專利名稱:地址解析協(xié)議arp報(bào)文處理的方法��、網(wǎng)絡(luò)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域����,特別涉及一種地址解析協(xié)議ARP報(bào)文處理的方法,網(wǎng)絡(luò)設(shè)備以及系統(tǒng)�����。
背景技術(shù):
地址解析協(xié)議(Address Resolution Protocol, ARP)用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)化為物理地址����,即將32位的IP地址轉(zhuǎn)換為48位的MAC地址。ARP協(xié)議是屬于鏈路層的協(xié)議��,而在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺主機(jī)是根據(jù)48位的MAC地址來確定接口的�,而不是根據(jù)32位的IP地址。因此�,主機(jī)的內(nèi)核(如驅(qū)動)必須知道目的端的MAC地址才能發(fā)送數(shù)據(jù)。ARP地址解析協(xié)議在應(yīng)用之初確實(shí)很大程度上的推動了網(wǎng)絡(luò)的進(jìn)程����,但也正是因?yàn)殡S著網(wǎng)絡(luò)的拓展和ARP地址解析協(xié)議的普及,以及用戶對于網(wǎng)絡(luò)安全的關(guān)注�����,ARP協(xié)議在安全缺陷越來越受關(guān)注�����。下面是幾種典型的威脅ARP協(xié)議的安全性的網(wǎng)絡(luò)ARP攻擊方式:方式一為交換網(wǎng)絡(luò)的嗅探ARP攻擊方式,由于ARP協(xié)議并不只在發(fā)送了 ARP請求才接收ARP應(yīng)答��。這樣����,當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會對本地的ARP緩存進(jìn)行更新�����,將應(yīng)答中的IP和MAC地址存儲在ARP緩存中��。因此���,在上面的網(wǎng)絡(luò)中����,假設(shè)網(wǎng)絡(luò)設(shè)備B向網(wǎng)絡(luò)設(shè)備A發(fā)送一個(gè)自己偽造的ARP應(yīng)答���,而這個(gè)偽造的ARP應(yīng)答中的數(shù)據(jù)為發(fā)送方 IP 地址是 192.168.10.3�����,MAC 地址是 DD-DD-DD-DD-DD-DD�,其中��,192.168.10.3 為網(wǎng)絡(luò)設(shè)備C的IP地址�,而網(wǎng)絡(luò)設(shè)備C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造為DD-DD-DD-DD-DD-DD�。當(dāng)網(wǎng)絡(luò)設(shè)備A接收到網(wǎng)絡(luò)設(shè)備B偽造的ARP應(yīng)答,就會更新本地的ARP緩存��,將本地的IP-MAC對應(yīng)表更換為接收到的數(shù)據(jù)格式��,即網(wǎng)絡(luò)設(shè)備A的ARP緩存中記錄對應(yīng)表中包括:192.168.10.3的IP地址與DD-DD-DD-DD-DD-DD的MAC地址對應(yīng)����,由于這一切都是網(wǎng)絡(luò)設(shè)備A的系統(tǒng)內(nèi)核自動完成的,網(wǎng)絡(luò)設(shè)備A可不知道ARP應(yīng)答被偽造了��。方式二為IP地址沖突的ARP攻擊方式�,如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)的時(shí)候,就會報(bào)告出IP地址沖突的警告�����。比如某主機(jī)B規(guī)定IP地址為192.168.0.1,如果它處于開機(jī)狀態(tài)�,那么其他機(jī)器A更改IP地址為192.168.0.1就會造成IP地址沖突。其原理就是:主機(jī)A在連接網(wǎng)絡(luò)(或更改IP地址)時(shí)���,就會向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的IP地址�����,也就是freearp����。如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)B����,那么B就會通過ARP包來r印Iy該地址,當(dāng)A接收到這個(gè)reply后�,A就會跳出IP地址沖突的警告,當(dāng)然B也會有警告��。因此可用ARP欺騙可以來偽造這個(gè)ARPr印ly�����,從而使目標(biāo)一直遭受IP地址沖突警告的困擾����。方式三為阻止目標(biāo)的數(shù)據(jù)包通過網(wǎng)關(guān)的ARP攻擊方式�。當(dāng)在一個(gè)局域網(wǎng)內(nèi)通過網(wǎng)關(guān)上網(wǎng)�����,那么連接外部的計(jì)算機(jī)上的ARP緩存中就存在網(wǎng)關(guān)IP-MAC對應(yīng)記錄����。如果����,該記錄被更改,那么該計(jì)算機(jī)向外發(fā)送的數(shù)據(jù)包總是發(fā)送到了錯誤的MAC地址上��,這樣��,該計(jì)算機(jī)就不能夠上網(wǎng)了����。從以上幾種攻擊方式中,可以看出攻擊之所以能夠成功�,主要是因?yàn)楫?dāng)前的ARP協(xié)議存在如下缺陷:
I)當(dāng)計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會對本地的ARP緩存進(jìn)行更新���,將應(yīng)答中的IP和MAC地址存儲在ARP緩存中���。也就是不對ARP應(yīng)答包進(jìn)行合法性校驗(yàn)�。2) ARP請求報(bào)文和ARP應(yīng)答報(bào)文無法——對應(yīng)�����,從而很容易被人竊取其中一個(gè)報(bào)文從而模擬出ARP應(yīng)答或者請求報(bào)文來達(dá)到ARP攻擊的目的���。針對上述缺陷����,目前也有些方法可來彌補(bǔ)或減輕這些缺陷所造成的網(wǎng)絡(luò)安全隱患����,其中包括:專利號:200910059669中公開,通過交換機(jī)開啟ARP代理功能���,代替網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)中的ARP請求和應(yīng)答報(bào)文���,并且加入了一定的合法性校驗(yàn)。但是由于此方法是通過設(shè)定網(wǎng)絡(luò)設(shè)備ARP記錄上限和認(rèn)為先到的ARP報(bào)文為合法來實(shí)現(xiàn)防護(hù)功能的����,只能說在限制ARP報(bào)文數(shù)量上起到了一定的作用����,在ARP報(bào)文的合法性校驗(yàn)上沒有太大的說服力���;專利200710121472.2中同樣是先到的ARP報(bào)文認(rèn)為是合法報(bào)文���,如與原來保存的ARP緩存有沖突則啟用ARP驗(yàn)證�,發(fā)送一定的ARP查詢報(bào)文來驗(yàn)證其MAC的合法性,此方法的合法性校驗(yàn)方式依然使用的是存在缺陷的ARP報(bào)文來驗(yàn)證�,那么根本上還是存在被攻擊的隱患。綜上所述��,現(xiàn)有ARP報(bào)文處理過程中���,仍然存在由ARP協(xié)議的本身缺陷引起的安全隱患問題���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種ARP報(bào)文處理方法,網(wǎng)絡(luò)設(shè)備及系統(tǒng)����,用以提高基于ARP協(xié)議網(wǎng)絡(luò)的安全性����。本發(fā)明實(shí)施例提供一種地址解析協(xié)議ARP報(bào)文處理的方法���,包括:第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文�,其中���,所述第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備都支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID �����;所述第一網(wǎng)絡(luò)設(shè)備在由網(wǎng)絡(luò)地址�����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID的記錄����,并根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文���。本發(fā)明實(shí)施例提供一種地址解析協(xié)議ARP報(bào)文處理的網(wǎng)絡(luò)設(shè)備���,該網(wǎng)絡(luò)設(shè)備支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID���,包括:接收單元,用于接收由支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文��;查找單元���,用于在由網(wǎng)絡(luò)地址�����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID的記錄�����;處理單元����,用于根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文����。