Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD AND DEVICE FOR PREVENTING NETWORK ATTACKS
Document Type and Number:
WIPO Patent Application WO/2011/020254
Kind Code:
A1
Abstract:
The present invention relates to the field of communications and discloses a method for preventing network attacks. The method includes: receiving a message; when the received message is a first message, judging whether the source IP address and source MAC address carried by the first message exist in a first record table; if yes, obtaining a second message with the same source as that of the first message according to the first message; forwarding the second message to a CPU for processing. The method can not only effectively prevent network attacks, but also forward the message to the CPU for processing in the case that the legality of the message is determined, so as to enable that some applications that have to forward messages to the CPU for processing are supported. The present invention also discloses a device for preventing network attacks.

Inventors:
SONG XUAN (CN)
CHEN XU (CN)
JIANG SHENG (CN)
Application Number:
PCT/CN2009/074488
Publication Date:
February 24, 2011
Filing Date:
October 16, 2009
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
HUAWEI TECH CO LTD (CN)
SONG XUAN (CN)
CHEN XU (CN)
JIANG SHENG (CN)
International Classes:
H04L29/06
Foreign References:
CN101094236A2007-12-26
CN101170515A2008-04-30
CN101110821A2008-01-23
Other References:
See also references of EP 2469787A4
Download PDF:
Claims:
要 求

1、 同 的方法, 其特 在于, 所述方法 接收

所述接收到的 第 , 在第 汞 中是否 存在所述第 帶的 特同 P地址和 休接 控制 MAC地址信息

在第 汞 中存在第 攜帶的 P地址和 MAC地 址信息 , 所述第 , 得 所述第 同源的第二 , 將所述第二 上 中央 羊 PU 。

2、 要求 所述的方法, 其特 在于, 在第 汞 中不存在第 帶的 P地址和 MAC地址信息 , 所述 方法

在第二 汞 中是否存在所述第 帶的 P 地址 信息

在所述第二 汞 中存在所述第 帶的 P 地址信 息 , 將所述第 上送至 PU 。

3、 要求 或 2所述的方法, 其特 在于, 所述接收 到的 第三 , 所述方法

在所述第 汞 中是否存在所述第三 帶的 P 地址和 MAC地址信息

所述第 汞 中不存在所述第三 帶的 P 地址和 MAC地址信息 , 所述第三 , 生成 第

所述第 帶的目的 P地址信息 所述第三 帶的 P 地址信息相同。

4、 要求 或 2所述的方法, 其特 在于,

所述第 力地址解析 A P , 或 公告 NA , 或路由器公告 RA 所述第 A P , 所述第二 ARP 所述第 NA , 所述第二 NS 所述第 RA ,所述第二 路由器 RS 。

5、 要求3所述的方法, 其特 在于,

所述第 力地址解析 ARP , 或 公告 NA , 或路由器公告 RA

所述第 ARP , 所述第二 、 第三 以及第 ARP

第 NA , 第二 以及第 NS , 所述第三 NS 或 NA

所述第 RA , 所述第二 、 第三 以及 第 路由器 RS 。

5、 同 的裝置, 其特 在于, 所述裝置 接收 (700) , 于接收 接收到的 第 , 第 (710)

所述第 (710) , 于 在第 汞 中是否存 在上述第 帶的 特同 P 地址和 休接 控制 MAC地址 , 在第 汞 中存在第 帶的 P地址 和 MAC地址信息 , 第 上 (720)

所述第 上 (720) , 于根 所述第 得 所 述第 同源的第二 , 將所述第二 上 中央 羊 PU 。

6、 要求 5所述的裝置, 其特 在于, 在第 汞 中不存在第 帶的 P地址和 MAC地址信息 , 上述 第 (710)近 于 第二 (730)

所述第二 (730) , 于 在第二 汞 中是否存 在第 帶的 P地址信息 在第二 汞 中存在第

帶的 P地址信息 , 第二上 (740)

所述第二上 (740) , 于將所述第 上送至 PU 。

7、 要求 5或 6所述的裝置 其特 在于 所述接收 (700)接收到的 第三 , 所述接收 (700) 近 于 第三 (750)

所述第三 (750) , 于 在第 汞 中是否存 在第三 帶的 P地址和 MAC地址信息 第 汞 中不存在第三 帶的 P地址和 MAC地址信息 , 反向探測 (760)

