【技术实现步骤摘要】
本专利技术属于通信
,具体涉及地址解析协议(ARP)广播限制的方法和装置。
技术介绍
随着宽带接入技术和宽带业务的迅猛发展,网络安全越来越得到关注。但目前网 络中存在各种各样的病毒和黑客攻击。IP地址欺诈是一种最为常见的一个黑客攻击手段。 如黑客机A冒充主机B的IP主动向主机C请求通讯。黑客A也可以冒充主机B被动响应 主机C的通讯请求。基于TCP/IP(传输控制协议和网际协议)的网络通信技术中,ARP的 主要目的就是实现地址解析,即获得IP地址到MAC(媒体访问控制)地址的对应关系。其 请求报文是在二层VLAN域中广播的。这给IP地址欺诈的黑客攻击提供了便捷的途径。 ARP请求或应答分组的格式如图1。黑客机很容易就可以获取目的主机的IP地 址,并可以冒充目的主机应答请求方。黑客机获得了 ARP请求中的发送方IP和目的IP,也 可以对其进行主动攻击。所以IP地址也成为网络中保护的对像。 在目前宽带接入网络中,接入方式主要有3种固定IP, DHCP(动态主机分配协 议),PPPoE(基于以太网的点对点协议)。而DHCP和PPPoE都是动态分配IP地址的接入 ...
【技术保护点】
一种实现ARP广播限制的方法,其特征在于,该方法包括:(a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条映射表记录;(b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表并获取对应的桥端口;(c)网络设备将所述ARP请求单播到所述桥端口。
【技术特征摘要】
一种实现ARP广播限制的方法,其特征在于,该方法包括(a)网络设备根据动态IP地址分配相关报文及动态IP地址分配请求报文进入的桥端口信息,创建并维护IP地址和桥端口映射表,所述IP地址和桥端口映射表包括若干条映射表记录;(b)网络设备提取ARP请求,根据所述ARP请求中的目的IP地址查询所述映射表并获取对应的桥端口;(c)网络设备将所述ARP请求单播到所述桥端口。2. 如权利要求1所述的方法,其特征在于每条映射表记录包括用户的MAC地址、虚拟 局域网标识、请求转发序号、用户IP地址及桥端口。3. 如权利要求l所述的方法,其特征在于步骤(a)中,所述的动态IP地址分配相关 报文指DHCP报文或PPPoE报文,对于DHCP方式,若动态IP地址分配相关报文是DISCOVER、 REQUEST、 OFFER或ACK报文,则建立或更新IP地址和桥端口映射关系的映射表记录;若动 态IP地址分配相关报文是RELEASE、DECLINE或NACKIP报文,则删除IP地址和桥端口映射 关系的映射表记录。4. 如权利要求1至3中任一项所述的方法,其特征在于所述IP地址和桥端口映射表 的每条映射表记录包括租约期和时间戳,步骤(a)中所述维护指网络设备还定时循环检测 每条映射表记录,如果租约期等于零且当前时间和时间戳之差大于T,或,租约期不等于零 但当前时间和时间戳之差是否大于租约期,则删除此条记录,所述T值是根据组网的规模 确定的一个正常分配IP地址的会话从发起请求到收到回应需要的时间值。5. 如权利要求4所述的方法,其特征在于循环检测映射表记录的过程中,如果检测记 录条数大于设定的老化次数,则等待下一个检测周期。6. —种实现ARP广播限制的装置,其特征在于,该装置包括接收解析模块、映射表维护 模块、映射表查询模块、及转发模块,其中,接收解析模块,用于接收并解...
【专利技术属性】
技术研发人员:倪沈柳,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。