本發(fā)明實(shí)施例提供一種地址解析協(xié)議ARP報(bào)文處理的系統(tǒng)���,包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備,其中���,所述第一網(wǎng)絡(luò)設(shè)備��,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文��,并在由網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID的記錄���,并根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文����;所述第二網(wǎng)絡(luò)設(shè)備,用于發(fā)送所述ARP報(bào)文給所述第一網(wǎng)絡(luò)設(shè)備��。本發(fā)明實(shí)施例提供一種地址解析協(xié)議ARP報(bào)文處理的系統(tǒng)����,包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備��,以及不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第二網(wǎng)絡(luò)設(shè)備�,其中���,所述第一網(wǎng)絡(luò)設(shè)備�����,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報(bào)文����,在由網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址、物理地址的記錄�,并根據(jù)查找結(jié)果���,更新所述本地記錄和處理所述ARP報(bào)文����;所述第二網(wǎng)絡(luò)設(shè)備,用于發(fā)送所述ARP報(bào)文給所述第一網(wǎng)絡(luò)設(shè)備�����。本發(fā)明實(shí)施例中����,當(dāng)網(wǎng)絡(luò)設(shè)備都支持ARP協(xié)議的擴(kuò)展時(shí),第一網(wǎng)絡(luò)設(shè)備接收到第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文后�,在由網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括該ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID的記錄�����,并根據(jù)查找結(jié)果�,更新本地記錄和處理ARP報(bào)文。這樣�,第一網(wǎng)絡(luò)設(shè)備在處理ARP報(bào)文時(shí),使用<MAC�,IP,ID>來實(shí)現(xiàn)ARP報(bào)文與合法ARP報(bào)文的一一對應(yīng)�,從而有效抵抗了目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊,并且提高了網(wǎng)絡(luò)的安全性。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解����,構(gòu)成本發(fā)明的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定�����。在附圖中:
圖1為本發(fā)明實(shí)施例中一種ARP報(bào)文處理的流程圖�����;圖2為本發(fā)明實(shí)施例中另一種ARP報(bào)文處理的流程圖��;圖3為本發(fā)明實(shí)施例一種中ARR報(bào)文交互的流程圖����;圖4為本發(fā)明實(shí)施例二種中ARR報(bào)文交互的流程圖;圖5為本發(fā)明實(shí)施例中網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖���。
具體實(shí)施例方式為了使本發(fā)明所要解決的技術(shù)問題��、技術(shù)方案及有益效果更加清楚、明白,以下結(jié)合附圖和實(shí)施例���,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明���。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。本發(fā)明實(shí)施例中�����,通過擴(kuò)展ARP協(xié)議的一個(gè)字段用于保存身份標(biāo)識ID�,該身份標(biāo)識ID是唯一的,從而可在報(bào)文處理過程中����,使用此ID來實(shí)現(xiàn)ARP請求報(bào)文和ARP應(yīng)答報(bào)文
的--對應(yīng),從而在解決目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊問題的同時(shí),降低網(wǎng)絡(luò)中的ARP報(bào)
文數(shù)量的目的�,實(shí)現(xiàn)安全與性能的共贏。本發(fā)明實(shí)施例中���,ARP協(xié)議的擴(kuò)展中�,可通過在現(xiàn)有ARP協(xié)議的末尾增加一個(gè)2Byte大小的CHECKID (檢驗(yàn)ID)字段���,用于存放網(wǎng)絡(luò)設(shè)備發(fā)送ARP請求時(shí)隨機(jī)生成的不為O的ID����,此ID必須是唯一的,即該ID必須與本地MAC對應(yīng)的ARP記錄表中ID都不同�����,同時(shí)將網(wǎng)絡(luò)設(shè)備的ARP緩存中的ARP記錄表由原來的兩要素〈MAC����,IP>擴(kuò)展為三要素〈MAC,IP,ID>�,其中ID保存最后生成的值?����?梢?�,支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備的緩存中都有一個(gè)本地記錄��,該本地記錄中有三要素〈MAC�����,IP, ID>,每一條記錄都是經(jīng)過合法性驗(yàn)證的。當(dāng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備都支持ARP協(xié)議的擴(kuò)展時(shí)�,網(wǎng)絡(luò)設(shè)備之間交換的ARP報(bào)文中都包含有身份標(biāo)識ID,則ARP報(bào)文處理的過程參見圖1��,包括:步驟101:第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文���。這里,第一網(wǎng)絡(luò)設(shè)備可以為路由類網(wǎng)絡(luò)設(shè)備或終端��,第二網(wǎng)絡(luò)設(shè)備也可以為路由類網(wǎng)絡(luò)設(shè)備或終端����。第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備都支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID。步驟102:第一網(wǎng)絡(luò)設(shè)備判斷該ARP報(bào)文的類型����,當(dāng)該ARP報(bào)文為ARP請求報(bào)文時(shí),執(zhí)行步驟103A��,當(dāng)該ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)��,執(zhí)行103B�。步驟103A:在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包含ARP請求報(bào)文中的源MAC+源IP+ID的第一記錄,若有���,執(zhí)行步驟106�,否則,執(zhí)行步驟105����。這里,第一網(wǎng)絡(luò)設(shè)備的本地記錄包括〈MAC��,IP, ID>三要素�,每條記錄都是合法的。當(dāng)在本地記錄中查到包含ARP請求報(bào)文中的源MAC����,源IP和ID的第一記錄時(shí),可表明第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備已建立鏈接�,因此,執(zhí)行步驟306����,丟棄該ARP請求報(bào)文。步驟103B:在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包括ARP應(yīng)答報(bào)文中的源MAC+源IP+ID的第二記錄��,如果有���,則進(jìn)行步驟105 ;否則�,進(jìn)行步驟104。步驟104:此步驟對應(yīng)步驟103B��,在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包括ARP應(yīng)答報(bào)文的目的MAC+目的IP+ID的第三記錄�,若有,進(jìn)行步驟105�����,否則��,進(jìn)行步驟106�����。步驟105:將接收ARP報(bào)文中的源MAC+源IP+ID組成新的報(bào)文��,更新第一網(wǎng)絡(luò)設(shè)備的本地記錄���,并正常轉(zhuǎn)發(fā)該ARP報(bào)文。這里�,當(dāng)從步驟103A跳入時(shí),第一網(wǎng)絡(luò)設(shè)備將ARP請求報(bào)文中的源MAC+源IP+ID組成第一記錄增加到該本地記錄中���。當(dāng)從步驟103B跳入時(shí)����,第一網(wǎng)絡(luò)設(shè)備利用ARP應(yīng)答報(bào)文中源MAC+源IP+ID刷新
