【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种网络设备上防止ARP欺骗的方法及装置。
技术介绍
图1是本专利技术
技术介绍
提供的应用场景图。参见图1,网络运营服务商通过网络设备:宽带路由器和交换机,实现Internet互联网信息在各用户间的共享。当交换机将互联网信息发送至各用户时,须将各用户的IP (Internet Protocol,网络互联协议)地址转换成相应的MAC (Media Access Control,介质访问控制)地址(硬件地址),才可实现与各用户间的通信,而MAC地址通过ARP (Address Resolution Protocol,地址解析协议)获得。ARP是以太网等数据链路层的基础网络协议,负责完成IP地址到MAC地址的转化,其基本工作过程为:发送端的主机或者网络设备A (例如交换机)需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文,ARP请求数据帧中包含目的主机或网络设备B(例如某一用户主机)的IP地址,意思是“如果你是这个IP地址的拥有者,请回答你的MAC地址”;目标端的主机或者网络设备B接收到ARP请求,识别出这是主机或...
【技术保护点】
一种网络设备上防止ARP欺骗的方法,其特征在于,所述方法包括:S1、接收合法的ARP报文;其中,所述ARP报文内容包括目的MAC地址、源MAC地址、发送端MAC地址、发送端IP地址、目标端MAC地址、目标端IP地址;S2、对所述合法ARP报文进行可信验证:提取所述合法ARP报文的发送端IP地址和发送端MAC地址,构造并发送ARP请求报文;其中,所述ARP请求报文的源MAC地址和发送端MAC地址均为接收合法ARP报文接口的MAC地址,目的MAC地址为全F,目标端MAC地址为全0,发送端IP地址为接收合法ARP报文接口的IP地址,目标端IP地址为所述合法ARP报文的发送端IP地...
【技术特征摘要】
1.一种网络设备上防止ARP欺骗的方法,其特征在于,所述方法包括: 51、接收合法的ARP报文;其中,所述ARP报文内容包括目的MAC地址、源MAC地址、发送端MAC地址、发送端IP地址、目标端MAC地址、目标端IP地址; 52、对所述合法ARP报文进行可信验证: 提取所述合法ARP报文的发送端IP地址和发送端MAC地址,构造并发送ARP请求报文;其中,所述ARP请求报文的源MAC地址和发送端MAC地址均为接收合法ARP报文接口的MAC地址,目的MAC地址为全F,目标端MAC地址为全O,发送端IP地址为接收合法ARP报文接口的IP地址,目标端IP地址为所述合法ARP报文的发送端IP地址; 判断在设定的时间阈值内,是否接收到一个与所述ARP请求报文对应的ARP响应报文,或 大于一个与所述ARP请求报文对应的ARP响应报文,但所述各ARP响应报文中的源MAC地址相同; 如果是,则对所述合法ARP报文的可信验证通过; 53、当所述合法ARP报文的可信验证通过时,将所述提取的所述合法ARP报文的发送端IP地址和发送端MAC地址作为一个ARP条目,添加至网络设备的ARP列表中。2.根据权利要求1所述的网络设备上防止ARP欺骗的方法,其特征在于,所述合法的ARP报文应满足: 所述ARP报文符合ARP报文格式; 所述ARP报文的源MAC地址与发送端MAC地址一致; 所述ARP报文的发送端IP地址未在所述网络设备的ARP列表中; 当所述ARP报文为免费ARP报文时,发送端IP地址和目标端IP地址一致; 当所述ARP报文为非免费ARP报文时,目标端IP地址和所述网络设备接口的IP地址处于同一网段; 当所述ARP报文为ARP响应报文时,目的MAC地址、目标端MAC地址、所述网络设备接口的MAC地址一致。3.根据权利要求1所述的网络设备上防止ARP欺骗的方法,其特征在于,所述设定的时间阈值优选为I秒。4.根据权利要求1所述的网络设备上防止ARP欺骗的方法,其特征在于,所述步骤S3还包括:将所述添加至所述网络设备的ARP列表中的ARP条目设置Flag标志位,所述Flag值为I。5.根据权利要求4所述的网络设备上防止ARP欺骗的方法,其特征在于,所述方法还包括对各ARP条目进行老化处理: 定时器触发时,遍历所述ARP列表中的各ARP条目; 将Flag值为I的ARP条目的Flag值刷新为O ; 将Flag值为O的ARP条目重新进行可信验证,对通过所述可信验证的ARP条目的Flag值刷新为1,同时删除未通过所述可信验证的ARP条目; 遍历完成后,重置定时器。6.一种网络设备上防...
【专利技术属性】
技术研发人员:魏元首,
申请(专利权)人:神州数码网络北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。