一种联动对抗地址解析协议攻击的系统与路由器的制作方法

专利名称：一种联动对抗地址解析协议攻击的系统与路由器的制作方法
技术领域：
本实用新型关于网络安全领域，特别关于一种联动对抗ARP (Address Re solution Protocol:地址解析协议)攻击的系统与路由器。
背景技术：
ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中，将源IP、源MAC (Media Access Control:媒体接入控制)设为欺骗值或随机值以达到欺骗 其它主机的目的，包括只修改源IP、只修改源MAC、同时修改源IP和源MAC等 方法，达到阻断其它主机上网或充当其它主机的中间人的目的。
如1图所示，其中PC1为攻击主机，PC2为被冒充主机、PC4为被欺骗主机。 路由器的IP地址和MAC地址分别为IPO和MACO， PC1的IP地址和MAC地址分别为I P1和MAC1， PC2的IP地址和MAC地址分别为IP2和MAC2， PC4的IP地址和MAC地址 分别为IP4和MAC4。 PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1， 源IP为IP2。 PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改 为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之 间通讯不正常，这样PC1可以选择进行中间人攻击或阻断攻击。
针对目前ARP攻击的问题，现有技术中有两种解决方案配置静态ARP以 及在交换机上绑定端口、 IP和MAC。上述解决方法中，静态ARP绑定操作很繁 琐，需要在网关(路由器)和所有客户端(PC)上进行配置，配置工作量很 大，而且不灵活。在交换机上配置绑定端口、 IP和MAC是较好的解决办法，但 手工配置同样存在配置工作量大、不灵活的缺点，现有技术中，需要手工收 集正确的三元素映射关系，因通常交换机和主机的台数都很多，存在收集工 作量大的问题，而且如果主机换网卡或换交换机端口后还要再手工配置相应 的交换机，使用上很不灵活。

实用新型内容
本实用新型提供了一种联动对抗ARP攻击的系统与路由器，该系统包括路 由器，和路由器相连的交换机，交换机下的每一个端口连接多台主机。本实 用新型在路由器端生成三元素的映射关系(该三元素是指交换机端口、与
所述交换机口连接的所有主机的IP地址和MAC地址)，并通过路由器和交换机
的联动通信单元将该映射关系发给所述交换机，从而在交换机每个端口上完
成主机IP地址和MAC地址的绑定，有效地防止的了ARP攻击。
本实用新型实施例的目的在于提供了一种联动对抗ARP攻击的系统，所述 系统包括路由器以及与所述路由器连接的交换机，所述交换机包含多个端口， 每个端口连接多个主机，所述路由器包括与所述多个主机连接的半静态ARP 单元，生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交 换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静 态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映 射关系发送单元，将所述第一映射关系发送给所述交换机；所述交换机至少 包括交换机联动通信单元，所述交换机联动通信单元至少包括第一映射关 系接收单元，接收所述第一映射关系；三元素绑定单元，根据接收的所述第 一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和 MAC地址。
本实用新型另一实施例的目的在于提供一种路由器，所述路由器至少包
括与多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关
系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者 的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联 动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所 述交换机。
本实用新型的路由器能够自动生成三元素映射关系，并利用路由器和交 换机的联动通讯单元自动地把生成的三元素映射关系通知给交换机，交换机
的三元素绑定单元自动进行三元素绑定，解决了手工配置工作量大的问题。
并且，路由器的半静态ARP单元会根据ARP报文的变化自动更新三元素绑定映 射关系并通告给交换机三元素绑定单元，解决了主机换网卡或换交换机端口 后手工配置不灵活的问题。

图l为本实用新型实施例完整的网络体系架构； 图2为图1的一种逻辑网络体系架构；
图3为图1的另一种的逻辑网络体系架构；
图4为本实施例系统的原理结构图5为本实施例的三元素映射表；
图6为本实施例系统的细化结构图7为本实施例半静态ARP生成单元的细化结构图8为本实施例路由器ARP处理单元的细化结构图； 图8a为本实施例交换机电路图8b为本，实施例路由器电路图9为本实施例详细流程图。
具体实施方式
以下结合附图对本实用新型的具体实施方式
进行详细说明如下
图1-图3为本实施例的网络体系架构，其中图l是本实施例完整的网络体 系架构。本实施例中三元素绑定是配置在最接近主机(PC)的设备上，即图l
中的二层交换机，图l中的三层交换机只提供透明的数据通路，此时可以用图