所述反向探測 (760) , 于根 所述第三 , 生成 第 所述第 帶的目的 P地址信息 所述第三 帶的 P地址信息相同。

8、 要求5或 6所述的裝置, 其特 在于,

所述第 力地址解析 ARP , 或 公告 NA , 或路由器公告 RA

第 ARP , 第二 ARP 所述第 NA , 所述第二 NS 所述第 RA ,所述第二 路由器 RS 。

9、 要求 7所述的裝置, 其特 在于,

所述第 力地址解析 ARP , 或 公告 NA , 或路由器公告 RA

所述第 ARP , 所述第二 、 第三 以及第 ARP

所述第 NA , 所述第二 以及第

NS , 所述第三 NS 或 NA

所述第 RA , 所述第二 、 第三 以及 第 路由器 RS 。

Description:
的方法和裝置 木領域 本 涉及通信領域, 特別涉及 同 的方法和裝 置。 背景 木 在 v4 ( 特同 版本4, lnternet Protoco Verson 4) ARP(地址解析 , AddressResouton Protoco )是 神將 P地 址映射到 MAC( 休接 控制, MedaAccessContro )地址的 。 其基本功能就是通 林市 的 P地址, 查詢 林市 的 MAC地 址, 以 通信的順利 。

而在 Pv6 ( 特同 版本6, lnternetProtoco Verson6) , 則使用 NDP ( 居友 , NeghborDscoveryProtoco ) 自

路上的主和和路由器。 NDP是 Pv4某些 的功能在 Pv6中 綜合起未的升 和 , ARP的地址解析功能、 CM 同 控制 , nternet Contro Message Protoco ) 的路由器 和 定向等功能。

在 Pv4 , 由于沒有提供 和制, ARP很容易被 者利用, 使 各遭受 、欺騙等同 。伴隨看 Pv6同 的 ,在 Pv6 中的 NDP越未越 重視, 而 NDP本身 未提供 和制, 同 同 中的主和是不可信的。 同 , NDP 需要支持更多子同 地址 同, 且 地址 的連接 信息。 使 得 NDP的 更 危害 更大。

下面以 Pv4中的ARP , 羊介紹 的同

以及現有 木中的解決 。 . A P 者不 的 大量的 ARP 文和 ARP , 的 P地址, MAC地址, VLAN (

同, Vitua LocaAreaNetwor )等隨和 化。 的目的有 , 介是通 大量的 ARP 接收 (例 同 各) 的 ARP上送帶 , 常用戶的ARP 另外 介就是 接收方大量 的ARP , 將接收 的ARP 滿。

2. ARP 欺騙 者冒充 各向同 內的其 他主和 ARP , ARP 的 P地址 同 的 P地址, 而 ARP 的 MAC地址則 者自己的 MAC地址。 同 同 內其他主和接收到上述 者 的 ARP , 到 的 同 ARP , 同 同 內其他主和 同 各的數 將 的 送到 者。

3. ARP 用戶欺騙 者冒充同 同 內其他 常主和向 同 各 ARP , ARP 的 P地址是同 同 內其 他 常主和的 P地址, 但是 ARP 的 MAC地址則是 者 自己的 MAC地址或者是隨和封裝的 MAC地址。 同 各接收到上 述ARP , 到 的ARP , 同 各 往同 同 內其他 常主和的數 將 的 送到 者或者其他的地方。 而在NDP中,也 由于 似的同 ,造成 ( eghbor Cach ) 溢出, 而 各 理性能下降, 常 各。

了 上述同 行力 各造成損失, 現有 木中, 提供 了多 解決 。

例 , 在 現有 木中, 接收 收到 ARP 文 , 用 特 平面中 NP(同 理器, NetworkProcesso )的高速 能力, 直接在特 平面中 ARP ,不將 ARP 上 PU (中央 羊 , Centra Processor Unit)。 而 兔了 者 的大量ARP 上送至 PU, 造成ARP 。 但是, 在 本 的 中, 本 的 明 現有 木至 少存在以下 接收 接收到 于地址解析的 ( l , ARP ) , 均不上送至 PU , 而是在特 直接 。 于 些必須將 于地址解析的 上送至 PU 理的 , 例 ARP Proxy ( RP代理), QnQ (802. Q in 802. Q)等, 上述 木 支持。 內容 有 于此, 本 的 提供了以下 木 , 解決現有 木中 于 些必須將 于地址解析的 上送至 PU 理的 支持的 。

本 的 介 , 提供了 方法同 的方法, 接收

接收到的 第 , 在第 汞 中是否存在 第 帶的 特同 P地址和 休接 控制 MAC地 址信息

在第 汞 中存在第 帶的 P地址和 MAC地 址信息 , 第 , 得 第 同源的第二 , 將第二 上 中央 羊 PU 。

本 的另 介 ,提供了 同 的裝置, 接收 (700), 于接收 接收到的 第 , 第 (710)