第二記錄。當(dāng)然從步驟104跳入時(shí)�,第一網(wǎng)絡(luò)設(shè)備利用ARP應(yīng)答報(bào)文中源MAC+源IP+ID組成第二記錄加入到本地記錄中。步驟106:丟棄收到的ARP報(bào)文����,并釋放占用的內(nèi)存?����?梢娚鲜鯝RP報(bào)文處理過程中��,由于ARP報(bào)文中包括了網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID,因此��,第一網(wǎng)絡(luò)設(shè)備接收到第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文后����,在由網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括該ARP報(bào)文中網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID的記錄�����,并根據(jù)查找結(jié)果����,更新本地記錄和處理ARP報(bào)文。這樣����,第一網(wǎng)絡(luò)設(shè)備在處理ARP報(bào)文時(shí),使用〈MAC��,IP, ID>來實(shí)現(xiàn)合法ARP請求報(bào)文與合法ARP應(yīng)答報(bào)文的一一對應(yīng)����,從而有效抵抗了目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊���,并且提高了網(wǎng)絡(luò)的安全性��。在本發(fā)明實(shí)施例中����,為進(jìn)一步提高安全性�,第一網(wǎng)絡(luò)設(shè)備接收到ARP報(bào)文后����,還對該報(bào)文的合法性進(jìn)行驗(yàn)證��,驗(yàn)證通過后才執(zhí)行步驟102��。在上述實(shí)施例中����,網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備都支持ARP協(xié)議的擴(kuò)展,但是現(xiàn)有網(wǎng)絡(luò)中���,很多網(wǎng)絡(luò)設(shè)備都不支持ARP協(xié)議的擴(kuò)展�,此時(shí)����,支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備處理ARP報(bào)文的過程,參見圖2�,包括:步驟201:第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文。
這里����,第一網(wǎng)絡(luò)設(shè)備可以為路由類網(wǎng)絡(luò)設(shè)備或終端,第二網(wǎng)絡(luò)設(shè)備也可以為路由類網(wǎng)絡(luò)設(shè)備或終端。第一網(wǎng)絡(luò)設(shè)備支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID�����。而第二網(wǎng)絡(luò)設(shè)備不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID����。步驟202:第一網(wǎng)絡(luò)設(shè)備判斷該ARP報(bào)文的類型,當(dāng)該ARP報(bào)文為ARP請求報(bào)文時(shí)�����,執(zhí)行步驟203A�,當(dāng)該ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí),執(zhí)行203B�����。ARP報(bào)文為ARP請求報(bào)文時(shí)時(shí)���,ARP請求報(bào)文一般只包括MAC和IP,而ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)��,ARP應(yīng)答報(bào)文在那個(gè)可包括MAC���,IP和ID�。但是該ID不是第二網(wǎng)絡(luò)設(shè)備能修改的。步驟203A:在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包含ARP請求報(bào)文中的源MAC+源IP的第四記錄���,若有��,執(zhí)行步驟204A�����,否則�����,若沒有���,執(zhí)行步驟207A。這里����,第一網(wǎng)絡(luò)設(shè)備的本地記錄包括〈MAC,IP, ID>三要素�,每條記錄都是合法的。由于第二網(wǎng)絡(luò)設(shè)備不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID���,因此��,ARP請求報(bào)文中沒有ID0在具體的查找過程中���,可先在以源MAC在本地記錄中查找�����,先查找出包括源MAC的記錄��,然后��,在查找出的記錄中��,查看IP是否為源IP��,如果是����,則表明有第四記錄��,執(zhí)行步驟204A����,如果不是,則表明IP沖突�����,沒有第四記錄��,執(zhí)行步驟207A�����。當(dāng)然���,在本地記錄中未查找到源MAC���,同樣,表明沒有第四記錄�����,執(zhí)行步驟207A����。步驟204A:在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包含ARP請求報(bào)文中的目標(biāo)MAC+目標(biāo)IP的第五記錄,若沒有�����,執(zhí)行步驟205A,如有�,執(zhí)行步驟206A。步驟205A:第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一 ID的第一 ARP擴(kuò)展請求報(bào)文���,并轉(zhuǎn)發(fā)該ARP報(bào)文����,以及將ARP請求報(bào)文中的源MAC+源IP����,以及ID組成第六報(bào)文加入到本地記錄中。由于在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�����,且未查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)����,并且,第一網(wǎng)絡(luò)設(shè)備支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID�,因此,當(dāng)本地記錄中有源MAC和源IP,且沒有目標(biāo)MAC和目標(biāo)IP時(shí)����,第一網(wǎng)絡(luò)設(shè)備構(gòu)造第一 ARP擴(kuò)展請求報(bào)文,即可在ARP請求報(bào)文的末尾增加一個(gè)2Byte大小的CHECKID (檢驗(yàn)ID)字段�,用于存放與本地記錄中的ID都不同的一個(gè)ID。然后����,根據(jù)ARP請求報(bào)文中的目標(biāo)網(wǎng)絡(luò)地址和目的物理地址發(fā)送該第一ARP擴(kuò)展請求報(bào)文,并且�����,將源MAC+源IP+ID組成第六記錄加入本地記錄中��。步驟206A:第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一 ID的ARP擴(kuò)展應(yīng)答報(bào)文��,并返回給第二網(wǎng)絡(luò)設(shè)備�����。當(dāng)在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄��,且查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)��,第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文��,并返回給第二網(wǎng)絡(luò)設(shè)備。此時(shí)��,本地記錄中有源MAC和源IP����,且有目標(biāo)MAC和目標(biāo)IP。第一網(wǎng)絡(luò)設(shè)備首先生成與ARP請求報(bào)文對應(yīng)的ARP應(yīng)答報(bào)文��,然后在該ARP應(yīng)答報(bào)文中增加唯一 ID��,最后返回給第二網(wǎng)絡(luò)設(shè)備�����。步驟207A:第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一 ID的第二 ARP擴(kuò)展請求報(bào)文�����,并返回給第二網(wǎng)絡(luò)設(shè)備���,以及將ARP請求報(bào)文中的源MAC+源IP��,以及構(gòu)造的ID組成第七報(bào)文加入到本地記錄中�����。