3的逻辑网络体系架构来表示图1 。当图1中的二层交换机不具备三元素绑定功 能时，本实施例在图l中的三层交换机上实现三元素绑定，此时可以用图2的
逻辑网络体系架构来表示图l。
图4为本实施例联动对抗ARP攻击系统的原理结构图。如图所示，本实施 例的系统包括路由器40、交换机41和交换机下连的多个主机42 (图4中用一台主机来说明本实施例，实际网络架构参考图1-图3)，路由器40分别连接交换 机41和主机42。路由器40至少包括半静态ARP单元401和与其相连接的路由器 联动通信单元402，交换机41至少包括交换机联动通信单元411和三元素绑定 单元412。路由器的半静态ARP单元401和主机42相连，路由器联动通信单元40 2和交换机联动通信单元411相连。
半静态ARP单元401用于生成第一映射关系，该第一映射关系为交换机41 的端口、与交换机41端口连接的主机42的IP地址和主机42的區C地址这三者的 映射关系，图5以交换机包含三个端口、每个端口下连三台主机为例，显示了 由第一映射关系组成的三元素映射表的内容，实际映射表的规模取决于网络 的容量。路由器联动通信单元402和半静态ARP单元401连接，用于获取图5所 示的第一映射关系并将其发送给交换机41。交换机联动通信单元411接收该第 一映射关系，并将其传给三元素绑定单元412，三元素绑定单元412根据该第 一映射关系在交换机41的相应端口上绑定与该端口相连接的主机的IP地址和 MAC地址。
图6为本实施例系统的细化结构图。如图所示，路由器联动通信单元402 至少包括联动触发单元601，交换机联动通信单元至少包括联动准备单元611， 这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601，用 于向联动准备单元611发送联动触发报文，该联动触发报文为包含预设MAC地 址的二层报文，该二层报文的具体格式可依实际产品需要设置，只要交换机 和路由器之间能够进行协商即可。联动准备单元611，在收到联动准备触发之 后，识别该特殊的二层报文，为交换机41生成和路由器40通信的三层接口和 缺省的IP，该三层接口可以为SVI (Switch Virtual Interface:交换虚拟接 □)。
如图6所示，在一种较佳实施方式中，交换机联动通信单元411还包括第 二映射关系发送单元612，路由器联动通信单元402还包括第二映射关系接收 单元602。该第二映射关系是指交换机内预存的交换机端口以及与每个端口
连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将该第二映 射关系发给第二映射关系接收单元602;第二映射关系接收单元602，接收该 第二映射关系后，将其发给半静态ARP单元401。
如图6所示，半静态ARP单元401至少包含和主机ARP单元621连接的半静态 ARP生成单元631，以及和第二映射接收单元602连接的三元素映射单元632。 半静态ARP生成单元631通过和主机的ARP报文交互获取正确的主机IP地址和 MAC地址的映射关系，该映射关系称为第三映射关系。三元素映射单元632， 连接半静态ARP生成单元631和第二映射关系接收单元602，由于半静态ARP生 成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关 系)，而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与 该端口连接的主机MAC地址的映射关系)，三元素映射单元632就可以根据这 两种映射关系生成图5的列表所示的第一映射关系。
如图6所示，路由器联动通信单元402中还包含第一映射关系发送单元， 它和三元素映射单元632连接，用于获取第一映射关系，并将其发给交换机联 动通信单元的第一映射关系接收单元613，然后第一映射关系接收单元613将 该第一映射关系转发给三元素绑定单元412，从而在交换机端口上完成与该端 口连接的主机IP地址和主机MAC地址的绑定。
图7为半静态ARP生成单元的细化结构图。如图所示，半静态ARP生成单元 631至少包括连接主机42的路由器ARP数据单元701以及和路由器ARP数据单 元701连接的路由器ARP处理单元702。路由器ARP数据单元701在收到源主机的 ARP请求广播报文后，回发ARP请求广播报文以获取所述源主机的MAC地址，并 接收所述源主机的ARP应答报文。路由器ARP处理单元702判断如果在一预定时 间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时，则将 所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。
图8为路由器ARP处理单元702的细化结构图。如图所示，路由器ARP处理 单元702至少包括嫌疑主机检测单元801,用于分析路由器ARP数据单元701所
接收的ARP报文的特征及源主机的特征，并将满足以下条件的源MAC地址作为 嫌疑主机，分析所接收的地址解析协议报文的特征及源主机的特征，判断所 述源主机是否满足嫌疑主机的特征，并根据满足嫌疑主机特征的源主机的媒 体接入控制地址生成嫌疑主机列表，所述嫌疑主机的特征包括源MAC地址的 主机进行了ARP扫描；源MAC地址对应多个IP; ARP报文头的源MAC和报文中源 MAC不一致；路由器没有发出ARP请求却收到ARP应答；源主机的网卡处于混杂 模式。在一较佳实施方式中，路由器ARP数据单元701还包括免费ARP单元(图 中未示)，当完成三元素绑定之后，用于向全网的所有网络设备和主机发送 第一映射关系中对应主机和路由器的免费ARP。当有三层交换机时，网关指的 是三层交换机，当只有二层交换机时，网关为路由器本身。本实施例免费ARP 单元发送2种免费ARP报文路由器自身的免费ARP和已形成三元素绑定主机的 免费ARP，目的是让受欺骗的PC得到正确的网关(路由器)MAC和已确认正常P C的MAC。
