專利名稱:防止arp報文攻擊的方法和路由設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別涉及一種防止地址解析協(xié)議(ARP)報文攻擊的方法和路由設備。
背景技術:
IP地址是主機在網(wǎng)絡層中的地址,如果要將網(wǎng)絡層中數(shù)據(jù)包傳送給目的主機,必須知道目的主機的MAC地址,因此必須將IP地址解析為MAC地址,ARP正是將IP地址解析為MAC地址的協(xié)議。如果發(fā)送方與目的方是同一網(wǎng)段,那么發(fā)送方就發(fā)送一個ARP請求報文,來請求目的MAC地址;如果發(fā)送方發(fā)送發(fā)與目的方不是同一網(wǎng)段,那么發(fā)送發(fā)就會發(fā)送一個ARP請求來請求網(wǎng)關的MAC地址。然而,由于ARP協(xié)議設計之初沒有考慮安全機制問題,因此,ARP協(xié)議是一個非常容易受攻擊的協(xié)議,在當前網(wǎng)絡技術中,網(wǎng)絡上基于ARP協(xié)議欺騙的網(wǎng)絡病毒和攻擊行為越來越猖獗。圖1為現(xiàn)有部署VRRP的監(jiān)控網(wǎng)絡的組網(wǎng)示意圖。如圖1所示,監(jiān)控網(wǎng)絡中包括編碼器1 (ECl)、EC2等多個EC,動態(tài)主機配置協(xié)議服務器(DHCPServer),DHCP中繼(Relay), 包含了一個主(Master)路由器和多個從(Slave)路由器的VRRP備份組。其中,EC獲取網(wǎng)關MAC的過程如下1、EC以廣播方式發(fā)送DHCP-DISC0VER報文以請求IP地址;2,DHCP Relay收到EC以廣播方式發(fā)送的DHCP-DISCOVER報文,將報文中的giaddr 字段填充為DHCP Relay的IP地址,并將報文單播轉發(fā)給指定的DHCP Sever ;3,DHCP Sever 接收到 DHCP Relay 轉發(fā)來的 EC 的 DHCP-DISCOVER 報文后,根據(jù) IP 地址分配的優(yōu)先次序選出一個IP地址,與其他參數(shù)一起通過DHCP-0FFER報文單播發(fā)送給 DHCP Relay,由DHCP Relay把該報文轉發(fā)給EC ;4,EC接受第一個收到的DHCP-0FFER報文,然后以廣播方式發(fā)送DHCP-REQUEST報文,該報文中包含DHCP Sever在DHCP-0FFER報文中分配的IP地址,進而由DHCP Relay轉發(fā)此報文到DHCP服務器;5,DHCP Sever收到EC發(fā)來的DHCP-REQUEST報文后,如果確認將地址分配給該EC, 則返回DHCP-ACK報文;否則返回DHCP-NAK報文,表明地址不能分配給該客戶端;6、EC獲取到IP地址后,發(fā)起ARP請求,請求解析網(wǎng)關IP地址的MAC地址;7、VRRP中的Master接收到EC發(fā)送的ARP請求后,根據(jù)負載均衡算法使用不同路由器的虛擬MAC地址應答ARP請求,如EC1發(fā)送ARP請求獲取網(wǎng)關MAC地址時,Master使用自己的虛擬MAC地址應答該請求;EC2發(fā)送ARP請求獲取網(wǎng)關MAC地址時,Master使用 Slave的虛擬MAC地址應答該請求。至此,即完成了現(xiàn)有部署了 VRRP的監(jiān)控網(wǎng)絡中EC獲取網(wǎng)關MAC地址的過程。然而,現(xiàn)有部署VRRP的監(jiān)控網(wǎng)絡中是通過ARP來獲取網(wǎng)關MAC地址的,因此,很容易出現(xiàn)由 ARP協(xié)議帶來的網(wǎng)絡病毒和攻擊行為,對監(jiān)控網(wǎng)絡造成影響。
發(fā)明內容
有鑒于此,本發(fā)明提供了一種防止ARP報文攻擊的方法,不僅能夠準確地獲取到網(wǎng)關MAC地址,而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡造成的影響。本發(fā)明還提供了一種防止ARP報文攻擊的路由設備,不僅能夠準確地獲取到網(wǎng)關 MAC地址,而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡造成的影響。為了達到上述目的,本發(fā)明提出的技術方案為一種防止地址解析協(xié)議ARP報文攻擊的方法,應用于部署有虛擬路由器冗余協(xié)議 VRRP備份組的監(jiān)控網(wǎng)絡中,該方法包括動態(tài)主機配置協(xié)議中繼DHCP Relay接收由編碼器EC發(fā)送的用于請求IP地址的 DHCP發(fā)現(xiàn)DISCOVER報文,將所述DHCP DISCOVER報文發(fā)送給DHCP服務器krver ;DHCP Relay接收由DHCP Server對所述DHCP DISCOVER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文;DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關接入訪問控制MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。所述DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬MAC 地址的Advertisement報文,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的Advertisement 報文中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。所述DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay根據(jù)所述網(wǎng)關IP地址構造免費ARP,將所述免費ARP發(fā)送給VRRP備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在 DHCP OFFER報文中發(fā)送給EC。