第 (710), 于 在第 汞 中是否存在上述 第 帶的 特同 P地址和 休接 控制 MAC地址 信息 在第 汞 中存在第 帶的 P地址和 MAC 地址信息 , 第 上 ( 2 )

第 上 (720), 于根 第 得 第 同 源的第二 , 將第二 上 中央 羊 PU 。 用本 的 提供的方法和裝置,不 有效的 同 , 而且 在 合法性的情況下, 將 上送至 PU , 而 支持 些必須將 上送至 PU 理的 。 本 近公升了 同 的裝置。 說明 1 (a)力本 的 介 提供的 同 的方法 流程示意

1 (b)力本 的 介 提供的 同 的方 法流程示意

2力本 的另 介 提供的 同 的方法 流程示意

3力本 的 介 提供的 A P同 的方法 流程示意

4力本 的 介 提供的 ARP同 的方 法流程示意

5力本 的 介 提供的 NDP 同 的方 法流程示意

6 (a) 力本 的 介 提供的 NDP同 的方法流程示意

6 (b) 力本 的 介 提供的 NDP同 的方法流程示意

7力本 的 介 提供的 同 的裝置示意 8力本 的 介 提供的 同 的裝置示 意

9力本 的 介 提供的 同 的裝置 10力本 的 的 介 休

力本 的 的 介 休

12力本 的 的 介 休 。 休 方式 本 的 的目的、 木 及 更 清楚 , 以 下參照 , 本 的 步 細說明。

1 (a)所示, 1 (a) 力本 的 提供的 同 的方法流程示意 ,

0, 接收 , 接收的 第 , 執行110 在 Pv4中, 上述第 可以 ARP 。

在 Pv6 中, 上述第 可以 NA ( 公告, Neghbor Advertsemen ) , 或 RA(路由器公告, RouterAdvertsemen ) 等。

110, 在第 汞 中是否存在上述第 帶的 P地 址和 MAC地址信息

在本 的 中, 第 汞 中至少 首次 到的 P 地址以及 MAC地址等信息。 第 汞 , 就能 接收 到的第 是否力合法用戶 出的。

例 , 在 Pv4中, 首次 到的 P地址和 MAC地址可以 是首次接收到的ARP 帶的 P地址和 MAC地址。 在 Pv6中, 首次 到的 P地址和 MAC地址可以是首次接收到 的 NS ( , NeghborSoliCtato ) 或 RS (路由器 , RouterSo ctato ) 帶的 P地址和 MAC地址。

可 的, 第 汞 中近可以 首次 到的 V AN、 接口 等其他信息。

可 的, 第 汞 中近可以 上 信息, 例 , 上 信息可以是 某 介 汞 的第 是否已 上 PU , 若是, 可將上 信息 汞 S 否, 可將上 信 息 汞 S

可 的, 在 的 中, 第 汞 中的 , 可以是內存中 的 余 汞 或者,可以是 中的 余 汞 或者,可以是TCAM ( ernaryContentAddressabeMemory, 內容 存儲器) 中 的 余 汞。

在第 汞 中存在第 帶的 P地址和 MAC地址 信息 , 執行120

120, 第 得 第 同源的第二 , 將第二 上 PU ,其中,上述第二 上述第 同源, 即 第二 帶的 P地址 第 帶的 P地址相同, 第 二 帶的 MAC地址 第 帶的 MAC地址相同。

在 Pv4中, 上述第二 可以 A P 。

在 Pv6中, 上述第二 可以 NS , 或 RS 等。

在本 中, 在第 汞 中存在第 帶的 P地址 和 MAC地址信息 , 可以 第 是合法用戶所 出的, 此 , 將第二 上送到 PU 。

可 的, 在本 的 中, 可以將第 帶的 P地址 和 MAC地址 ,將第 帶的目的 P地址和目的 MAC地 址去掉, 特 第 的 , 得到 第 同源的第二 。

例 , 于 Pv4中的ARP , 也就是將ARP (第 )特 同源的 ARP (第二 ), 且上送核 ARP 到 PU 。

例 , 于 Pv6中的 NDP , 也就是將NA (第 )特 同源的 NS (第二 ), 上送核NS 到 PU 。 或者, 將RA (第 )特 同源的 RS , 上送核 RS 到 PU 。

