一种防ARP网关欺骗的方法及装置制造方法及图纸

本申请提供一种防ARP网关欺骗的方法及装置，所述方法包括：接收到所述网关设备上传的与网关接口对应的地址绑定信息；其中，所述地址绑定信息包括IP地址和MAC地址的映射关系；基于所述地址绑定信息创建地址绑定信息表；向各接入交换机下发所述地址绑定信息表，以使各接入交换机在接收到ARP报文时，根据所述地址绑定信息表防护ARP网关欺骗。本申请取消了网络管理员在终端设备上配置网关接口的ARP信息的人工操作，并可显著提高工作效率。

Method and device for preventing ARP gateway spoofing

The invention provides a method and a device for preventing ARP gateway deception, the method includes: receiving address binding information for the upload gateway device and gateway interface corresponding to the address; the binding information mapping including the IP address and MAC address binding information table; create the address binding information based on the access switch; to send the address binding information table, so that the access switch upon receiving a ARP message, according to the address information table protection ARP gateway deception. This application cancels the manual operation of the network administrator to configure the ARP information of the gateway interface on the terminal device, and can significantly improve the work efficiency.

【技术实现步骤摘要】
一种防ARP网关欺骗的方法及装置
本申请涉及安全防护领域，特别涉及一种防ARP网关欺骗的方法及装置。
技术介绍
ARP(AddressResolutionProtocol，地址解析协议)协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，以保证通信的顺利进行。而ARP欺骗是指攻击者通过发送错误的ARP信息使网络通信出现异常。如果局域网中的终端设备发送ARP请求报文获取网关的MAC地址，则攻击者可以通过局域网内的终端设备向上述终端设备返回ARP应答报文，该ARP应答报文中包括错误的网关ARP信息。上述终端设备接收到该ARP应答报文后，保存错误的网关ARP信息，则当后续通信时，上述终端设备发出的数据包无法正常发送到网关设备，这就导致上述终端设备无法连接网络。此外，上述终端设备通过错误的网关ARP信息发送数据包时，发出的数据包可能被攻击者窃取。在现有技术中，通常可以利用ARP双绑措施来防护ARP网关欺骗。具体地，网络管理员可以将局域网中的终端设备上绑定网关接口的ARP信息，在网关设备上绑定终端设备的ARP信息。在绑定完成后，终端设备接收到携带错误的网关ARP信息的ARP报文后，本文档来自技高网...

【技术保护点】
一种防ARP网关欺骗的方法，应用于网管服务器，所述网管服务器与目标局域网中的网关设备对接；所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备，其特征在于，包括：接收到所述网关设备上传的与网关接口对应的地址绑定信息；其中，所述地址绑定信息包括IP地址和MAC地址的映射关系；基于所述地址绑定信息创建地址绑定信息表；向各接入交换机下发所述地址绑定信息表，以使各接入交换机在接收到ARP报文时，根据所述地址绑定信息表防护ARP网关欺骗。

【技术特征摘要】
1.一种防ARP网关欺骗的方法，应用于网管服务器，所述网管服务器与目标局域网中的网关设备对接；所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备，其特征在于，包括：接收到所述网关设备上传的与网关接口对应的地址绑定信息；其中，所述地址绑定信息包括IP地址和MAC地址的映射关系；基于所述地址绑定信息创建地址绑定信息表；向各接入交换机下发所述地址绑定信息表，以使各接入交换机在接收到ARP报文时，根据所述地址绑定信息表防护ARP网关欺骗。2.根据权利要求1所述的方法，其特征在于，所述接收到所述网关设备上传的与网关接口对应的地址绑定信息，包括：当所述网关设备的网关接口发生更新时，接收到所述网关设备上传的与所述网关接口对应的地址绑定信息。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：向所述接入交换机下发ACL表项；其中，所述ACL表项用于将ARP报文上送至CPU处理。4.根据权利要求1所述的方法，其特征在于，所述接入交换机预先配置用于将ARP报文上送至CPU处理的ACL表项。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：接收到所述目标局域网内的所述网关设备上传的设备型号标识和所述接入交换机上传的设备型号标识；基于不同的设备型号标识，生成对应于不同类型设备的分组。6.一种防ARP网关欺骗的...

【专利技术属性】
技术研发人员：王富涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33