图8a和图8b分别为本实施例交换机和路由器的电路图。如图8a所示，其 中三元素绑定结果存放在MAC模块，交换机联动通信单元以及交换机的其他单 元位于CPU中。如图8b所示，其中半静态ARP单元以及路由器联动通信单元位 于管理模块，其中半静态ARP表、嫌疑主机列表存储于SDRAM或FLASH中。路由 器以太口 (图8b中的MAC+PHY模块)口连接交换机的RJ45模块的某个端口，交 换机的RJ45模块的其它端口下连接多个主机。通过图8a和图8b的电路连接， 能够实现本实用新型采用路由器和交换机联动抗击ARP攻击的目的。
图8a中其他模块分别解释如下光电复用口PHY:光电复用物理接口； GT
端口PHY:电物理接口； SFP:小型可拔插光模块；LED:发光二极管指示灯；
2*411145*3个24个以太网端口。图8b中其他模块分别解释如下I2C:芯片 间串行总线；10/100/1000 MAC: 10M/100M/1000M自适应媒体接入控制器；10 /100 MAC: 10M/100M自适应媒体接入控制器；千兆PHY:千兆以太网物理接口； 百兆PHY:百兆以太网物理接口； 1*GE: l个千兆以太网端口； 1*FE: l个百兆
以太网端口。
图9为本实施例的详细流程图，该流程图的两个支路表示这两个支路的步
骤是独立进行的，步骤S914需要用到步骤S903的结果。以下结合图6-图8详细 说明本实施例联动抗击ARP攻击的工作原理
步骤S901，路由器与主机进行ARP报文交互。该交互工作由半静态ARP生 成单元631与主机ARP单元621完成。如图7所示，半静态ARP生成单元631至少 包括路由器ARP数据单元701和路由器ARP处理单元702，路由器ARP数据单元70 1在收到源主机的ARP请求广播报文后，回发ARP请求广播报文以获取所述源主 机的MAC地址，并接收所述源主机的ARP应答报文。
步骤S902,路由器生成嫌疑主机列表。如图8所示，路由器ARP处理单元 中至少包含有嫌疑主机检测单元801，分析所接收的ARP报文的特征及源主机 的特征，来确定嫌疑主机，并生成嫌疑主机列表。具体的检测原则详见对图8 的描述，此处不再重复。
步骤S903，路由器根据嫌疑主机列表生成第三映射关系。路由器ARP处理 单元702判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源M AC地址不是嫌疑主机时，则将所接收ARP应答报文的源IP地址和源MAC地址的
映射关系作为第三映射关系。
前三个步骤用于在路由器端生成三元素的映射关系，以下步骤用于路由 器和交换机之间联动抗击ARP攻击。
步骤S911，路由器向交换机发送联动触发报文。路由器联动通信单元402 至少包括联动触发单元601，交换机联动通信单元至少包括联动准备单元611， 这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601向联 动准备单元611发送联动触发报文，该联动触发报文为包含预设MAC地址的二 层报文，该二层报文的具体格式可依实际产品需要设置，只要交换机和路由 器之间能够进行协商即可。
步骤S912，交换机生成三层接口和缺省IP地址。联动准备单元611在收到
联动触发报文之后，识别该特殊的二层报文，为交换机41生成和路由器40通 信的三层接口和缺省的IP，该三层接口可以为SVI接口。
步骤S913，交换机向路由器发送第二映射关系。交换机联动通信单元411 还包括第二映射关系发送单元612，路由器联动通信单元402还包括第二映射 关系接收单元602。该第二映射关系是指交换机内预存的交换机端口以及与 每个端口连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将 该第二映射关系发给第二映射关系接收单元602;第二映射关系接收单元602， 接收该第二映射关系后，将其发给半静态ARP单元401。
步骤S914，路由器根据第二映射关系和第三映射关系生成第一映射关系。 半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元 631，以及和第二映射接收单元602连接的三元素映射单元632。三元素映射单 元632,连接半静态ARP生成单元631和第二映射关系接收单元602，由于半静 态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确 映射关系)，而第二映射关系接收单元602中包含有第二映射关系(交换机端 口和与该端口连接的主机MAC地址的映射关系)，三元素映射单元632就可以 根据这两种映射关系生成图5的列表所示的第一映射关系。
步骤S915，路由器将该第一映射关系发给交换机。路由器联动通信单元4 02中还包含第一映射关系发送单元，用于获取第一映射关系，并将其发给交 换机联动通信单元的第一映射关系接收单元613。
