CN201310054845.4-一种网络设备上防止ARP欺骗的方法及装置-申请.docxVIP

代理人 马晓亚代理机构 北京品源专利代理有限公司11332公开（公告）日 2013.06.12公开（公告）号 CN103152335A主分类 H04L29/06一种网络设备上防止ARP欺骗的方法及装置发明（设计）人 魏元首地址 北京市海淀区上地九街9号数码科技广场一段三层A区申请（专利权）人 神州数码网络(北京)有限公司申请日：2013.02.20申请号：CN201310054845.4（19）中国人民共和国国家知识产权局（12）发明专利申请（10）申请公布号 CN103152335A（45）申请公布日 2013.06.12（21）申请号 CN201310054845.4（22）申请日 2013.02.20（71）申请人 神州数码网络(北京)有限公司地址 北京市海淀区上地九街9号数码科技广场一段三层A区（72）发明人 魏元首（74）专利代理机构 北京品源专利代理有限公司11332 代理人 马晓亚（54）发明名称 一种网络设备上防止ARP欺骗的方法及装置（57）摘要 本发明公开了一种网络设备上防止ARP欺骗的方法及装置，该方法包括：接收合法的ARP报文；提取合法ARP报文的发送端IP地址和发送端MAC地址，构造并发送ARP请求报文；判断在设定的时间阈值内是否接收到一个与ARP请求报文对应的ARP响应报文，或大于一个与ARP请求报文对应的ARP响应报文，但各ARP响应报文中的源MAC地址相同；如果是，则对合法ARP报文的可信验证通过；将通过可信验证的合法ARP报文的发送端IP地址和发送端MAC地址作为一个ARP条目，添加至网络设备的ARP列表中。本发明提供的技术方案能够确保学习到的ARP条目都是可信的，解决了网关设备频繁收到ARP欺骗攻击的问题。权 利 要 求 书一种网络设备上防止ARP欺骗的方法，其特征在于，所述方法包括：S1、接收合法的ARP报文；其中，所述ARP报文内容包括目的MAC地址、源MAC地址、发送端MAC地址、发送端IP地址、目标端MAC地址、目标端IP地址；S2、对所述合法ARP报文进行可信验证：提取所述合法ARP报文的发送端IP地址和发送端MAC地址，构造并发送ARP请求报文；其中，所述ARP请求报文的源MAC地址和发送端MAC地址均为接收合法ARP报文接口的MAC地址,目的MAC地址为全F，目标端MAC地址为全0，发送端IP地址为接收合法ARP报文接口的IP地址，目标端IP地址为所述合法ARP报文的发送端IP地址；判断在设定的时间阈值内，是否接收到一个与所述ARP请求报文对应的ARP响应报文，或大于一个与所述ARP请求报文对应的ARP响应报文，但所述各ARP响应报文中的源MAC地址相同；如果是，则对所述合法ARP报文的可信验证通过；S3、当所述合法ARP报文的可信验证通过时，将所述提取的所述合法ARP报文的发送端IP地址和发送端MAC地址作为一个ARP条目，添加至网络设备的ARP列表中。根据权利要求1所述的网络设备上防止ARP欺骗的方法，其特征在于，所述合法的ARP报文应满足：所述ARP报文符合ARP报文格式；所述ARP报文的源MAC地址与发送端MAC地址一致；所述ARP报文的发送端IP地址未在所述网络设备的ARP列表中；当所述ARP报文为免费ARP报文时，发送端IP地址和目标端IP地址一致；当所述ARP报文为非免费ARP报文时，目标端IP地址和所述网络设备接口的IP地址处于同一网段；当所述ARP报文为ARP响应报文时，目的MAC地址、目标端MAC地址、所述网络设备接口的MAC地址一致。根据权利要求1所述的网络设备上防止ARP欺骗的方法，其特征在于，所述设定的时间阈值优选为1秒。根据权利要求1所述的网络设备上防止ARP欺骗的方法，其特征在于，所述步骤S3还包括：将所述添加至所述网络设备的ARP列表中的ARP条目设置Flag标志位，所述Flag值为1。根据权利要求4所述的网络设备上防止ARP欺骗的方法，其特征在于，所述方法还包括对各ARP条目进行老化处理：定时器触发时，遍历所述ARP列表中的各ARP条目；将Flag值为1的ARP条目的Flag值刷新为0；将Flag值为0的ARP条目重新进行可信验证，对通过所述可信验证的ARP条目的Flag值刷新为1，同时删除未通过所述可信验证的ARP条目；遍历完成后，重置定时器。一种网络设备上防止ARP欺骗的装置，其特征在于，所述装置包括：报文接收模块，用于接收合法的ARP报文；其中，所述ARP报文内容包括目的MAC地址、源MAC地址、发送端MAC地址、发送端IP地址、目标端MAC地址、目标端IP地址；可信验证模块，用于对所述合法ARP报文进行可信验证：提取所述合法ARP报文的发送端IP地址和发送端MAC地址，构造并发送ARP请求报文；其中，所述ARP请求报文的源MAC地址和发