符串,从而利用目标设备的公钥对拼接后的字符串进行解密处理,若解密成功,则得到目标设备的真实MAC地址,并将目标MAC地址确定为目标设备的虚拟MAC地址,进而利用目标设备的虚拟MAC地址更新ARP缓存表,该过程能够有效地防御ARP欺骗攻击。
在一个实施例中,前述提及的ARP报文处理方法可以应用于图3所示的ARP报文处理***中。前述提及的目标设备可以是图3中的主机10,网络设备可以是图3中的路由器20,或目标设备还可以是图3中的主机30,网络设备可以是图3中的路由器20。在一个实施例中,图3的路由器20还可以替换为二层交换机等设备(图未示)。下面以目标设备是图3中的主机10,网络设备是图3中的路由器20为例来阐述ARP报文处理过程。具体地:
路由器20可以获取主机10关联的ARP报文,ARP报文包括目标MAC地址。ARP报文可能是主机10发送的,也可能是其它设备伪装主机10发送的。路由器20获取主机10的公钥,并根据主机10的公钥以及目标MAC地址进行地址解析,并在解析得到主机10的真实MAC地址时,将目标MAC地址确定为主机10的虚拟MAC地址,从而利用主机10的虚拟MAC地址更新ARP缓存表。在一个应用场景中,比如在主机10想要通过路由器20与主机30之间进行通信的场景下,路由器可以采用上述过程对通信双方进行有效的验证,进而可能防御ARP欺骗攻击。
在一个实施例中,目标设备可以是一台主机,网络设备也可以是一台主机。
本申请涉及区块链技术,如可以将ARP缓存表加密后写入区块链,避免信息被篡改,并可以将区块链获取根据ARP缓存表生成的加密数据以解密得到ARP缓存表。
请参阅图4,为本申请实施例提供的一种ARP报文处理装置的结构示意图。该装置可以应用于网络设备。具体地,该装置可以包括:
获取模块401,用于获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址。
获取模块401,还用于获取所述目标设备的公钥。
解析模块402,用于根据所述目标设备的公钥以及所述目标MAC地址进行地址解析。
确定模块403,用于若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址。
更新模块404,用于利用所述目标设备的虚拟MAC地址更新ARP缓存表。
在一种可选的实施方式中,解析模块402,具体用于:
从服务设备下载所述目标设备对应的目标字符串;
对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串;
利用所述目标设备的公钥对所述拼接后的字符串进行解密处理;
若解密成功,则得到所述目标设备的真实MAC地址。
在一种可选的实施方式中,获取模块401,还用于:
获取所述目标设备的真实MAC地址;
获取所述目标设备的私钥,并利用所述目标设备的私钥对所述目标设备的真实MAC地址进行加密处理,得到目标加密数据。
在一种可选的实施方式中,ARP报文处理装置还包括构建上传模块405。
在一种可选的实施方式中,构建上传模块405,用于:
利用所述目标加密数据中的预设数量个字符构建所述目标设备的虚拟MAC地址。将所述目标加密数据中除所述预设数量个字符之外的字符串确定为所述目标设备对应的目标字符串,并将所述目标字符串上传至服务设备。
在一种可选的实施方式中,所述ARP报文为ARP请求报文,获取模块401,具体用于:
接收目标设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址;或,
接收第一设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址,所述ARP请求报文包括的源互联网协议IP地址为所述目标设备的IP地址。
在一种可选的实施方式中,所述ARP报文为ARP应答报文,获取模块401,具体用于:
接收目标设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址;或,
接收第二设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址,所述ARP应答报文包括的源IP地址为所述目标设备的IP地址。
在一种可选的实施方式中,ARP报文处理装置还包括处理模块406。
在一种可选的实施方式中,处理模块406,用于:
将所述ARP报文中的源MAC地址改写为所述网络设备的MAC地址,得到新的ARP报文,并对所述新的ARP报文进行转发处理;或,
对所述ARP报文进行转发处理。
在一种可选的实施方式中,获取模块401,还用于:
获取所述目标设备关联的数据帧,所述数据帧为所述目标设备发送的数据帧或为待发送至所述目标设备的数据帧。
在一种可选的实施方式中,处理模块406,还用于:
根据所述数据帧进行数据处理或转发处理。
可见,图4实施例中,ARP报文处理装置可以获取目标设备关联的ARP报文;获取目标设备的公钥,并根据目标设备的公钥以及ARP报文包括的目标MAC地址进行地址解析,若解析得到目标设备的真实MAC地址,则将目标MAC地址确定为目标设备的虚拟MAC地址,从而利用目标设备的虚拟MAC地址更新ARP缓存表,采用该过程可以有效防御ARP欺骗攻击。
请参阅图5,为本申请实施例提供的一种网络设备的结构示意图。本实施例中所描述的网络设备可以包括:一个或多个处理器1000和存储器2000。处理器1000和存储器2000可以通过总线等方式连接。在一个实施例中,网络设备还可以包括通信接口(图未示),用以请求或数据的接收和发送。通信接口可以未标准的有线或无线通信接口。
处理器1000可以是中央处理模块(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器2000可以是高速RAM存储器,也可为非不稳定的存储器(non-volatilememory),例如磁盘存储器。存储器2000用于存储一组程序代码,处理器1000可以调用存储器2000中存储的程序代码。具体地:
