本发明专利技术提供了一种实现ARP广播限制的方法和装置,该方法包括:(a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条映射表记录;(b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表并获取对应的桥端口;(c)网络设备将所述ARP请求单播到所述桥端口。本发明专利技术方法和装置可以实现ARP请求的单播,有效防止黑客攻击。
【技术实现步骤摘要】
本专利技术属于通信
,具体涉及地址解析协议(ARP)广播限制的方法和装置。
技术介绍
随着宽带接入技术和宽带业务的迅猛发展,网络安全越来越得到关注。但目前网 络中存在各种各样的病毒和黑客攻击。IP地址欺诈是一种最为常见的一个黑客攻击手段。 如黑客机A冒充主机B的IP主动向主机C请求通讯。黑客A也可以冒充主机B被动响应 主机C的通讯请求。基于TCP/IP(传输控制协议和网际协议)的网络通信技术中,ARP的 主要目的就是实现地址解析,即获得IP地址到MAC(媒体访问控制)地址的对应关系。其 请求报文是在二层VLAN域中广播的。这给IP地址欺诈的黑客攻击提供了便捷的途径。 ARP请求或应答分组的格式如图1。黑客机很容易就可以获取目的主机的IP地 址,并可以冒充目的主机应答请求方。黑客机获得了 ARP请求中的发送方IP和目的IP,也 可以对其进行主动攻击。所以IP地址也成为网络中保护的对像。 在目前宽带接入网络中,接入方式主要有3种固定IP, DHCP(动态主机分配协 议),PPPoE(基于以太网的点对点协议)。而DHCP和PPPoE都是动态分配IP地址的接入 方式。随着网络技术的发展,宽带用户成指数级增长。这样IP地址相对宽带用户而言,变 得越来越少了。所以在目前的宽带接入中,动态分配IP地址的接入方式被普遍地运用。
技术实现思路
本专利技术要解决的技术问题是提供一种实现ARP请求广播限制的方法和装置,以实 现ARP请求的单播,有效防止黑客攻击。 为了解决上述问题,本专利技术提供了一种实现ARP广播限制的方法,该方法包括 (a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的 桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条 映射表记录; (b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表 并获取对应的桥端口; (c)网络设备将所述ARP请求单播到所述桥端口。 进一步地,每条映射表记录包括用户的MAC地址、虚拟局域网标识、请求转发序 号、用户IP地址及桥端口。 进一步地,步骤(a)中,所述的动态IP地址分配相关报文指DHCP报文或PPPoE 报文,对于DHCP方式,若动态IP地址分配相关报文是DISC0VER、 REQUEST、 OFFER或ACK报 文,则建立或更新IP地址和桥端口映射关系的映射表记录;若动态IP地址分配相关报文是 RELEASE、 DECLINE或NACKIP报文,则删除IP地址和桥端口映射关系的映射表记录。 进一步地,所述IP地址和桥端口映射表的每条映射表记录包括租约期和时间戳,步骤(a)中所述维护指网络设备还定时循环检测每条映射表记录,如果租约期等于零且当 前时间和时间戳之差大于T,或,租约期不等于零但当前时间和时间戳之差是否大于租约 期,则删除此条记录,所述T值是根据组网的规模确定的一个正常分配IP地址的会话从发 起请求到收到回应需要的时间值。 进一步地,循环检测映射表记录的过程中,如果检测记录条数大于设定的老化次 数,则等待下一个检测周期。 为解决上述技术问题,本专利技术还提供了一种实现ARP广播限制的装置,该装置包括接收解析模块、映射表维护模块、映射表查询模块、及转发模块,其中, 接收解析模块,用于接收并解析ARP请求,获取目的IP地址; 映射表维护模块,用于根据动态IP地址分配相关报文及动态IP地址分配请求报 文进入的桥端口信息创建、存储及维护IP地址和桥端口映射表,所述IP地址和桥端口映射 表包括若干条映射表记录; 映射表查询模块,用于根据接收解析模块获取的目的IP地址查询映射表获取桥 端口 ; 转发模块,用于将接收解析模块接收的ARP请求单播到获取的桥端口 。进一步地,所述接收解析模块还用于接收并解析动态IP地址分配相关报文;所述转化模块还用于转发所述动态IP地址分配相关报文;所述映射表维护模块是根据动态IP地址分配相关报文的解析结果创建、存储及维护IP地址和桥端口的映射表的。 进一步地,所述的动态IP地址分配相关报文指DHCP报文或PPPoE报文,对于DHCP方式,所述映射表维护模块是这样维护映射表的若动态IP地址分配相关报文是DISC0VER、 REQUEST、 OFFER或ACK报文,则建立或更新IP地址和桥端口映射关系的映射表记录;若动态IP地址分配相关报文是RELEASE、 DECLINE或NACKIP报文,则删除IP地址和桥端口映射关系的映射表记录。 