當(dāng)在本地記錄中查找到未查到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)�,第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文,并返回給第二網(wǎng)絡(luò)設(shè)備���,以及將ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入本地記錄中。此時(shí)���,本地記錄中沒有源MAC��,或者��,有MAC����,但是IP沖突�,則將唯一的身份標(biāo)識ID添加到ARP請求報(bào)文,并返回給第二網(wǎng)絡(luò)設(shè)備���,同時(shí)還要更新本地記錄�。步驟203B:在第一網(wǎng)絡(luò)設(shè)備的本地記錄中查找是否有包含ARP應(yīng)答報(bào)文中的目標(biāo)MAC+目標(biāo)IP+ID的第八記錄���,若有���,執(zhí)行步驟204B��,否則��,若沒有����,執(zhí)行步驟205B�����。由于ARP報(bào)文為ARP應(yīng)答報(bào)文����,雖然,第二網(wǎng)絡(luò)設(shè)備不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID����,但是可收到的包括ID的請求報(bào)文,并能生成包括ID的ARP應(yīng)答報(bào)文�,只是不能對ID進(jìn)行識別或修改了。因此����,ARP應(yīng)答報(bào)文中有ID����,此時(shí)���,需目標(biāo)MAC���、目標(biāo)IP�����、ID都包括��,才能執(zhí)行步驟204B���,否則��,若沒有����,執(zhí)行步驟205B���。步驟204B:第一網(wǎng)絡(luò)設(shè)備將ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第九記錄加入本地記錄中�����,并正常轉(zhuǎn)發(fā)ARP應(yīng)答報(bào)文��。步驟205B:丟棄該ARP應(yīng)答報(bào)文�。可見上述ARP報(bào)文處理過程中��,由于接收的ARP報(bào)文由不支持ARP協(xié)議的擴(kuò)展的網(wǎng)絡(luò)設(shè)備發(fā)送的��,因此�����,第一網(wǎng)絡(luò)設(shè)備接收到第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文后����,在由網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括該ARP報(bào)文中網(wǎng)絡(luò)地址和物理地址的記錄�����,并根據(jù)查找結(jié)果����,更新本地記錄和處理ARP報(bào)文��。這樣��,第一網(wǎng)絡(luò)設(shè)備可以構(gòu)造一個(gè)包括ID的ARP報(bào)文�,然后通過ID來實(shí)現(xiàn)合法ARP請求報(bào)文與合法ARP應(yīng)答報(bào)文的一一對應(yīng)��,或者�����,通過ARP報(bào)文中第二網(wǎng)絡(luò)設(shè)備不能修改的IP來實(shí)現(xiàn)合法ARP請求報(bào)文與合法
ARP應(yīng)答報(bào)文的--對應(yīng)���,從而有效抵抗了目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊,并且提高了網(wǎng)
絡(luò)的安全性���。并且�,還可以與現(xiàn)網(wǎng)中的網(wǎng)絡(luò)設(shè)備對接����,使其具有向下兼容性,保證了本發(fā)明實(shí)施例的實(shí)用性�。下面結(jié)合說明書附圖對本發(fā)明實(shí)施例作進(jìn)一步詳細(xì)描述���。實(shí)施例一,本實(shí)施例中���,本地記錄為ARP緩存表����,請求終端Q�,目的終端R、以及交換機(jī)網(wǎng)絡(luò)設(shè)備S都支持ARP協(xié)議的擴(kuò)展�����,因此��,ARP緩存表包括〈MAC����,IP, ID>三要素,則其報(bào)文交互過程參見圖2����,具體為:步驟A:當(dāng)請求終端Q需要發(fā)送ARP請求報(bào)文時(shí),隨機(jī)產(chǎn)生一個(gè)ID��,假設(shè)為X,此ID必須滿足與本地MAC-Q對應(yīng)的ARP緩存表中的ID值均不相同�,將其添加到生成的ARP請求報(bào)文的Target IP address字段后,發(fā)送成功后�����,將此X保存到對應(yīng)ARP緩存表中���。步驟B:當(dāng)交換機(jī)網(wǎng)絡(luò)設(shè)備S收到步驟A中發(fā)送的ARP請求報(bào)文時(shí)�,檢查ARP緩存表中是否保存有與此MAC (Q) +IP (Q) +X相同的記錄����,如果記錄存在,則直接丟棄該ARP請求報(bào)文����;否則將此MAC (Q) +IP (Q) +X組合添加到ARP緩存表中�,并正常轉(zhuǎn)發(fā)ARP請求報(bào)文給目的終端R。步驟C:當(dāng)目的終端R接收ARP請求報(bào)文����,首先檢查該ARP請求報(bào)文是否指向本地地址,如果指向的是報(bào)文地址�,則檢查X的記錄 是否存在�,若存在���,則忽略此ARP請求報(bào)文��。若不存在則將此ARP請求報(bào)文中的MAC (Q) +IP (Q) +X添加的目的終端R的ARP緩存表中�����,并且以X回應(yīng)ARP應(yīng)答報(bào)文給交換機(jī)網(wǎng)絡(luò)設(shè)備S ;如果指向的非本地地址�����,則丟棄該ARP請求報(bào)文���。步驟D:當(dāng)交換機(jī)網(wǎng)絡(luò)設(shè)備S收到步驟C發(fā)送的ARP應(yīng)答報(bào)文時(shí),檢查交換機(jī)網(wǎng)絡(luò)設(shè)備的ARP緩存表中是否保存有該應(yīng)答報(bào)文中的MAC (Q) +IP (Q) +X的記錄��,若存在�,那么將MAC (R) +IP (R) +X記錄到ARP緩存表中,并正常轉(zhuǎn)發(fā)給請求終端Q ;若不存在���,那么直接丟棄該ARP應(yīng)答報(bào)文��。步驟E:當(dāng)請求終端Q收到ARP應(yīng)答報(bào)文����,檢查請求終端Q的ARP緩存表中是否保存有該應(yīng)答報(bào)文MAC (Q) +IP (Q) +X的記錄:若存在,則將MAC (R) +IP (R) +X保存到請求終端Q的ARP緩存表中��。本實(shí)施例中����,當(dāng)交換機(jī)網(wǎng)絡(luò)設(shè)備S或請求終端Q收到非法的ARP應(yīng)答報(bào)文時(shí),該報(bào)文中的ID為Y��,則由于交換機(jī)網(wǎng)絡(luò)設(shè)備S或請求終端Q的ARP緩存表中沒有Y的記錄����,則直接丟棄該非法的ARP應(yīng)答報(bào)文,不更新ARP緩存表�。實(shí)施例二,本實(shí)施例中���,本地記錄為ARP緩存表��,請求終端Q和目的終端R不支持ARP協(xié)議的擴(kuò)展�,只有交換機(jī)網(wǎng)絡(luò)設(shè)備S支持ARP協(xié)議的擴(kuò)展����,即只有交換機(jī)網(wǎng)絡(luò)設(shè)備的ARP緩存表包括〈MAC,IP, ID〉���。則其報(bào)文交互過程參見圖2��,具體為:步驟A:當(dāng)要建立通信前��,請求者請求終端Q發(fā)送指向目的終端R的普通ARP請求報(bào)文�����。步驟B:當(dāng)支持?jǐn)U展ARP報(bào)文的交換機(jī)網(wǎng)絡(luò)設(shè)備S收到Q發(fā)出的指向目的終端R的ARP報(bào)文時(shí)��,可以分如下幾種情況:B1:包括請求終端Q的源MAC+源IP的記錄存���,即源MAC存在,且無IP沖突�,但包括目的終端R的目標(biāo)MAC+目標(biāo)IP的記錄不存在,此時(shí)�,交換機(jī)網(wǎng)絡(luò)設(shè)備S在請求終端Q的ARP請求報(bào)文的基礎(chǔ)上構(gòu)造指向目的終端R的擴(kuò)展ARP請求報(bào)文,正常轉(zhuǎn)發(fā)出去��,該擴(kuò)展ARP請求報(bào)文有唯一的ID���,ID = Y����,在ARP緩存中保存源MAC+源IP+ID。B2:包括請求終端Q的源MAC+源IP的記錄存�����,且包括目的終端R的目標(biāo)MAC+目標(biāo)IP的記錄也存在�����,此時(shí)�����,交換機(jī)網(wǎng)絡(luò)設(shè)備S構(gòu)造ARP擴(kuò)展應(yīng)答報(bào)文�����,該ARP擴(kuò)展應(yīng)答報(bào)文包括唯一的ID���,ID = X�,并向請求終端Q發(fā)送��。B3:包括請求終端Q的源MAC+源IP的記錄存,即有請求終端Q的源MAC但是IP沖突��,或者請求終端Q的源MAC不存在���,此時(shí)交換機(jī)網(wǎng)絡(luò)設(shè)備S構(gòu)造一個(gè)指向請求終端Q的擴(kuò)展ARP請求報(bào)文,該擴(kuò)展ARP請求報(bào)文包括唯一的ID���,ID = X����,并在ARP緩存表中記錄源MAC+源IP+ID���,以便后續(xù)驗(yàn)證�。步驟C:根據(jù)步驟B的不同分支��,步驟C也可以分為如下幾個(gè)子項(xiàng):Cl:對應(yīng)BI�,當(dāng)目的終端R收到步驟BI發(fā)出的擴(kuò)展ARP請求報(bào)文時(shí),更新ARP緩存���,并通過交換機(jī)網(wǎng)絡(luò)設(shè)備S向請求終端Q回應(yīng)擴(kuò)展ARP應(yīng)答報(bào)文�����,此時(shí)���,不修改ID���,即雖然目的終端R不支持ARP協(xié)議的擴(kuò)展,但回復(fù)的擴(kuò)展ARP應(yīng)答報(bào)文包括了 ID�����,ID = Y��。C2:對應(yīng)B2�����,當(dāng)請求終端Q收到步驟B2發(fā)出的擴(kuò)展ARP應(yīng)答報(bào)文時(shí)�,直接更新ARP緩存表,該ARP緩存表中只有〈MAC�����,IP〉����。C3:對應(yīng)B3����,當(dāng)請求終端Q收到步驟B3發(fā)出的擴(kuò)展ARP請求報(bào)文時(shí)���,向交換機(jī)網(wǎng)絡(luò)設(shè)備S回應(yīng)擴(kuò)展ARP應(yīng)答報(bào)文���。同樣�,不能修改ID,ID = X��。步驟D:根據(jù)步驟C的不同分支����,步驟D也可以分為如下幾個(gè)子項(xiàng):