所述DHCP Relay通過輪詢或加權的方式選取一個虛擬MAC地址。所述DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay根據(jù)所述DHCP OFFER報文中網(wǎng)關IP地址和為EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master 路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。該方法進一步包括EC根據(jù)接收到的網(wǎng)關IP地址和網(wǎng)關MAC地址生成ARP表項。一種防止地址解析協(xié)議ARP報文攻擊的路由設備,應用于部署有虛擬路由器冗余協(xié)議VRRP備份組的監(jiān)控網(wǎng)絡中,該路由設備包括發(fā)送單元,接收單元和獲取單元,其中,所述發(fā)送單元,用于接收由編碼器EC發(fā)送的用于請求IP地址的DHCP發(fā)現(xiàn) DISCOVER報文,將所述DHCP DISCOVER報文發(fā)送給DHCP服務器krver ;所述接收單元,用于接收由DHCP krver對所述發(fā)送單元發(fā)送的DHCPDISC0VER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文;
所述獲取單元,用于根據(jù)所述接收單元接收到的網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關接入訪問控制MAC地址,將所述獲取到的MAC地址攜帶在DHCP0FFER報文中發(fā)送給EC。所述獲取單元,用于偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬MAC地址的Advertisement報文,從所述接收單元接收到的網(wǎng)關IP地址對應的VRRP 備份組發(fā)送的Advertisement報文中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在 DHCP OFFER報文中發(fā)送給EC。所述獲取單元,用于根據(jù)所述接收單元接收到的網(wǎng)關IP地址構造免費ARPdfK 述免費ARP發(fā)送給VRRP備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址, 將所述虛擬MAC地址攜帶在DHCP0FFER報文中發(fā)送給EC。所述獲取單元,用于根據(jù)所述接收單元接收到的DHCP OFFER報文中網(wǎng)關IP地址和為EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在 DHCP OFFER報文中發(fā)送給EC。綜上所述,本發(fā)明所采用的防止ARP報文攻擊的方法和網(wǎng)絡設備,是通過當DHCP Relay接收到DHCP服務器對EC發(fā)送的DHCP DISCOVER報文的回應報文DHCP OFFER報文時,向具有對應IP地址的VRRP備份組獲取虛擬MAC地址,并將所述虛擬MAC地址作為網(wǎng)關 MAC地址攜帶在DHCP0FFER報文中發(fā)送給EC,從而使得EC可以根據(jù)DHCP報文中的網(wǎng)關IP 地址和網(wǎng)關MAC地址生成ARP表項,也就無需向網(wǎng)關發(fā)送ARP請求來獲取網(wǎng)關MAC地址。因此,本發(fā)明防止ARP報文攻擊的方法,不僅能夠準確地獲取到網(wǎng)關MAC地址,而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡造成的影響。
圖1為現(xiàn)有部署VRRP的監(jiān)控網(wǎng)絡的組網(wǎng)示意圖;圖2為本發(fā)明防止ARP報文攻擊方法的工作流程圖;圖3為本發(fā)明所采用的路由設備的結構示意圖。
具體實施例方式為了解決本發(fā)明提出的技術問題,本發(fā)明所述方案的具體實現(xiàn)包括DHCP Itelay接收由EC發(fā)送的用于請求IP地址的DHCP DISCOVER報文,將所述DHCP DISCOVER 報文發(fā)送給 DHCP Server ;DHCP Relay 接收由 DHCPServer 對所述 DHCP DISCOVER 報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文;DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面將結合附圖及具體實施例對本發(fā)明作進一步地詳細描述。圖2為本發(fā)明防止ARP報文攻擊方法的工作流程圖,該方法應用于部署有VRRP備份組的監(jiān)控網(wǎng)絡中,如圖2所示,該流程包括步驟201 =DHCP Relay接收由EC發(fā)送的用于請求IP地址的DHCPDISC0VER報文,將所述DHCP DISCOVER報文發(fā)送給DHCP Server0步驟202 =DHCP Relay接收由DHCP Server對所述DHCP DISCOVER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文。步驟203 =DHCP Relay根據(jù)所述DHCP OFFER報文中的網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址。