进一步地,所述IP地址和桥端口映射表的每条映射表记录包括租约期和时间戳, 所述映射表维护模块,还用于定时循环检测每条映射表记录,实现老化机制如果租约期等 于零且当前时间和时间戳之差大于T,或,租约期不等于零但当前时间和时间戳之差是否大 于租约期,则删除此条记录,所述T值是根据组网的规模确定的一个正常分配IP地址的会 话从发起请求到收到回应需要的时间值。 进一步地,循环检测映射表记录的过程中,如果检测记录条数大于设定的老化次 数,则等待下一个检测周期。 相较于现有技术,本专利技术方法和装置基于动态分配IP地址的技术,通过创建、维 护及查询IP地址和桥端口映射表来实现ARP请求的单播,将ARP请求直接发送给目的IP 的主机,而不在VLAN域中进行广播,从而有效防止黑客攻击。附图说明 图1是以太网ARP请求或应答分组格式示意图。 图2是本专利技术实现ARP广播限制的方法示意图。 图3是本专利技术中IP地址和桥端口的映射表建立及维护过程示意图。 图4是本专利技术中的IP地址和桥端口的映射表老化处理示意图。 图5是本专利技术中ARP请求报文处理流程图。 图6是DHCP请求和应答格式示意图。具体实施例方式本专利技术方法和装置在基于动态分配IP地址技术的基础上,实现ARP广播限制,将ARP请求直接发送给目的IP的主机,而不在VLAN域中进行广播。 如图2所示,本专利技术实现ARP广播限制的方法包括以下步骤 步骤201、网络设备监听动态IP地址分配会话,根据动态IP地址分配的相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口的映射表; 步骤202、网络设备提取ARP请求,根据ARP请求中的目的IP地址查询该映射表并获取对应的桥端口; 步骤203、网络设备将ARP请求单播到该桥端口 ,不再在所属VLAN中广播。 以下以DHCP接入方式为例进行说明,在DHCP接入方式的宽带网络中,网络设备通 过监听动态IP地址分配的会话,建立一张IP地址和桥端口的映射表的过程。IP地址和桥 端口的映射表包括若干条映射表记录,每条映射表记录包括用户的MAC地址(以太网源地 址,chaddr) 、VLAN ID (VID,虚拟局域网标识)、事务标示xid (Transaction ID,Dhcp请求序 号)、租约期、时间戳、用户IP地址、桥端口信息。 DHCP请求和应答格式如图6所示,具体地,网络设备提取进入该设备桥端口的 DHCP请求报文,在该报文的以太网头的TAG中获取VID,在DHCP数据中获取chaddr和xid, 然后记录chaddr、xid和桥端口 。网络设备提取DHCP应答报文,在该报文的以太网头的TAG 中获取VID, DHCP数据本文档来自技高网...
【技术保护点】
一种实现ARP广播限制的方法,其特征在于,该方法包括:(a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条映射表记录;(b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表并获取对应的桥端口;(c)网络设备将所述ARP请求单播到所述桥端口。
【技术特征摘要】
一种实现ARP广播限制的方法,其特征在于,该方法包括(a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条映射表记录;(b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表并获取对应的桥端口;(c)网络设备将所述ARP请求单播到所述桥端口。2. 如权利要求1所述的方法,其特征在于每条映射表记录包括用户的MAC地址、虚拟 局域网标识、请求转发序号、用户IP地址及桥端口。3. 如权利要求l所述的方法,其特征在于步骤(a)中,所述的动态IP地址分配相关 报文指DHCP报文或PPPoE报文,对于DHCP方式,若动态IP地址分配相关报文是DISCOVER、 REQUEST、 OFFER或ACK报文,则建立或更新IP地址和桥端口映射关系的映射表记录;若动 态IP地址分配相关报文是RELEASE、DECLINE或NACKIP报文,则删除IP地址和桥端口映射 关系的映射表记录。4. 如权利要求1至3中任一项所述的方法,其特征在于所述IP地址和桥端口映射表 的每条映射表记录包括租约期和时间戳,步骤(a)中所述维护指网络设备还定时循环检测 每条映射表记录,如果租约期等于零且当前时间和时间戳之差大于T,或,租约期不等于零 但当前时间和时间戳之差是否大于租约期,则删除此条记录,所述T值是根据组网的规模 确定的一个正常分配IP地址的会话从发起请求到收到回应需要的时间值。5. 如权利要求4所述的方法,其特征在于循环检测映射表记录的过程中,如果检测记 录条数大于设定的老化次数,则等待下一个检测周期。6. —种实现ARP广播限制的装置,其特征在于,该装置包括接收解析模块、映射表维护 模块、映射表查询模块、及转发模块,其中,接收解析模块,用于接收并解...
【专利技术属性】
技术研发人员:倪沈柳,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。