Dl:對應(yīng)Cl,當(dāng)交換機(jī)網(wǎng)絡(luò)設(shè)備S收到步驟Cl發(fā)送的擴(kuò)展ARP應(yīng)答報(bào)文時(shí)����,檢驗(yàn)該擴(kuò)展ARP應(yīng)答報(bào)文中ID與記錄中發(fā)送的ID是否一致,即是否都為Y��,若一致則在ARP緩存表保存請求終端QMAC+請求終端QIP+ID����,且轉(zhuǎn)發(fā)此擴(kuò)展ARP應(yīng)答報(bào)文給請求終端Q ;若不一致�����,則丟棄該擴(kuò)展ARP應(yīng)答報(bào)文����;D3:對應(yīng)C3����,當(dāng)交換機(jī)S收到步驟C3發(fā)送的擴(kuò)展ARP應(yīng)答報(bào)文時(shí),檢驗(yàn)該擴(kuò)展ARP應(yīng)答報(bào)文中ID與記錄中發(fā)送的ID是否一致����,即是否都為X,若一致則在ARP緩存表保存MAC (R)+IP (R)+ID0步驟E:根據(jù)步驟D的Dl分支���,步驟E僅對應(yīng)Dl存在�����,當(dāng)請求終端Q收到Dl轉(zhuǎn)發(fā)的擴(kuò)展ARP應(yīng)答報(bào)文時(shí)����,更新ARP緩存���,丟棄該擴(kuò)展ARP應(yīng)答報(bào)文�。根據(jù)上述實(shí)施例可知,處理ARP報(bào)文的網(wǎng)絡(luò)設(shè)備可持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID�,參見圖5,該網(wǎng)絡(luò)設(shè)備包括:接收單元510��,查找單元520����,以及處理單元530����。接收單元510,用于接收由支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文���。查找單元520�����,用于在由網(wǎng)絡(luò)地址�����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括ARP報(bào)文中網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID的記錄。處理單元530���,用于根據(jù)查找結(jié)果��,更新本地記錄和處理ARP報(bào)文��。當(dāng)ARP報(bào)文為ARP請求報(bào)文時(shí)�,處理單元530�����,具體用于在本地記錄中沒有查找到包括ARP請求報(bào)文中的源網(wǎng)絡(luò)地址��、源物理地址以及身份標(biāo)識ID的第一記錄時(shí)��,將由ARP請求報(bào)文中的源網(wǎng)絡(luò)地址���、源物理地址以及身份標(biāo)識ID組成的第一記錄增加到本地記錄中�����,并轉(zhuǎn)發(fā)ARP請求報(bào)文�����。當(dāng)ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)��,處理單元530����,具體用于當(dāng)在本地記錄中查找到包括ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第二記錄時(shí),利用ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址�����、源物理地址和身份標(biāo)識ID刷新第二記錄��,并轉(zhuǎn)發(fā)ARP應(yīng)答報(bào)文�?;颍诒镜赜涗浳床檎业降诙涗?�,且在本地記錄中查找到包括ARP應(yīng)答報(bào)文中目的網(wǎng)絡(luò)地址�、目的物理地址以及身份標(biāo)識ID的第三記錄時(shí),利用ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址��、源物理地址以及身份標(biāo)識ID組成第二記錄加入本地記錄中����,并轉(zhuǎn)發(fā)ARP應(yīng)答報(bào)文���。本發(fā)明實(shí)施例中網(wǎng)絡(luò)設(shè)備還可與現(xiàn)網(wǎng)對接,因此����,接收單元510,還用于接收不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報(bào)文���。查找單元520����,還用于在由網(wǎng)絡(luò)地址�、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括ARP報(bào)文中網(wǎng)絡(luò)地址、物理地址的記錄���。當(dāng)ARP報(bào)文為ARP請求報(bào)文時(shí),處理單元530,具體用于當(dāng)在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�����,且未查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)�,構(gòu)造包括唯一的身份標(biāo)識ID的第一 ARP擴(kuò)展請求報(bào)文,并根據(jù)ARP請求報(bào)文中的目的物理地址發(fā)送第一 ARP擴(kuò)展請求報(bào)文��,以及將ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址與身份標(biāo)識ID組成第六記錄加入本地記錄中����。并且,當(dāng)在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�����,且查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)���,構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文并返回�。并且���,當(dāng)在本地記錄中查找到未查到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)�,構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文并返回��,以及將ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入本地記錄中�。當(dāng)ARP報(bào)文為ARP應(yīng)答報(bào)文���,處理單元530�,具體用于當(dāng)在本地記錄查找到包括ARP應(yīng)答報(bào)文中目標(biāo)網(wǎng)絡(luò)地址、目的物理地址以及身份標(biāo)識ID的第八記錄時(shí)��,將ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第九記錄加入本地記錄中�����,并處理ARP應(yīng)答報(bào)文��。根據(jù)上述實(shí)施例可知���,本發(fā)明實(shí)施例提供了兩種網(wǎng)絡(luò)模型的ARP報(bào)文處理的系統(tǒng)��,其中���,第一種網(wǎng)絡(luò)模型的ARP報(bào)文處理的系統(tǒng)包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備,其中��,第一網(wǎng)絡(luò)設(shè)備����,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文,并在由網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括ARP報(bào)文中網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID的記錄���,并根據(jù)查找結(jié)果�����,更新本地記錄和處理ARP報(bào)文�。第二網(wǎng)絡(luò)設(shè)備����,用于發(fā)送ARP報(bào)文給第一網(wǎng)絡(luò)設(shè)備。當(dāng)ARP報(bào)文為ARP請求報(bào)文時(shí)�,第一網(wǎng)絡(luò)設(shè)備,具體用于在本地記錄中沒有查找到包括ARP請求報(bào)文中的源網(wǎng)絡(luò)地址���、源物理地址以及身份標(biāo)識ID的第一記錄時(shí)���,第一網(wǎng)絡(luò)設(shè)備將由ARP請求報(bào)文中的源網(wǎng)絡(luò)地址、源物理地址以及身份標(biāo)識ID組成的第一記錄增加到本地記錄中�,并轉(zhuǎn)發(fā)ARP請求報(bào)文。當(dāng)ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)�,第一網(wǎng)絡(luò)設(shè)備,具體用于當(dāng)在本地記錄中查找到包括ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第二記錄時(shí)�,利用ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址和身份標(biāo)識ID刷新第二記錄�,并轉(zhuǎn)發(fā)ARP應(yīng)答報(bào)文?���;颍诒镜赜涗浳床檎业降诙涗?