然, 在 的 中, 不局限于 上述方式得到第二 , 的 中 有 介紹。

可 的, 1 (b)所示, 在本 的 中, 在第 汞 中不存在第 帶的 P地址和 MAC地址信息 , 執行 130

130, 在第二 汞 中是否存在第 帶的 P地址信 息

在本 的 中, 第二 汞 至少 首次 的 帶 的目的 P地址等信息 例 , 在 Pv4中, 首次 的 ARP

帶的目的 P地址。 在 Pv6中, 首次 的 NS 或 RS 帶的目的 P地址。

在 Pv4中, 上述第三 可以 ARP 。

在 Pv6中, 上述第三 可以 NS 或NA 或 RS 等。

可 的, 第二 汞 中近可以 上 信息, 例 , 上 信息可以是 某 介 汞 的第 是否已 上 PU , 若是, 可將上 信息 汞 S 否, 可將上 信 息 汞 S

可 的, 在 的 中, 第二 汞表的 , 可以是內存中的 余 汞 或者, 可以是 中的 余 汞 或者, 可以是TCA 中的 余 汞。

0, 在第二 汞 中存在第 帶的 P地址信息 , 將第 上送至 PU 。

可 的, 果第二 汞 了上 信息, 近可以在第二 汞 中存在第 帶的 P地址信息 , 上 信息 是 0近是S1。 S1, 則說明核 汞 的第 已 上 了,此 可以不再做任何 , 以 PU的 S , 則仍可執行 140中的 "將第 上 PU ", 然 , 將 上 信息 S .

2所示, 因 2力本 的另 介 提供的 同 的方法流程示意 , 方法

200, 接收

接收到的 第 我行210 220

在 Pv4中, 上述第 可以 ARP 。

在 Pv6中, 上述第 可以 NA , 或 RA 等。

210, 在第 汞 中是否存在上述第 帶的 P地 址和 MAC地址信息

由于在本 的 中, 第 汞 中至少 首次 到的 P地址以及 MAC地址 等信息。 因此 第 汞 , 就 能 接收到的第 是否力合法用戶 出的。

可 的, 第 汞 中近可以 首次 到的第 帶的 VLAN、 接口等其他信息。

可 的, 第 汞 中近可以 上 信息, 例 , 上 信息可以是 某 介 汞 的第 是否已 上 PU , 若是, 可將上 信息 汞 S 否, 可將上 信 息 汞 S

可 的, 在 的 中, 第 汞 中的 , 可以是內存中 的 余 汞 或者,可以是 中的 余 汞 或者,可以是TCAM ( ernaryContentAddressabeMemory, 內容 存儲器) 中 的 余 汞。

220, 在第 汞 中存在第 帶的 P地址和 MAC 地址信息 , 第 得第二 , 將第二 上 PU 其中, 第二 帶的 P地址 第 帶的 P 相同, 第二 帶的 MAC地址 第 帶的 MAC地 址相同

在 Pv4中, 上述第二 可以 ARP 等。

在 Pv6中, 上述第二 可以 NS , 或 RS 等。

在本 中, 在第 汞 中存在第 帶的 P地址 和 MAC地址信息 , 可以 第 是合法用戶所 出的, 此 , 將第二 上送到 PU 。

可 的, 在本 的 中, 可以將第 帶的 P地址 和 MAC地址 ,將第 帶的目的 P地址和目的 MAC地 址去掉, 特 第 的 , 得到第二 。

例 , 于 Pv4中的ARP , 也就是將ARP (第 )特 同源的 ARP (第二 ), 且上送核 ARP 到 PU 。

例 , 于 Pv6中的 NDP , 也就是將NA (第 )特 同源的 NS (第二 ), 上送核NS 到 PU 。或者,將RA (第 )特 同源的 RS (第 二 ), 上送核 RS 到 PU 。

可 的, 果第 汞 了上 信息, 近可以在第 汞 中存在第 帶的 P地址和 MAC地址信息 , 上 信息是 0近是S1。 S1, 則說明核 汞 的 第二 已 上 了,此 可以不再做任何 , 以 PU的

0, 則仍可執行220中的 "將第二 上 PU

", 然 , 將 上 信息 S

接收到的 第三 , 執行230 240

在 Pv4中, 上述第三 可以 ARP 。

在 Pv6中, 上述第三 可以 NS 或NA 或 RS 等。 230, 在第 汞 中是否存在第三 帶的 P地址和 MAC地址信息

240, 第 汞 中不存在第三 帶的 P地址和 MAC 地址信息 , 第三 , 生成 第

在 Pv4中, 上述第 可以 ARP 。

在 Pv6中, 上述第 可以 NS 或 RS 等。

在本 中,第 帶的目的 P地址 第三 帶的 P地址相同。

在本 的 中, 第 汞 中不存在第三 帶的 P地址和 MAC地址信息 , 第三 的合法性, 因此, 沒有直接將第三 上 PU , 而是生成 介反向 探測的 (第 ), 以 第三 合法性。