步骤S916，交换机根据该第一映射关系在其端口上进行三元素绑定。第 一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412，从而 在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
步骤S917，绑定成功后，路由器向全网的所有网络设备和主机发送免费A RP报文。包括2种免费ARP报文路由器自身的免费ARP和已形成三元素绑定主 机的免费ARP，目的是让受欺骗的PC得到正确的网关(路由器)MAC和已确认 正常PC的MAC。
以下根据图l-3所示的网络结构给出一个详细的路由器和交换机联动抗 击ARP攻击的实例。
1. 攻击主机PC1为进行攻击开始扫描整个网段，即PC1向本网段所有PC发 出ARP请求报文。
2. 路由器收到PC1大量的ARP请求报文后将PC1列入嫌疑主机列表。
3. PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1，源IP为IP2。
4. PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改为MAC 1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之间通 讯不正常。
5. 路由器收到PC1的ARP请求广播后，路由器回发ARP请求广播报文，PC1 向路由器发送ARP应答，路由器的半静态ARP单元判断30秒内IP1只有唯一的AR P应答，在半静态ARP表中生成PC1对应的三元素映射关系(根据IP1、 MAC1及 半静态ARP表中已有的交换机端口和MAC对应信息)。生成绑定关系后路由器 通知交换机进行三元素绑定，并向全网发送IP1的免费ARP广播和网关(三层 交换机)的免费ARP广播。
6. 路由器收到PC4的ARP请求广播后，路由器回发ARP请求广播报文， 一段 时间后路由器收到IP4的ARP应答(可能不唯一)，路由器的半静态ARP单元判 断PC4不在嫌疑主机列表中，在30秒后在半静态ARP表中生成PC4对应的三元素 映射关系。生成绑定关系后路由器通知交换机进行三元素绑定，并向全网的 所有网络设备和主机发送IP4的免费ARP广播和网关(三层交换机)的免费ARP广播。
7. PC2的三元素绑定工作过程同PC4。
8. 经过上述过程，在portl、 port2、 port4都自动完成了正确的三元素绑 定，PC1的ARP攻击报文已被阻断，PC2、 PC4的ARP表也由路由器发送的免费AR P修复，PC之间、PC和网关之间的通讯恢复正常。
以上具体实施方式
仅用于说明本实用新型，而非用于限定本实用新型。
权利要求1.一种联动对抗地址解析协议攻击的系统，所述系统包括路由器以及与所述路由器连接的交换机，所述交换机包含多个端口，每个端口连接多个主机，其特征在于，所述路由器至少包括与所述多个主机连接的半静态地址解析协议单元，生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系；连接所述半静态地址解析协议单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机；所述交换机至少包括交换机联动通信单元，所述交换机联动通信单元至少包括第一映射关系接收单元，接收所述第一映射关系；三元素绑定单元，根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和媒体接入控制地址。
2. 根据权利要求l所述联动对抗地址解析协议攻击的系统，其特征在于， 所述路由器联动通信单元还包括联动触发单元，向所述交换机的联动通信单元发送联动触发报文，所述联动触发报文为包含预设媒体接入控制地 址的二层报文；所述交换机联动通信单元还包括联动准备单元，在收到所述联动触发 报文之后，为所述交换机生成和所述路由器通信的三层接口和缺省的IP地址。
3. 根据权利要求2所述联动对抗地址解析协议攻击的系统，其特征在于， 所述交换机联动通信单元还包括第二映射关系发送单元，将所述交换机存储的第二映射关系发给所述路由器联动通信单元，所述第二映射关系为 所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关 系；所述路由器联动通信单元还包括第二映射关系接收单元，接收所述第 二映射关系，并将所述第二映射关系传给所述半静态地址解析协议单元； 所述半静态地址解析协议单元包括，连接多个主机的半静态地址解析协 议生成单元，生成第三映射关系，所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系；三元素映射单元，根据所述第二映 射关系和所述第三映射关系生成所述第一映射关系。
4. 根据权利要求3所述联动对抗地址解析协议攻击的系统，其特征在于，所述半静态地址解析协议生成单元包括连接所述主机的路由器地址解析协议数据单元，在收到源主机的地址解 析协议请求广播报文后，回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址，并接收所述源主机的地址解析协议应答报文；连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单 元，如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地 址解析协议报文的源媒体接入控制地址不是嫌疑主机时，则将所接收的主机 的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为 第三映射关系。