���,且在本地記錄中查找到包括ARP應(yīng)答報(bào)文中目的網(wǎng)絡(luò)地址、目的物理地址以及身份標(biāo)識ID的第三記錄時(shí)����,利用ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址以及身份標(biāo)識ID組成第二記錄加入本地記錄中��,并轉(zhuǎn)發(fā)ARP應(yīng)答報(bào)文����。第二種網(wǎng)絡(luò)模型的ARP報(bào)文處理的系統(tǒng)包括:,包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備����,以及不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第二網(wǎng)絡(luò)設(shè)備��,其中���,第一網(wǎng)絡(luò)設(shè)備,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報(bào)文�,在由網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址的記錄��,并根據(jù)查找結(jié)果����,更新本地記錄和處理ARP報(bào)文。第二網(wǎng)絡(luò)設(shè)備��,用于發(fā)送ARP報(bào)文給第一網(wǎng)絡(luò)設(shè)備��。當(dāng)ARP報(bào)文為ARP請求報(bào)文時(shí)�����,第一網(wǎng)絡(luò)設(shè)備����,具體用于當(dāng)在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄����,且未查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)�����,構(gòu)造包括唯一的身份標(biāo)識ID的第一 ARP擴(kuò)展請求報(bào)文�,并根據(jù)ARP請求報(bào)文中的目的物理地址發(fā)送第一 ARP擴(kuò)展請求報(bào)文��,以及將ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址與身份標(biāo)識ID組成第六記錄加入本地記錄中�。并且,當(dāng)在本地記錄中查找到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�����,且查到包括ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)�,構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文,并返回給第二網(wǎng)絡(luò)設(shè)備�。并且,當(dāng)在本地記錄中查找到未查到包括ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)����,構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文,并返回給第二網(wǎng)絡(luò)設(shè)備���,以及將ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入本地記錄中���。當(dāng)ARP報(bào)文為ARP應(yīng)答報(bào)文���,第一網(wǎng)絡(luò)設(shè)備,具體用于當(dāng)在本地記錄查找到包括ARP應(yīng)答報(bào)文中目標(biāo)網(wǎng)絡(luò)地址���、目的物理地址以及身份標(biāo)識ID的第八記錄時(shí)��,將ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第九記錄加入本地記錄中���,并處理ARP應(yīng)答報(bào)文。本發(fā)明實(shí)施例中��,當(dāng)網(wǎng)絡(luò)設(shè)備都支持ARP協(xié)議的擴(kuò)展時(shí)�����,第一網(wǎng)絡(luò)設(shè)備接收到第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文后��,在由網(wǎng)絡(luò)地址�、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括該ARP報(bào)文中網(wǎng)絡(luò)地址、物理地址以及身份標(biāo)識ID的記錄,并根據(jù)查找結(jié)果����,更新本地記錄和處理ARP報(bào)文。這樣�����,第一網(wǎng)絡(luò)設(shè)備在處理ARP報(bào)文時(shí)�,使用<MAC�����,IP�,ID>來實(shí)現(xiàn)合法ARP請求報(bào)文與合法ARP應(yīng)答報(bào)文的一一對應(yīng),從而有效抵抗了目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊�,并且提高了網(wǎng)絡(luò)的安全性。另外��,當(dāng)支持ARP協(xié)議的擴(kuò)展的第一網(wǎng)絡(luò)設(shè)備與現(xiàn)網(wǎng)中的網(wǎng)絡(luò)設(shè)備對接時(shí)���,第一網(wǎng)絡(luò)設(shè)備接收到第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文后����,在由網(wǎng)絡(luò)地址�����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括該ARP報(bào)文中網(wǎng)絡(luò)地址和物理地址的記錄,并根據(jù)查找結(jié)果���,更新本地記錄和處理ARP報(bào)文��。這樣���,第一網(wǎng)絡(luò)設(shè)備可以構(gòu)造一個(gè)包括ID的ARP報(bào)文,然后通過ID來實(shí)現(xiàn)合法ARP請求報(bào)文與合法ARP應(yīng)答報(bào)文的一一對應(yīng)���,或者�����,通過ARP報(bào)文中第二網(wǎng)絡(luò)設(shè)備不能修改的IP來實(shí)現(xiàn)合法ARP請求報(bào)文與合法ARP應(yīng)答報(bào)文的一一對應(yīng)��,從而有效抵抗了目前網(wǎng)絡(luò)環(huán)境中存在的ARP攻擊����,并且提高了網(wǎng)絡(luò)的安全性���。并且�,還可以與現(xiàn)網(wǎng)中的網(wǎng)絡(luò)設(shè)備對接,使其具有向下兼容性����,保證了本發(fā)明實(shí)施例的實(shí)用性。上述說明示出并描述了本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,但如前所述,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式�,不應(yīng)看作是對其他實(shí)施例的排除,而可用于各種其他組合����、修改和環(huán)境��,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)����,通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動。而本領(lǐng)域人員所進(jìn)行的改動和變化不脫離本發(fā)明的精神和范圍����,則都應(yīng)在本發(fā)明所附權(quán)力要求的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種地址解析協(xié)議ARP報(bào)文處理的方法,其特征在于�����,包括: 第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文���,其中���,所述第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備都支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID ; 所述第一網(wǎng)絡(luò)設(shè)備在由網(wǎng)絡(luò)地址���、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址�、物理地址以及身份標(biāo)識ID的記錄��,并根據(jù)查找結(jié)果��,更新所述本地記錄和處理所述ARP報(bào)文�����。
2.按權(quán)利要求1所述的方法����,其特征在于��,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文時(shí)���,所述根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文包括: 在所述本地記錄中未查找到包括所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址��、源物理地址以及身份標(biāo)識ID的第一記錄時(shí)�����,所述第一網(wǎng)絡(luò)設(shè)備將由所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址�����、源物理地址以及身份標(biāo)識ID組成的第一記錄增加到所述本地記錄中�����,并轉(zhuǎn)發(fā)所述ARP請求報(bào)文�。