使得本 的 更 清楚, 下面以 v4中的 ARP , 的說明。

3所示, 因 3力本 的 介 提供的 ARP 同 的方法流程示意 , 方法

300, ARP

310, 接收ARP

在本 , 310中接收到的ARP , 300中 的 ARP 的接收方針 ARP 的 。

320, 在第 汞 中是否存在310中接收到的ARP

帶的 P地址和 MAC地址等信息

在第 汞 中存在 ARP 帶的 P地址和 MAC地址等信息 , 執行330

330, ARP 得 ARP 同源的ARP , 將 ARP 同源的ARP 上 PU 在本 中, 將 ARP 帶的 P地址和 MAC 地址 , 將 ARP 帶的目的 P地址和目的MAC地址 去掉, 將 特 , 得到 ARP 同源 的ARP 。

4所示, 因 4力本 的 介 提供的 ARP 同 的方法流程示意 , 方法

400 接收ARP

410, 在第 汞 中是否存在 ARP 帶的 P 地址和 MAC地址等信息

第 汞 中不存在 ARP 帶的 P地址和 MAC地址等信息 , 執行420

可 的, 第 汞 中存在 ARP 帶的 P地址 和 MAC地址等信息 , 說明在此 前已 收到 ARP

, 此 ARP 可以不做任何 。

420, ARP , 生成 反向探測 ARP

其中, 核反向探測 ARP 帶的目的 P地址 400中 接收到的 ARP 帶的 P地址相同

430, 接收反向探測ARP

本 中,核反向探測 ARP 上述反向探測ARP 的接收方針 上述反向探測ARP 的

440, 在第 汞 中是否存在核反向探測ARP

帶的 P地址和 MAC地址等信息

在第 汞 中存在核反向探測ARP 帶的 P地 址和 MAC地址等信息 , 執行450

450, 核反向探測 ARP 得 核反向探測 ARP 同源的ARP ,將 核反向探測ARP 同源 的ARP 上 PU 。 本 的 中,可以將核反向探測ARP 帶的 P 地址和 MAC地址 , 將核反向探測 ARP 帶的目的 P地址和目的 MAC地址去掉, 將 特 , 得到 核反向探測ARP 同源的ARP 。 上,此 核反向探測 ARP 同源的 ARP , 也可以 400中 接收到的ARP 。 例 , 在本 中, 近可以將400中接 收到的ARP 未 450中 在第 汞 中存 在核反向探測ARP 帶的 P地址和 MAC地址等信息 ,可以直接將 前 的400中接收到的ARP 上 PU 。

使得本 的 更 清楚,下面再以 Pv6中的 NDP , 的說明。

5所示, 因 5力本 的 介 提供的 NDP 同 的方法流程示意 , 方法

500, NS或 RS

510, 接收NA或 RA

在本 中, 510中接收到的 NA , 500中 的 NS 的接收方針 NS 的 510中接收到的 RA , 500中 的 RS 的接收方針 RS 的 。

520, 在第 汞 中是否存在510中接收到的 NA或 RA 帶的 P地址和 MAC地址等信息

在第 汞 中存在 NA或 RA 帶的 P地址和 MAC地址等信息 , 執行530

530, NA , 得 NA 同源的 NS , 將 NA 同源的 NS 上 PU 或 RA , 得 RA 同源的 RS , 將 RA 同源的 RS 上 PU 。 在本 中, 將NA或 RA 帶的 P地址和 MAC地 址 ,將 NA或 RA 帶的目的 P地址和目的 MAC地址去 掉, 將 特 , 得到 NA 同源的 NS , 或得到 RA 同源的 RS 。