5. 根据权利要求4所述联动对抗地址解析协议攻击的系统，其特征在于， 所述路由器地址解析协议处理单元包括嫌疑主机检测单元，分析所接收的 地址解析协议报文的特征及源主机的特征，判断所述源主机是否满足嫌疑主 机的特征，并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑 主机列表，所述嫌疑主机的特征包括-所述源媒体接入控制地址的主机进行了地址解析协议扫描；或 所述源媒体接入控制地址对应多个IP地址；或所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控 制地址不一致；或所述路由器没有发出地址解析协议请求却收到地址解析协议应答；或 所述源主机的网卡处于混杂模式。
6. 根据权利要求4所述联动对抗地址解析协议攻击的系统，其特征在于，所述路由器地址解析协议数据单元还包括免费地址解析协议单元，向全网 的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址 解析协议报文。
7.—种路由器，其特征在于，所述路由器至少包括与多个主机连接的半静态地址解析协议单元，生成第一映射关系，所述 第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机媒 体接入控制地址这三者的映射关系；连接所述半静态地址解析协议单元的路由器联动通信单元，所述路由器 联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给 所述交换机。
8. 根据权利要求7所述的路由器，其特征在于，所述路由器联动通信单元还包括联动触发单元，向所述交换机发送联 动触发报文，所述联动触发报文为包含预设媒体接入控制地址的二层报文。
9. 根据权利要求8所述的路由器，其特征在于，所述路由器联动通信单元还包括第二映射关系接收单元，接收所述交 换机发送的第二映射关系，并将所述第二映射关系传给所述半静态地址解析 协议单元，所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系；所述半静态地址解析协议单元包括连接多个主机的半静态地址解析协 议生成单元，生成第三映射关系，所述第三映射关系为所述多个主机的IP地 址和媒体接入控制地址的正确映射关系；三元素映射单元，根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
10. 根据权利要求9所述的路由器，其特征在于，所述半静态地址解析协议生成单元包括连接所述主机的路由器地址解析协议数据单元，在收到源主机的地址解 析协议请求广播报文后，回发地址解析协议请求广播报文以获取所述源主机 的媒体接入控制地址，并接收所述源主机的地址解析协议应答报文；连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单 元，如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地 址解析协议报文的源媒体接入控制地址不是嫌疑主机时，则将所接收的主机 的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为 第三映射关系。
11. 根据权利要求10所述的路由器，其特征在于，所述路由器地址解析协议处理单元包括嫌疑主机检测单元，分析所接收的地址解析协议报文的特征及源主机的特征，判断所述源主机是否满足嫌疑主机的特征，并根据满足 嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表，所述嫌疑主机的特征包括所述源媒体接入控制地址的主机进行了地址解析协议扫描；或 所述源媒体接入控制地址对应多个IP地址；或所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控 制地址不一致；或所述路由器没有发出地址解析协议请求却收到地址解析协议应答；或 所述源主机的网卡处于混杂模式。
12. 根据权利要求10所述的路由器，其特征在于，所述路由器地址解析协 议数据单元还包括免费地址解析协议单元，向全网的所有网络设备和主机 发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
专利摘要本实用新型提供一种联动对抗ARP攻击的系统与路由器，该系统包括路由器以及与路由器连接的交换机，交换机包含多个端口，每个端口连接多个主机，路由器至少包括与多个主机连接的半静态ARP单元，生成第一映射关系，该第一映射关系为交换机端口、与交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接半静态ARP单元的路由器联动通信单元，该路由器联动通信单元用于将第一映射关系发送给交换机；交换机至少包括交换机联动通信单元，该交换机联动通信单元用于接收第一映射关系；三元素绑定单元，根据接收的第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。
文档编号H04L29/06GK201063651SQ20072015660
公开日2008年5月21日 申请日期2007年7月9日 优先权日2007年7月9日
发明者丁金生, 金 王, 胜 蔡 申请人:福建星网锐捷网络有限公司