3.按權(quán)利要求1所述的方法����,其特征在于,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)�����,所述根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文包括: 在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第二記錄時(shí)�,所述第一網(wǎng)絡(luò)設(shè)備利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址和身份標(biāo)識ID刷新所述第二記錄��,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文���;或��, 在所述本地記錄未查找到所述第二記錄���,但在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中目的網(wǎng)絡(luò)地址、目的物理地址以及身份標(biāo)識ID的第三記錄時(shí)�,所述第一網(wǎng)絡(luò)設(shè)備利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址以及身份標(biāo)識ID組成所述第二記錄加入本地記錄中��,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文�����。
4.按權(quán)利要求1所述的方法�,其特征在于,該方法還包括: 第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文�,其中�,所述第一網(wǎng)絡(luò)設(shè)備支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID����,所述第二網(wǎng)絡(luò)設(shè)備不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID ; 所述第一網(wǎng)絡(luò)設(shè)備在由網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址的記錄�����,并根據(jù)查找結(jié)果���,更新所述本地記錄和處理所述ARP報(bào)文�����。
5.按權(quán)利要求4所述的方法����,其特征在于��,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文�����,所述根據(jù)查找結(jié)果��,更新所述本地記錄和處理所述ARP報(bào)文包括: 當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�,且未查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí),所述第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一的身份標(biāo)識ID的第一 ARP擴(kuò)展請求報(bào)文��,并根據(jù)所述ARP請求報(bào)文中的目的物理地址發(fā)送所述第一 ARP擴(kuò)展請求報(bào)文�����,以及將所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址與身份標(biāo)識ID組成第六記錄加入所述本地記錄中����; 當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄,且查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)�����,所述第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文���,并返回給所述第二網(wǎng)絡(luò)設(shè)備���;當(dāng)在所述本地記錄中查找到未查到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)�����,所述第一網(wǎng)絡(luò)設(shè)備構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文��,并返回給所述第二網(wǎng)絡(luò)設(shè)備��,以及將所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入所述本地記錄中�����。
6.按權(quán)利要求4所 述的方法�,其特征在于��,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文�,所述根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文包括: 當(dāng)在所述本地記錄查找到包括所述ARP應(yīng)答報(bào)文中目標(biāo)網(wǎng)絡(luò)地址����、目的物理地址以及身份標(biāo)識ID的第八記錄時(shí),所述第一網(wǎng)絡(luò)設(shè)備將所述ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第九記錄加入所述本地記錄中���,并處理所述ARP應(yīng)答報(bào)文��。
7.一種地址解析協(xié)議ARP報(bào)文處理的網(wǎng)絡(luò)設(shè)備���,其特征在于,包括: 接收單元����,用于接收由支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文; 查找單元��,用于在由網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址�、物理地址以及身份標(biāo)識ID的記錄; 處理單元��,用于根據(jù)查找結(jié)果�����,更新所述本地記錄和處理所述ARP報(bào)文�����。
8.按權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文時(shí)�,所述處理單元,具體用于在所述本地記錄中沒有查找到包括所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址�、源物理地址以及身份標(biāo)識ID的第一記錄時(shí),將由所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址����、源物理地址以及身份標(biāo)識ID組成的第一記錄增加到所述本地記錄中,并轉(zhuǎn)發(fā)所述ARP請求報(bào)文���。
9.按權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�,其特征在于���,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)�����,所述處理單元�,具體用于當(dāng)在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第二記錄時(shí)��,利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址����、源物理地址和身份標(biāo)識ID刷新所述第二記錄���,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文;或��, 在所述本地記錄未查找到所述第二記錄���,且在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中目的網(wǎng)絡(luò)地址、目的物理地址以及身份標(biāo)識ID的第三記錄時(shí)���,利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址��、源物理地址以及身份標(biāo)識ID組成所述第二記錄加入本地記錄中�,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文����。
10.按權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備,其特征在于�����, 所述接收單元��,還用于接收不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報(bào)文; 所述查找單元�����,還用于在由網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址�、物理地址的記錄。
11.按權(quán)利要求10所述的網(wǎng)絡(luò)設(shè)備����,其特征在于,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文時(shí)����, 所述處理單元,具體用于當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�����,且未查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)����,構(gòu)造包括唯一的身份標(biāo)識ID的第一 ARP擴(kuò)展請求報(bào)文,并根據(jù)所述ARP請求報(bào)文中的目的物理地址發(fā)送所述第一ARP擴(kuò)展請求報(bào)文����,以及將所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址與身份標(biāo)識ID組成第六記錄加入所述本地記錄中���;當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄,且查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)�����,構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文并返回��; 當(dāng)在所述本地記錄中查找到未查到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)���,構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文并返回,以及將所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入所述本地記錄中�。