6 (a)所示, 因 6 (a) 力本 的 介 提供的 NDP同 的方法流程示意 , 方法

600, 接收NS或 RS

610, 在第 汞 中是否存在 NS或 RS 帶的 lP 地址和 MAC地址等信息

第 汞 中不存在 NS或 RS 帶的 P地址和 MAC地址等信息 , 執行620

可 的, 第 汞 中存在 NS或 RS 帶的 P地址 和 MAC地址等信息 , 說明在此 前已 收到 NS或 RS , 此 NS或 RS 可以不做任何 。

620, NS , 生成 反向探測NS 其中, 核 反向探測 NS 帶的目的 P地址 600中接收到的 NS

帶的 P地址相同 或, RS , 生成 反向探測 RS 核反向探測 RS 帶的目的 P地址 600中接收到的 RS 帶的 P地址相同。

630, 接收反向探測NA或 RA

本 中, 核反向探測 NA 上述反向探測 NS 的接 收方針 上述反向探測NS 的 核反向探測 RA 上述 反向探測 RS 的接收方針 上述反向探測 RS 的 。

640, 在第 汞 中是否存在核反向探測NA或 RA 帶的 P地址和 MAC地址等信息

在第 汞 中存在核反向探測NA或 RA 帶的 P地 址和 MAC地址等信息 , 執行650 650, 核反向探測NA 得 核反向探測NA 同源的 NS ,將 核反向探測NA 同源的 NS 上 PU 或 核反向探測 RA 得 核反向探測 RA 同源 的 RS ,將 核反向探測 RA 同源的 RS 上 PU 。

本 的 中, 可以將核反向探測 NA或 RA 帶的 P地址和 MAC地址 , 將核反向探測NA或 RA 帶的目 的 P地址和目的 MAC地址去掉, 將 特 , 得到 核反向探測NA 同源的 NS , 或者得到 核反向探測 RA 同源的 RS 。 上, 此 核反向探測 NA或 RA 同源的 NS或 RS ,也可以 600中接收到的 NS或 RS 。 例 , 在本 中, 近可以將600中接收到的 NS或 RS

未, 650中 在第 汞 中存在核反向探測NA或 RA 帶的 P地址和 MAC地址等信息 , 可以直接將 前 的 600中接收到的 NS或 RS 上 PU 。

6 (b)所示, 因 6 (b) 力本 的 介 提供的 NDP同 的方法流程示意 , 方法

660, 接收NA

665, 在第 汞 中是否存在 NA 帶的 P地址 和 MAC地址等信息

第 汞 中不存在 NA 帶的 P地址和 MAC地 址等信息 , 執行670

可 的, 第 汞 中存在 NA 帶的 P地址和 MAC地址等信息 , 說明在此 前已 收到 NA , 此

NA 可以不做任何 。

670, NA , 生成 反向探測NS 其中, 核 反向探測 NS 帶的目的 P地址 660中接收到的 NA 帶的 P地址相同。

675, 接收反向探測NA

本 中, 核反向探測 NA 上 反向探測 NS 的接 收方針 上 反向探測NS 的 。

680, 在第 汞 中是否存在核反向探測NA 帶的 P地址和 MAC地址等信息

在第 汞 中存在核反向探測NA 攜帶的 P地址和 MAC地址等信息 , 執行685

685, 核反向探測NA 得 660中接收到的 NA , 將660中接收到的 NA 上 PU 。

休的, 在本 中, 可以將660中接收到的 NA

未, 680中 在第 汞 中存在核反向探測NA 帶的 P地址和 MAC地址等信息 , 可以直接將 前 的 660中 接收到的 NA 上 PU 。

1 (a) 6 (b)所示的 提供的方法, 不 有效的 ARP NDP等同 , 而且 在 合法性的 情況下, 將 上送至 PU , 而 支持 些必須將 上送至 PU 理的 。

本 的 介 近提供了 同 的裝置, 7 所示, 裝置

接收 700, 于接收 接收到的 第 , 第 710

在 Pv4中, 上 第 可以 ARP 。

在 Pv6中, 上 第 可以 NA , 或 RA 等。

第 710, 于 在第 汞 中是否存在上 第 帶的 P地址和 MAC地址信息 在第 汞 中存在 第 帶的 P地址和 MAC地址信息 , 第 上 720

在本 的 中, 第 汞 中至少 首次 到的 P 地址以及 MAC地址等信息。 第 汞 , 就能 接收 到的第 是否力合法用戶 出的。

可 的, 第 汞 中近可以 首次 到的 AN、 接口 等其他信息。

可 的 第 汞 中近可以包括上 信息, 例 , 上 信息可以是 某 介 汞 的第 是否已 上 PU , 若是, 可將上 信息 汞 S 否, 可將上 信 息 汞 S