需要說明的是,在本步驟中,所述DHCP Relay根據(jù)所述DHCP OFFER報文中的網(wǎng)關 IP地址獲取VRRP備份組的網(wǎng)關MAC地址可包括DHCP Relay偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬MAC 地址的Advertisement報文,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的Advertisement 報文中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC,或,DHCP Relay根據(jù)所述網(wǎng)關IP地址構造免費ARP,將所述免費ARP發(fā)送給VRRP 備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC,或,DHCP Relay根據(jù)所述DHCP OFFER報文中網(wǎng)關IP地址和為EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master 路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。其中,所述DHCP Relay通過輪詢或加權的方式選取一個虛擬MAC地址。下面舉例說明輪詢或加權的工作機制輪詢工作機制,假設有4個備選的虛擬MAC地址分別為A、B、C、D,第一個EC請求 MAC地址分配A出去,第二個EC請求MAC地址分配B出去,第三個EC請求MAC地址分配C 出去,依此類推;加權工作機制,仍然假設有4個備選的虛擬MAC地址分別為A、B、C、D,他們的權重分別為2、1、1、1,第一個EC請求MAC地址分配A出去,第二個EC請求MAC地址還是分配A 出去,第三個EC請求MAC地址分配B出去,第四個EC請求MAC地址分配C出去,依次以此類推,也即按照2 :1:1: 1的比例進行分配。步驟204:DHCP Relay將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給 EC。需要說明的是,所述獲取到的MAC地址被添加到DHCP OFFER報文中的保留字段中,從而通過DHCP OFFER報文發(fā)送給EC。當所述EC接收到DHCP OFFER報文時,EC就能夠根據(jù)接收到的DHCP0FFER報文中的網(wǎng)關IP地址和網(wǎng)關MAC地址生成ARP表項,也就無需EC再發(fā)送ARP請求獲取網(wǎng)關MAC 地址,也就避免了 ARP攻擊行為。至此,即完成了本發(fā)明防止ARP報文攻擊方法的整個工作流程?;谏鲜龇椒?,圖3給出了本發(fā)明所采用的路由設備的結構示意圖。如圖3所示, 該路由設備應用于部署有VRRP備份組的監(jiān)控網(wǎng)絡中,包括發(fā)送單元31,接收單元32和獲取單元33,其中,所述發(fā)送單元31,用于接收由EC發(fā)送的用于請求IP地址的DHCPDISCOVER報文, 將所述DHCP DISCOVER報文發(fā)送給DHCP Server ;
所述接收單元32,用于接收由DHCP krver對所述發(fā)送單元31發(fā)送的 DHCPDISCOVER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文;所述獲取單元33,用于根據(jù)所述接收單元32接收到的網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。進一步地,所述獲取單元,用于偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬MAC地址的Advertisement報文,從所述接收單元32接收到的網(wǎng)關IP地址對應的VRRP備份組發(fā)送的Advertisement報文中選取一個虛擬MAC地址,將所述虛擬MAC 地址攜帶在DHCP OFFER報文中發(fā)送給EC,或,所述獲取單元,用于根據(jù)所述接收單元32接收到的網(wǎng)關IP地址構造免費ARP, 將所述免費ARP發(fā)送給VRRP備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC 地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC,或,所述獲取單元,用于根據(jù)所述接收單元32接收到的DHCP OFFER報文中網(wǎng)關IP 地址和為EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。至此,即得到了本發(fā)明所采用的路由設備。圖3所述路由設備的具體工作流程可參見圖2,這里不再贅述??傊?,本發(fā)明所采用的防止ARP報文攻擊的方法和網(wǎng)絡設備,當DHCPRelay接收到 DHCP服務器對EC發(fā)送的DHCP DISCOVER報文的回應報文DHCP OFFER報文時,向具有對應 IP地址的VRRP備份組獲取虛擬MAC地址,并將所述虛擬MAC地址作為網(wǎng)關MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC,從而使得EC可以根據(jù)DHCP報文中的網(wǎng)關IP地址和網(wǎng)關 MAC地址生成ARP表項,也就無需向網(wǎng)關發(fā)送ARP請求來獲取網(wǎng)關MAC地址。因此,本發(fā)明防止ARP報文攻擊的方法,不僅能夠準確地獲取到網(wǎng)關MAC地址,而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡造成的影響。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發(fā)明保護的范圍之內。
權利要求
1.一種防止地址解析協(xié)議ARP報文攻擊的方法,應用于部署有虛擬路由器冗余協(xié)議 VRRP備份組的監(jiān)控網(wǎng)絡中,其特征在于,該方法包括動態(tài)主機配置協(xié)議中繼DHCP Relay接收由編碼器EC發(fā)送的用于請求IP地址的DHCP 發(fā)現(xiàn)DISCOVER報文,將所述DHCP DISCOVER報文發(fā)送給DHCP服務器krver ;DHCP Relay接收由DHCP Server對所述DHCP DISCOVER報文回應的包含為EC分配的 IP地址和網(wǎng)關IP地址的DHCP OFFER報文;DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關接入訪問控制MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。