处理器1000,用于获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址;获取所述目标设备的公钥,并根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;利用所述目标设备的虚拟MAC地址更新ARP缓存表。
在一个实施例中,在根据所述目标设备的公钥以及所述目标MAC地址进行地址解析时,处理器1000具体用于:
从服务设备下载所述目标设备对应的目标字符串;
对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串;
利用所述目标设备的公钥对所述拼接后的字符串进行解密处理;
若解密成功,则得到所述目标设备的真实MAC地址。
在一个实施例中,处理器1000还用于:
获取所述目标设备的真实MAC地址;
获取所述目标设备的私钥,并利用所述目标设备的私钥对所述目标设备的真实MAC地址进行加密处理,得到目标加密数据;
利用所述目标加密数据中的预设数量个字符构建所述目标设备的虚拟MAC地址;
将所述目标加密数据中除所述预设数量个字符之外的字符串确定为所述目标设备对应的目标字符串,并将所述目标字符串上传至服务设备。
在一个实施例中,所述ARP报文为ARP请求报文,在获取目标设备关联的ARP报文时,处理器1000具体用于:
接收目标设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址;或,
接收第一设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址,所述ARP请求报文包括的源互联网协议IP地址为所述目标设备的IP地址。
在一个实施例中,所述ARP报文为ARP应答报文,处理器1000,具体用于:
接收目标设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址;或,
接收第二设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址,所述ARP应答报文包括的源IP地址为所述目标设备的IP地址。
在一个实施例中,处理器1000还用于:
将所述ARP报文中的源MAC地址改写为所述网络设备的MAC地址,得到新的ARP报文,并对所述新的ARP报文进行转发处理;或,
对所述ARP报文进行转发处理。
在一个实施例中,处理器1000,还用于:
获取所述目标设备关联的数据帧,所述数据帧为所述目标设备发送的数据帧或为待发送至所述目标设备的数据帧;
根据所述数据帧进行数据处理或转发处理。
具体实现中,本申请实施例中所描述的处理器1000可执行图1实施例、图2实施例所描述的实现方式,也可执行本申请实施例所描述的实现方式,在此不再赘述。
在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以是两个或两个以上模块集成在一个模块中。上述集成的模块既可以采样硬件的形式实现,也可以采样软件功能模块的形式实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的计算机可读存储介质可为易失性的或非易失性的。例如,该计算机存储介质可以为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。所述的计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
其中,本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
以上所揭露的仅为本申请一种较佳实施例而已,当然不能以此来限定本申请之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本申请权利要求所作的等同变化,仍属于本申请所涵盖的范围。
Claims (8)
1.一种ARP报文处理方法,其特征在于,包括:
获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标MAC地址;
获取所述目标设备的公钥,并根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;
若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;
利用所述目标设备的虚拟MAC地址更新ARP缓存表;
所述根据所述目标设备的公钥以及所述目标MAC地址进行地址解析,包括:
从服务设备下载所述目标设备对应的目标字符串;
对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串;
利用所述目标设备的公钥对所述拼接后的字符串进行解密处理;
若解密成功,则得到所述目标设备的真实MAC地址;
所述方法还包括:
获取所述目标设备的真实MAC地址;
获取所述目标设备的私钥,并利用所述目标设备的私钥对所述目标设备的真实MAC地址进行加密处理,得到目标加密数据;
利用所述目标加密数据中的预设数量个字符构建所述目标设备的虚拟MAC地址;
将所述目标加密数据中除所述预设数量个字符之外的字符串确定为所述目标设备对应的目标字符串,并将所述目标字符串上传至服务设备。
2.根据权利要求1所述的方法,其特征在于,所述ARP报文为ARP请求报文,所述获取目标设备关联的ARP报文,包括:
接收目标设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址;或,
接收第一设备发送的ARP请求报文,所述目标MAC地址为所述ARP请求报文包括的源MAC地址,所述ARP请求报文包括的源互联网协议IP地址为所述目标设备的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述ARP报文为ARP应答报文,所述获取目标设备关联的ARP报文,包括:
接收目标设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址;或,
接收第二设备发送的ARP应答报文,所述目标MAC地址为所述ARP应答报文包括的源MAC地址,所述ARP应答报文包括的源IP地址为所述目标设备的IP地址。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标MAC地址确定为所述目标设备的虚拟MAC地址之后,所述方法还包括:
将所述ARP报文中的源MAC地址改写为网络设备的MAC地址,得到新的ARP报文,并对所述新的ARP报文进行转发处理;或,
对所述ARP报文进行转发处理。
5.根据权利要求1所述的方法,其特征在于,所述将所述目标MAC地址确定为所述目标设备的虚拟MAC地址之后,所述方法还包括:
获取所述目标设备关联的数据帧,所述数据帧为所述目标设备发送的数据帧或为待发送至所述目标设备的数据帧;
根据所述数据帧进行数据处理或转发处理。
6.一种ARP报文处理装置,其特征在于,包括:
获取模块,用于获取目标设备关联的地址解析协议ARP报文,所述ARP报文包括目标媒体接入控制MAC地址;
所述获取模块,还用于获取所述目标设备的公钥;
解析模块,用于根据所述目标设备的公钥以及所述目标MAC地址进行地址解析;
确定模块,用于若解析得到所述目标设备的真实MAC地址,则将所述目标MAC地址确定为所述目标设备的虚拟MAC地址;
更新模块,用于利用所述目标设备的虚拟MAC地址更新ARP缓存表;
所述解析模块,具体用于:
从服务设备下载所述目标设备对应的目标字符串;
对所述目标MAC地址以及所述目标字符串进行拼接处理,得到拼接后的字符串;
利用所述目标设备的公钥对所述拼接后的字符串进行解密处理;
若解密成功,则得到所述目标设备的真实MAC地址;
所述装置还包括构建上传模块;
所述获取模块,还用于:
获取所述目标设备的真实MAC地址;
获取所述目标设备的私钥,并利用所述目标设备的私钥对所述目标设备的真实MAC地址进行加密处理,得到目标加密数据;
所述构建上传模块,用于:
利用所述目标加密数据中的预设数量个字符构建所述目标设备的虚拟MAC地址;
将所述目标加密数据中除所述预设数量个字符之外的字符串确定为所述目标设备对应的目标字符串,并将所述目标字符串上传至服务设备。
7.一种网络设备,其特征在于,包括处理器和存储器,所述处理器和所述存储器相互连接,其中,所述存储器用于存储计算机程序指令,所述处理器被配置用于执行所述程序指令,实现如权利要求1-5任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被处理器执行时,用于执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110702777.2A CN113347198B (zh) | 2021-06-23 | 2021-06-23 | Arp报文处理方法、装置、网络设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110702777.2A CN113347198B (zh) | 2021-06-23 | 2021-06-23 | Arp报文处理方法、装置、网络设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113347198A CN113347198A (zh) | 2021-09-03 |
| CN113347198B true CN113347198B (zh) | 2022-07-08 |
Family
ID=77478246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110702777.2A Active CN113347198B (zh) | 2021-06-23 | 2021-06-23 | Arp报文处理方法、装置、网络设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113347198B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584526B (zh) * | 2022-03-07 | 2023-04-04 | 江苏新质信息科技有限公司 | 一种arp协议处理方法、***、存储介质及电子设备 |
| WO2023151354A2 (zh) * | 2022-12-01 | 2023-08-17 | 黄建邦 | 数据传输方法、***、第一端、中间网络设备及控制设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197828A (zh) * | 2007-12-25 | 2008-06-11 | 华为技术有限公司 | 一种安全arp的实现方法及网络设备 |
| CN101635621A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 地址解析协议的交互方法 |
| CN106650404A (zh) * | 2016-10-28 | 2017-05-10 | 美的智慧家居科技有限公司 | 终端合法性检验的方法和装置 |
| CN107948124A (zh) * | 2016-10-13 | 2018-04-20 | 中兴通讯股份有限公司 | 一种arp条目更新管理方法、装置及*** |
| CN108833612A (zh) * | 2018-09-03 | 2018-11-16 | 武汉虹信通信技术有限责任公司 | 一种基于arp协议的局域网设备的联通方法 |
