[发明专利]一种网络中防止地址冲突检测欺骗的方法

权利要求书

1.一种网络中防止地址冲突检测欺骗的方法，其包括以下步骤：

A、运行监控子模块用于侦听以太网链路内各个端口，二层设备随时监控本链路上的所有邻居通告消息，并统计每个消息来源的源端口；当侦听发现端口的邻居通告消息数量超过所设定的门限值，则判断该端口可能异常，调用模拟地址冲突检测子模块对该端口分支中是否存在恶意节点进行验证；所述模拟地址冲突检测子模块针对可能异常的端口分支发送模拟地址冲突检测报文，如果该分支返回了与模拟地址冲突检测报文相应的邻居通告消息，则判定存在恶意节点，端口异常；

B、调用防御子模块，针对模拟地址冲突检测子模块判断的异常端口，执行对该异常端口的半关闭动作直至端口正常，所述半关闭动作包括：只允许从二层设备往异常端口发数据包，禁止异常端口发出的数据包扩散至链路的其他分支。

2.根据权利要求1所述的方法，其特征在于，所述步骤A中所述监控子模块的侦听过程还包括：

A1、监控来自于链路上的邻居通告消息；

A2、统计邻居通告消息的源端口。

3.根据权利要求1所述的方法，其特征在于，所述步骤A中的监控子模块、模拟地址冲突检测子模块和防御子模块中还包含二层设备。

4.根据权利要求2所述的方法，其特征在于，所述步骤A1还包括：

A11、接收来自本链路上的所有数据包；

A12、判断所述数据包类型是否属于邻居通告消息，是则转步骤A2，否则转步骤A11。

5.根据权利要求4所述的方法，其特征在于，所述步骤A2还包括：

A21、将所收到邻居通告消息的源端口相应统计量计数器加1；

A22、判断所述统计量是否超过设定的门限值，是则转步骤A23，否则转步骤A11；

A23、复位所述统计量计数器，返回该端口可能异常。

6.根据权利要求1所述的方法，其特征在于，所述步骤A还包括：

A1’、生成一个地址冲突检测报文，并从所述可能异常端口发送出该报文；

A2’、等待是否收到相应的邻居通告消息，是则返回端口异常，否则返回端口正常。

7.根据权利要求6所述的方法，其特征在于，所述步骤A1’中所述地址冲突检测报文中的目标地址随机且合法。

8.根据权利要求7所述的方法，其特征在于，所述步骤A2’中在返回端口异常后还包括：

A3’、判断是否还设置有精确判定程序，是则转步骤A4’否则返回端口异常；

A4’、重复一次步骤A1’和步骤A2’的处理，并且所述地址冲突检测报文中的目标地址非法。

9.根据权利要求1所述的方法，其特征在于，所述步骤B之后还包括：

C1、调用模拟地址冲突检测子模块检测该端口是否正常，是则转步骤C3，否则转步骤C2；

C2、等待超过预定时间后转步骤C1；

C3、解除半关闭状态，恢复端口正常。