12.按權(quán)利要求10所述的網(wǎng)絡(luò)設(shè)備,其特征在于��,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文�, 所述處理單元,具體用于當(dāng)在所述本地記錄查找到包括所述ARP應(yīng)答報(bào)文中目標(biāo)網(wǎng)絡(luò)地址���、目的物理地址以及身份標(biāo)識ID的第八記錄時(shí)��,將所述ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第九記錄加入所述本地記錄中��,并處理所述ARP應(yīng)答報(bào)文���。
13.一種地址解析協(xié)議ARP報(bào)文處理的系統(tǒng)�,其特征在于�����,包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備�����,其中�����, 所述第一網(wǎng)絡(luò)設(shè)備�,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文,并在由網(wǎng)絡(luò)地址���、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID的記錄�,并根據(jù)查找結(jié)果���,更新所述本地記錄和處理所述ARP報(bào)文����; 所述第二網(wǎng)絡(luò)設(shè)備,用于發(fā)送所述ARP報(bào)文給所述第一網(wǎng)絡(luò)設(shè)備����。
14.按權(quán)利要求13所述的系統(tǒng),其特征在于�,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文時(shí), 所述第一網(wǎng)絡(luò)設(shè)備����,具體用于在所述本地記錄中沒有查找到包括所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址����、源 物理地址以及身份標(biāo)識ID的第一記錄時(shí),所述第一網(wǎng)絡(luò)設(shè)備將由所述ARP請求報(bào)文中的源網(wǎng)絡(luò)地址�����、源物理地址以及身份標(biāo)識ID組成的第一記錄增加到所述本地記錄中����,并轉(zhuǎn)發(fā)所述ARP請求報(bào)文�����。
15.按權(quán)利要求13所述的系統(tǒng)�����,其特征在于��,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文時(shí)�, 所述第一網(wǎng)絡(luò)設(shè)備��,具體用于當(dāng)在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第二記錄時(shí)�,利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址和身份標(biāo)識ID刷新所述第二記錄�����,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文��;或�, 在所述本地記錄未查找到所述第二記錄,且在所述本地記錄中查找到包括所述ARP應(yīng)答報(bào)文中目的網(wǎng)絡(luò)地址��、目的物理地址以及身份標(biāo)識ID的第三記錄時(shí)��,利用所述ARP應(yīng)答報(bào)文中源網(wǎng)絡(luò)地址、源物理地址以及身份標(biāo)識ID組成所述第二記錄加入本地記錄中�����,并轉(zhuǎn)發(fā)所述ARP應(yīng)答報(bào)文���。
16.一種地址解析協(xié)議ARP報(bào)文處理的系統(tǒng)�����,其特征在于�,包括:支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第一網(wǎng)絡(luò)設(shè)備��,以及不支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID的第二網(wǎng)絡(luò)設(shè)備��,其中�, 所述第一網(wǎng)絡(luò)設(shè)備���,用于接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報(bào)文����,在由網(wǎng)絡(luò)地址����、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址�����、物理地址的記錄���,并根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文���; 所述第二網(wǎng)絡(luò)設(shè)備�����,用于發(fā)送所述ARP報(bào)文給所述第一網(wǎng)絡(luò)設(shè)備�����。
17.按權(quán)利要求16所述的系統(tǒng)��,其特征在于����,當(dāng)所述ARP報(bào)文為ARP請求報(bào)文時(shí),所述第一網(wǎng)絡(luò)設(shè)備����,具體用于當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄,且未查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí)��,構(gòu)造包括唯一的身份標(biāo)識ID的第一 ARP擴(kuò)展請求報(bào)文��,并根據(jù)所述ARP請求報(bào)文中的目的物理地址發(fā)送所述第一 ARP擴(kuò)展請求報(bào)文�,以及將所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址與身份標(biāo)識ID組成第六記錄加入所述本地記錄中; 當(dāng)在所述本地記錄中查找到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄�,且查到包括所述ARP請求報(bào)文中目標(biāo)網(wǎng)絡(luò)地址和目的物理地址的第五記錄時(shí),構(gòu)造包括唯一的身份標(biāo)識ID的ARP擴(kuò)展應(yīng)答報(bào)文����,并返回給所述第二網(wǎng)絡(luò)設(shè)備; 當(dāng)在所述本地記錄中查找到未查到包括所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址的第四記錄時(shí)�,構(gòu)造包括唯一的身份標(biāo)識ID的第二 ARP擴(kuò)展請求報(bào)文,并返回給所述第二網(wǎng)絡(luò)設(shè)備�����,以及將所述ARP請求報(bào)文中源網(wǎng)絡(luò)地址和源物理地址與身份標(biāo)識ID組成第七記錄加入所述本地記錄中�。
18.按權(quán)利要求16所述的系統(tǒng)����,其特征在于��,當(dāng)所述ARP報(bào)文為ARP應(yīng)答報(bào)文�����, 所述第一網(wǎng)絡(luò)設(shè)備���,具體用于當(dāng)在所述本地記錄查找到包括所述ARP應(yīng)答報(bào)文中目標(biāo)網(wǎng)絡(luò)地址、目的物理地址以及身份標(biāo)識ID的第八記錄時(shí)��,將所述ARP應(yīng)答報(bào)文中的源網(wǎng)絡(luò)地址和源物理地址與身份 標(biāo)識ID組成第九記錄加入所述本地記錄中�,并處理所述ARP應(yīng)答報(bào)文。
全文摘要
本發(fā)明公開了一種地址解析協(xié)議ARP報(bào)文處理方法�,網(wǎng)絡(luò)設(shè)備及系統(tǒng),用以提高基于ARP協(xié)議網(wǎng)絡(luò)的安全性�。該方法包括第一網(wǎng)絡(luò)設(shè)備接收第二網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文,其中��,所述第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備都支持在ARP協(xié)議的報(bào)文中擴(kuò)展身份標(biāo)識ID���;所述第一網(wǎng)絡(luò)設(shè)備在由網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID組成的本地記錄中查找包括所述ARP報(bào)文中網(wǎng)絡(luò)地址��、物理地址以及身份標(biāo)識ID的記錄�,并根據(jù)查找結(jié)果,更新所述本地記錄和處理所述ARP報(bào)文���。
文檔編號H04L29/12GK103095858SQ20111033538
公開日2013年5月8日 申請日期2011年10月28日 優(yōu)先權(quán)日2011年10月28日
發(fā)明者吳紅海, 羅小妮 申請人:中興通訊股份有限公司