可 的, 在 的 中, 第 汞 中的 , 可以是內存中 的 余 汞 或者,可以是 中的 余 汞 或者,可以是TCA 中的 余 汞。

第 上 720, 于根 第 得 第 同源的 第二 , 將第二 上 PU 其中, 第二 第 同源, 即 第二 帶的 P地址 第 帶的 P地 址相同, 第二 帶的 MAC地址 第 帶的 MAC地 址相同。

在 Pv4中, 上 第二 可以 ARP 。

在 Pv6中, 上 第二 可以 NS , 或 RS 等。

可 的, 上 裝置近可以 第二 730和第二上

740。 在第 汞 中不存在第 帶的 P地址和 MAC 地址信息 , 上 第 710近 于 第二 730 8所示

第二 730, 于 在第二 汞 中是否存在第 帶的 P地址信息 在第二 汞 中存在第 帶的 P 地址信息 , 第二上 740 在本 的 中, 第二 汞 至少 首次 的 帶 的目的 P地址

在 Pv4中, 上述第三 可以 ARP 。

在 Pv6中, 上述第三 可以 NS 或NA 或 RS 等。

可 的, 第二 汞 中近可以 上 信息, 例 , 上 信息可以是 某 介 汞 的第 是否已 上 PU , 若是, 可將上 信息 汞 S 否, 可將上 信 息 汞 S

可 的, 在 的 中, 第二 汞表的 , 可以是內存中的 余 汞 或者, 可以是 中的 余 汞 或者, 可以是TCA 中的 余 汞。

第二上 740, 于將第 上送至 PU 。 可 的, 上述裝置近可以 第三 750和反向探測 760。 接收 700接收到的 第三 ,上述接收 700 近 于 第三 750, 9所示

第三 750, 于 在第 汞 中是否存在第三 帶的 P地址和 MAC地址信息 第 汞 中不存在第三 帶的 P地址和 MAC地址信息 , 反向探測 760 在 Pv4中, 上述第三 可以 ARP 等。

在 Pv6中, 上述第三 可以 NS 或NA 或 RS 等。

反向探測 760, 于根 第三 , 生成 第

在 Pv4中, 上述第 可以 ARP 。

在 Pv6中, 上述第 可以 NS 或 RS 等。

在本 的本 中,第 帶的目的 P地址 第三 帶的 P地址相同。 9所示的 提供的裝置,不 有效的 ARP NDP 等同 , 而且 在 合法性的情況下, 將 上送至 PU , 而 支持 些必須將 上送至 PU 理的 。

力更好的說明本 提供的方法和裝置, 下面結合 休的 , 的說明。 10所示, 在本 中, 同 各首次接收到 A 的ARP 。 同 各接收到 ARP 文 ,可以將 ARP 帶的 P地址、 MAC地址等信息 汞下未 , 形成第 汞 (以下 T ), 或者在已有的 T 中增 ARP 帶的 P地址 MAC地址等信息。在本 中, 同 各將 ARP 帶的 P地址、 MAC地址以及 V AN等信息 汞下未, 增 到 T 中。

同 , 在本 中, 同 各接收到 ARP 文 , 沒 有將 ARP 直接上送至 PU , 而是 ARP 介反向探測的 ARP , 送核反向探測的 ARP 。 其中, 核反向探測的 ARP 帶的目的 lP 地址 接收到的ARP 帶的 P地址相同。

可 的, 在本 中, 同 各近可以將 的反向探測的ARP 帶的目的 P地址 汞下未, 形成第二 汞 (以下 T2 )或增 至已有的T2 中。

「 A接收到同 各 的反向探測的 ARP , 向同 各 介ARP 。

同 各接收到 ARP , ARP 帶 的 P地址和 MAC地址, 在T 中是否存在 ARP

帶的 P地址和 MAC地址等信息, 果存在, 則說明 前同 各收到的 A P 是合法用戶 出的, 神情況下, 同 各 ARP 文重新 同源的ARP ,例 , 可以將 ARP 帶的 P地址和 MAC地址 , 將 ARP 帶的目的 P地址和目的 MAC地址去掉, 將

特 , 重新得到 介ARP , 將 重新得 到的ARP 上送至 PU 。

各的 PU 上 的ARP ARP 的規定, 向用戶 A 介ARP 。

此 ,既 了 ARP 的合法性, 了同 各的 PU 不受到非法ARP 的 將合法的ARP 上送至 PU , 支持了 些必須將ARP 上送至 PU 理 的 。

然, 在本 中, 果在T 中不存在 ARP 帶 的 P地址和 MAC地址等信息, , 有多神可能, 例 , 可 能 前同 各接收到的 ARP 不是 的 A 的,而是 者 的ARP ,因此,同 各在接收到ARP 汞下的 P地址是用「 A的 p地址, 而 汞下的 MAC地址則是 者的 MAC地址。