2.根據(jù)權利要求1所述的方法,其特征在于,所述DHCPRelay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬MAC地址的Advertisement報文,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的Advertisement報文中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。
3.根據(jù)權利要求1所述的方法,其特征在于,所述DHCPRelay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay根據(jù)所述網(wǎng)關IP地址構造免費ARP,將所述免費ARP發(fā)送給VRRP備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在 DHCP OFFER報文中發(fā)送給EC。
4.根據(jù)權利要求2或3所述的方法,其特征在于,所述DHCPRelay通過輪詢或加權的方式選取一個虛擬MAC地址。
5.根據(jù)權利要求1所述的方法,其特征在于,所述DHCPRelay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC包括DHCP Relay根據(jù)所述DHCP OFFER報文中網(wǎng)關IP地址和為EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master 路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。
6.根據(jù)權利要求1至5中任一項所述的方法,其特征在于,該方法進一步包括EC根據(jù)接收到的網(wǎng)關IP地址和網(wǎng)關MAC地址生成ARP表項。
7.一種防止地址解析協(xié)議ARP報文攻擊的路由設備,應用于部署有虛擬路由器冗余協(xié)議VRRP備份組的監(jiān)控網(wǎng)絡中,其特征在于,該路由設備包括發(fā)送單元,接收單元和獲取單元,其中,所述發(fā)送單元,用于接收由編碼器EC發(fā)送的用于請求IP地址的DHCP發(fā)現(xiàn)DISCOVER 報文,將所述DHCP DISCOVER報文發(fā)送給DHCP服務器krver ;所述接收單元,用于接收由DHCP krver對所述發(fā)送單元發(fā)送的DHCPDISC0VER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCP OFFER報文;所述獲取單元,用于根據(jù)所述接收單元接收到的網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關接入訪問控制MAC地址,將所述獲取到的MAC地址攜帶在DHCP0FFER報文中發(fā)送給EC。
8.根據(jù)權利要求7所述的路由設備,其特征在于,所述獲取單元,用于偵聽VRRP備份組發(fā)送的包含該VRRP備份組里所有路由器的虛擬 MAC地址的Advertisement報文,從所述接收單元接收到的網(wǎng)關IP地址對應的VRRP備份組發(fā)送的Advertisement報文中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。
9.根據(jù)權利要求7所述的路由設備,其特征在于,所述獲取單元,用于根據(jù)所述接收單元接收到的網(wǎng)關IP地址構造免費ARP,將所述免費ARP發(fā)送給VRRP備份組,接收VRRP備份組發(fā)送的該備份組中路由器的虛擬MAC地址,從所述網(wǎng)關IP地址對應的VRRP備份組發(fā)送的虛擬MAC地址中選取一個虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP0FFER報文中發(fā)送給EC。
10.根據(jù)權利要求7所述的路由設備,其特征在于,所述獲取單元,用于根據(jù)所述接收單元接收到的DHCP OFFER報文中網(wǎng)關IP地址和為 EC分配的IP地址,向具有相應網(wǎng)關IP地址的VRRP備份組中的主Master路由器請求網(wǎng)關MAC地址,接收由Master路由器發(fā)送的虛擬MAC地址,將所述虛擬MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。
全文摘要
本發(fā)明提供了一種防止ARP報文攻擊方法,該方法包括DHCP Relay接收由EC發(fā)送的用于請求IP地址的DHCP DISCOVER報文,將所述DHCPDISCOVER報文發(fā)送給DHCP Server;DHCP Relay接收由DHCP Server對所述DHCP DISCOVER報文回應的包含為EC分配的IP地址和網(wǎng)關IP地址的DHCPOFFER報文;DHCP Relay根據(jù)所述網(wǎng)關IP地址獲取VRRP備份組的網(wǎng)關MAC地址,將所述獲取到的MAC地址攜帶在DHCP OFFER報文中發(fā)送給EC。本發(fā)明同時公開了一種防止ARP報文攻擊的路由設備,應用本發(fā)明所述的防止ARP報文攻擊的方法和路由設備,不僅能夠準確地獲取到網(wǎng)關MAC地址,而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡造成的影響。
文檔編號H04L29/06GK102420748SQ20111037530
公開日2012年4月18日 申請日期2011年11月23日 優(yōu)先權日2011年11月23日
發(fā)明者周迪, 王軍 申請人:杭州華三通信技術有限公司