[发明专利]保证ARP报文安全性的方法及装置在审
| 申请号: | 201610724623.2 | 申请日: | 2016-08-25 |
| 公开(公告)号: | CN107786679A | 公开(公告)日: | 2018-03-09 |
| 发明(设计)人: | 田雨农;张东辉;付政国 | 申请(专利权)人: | 大连楼兰科技股份有限公司 |
| 主分类号: | H04L29/12 | 分类号: | H04L29/12 |
| 代理公司: | 大连智高专利事务所(特殊普通合伙)21235 | 代理人: | 李猛 |
| 地址: | 116023 辽宁省大连*** | 国省代码: | 辽宁;21 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 保证 arp 报文 安全性 方法 装置 | ||
1.一种保证ARP报文安全性的方法,其特征在于,包括如下步骤:
S1.网络层数据侦听,获取ARP报文,和DHCP Ack报文;
S2.安全性检验。
2.如权利要求1所述的保证ARP报文安全性的方法,其特征在于,所述安全性检验,包括:
第一步,DHCP联动ARP学习;
第二步,ARP报文合法性检查;
第三步,ARP报文内MAC地址一致性检查;
第四步,基于网络设备接口的ARP表项限制。
3.如权利要求2所述的保证ARP报文安全性的方法,其特征在于,所述DHCP联动ARP学习:当DHCP服务器向用户发送一个包含它所提供的IP地址和其他设置的DHCP Ack报文时,通过该报文获取用户的MAC地址,生成该IP地址对应的ARP表项。
4.如权利要求2所述的保证ARP报文安全性的方法,其特征在于,所述ARP报文合法性检查:提取DHCP Ack报文中出现过的IP地址信息和MAC地址信息,生成ARP信任列表,当设备每次学习和转发ARP报文时,检查其中的IP地址和MAC地址是否存在于ARP信任列表,若不存在于ARP信任列表,则丢弃该报文,若存在于该ARP信任列表中,则执行第三步。
5.如权利要求2所述的保证ARP报文安全性的方法,其特征在于,所述ARP报文内MAC地址一致性检查,对ARP报文的以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC进行检查,如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC不一致,则丢弃此ARP报文,如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC一致,则对ARP报文的以太网数据帧首部中的目的MAC地址和ARP报文Data部分的目的MAC进行检查,如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC不一致,则丢弃此ARP报文,如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC一致,则执行第四步。
6.如权利要求2所述的保证ARP报文安全性的方法,其特征在于,所述基于网络设备接口的ARP表项限制:在指定接口下配置能够学习到的最大动态ARP表项数目,以及ARP表项的最小老化时间,接口达到最大ARP表项数目后,将不允许新增动态ARP表项。
7.一种保证ARP报文安全性的装置,其特征在于,包括:
侦听模块,用于网络层数据侦听,获取ARP报文,和DHCP Ack报文;
安全性检验模块,用于安全性检验。
8.如权利要求7所述的保证ARP报文安全性的装置,其特征在于,所述安全性检验模块的检验方法包括:
第一步,DHCP联动ARP学习;
第二步,ARP报文合法性检查;
第三步,ARP报文内MAC地址一致性检查;
第四步,基于网络设备接口的ARP表项限制。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于大连楼兰科技股份有限公司,未经大连楼兰科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610724623.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种图像目标显著性度量方法
- 下一篇:基于深度信息的相关滤波跟踪方法及装置