同 各 反向探測ARP (反向探測的ARP 帶的目的 P地址 接收到的 ARP 帶的 P地 址相同 ), 「 A 自然 介 ARP 。 此 , 同 各 接收到的ARP 帶的 P地址和 MAC地址均力 A 的 P地址和MAC地址, 自然 T 中 汞的 A的 P地址、 者的 MAC" 不匹配。

此 , 可 的, 可以 步的 在T2 中是否存在 ARP 帶的 P地址 , 果存在, 則至少說明, ARP 的 , 接收到了同 各 出的ARP ,此 , 也可以 A p 的 是合法的。 因此, 也可以將 ARp 上送至 pu 。

所示, 在本 中, 同 各 ARp , 取用「 B的 MAc地址。

可 的,在本 中, 同 各將 的ARp 帶的目 的 p地址 汞下未 形成T2 或增 至已有T2 中。 「 B收到上述同 各 的 ARp , 向 同 各 介ARp 。

同 各接收到 「 B 的ARp , ARp 帶的 p地址和 MAc地址, 在已有的T 中是否 存在 ARp 帶的 p地址和 MAc地址等信息, 果 存在,則說明 前同 各至少收到 未自 用戶的ARp , 可以 用戶是合法的, 神情況下, 同 各 ARp 文重新 同源的ARp , 將 重新 的ARp 上送至 pu 。

同 各的 pu 上 的ARp , ARp 的規定, 向 B 介ARp 。

但是,在本 中,是同 各 的ARp ,因此, 中, 同 各很有可能沒有收到 未自 用戶的 ARp 。 神情況下, 在 T 中就不存在 ARp 帶的 P地址和 MAc地址等信息。 此 , 可以 步的 在T2 中 是否存在 ARp 帶的 p地址等信息, 果存在, 則至 少說明, ARp 的 , 接收到了同 各 出的 ARp , 此 , 也可以 ARp 的 是合法 的。 因此, 也可以將 ARp 上送至 pu 。 12所示, 在本 中, 路由器 R首次接收到 C 的 NS/RS 。 路由器R核NS/RS , 不直接將 NS/RS 上 PU , 而是將NS/RS 帶的 P地址, MAC 地址等信息 汞下未 , 形成第 汞 (以下 T ), 或者在 已有的T 中增 NS/RS 帶的 P地址 MAC地址 等信息。 在本 中, 路由器R將 NS/RS 帶的 P地址、 MAC地址以及 接口等信息 汞下未 增 到T 中。

在本 中, 路由器 R根 接收到的 NS/RS , 造反向探 測NS/RS , 其中, 核反向探測的 NS 帶的目的 P地址 接收到的 NS 帶的 P地址相同 核反向探測的 RS 帶的目的 P地址 接收到的 RS 帶的 P地址相同。

可 的,在本 ,路由器R近可以將 的反向探測的NS/RS 帶的目的 P地址 汞下未, 形成第二 汞 (以下 T2 ) 或增 至已有的T2 中。 「 C接收到路由器 R友 的反向探測的 NS/RS , 向 路由器R 介NA/RA 。

路由器R接收到 NA/RA , NA/RA 帶的 P地址和 MAC地址, 在T 中是否存在 NA/RA 帶 的 P地址和 MAC地址等信息, 果存在,則說明 前路由器R 收到的 NS/RS 是合法用戶 出的, 神情況下, 路由器 R 根 NA/RA 文重新 同源的 NS/RS , 例 , 可以將 NA/RA 帶的 P地址和 MAC地址 ,將 NA/RA 帶的目的 P地址和目的 MAC地址去掉, 將 特

,重新得到 介NS/RS , 將 重新得到的 NS/RS 上送至 PU 。

路由器R的 PU 上 的ARP , NDP 的規定, 向 「 C 介NA/RA 。 以上的 方式的描述, 本領域的普通 木 可以清楚 , 然也可以 硬件未 。 于 的理解, 本 的 木方案可以以軟件 的形式休現出未, 軟件 可以存 儲在存儲 中, ROM/RAM、 磁碟、 等, 若干指令用以 使得 台 各、 或者服各 、 或者其他同 各執行本 各 或者 的某些部分所述的方法。

以上伏力本 的較佳 , 非 于限定本 的 固。 凡在本 的精神和原則 內,所作的任何修 、等同替換、 等, 包含在本 的 固 內。