| CN111740943A (zh) * | 2020-03-31 | 2020-10-02 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4174392B2 (ja) * | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
-
2021
- 2021-06-23 CN CN202110702777.2A patent/CN113347198B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197828A (zh) * | 2007-12-25 | 2008-06-11 | 华为技术有限公司 | 一种安全arp的实现方法及网络设备 |
| CN101635621A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 地址解析协议的交互方法 |
| CN107948124A (zh) * | 2016-10-13 | 2018-04-20 | 中兴通讯股份有限公司 | 一种arp条目更新管理方法、装置及*** |
| CN106650404A (zh) * | 2016-10-28 | 2017-05-10 | 美的智慧家居科技有限公司 | 终端合法性检验的方法和装置 |
| CN108833612A (zh) * | 2018-09-03 | 2018-11-16 | 武汉虹信通信技术有限责任公司 | 一种基于arp协议的局域网设备的联通方法 |
| CN111740943A (zh) * | 2020-03-31 | 2020-10-02 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于区块链的ARP欺骗攻击防御方法;刘凡鸣等;《网络与信息安全学报》;20180930;第4卷(第9期);第1-8页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113347198A (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11330008B2 (en) | Network addresses with encoded DNS-level information | |
| US6751728B1 (en) | System and method of transmitting encrypted packets through a network access point | |
| US9674157B2 (en) | Secure network communication | |
| US7757272B1 (en) | Method and apparatus for dynamic mapping | |
| CN113347198B (zh) | Arp报文处理方法、装置、网络设备及存储介质 | |
| EP3442195B1 (en) | Reliable and secure parsing of packets | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| CN114844729B (zh) | 一种网络信息隐藏方法及*** | |
| US20030188012A1 (en) | Access control system and method for a networked computer system | |
| JP2008228273A (ja) | データストリームのセキュリティを確保するための方法 | |
| US10965651B2 (en) | Secure domain name system to support a private communication service | |
| CN113364781A (zh) | 请求处理方法及*** | |
| CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
| US8364949B1 (en) | Authentication for TCP-based routing and management protocols | |
| CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
| JP2018074395A (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
| CN114979069B (zh) | 域名解析请求的处理方法、存储介质及电子设备 | |
| JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
| CN108965260B (zh) | 一种报文处理方法、堡垒机及终端设备 | |
| EP2499799B1 (en) | Security association management | |
| KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 | |
| CN116346769A (zh) | 一种业务交互方法、装置、业务***、电子设备及介质 | |
| Cardwell | Interpreting Network Protocols | |
| Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
| Rafiee et al. | Challenges and Solutions for DNS Security in IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40051218 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |