專利名稱:地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域�����,尤其涉及一種地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器。
背景技術(shù):
地址解析協(xié)議(ARP�,Address Resolution Protocol)是傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP,Transmission Control Protocol/Internet Protocol)協(xié)議棧中較低層的協(xié)議之一��,其作用是實(shí)現(xiàn)IP地址到以太網(wǎng)物理地址��,即媒體接入控制(MAC���,Media Access Control)地址的轉(zhuǎn)換��。
以太網(wǎng)設(shè)備之間的通信是使用MAC地址來(lái)尋址的��,而基于TCP/IP的各種應(yīng)用是以IP地址來(lái)尋址的�,基于IP地址尋址的各種數(shù)據(jù)包最終都需要封裝在基于MAC地址尋址的以太網(wǎng)幀內(nèi)進(jìn)行傳輸����。因此,以太網(wǎng)設(shè)備在進(jìn)行IP通信之前�����,都需要通過(guò)協(xié)議從對(duì)端的IP地址解析出對(duì)端的MAC地址�����,完成這一解析過(guò)程的協(xié)議就是ARP協(xié)議。
為了加快地址轉(zhuǎn)換速度�,網(wǎng)絡(luò)設(shè)備在實(shí)現(xiàn)ARP協(xié)議時(shí)都會(huì)用到ARP緩存技術(shù),在本地通過(guò)表結(jié)構(gòu)來(lái)緩存一定數(shù)量的地址映射關(guān)系�,這張表通常叫做ARP表。
但是在現(xiàn)有網(wǎng)絡(luò)中通常會(huì)存在基于ARP的網(wǎng)絡(luò)攻擊行為����,從攻擊原理區(qū)分����,ARP攻擊一般有以下兩個(gè)方面1、地址欺騙通過(guò)發(fā)送具有錯(cuò)誤地址映射關(guān)系的ARP請(qǐng)求或ARP響應(yīng)報(bào)文來(lái)篡改主機(jī)或網(wǎng)關(guān)的ARP表��,使網(wǎng)關(guān)或主機(jī)將報(bào)文發(fā)送到錯(cuò)誤的物理地址從而達(dá)到攻擊目的���。
2�、ARP DoS攻擊一般針對(duì)網(wǎng)關(guān)設(shè)備(如路由器或交換機(jī))進(jìn)行���。由于ARP報(bào)文一般在設(shè)備的控制平面進(jìn)行處理���,控制平面一般采用通用CPU作為處理引擎。通用CPU的特點(diǎn)是可以進(jìn)行復(fù)雜的處理但性能有限,過(guò)多的處理任務(wù)會(huì)使控制平面的CPU不堪重負(fù)甚至崩潰���。ARP DoS攻擊就是利用這個(gè)原理���,向網(wǎng)關(guān)設(shè)備發(fā)送大流量ARP報(bào)文,使設(shè)備的控制平面極度繁忙而無(wú)法處理正常的ARP報(bào)文���,從而達(dá)到攻擊目的���。
現(xiàn)有技術(shù)中一種ARP報(bào)文處理方法為首先在轉(zhuǎn)發(fā)平面中對(duì)ARP報(bào)文的IP地址進(jìn)行檢查,不合法的ARP報(bào)文被丟棄���。
IP地址檢查主要包括1�、目的IP地址檢查��。檢查目的IP地址是否是網(wǎng)關(guān)所在網(wǎng)段的IP地址���,如果不是該報(bào)文將被丟棄����。
2���、源IP地址檢查�。檢查源IP地址是否是“確認(rèn)合法”的IP地址。這里的“確認(rèn)合法”是指該IP地址已經(jīng)在ARP表項(xiàng)中存在�,對(duì)于這類報(bào)文給予較高的上送優(yōu)先級(jí),對(duì)于其它ARP報(bào)文以低優(yōu)先級(jí)上送�。
但上述技術(shù)不能應(yīng)對(duì)來(lái)自使用合法IP地址的攻擊。攻擊報(bào)文通常偽造合法的IP地址或者在整個(gè)網(wǎng)段內(nèi)采用源地址掃描攻擊�����,源�、目的IP地址是合法IP地址的可能性很大��,因此��,該方案不能有效防止使用合法IP地址的ARP攻擊���。
為了克服上一方案的缺陷�����,現(xiàn)有技術(shù)中另一種ARP報(bào)文處理方法為利用轉(zhuǎn)發(fā)平面中網(wǎng)絡(luò)處理器的高速處理能力���,直接在轉(zhuǎn)發(fā)平面中回應(yīng)ARP請(qǐng)求報(bào)文。
由于ARP報(bào)文分為ARP請(qǐng)求報(bào)文和ARP響應(yīng)報(bào)文兩種,而上述方案只解決了ARP請(qǐng)求報(bào)文的問題��;不能解決使用ARP響應(yīng)報(bào)文進(jìn)行大流量攻擊的問題�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例要解決的技術(shù)問題是提供一種地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器���,能夠有效的防御利用ARP報(bào)文發(fā)起的網(wǎng)絡(luò)攻擊�����。
本發(fā)明實(shí)施例提供的地址解析協(xié)議報(bào)文處理方法�����,包括轉(zhuǎn)發(fā)平面處理器判斷接收到的地址解析協(xié)議報(bào)文的類型�;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文���,則查詢本地配置的地址解析協(xié)議表���,若在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),則直接對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)����;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文���,則查詢本地配置的地址解析協(xié)議表,若在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)�����,則判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)�����,若為允許上報(bào)��,則將所述地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器��,若在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)���,則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文。
本發(fā)明實(shí)施例提供的通訊系統(tǒng)���,包括外部設(shè)備�,用于發(fā)送地址解析協(xié)議請(qǐng)求報(bào)文以及地址解析協(xié)議響應(yīng)報(bào)文�;轉(zhuǎn)發(fā)平面處理器��,用于判斷接收到的地址解析協(xié)議報(bào)文的類型��;在所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)�����,查詢本地配置的地址解析協(xié)議表���,并根據(jù)在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)���;在所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí)�����,查詢本地配置的地址解析協(xié)議表����,并根據(jù)在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)����,判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào),若為允許上報(bào)����,則上報(bào)所述地址解析協(xié)議響應(yīng)報(bào)文�,若在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)����,則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文;控制平面處理器�����,用于接收所述轉(zhuǎn)發(fā)平面處理器上報(bào)的地址解析協(xié)議請(qǐng)求報(bào)文或地址解析協(xié)議響應(yīng)報(bào)文��。
本發(fā)明實(shí)施例提供的轉(zhuǎn)發(fā)平面處理器�,包括判斷單元,用于判斷接收到的地址解析協(xié)議報(bào)文的類型�����;第一查詢單元�����,用于當(dāng)所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表��;回應(yīng)處理單元�����,用于當(dāng)在所述表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)����,對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng);第二查詢單元���,用于當(dāng)所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表���;丟棄處理單元,用于當(dāng)在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)��,丟棄所述地址解析協(xié)議響應(yīng)報(bào)文�。
從以上技術(shù)方案可以看出,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)
本發(fā)明實(shí)施例中����,由轉(zhuǎn)發(fā)平面處理器直接對(duì)接收到的ARP請(qǐng)求報(bào)文進(jìn)行回應(yīng),而不根據(jù)該ARP請(qǐng)求報(bào)文生成ARP表項(xiàng)�,所以防止了使用ARP請(qǐng)求報(bào)文對(duì)網(wǎng)關(guān)設(shè)備ARP表進(jìn)行地址欺騙的可能,另外當(dāng)接收到ARP響應(yīng)報(bào)文時(shí)��,轉(zhuǎn)發(fā)平面處理器只上報(bào)ARP表中允許上報(bào)的ARP響應(yīng)報(bào)文���,所以能夠有效的防范采用大量ARP響應(yīng)報(bào)文進(jìn)行攻擊的可能��。
圖1為本發(fā)明實(shí)施例中ARP報(bào)文處理方法實(shí)施例流程圖����;圖2為本發(fā)明實(shí)施例中ARP請(qǐng)求報(bào)文處理流程示意圖;圖3為本發(fā)明實(shí)施例中ARP響應(yīng)報(bào)文處理流程示意圖��;圖4為本發(fā)明實(shí)施例中通訊系統(tǒng)實(shí)施例示意圖�;圖5為本發(fā)明實(shí)施例中轉(zhuǎn)發(fā)平面處理器實(shí)施例示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了一種地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器��,用于防御利用ARP報(bào)文發(fā)起的網(wǎng)絡(luò)攻擊���。
請(qǐng)參閱圖1��,本發(fā)明實(shí)施例中ARP報(bào)文處理方法實(shí)施例包括101�����、接收ARP報(bào)文���;轉(zhuǎn)發(fā)平面處理器接收外部設(shè)備發(fā)送的ARP報(bào)文�����。
其中,高端數(shù)據(jù)通信設(shè)備(如高端路由器和交換機(jī))通常將設(shè)備分為三個(gè)相對(duì)獨(dú)立的平面控制平面����、轉(zhuǎn)發(fā)平面以及管理平面。
控制平面一般采用通用CPU作為處理引擎�,完成各種復(fù)雜的協(xié)議(如路由協(xié)議等)處理;轉(zhuǎn)發(fā)平面主要完成高速數(shù)據(jù)轉(zhuǎn)發(fā)處理��;管理平面主要完成各種網(wǎng)管��、命令行�����、日志�、告警等,一般有專門的管理通道���。
本實(shí)施例中�����,轉(zhuǎn)發(fā)平面處理器可以為單核或多核CPU����,網(wǎng)絡(luò)處理器,或者專用集成電路處理器及以上所述器件工作需要的外圍器件如RAM���、TCAM����、FLASH等組成的處理系統(tǒng)����。
102、判斷ARP報(bào)文的類型�����,若為ARP請(qǐng)求報(bào)文�,則執(zhí)行步驟103,若為ARP響應(yīng)報(bào)文����,則執(zhí)行步驟107;具體的判斷ARP報(bào)文的類型的步驟為現(xiàn)有技術(shù)����,此處不再贅述���。
103���、查詢ARP表�����;根據(jù)獲取到的ARP請(qǐng)求報(bào)文查詢轉(zhuǎn)發(fā)平面處理器中保存的ARP表��。
本實(shí)施例中����,轉(zhuǎn)發(fā)平面處理器中保存的ARP表可以由控制平面處理器下發(fā)����,也可以直接在轉(zhuǎn)發(fā)平面處理器中配置。
本實(shí)施例中��,ARP表的表項(xiàng)中含有網(wǎng)關(guān)接口IP地址與MAC地址的對(duì)應(yīng)關(guān)系(當(dāng)接口上使能VRRP時(shí)����,需要根據(jù)VRRP的狀態(tài)變化維護(hù)該表項(xiàng))。
在ARP表項(xiàng)中設(shè)立標(biāo)志位,指示該表項(xiàng)是否屬于網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)��。
104�����、判斷在ARP表中是否存在與獲取到的ARP請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)���,若存在���,則執(zhí)行步驟105,若不存在���,則執(zhí)行步驟106���;具體的判斷方式將在后面的實(shí)施例中詳細(xì)描述。
105��、回應(yīng)ARP請(qǐng)求報(bào)文����;若在ARP表中查詢到了與獲取到的ARP請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),則轉(zhuǎn)發(fā)平面處理器回應(yīng)該ARP請(qǐng)求報(bào)文����,具體的回應(yīng)方式將在后面的實(shí)施例中詳細(xì)描述�����。
106��、執(zhí)行其他處理��;若在ARP表中未查詢到與獲取到的ARP請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),則執(zhí)行其他的處理流程����,具體的其他處理流程將在后續(xù)實(shí)施例中詳細(xì)描述。
107���、查詢ARP表����;根據(jù)獲取到的ARP響應(yīng)報(bào)文查詢轉(zhuǎn)發(fā)平面處理器中保存的ARP表���。
本實(shí)施例中�����,轉(zhuǎn)發(fā)平面處理器中保存的ARP表可以由控制平面處理器下發(fā)���,也可以直接在轉(zhuǎn)發(fā)平面處理器中配置�。
108����、判斷在ARP表中是否存在與獲取到的ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng),若存在�,則執(zhí)行步驟109,若不存在���,則執(zhí)行步驟112�����;109����、判斷對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)����,若為允許上報(bào),則執(zhí)行步驟110���,若為不允許上報(bào)��,則執(zhí)行步驟111����;110、上報(bào)ARP響應(yīng)報(bào)文��;當(dāng)該ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)為允許上報(bào)時(shí)�����,轉(zhuǎn)發(fā)平面處理器將該ARP響應(yīng)報(bào)文上報(bào)至控制平面處理器�����。
11 1��、執(zhí)行其他處理����;當(dāng)該ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)為不允許上報(bào)時(shí)�,則執(zhí)行其他的處理流程,具體的其他處理流程將在后續(xù)實(shí)施例中詳細(xì)描述����。
112����、丟棄ARP響應(yīng)報(bào)文�。
當(dāng)在ARP表中不存在對(duì)獲得的ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí),丟棄該ARP響應(yīng)報(bào)文�����。
上述實(shí)施例中���,由轉(zhuǎn)發(fā)平面處理器直接對(duì)接收到的ARP請(qǐng)求報(bào)文進(jìn)行回應(yīng)����,而不根據(jù)該ARP請(qǐng)求報(bào)文生成ARP表項(xiàng)����,所以防止了使用ARP請(qǐng)求報(bào)文對(duì)網(wǎng)關(guān)設(shè)備ARP表進(jìn)行地址欺騙的可能,另外當(dāng)接收到ARP響應(yīng)報(bào)文時(shí)���,轉(zhuǎn)發(fā)平面處理器只上報(bào)ARP表中允許上報(bào)的ARP響應(yīng)報(bào)文��,所以能夠有效的防范采用大量ARP響應(yīng)報(bào)文進(jìn)行攻擊的可能���。
下面根據(jù)ARP報(bào)文的類型分別說(shuō)明具體的報(bào)文處理方式一��、ARP請(qǐng)求報(bào)文的處理請(qǐng)參閱圖2��,為本發(fā)明實(shí)施例中ARP請(qǐng)求報(bào)文的處理流程�����,包括201����、接收ARP請(qǐng)求報(bào)文�����;轉(zhuǎn)發(fā)平面處理器接收外部設(shè)備發(fā)送的ARP請(qǐng)求報(bào)文����。
202���、過(guò)濾源MAC地址為非單播的ARP請(qǐng)求報(bào)文�����;具體的過(guò)濾手段為現(xiàn)有技術(shù)���,此處不再贅述���。
203、查詢ARP表���;
從接收到的ARP請(qǐng)求報(bào)文中獲取端口號(hào)����,虛擬局域網(wǎng)標(biāo)識(shí)以及目的IP地址等參數(shù)���,并根據(jù)獲得的參數(shù)查詢轉(zhuǎn)發(fā)平面處理器本地保存的ARP表��。
204�、判斷在ARP表中是否存在與獲取到的ARP請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)����,若存在,則執(zhí)行步驟205�����,若不存在,則執(zhí)行步驟208���;205�����、判斷ARP請(qǐng)求報(bào)文是否為網(wǎng)關(guān)ARP請(qǐng)求報(bào)文或代理ARP請(qǐng)求報(bào)文����,若是�,則執(zhí)行步驟206,若否��,則執(zhí)行步驟207����;判斷的方式為查詢對(duì)應(yīng)表項(xiàng)中有關(guān)“網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)”的標(biāo)識(shí)位實(shí)現(xiàn)。
206���、回應(yīng)ARP請(qǐng)求報(bào)文;若ARP請(qǐng)求報(bào)文為網(wǎng)關(guān)ARP請(qǐng)求報(bào)文或代理ARP請(qǐng)求報(bào)文����,則轉(zhuǎn)發(fā)平面處理器向外部設(shè)備回應(yīng)該ARP請(qǐng)求報(bào)文��,具體的回應(yīng)方式為編輯該ARP請(qǐng)求報(bào)文�����,使之成為ARP響應(yīng)報(bào)文或者創(chuàng)建新的ARP響應(yīng)報(bào)文��,響應(yīng)報(bào)文中的源MAC地址使用該ARP表項(xiàng)中的MAC地址����。將編輯完成的ARP響應(yīng)報(bào)文或者是創(chuàng)建得到的新的ARP響應(yīng)報(bào)文直接從ARP表項(xiàng)中指定的端口發(fā)出��。
本實(shí)施例中����,在轉(zhuǎn)發(fā)平面處理器回應(yīng)ARP請(qǐng)求報(bào)文的過(guò)程中,并不根據(jù)ARP請(qǐng)求報(bào)文中的源IP/MAC地址生成ARP表項(xiàng)���,即對(duì)ARP請(qǐng)求報(bào)文進(jìn)行無(wú)狀態(tài)處理��。
207��、丟棄ARP請(qǐng)求報(bào)文����;將接收到的ARP請(qǐng)求報(bào)文丟棄。
208��、判斷接收該ARP請(qǐng)求報(bào)文的接口是否使能代理ARP功能�����,若使能���,則執(zhí)行步驟209����,若未使能�,則執(zhí)行步驟207;209��、對(duì)ARP請(qǐng)求報(bào)文進(jìn)行限速后上報(bào)�。
若接收該ARP請(qǐng)求報(bào)文的接口使能代理ARP功能,則轉(zhuǎn)發(fā)平面處理器對(duì)該ARP請(qǐng)求報(bào)文進(jìn)行限速��,限速之后上報(bào)控制平面處理器�����。
本實(shí)施例中��,判斷ARP請(qǐng)求報(bào)文是否為網(wǎng)關(guān)ARP請(qǐng)求報(bào)文或代理ARP請(qǐng)求報(bào)文的方法還可以通過(guò)查詢轉(zhuǎn)發(fā)表或者是其他包含此類信息的表實(shí)現(xiàn)�����,具體流程與上述實(shí)施例中類似����。
本實(shí)施例中,步驟209中����,轉(zhuǎn)發(fā)平面處理器對(duì)接收到的ARP請(qǐng)求報(bào)文進(jìn)行限速并上報(bào)控制平面處理器之后,控制平面處理器處理該代理ARP���,處理完成后����,可根據(jù)配置將代理ARP表項(xiàng)下發(fā)至轉(zhuǎn)發(fā)平面處理器����,代理ARP表項(xiàng)中的MAC地址為網(wǎng)關(guān)的MAC地址,后續(xù)收到該代理ARP表項(xiàng)對(duì)應(yīng)的ARP請(qǐng)求報(bào)文時(shí)����,便可由轉(zhuǎn)發(fā)平面處理器直接處理��,不需要再上送給控制平面處理器���,從而加快處理速度,增強(qiáng)在使能代理ARP功能的情況下防范ARP請(qǐng)求攻擊的能力�。
本實(shí)施例中,由于在轉(zhuǎn)發(fā)平面處理器回應(yīng)ARP請(qǐng)求報(bào)文的過(guò)程中����,并不根據(jù)ARP請(qǐng)求報(bào)文中的源IP/MAC地址生成ARP表項(xiàng),所以有效地防范了采用ARP請(qǐng)求報(bào)文進(jìn)行MAC地址欺騙的ARP攻擊���。
二���、ARP響應(yīng)報(bào)文的處理請(qǐng)參閱圖3,為本發(fā)明實(shí)施例中ARP響應(yīng)報(bào)文的處理流程�,包括301、接收ARP響應(yīng)報(bào)文���;轉(zhuǎn)發(fā)平面處理器接收外部設(shè)備發(fā)送的ARP響應(yīng)報(bào)文����。
302、查詢ARP表��;從接收到的ARP響應(yīng)報(bào)文中獲取源IP地址����,并根據(jù)獲得的源IP地址查詢轉(zhuǎn)發(fā)平面處理器本地保存的ARP表���。
303�、判斷在ARP表中是否存在與獲取到的ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)����,若存在,則執(zhí)行步驟304��,若不存在��,則執(zhí)行步驟307�;304、判斷ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)�,若是,則執(zhí)行步驟305�����,若否,則執(zhí)行步驟306或步驟307��;305��、上報(bào)ARP響應(yīng)報(bào)文����;當(dāng)ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)為允許上報(bào)時(shí),則轉(zhuǎn)發(fā)平面處理器向控制平面處理器上報(bào)該ARP響應(yīng)報(bào)文�����。
本實(shí)施例中��,轉(zhuǎn)發(fā)平面處理器向控制平面處理器上報(bào)ARP響應(yīng)報(bào)文之后�����,控制平面處理器處理完該ARP響應(yīng)報(bào)文后����,將該ARP響應(yīng)報(bào)文在轉(zhuǎn)發(fā)平面處理器中的ARP表中對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)修改為不允許上報(bào)。
306���、限速后上報(bào)�;根據(jù)預(yù)置的處理規(guī)則對(duì)該ARP響應(yīng)報(bào)文進(jìn)行限速處理,將限速后的ARP響應(yīng)報(bào)文上報(bào)至控制平面處理器�。
307、丟棄ARP響應(yīng)報(bào)文��。
本實(shí)施例中�,步驟304中,在表項(xiàng)中上報(bào)參數(shù)為不允許上報(bào)的情況下��,步驟306與步驟307可以根據(jù)預(yù)置的處理規(guī)則進(jìn)行選擇執(zhí)行���,例如正常情況下,設(shè)備的MAC地址不會(huì)頻繁變化���,因此�,可以選擇丟棄策略���,但對(duì)于需要頻繁改變?cè)O(shè)備MAC地址的特殊應(yīng)用的情況下��,可以選擇限速策略����。需要說(shuō)明的是���,選擇丟棄策略對(duì)于防止地址欺騙攻擊的效果比選擇限速策略的效果會(huì)更加好�,因此,除非特別需要�,在大多數(shù)情況下建議選擇丟棄策略。
本實(shí)施例中��,選擇限速或丟棄策略的方法可以通過(guò)查詢相關(guān)表實(shí)現(xiàn)�,具體的表的類型不作限定。
下面介紹本發(fā)明實(shí)施例中的裝置實(shí)施例請(qǐng)參閱圖4����,本發(fā)明實(shí)施例中通訊系統(tǒng)實(shí)施例包括外部設(shè)備401,用于發(fā)送地址解析協(xié)議請(qǐng)求報(bào)文以及地址解析協(xié)議響應(yīng)報(bào)文��;轉(zhuǎn)發(fā)平面處理器402���,用于判斷接收到的地址解析協(xié)議報(bào)文的類型�;在地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)�,查詢本地配置的地址解析協(xié)議表,并根據(jù)在地址解析協(xié)議表中查詢到地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)����,對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng);在地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí),查詢本地配置的地址解析協(xié)議表�����,并根據(jù)在地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)�����,判斷表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)�,若為允許上報(bào),則上報(bào)所述地址解析協(xié)議響應(yīng)報(bào)文��,若在表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)�,則丟棄地址解析協(xié)議響應(yīng)報(bào)文;控制平面處理器403�����,用于接收轉(zhuǎn)發(fā)平面處理器402上報(bào)的地址解析協(xié)議請(qǐng)求報(bào)文或地址解析協(xié)議響應(yīng)報(bào)文��。
請(qǐng)參閱圖5���,本發(fā)明實(shí)施例中轉(zhuǎn)發(fā)平面處理器實(shí)施例包括判斷單元501,用于判斷接收到的地址解析協(xié)議報(bào)文的類型��;第一查詢單元502,用于當(dāng)?shù)刂方馕鰠f(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表��;回應(yīng)處理單元503����,用于當(dāng)在表中查詢到地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)�;第二查詢單元504,用于當(dāng)?shù)刂方馕鰠f(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表���;丟棄處理單元506����,用于當(dāng)在表中未查詢到地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)����,丟棄地址解析協(xié)議響應(yīng)報(bào)文;限速單元509���,用于對(duì)地址解析協(xié)議報(bào)文進(jìn)行限速后上報(bào)至控制平面處理器�;接口判斷單元508���,用于當(dāng)?shù)刂方馕鰠f(xié)議表中未查詢到接收到的地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)�����,判斷接收地址解析協(xié)議請(qǐng)求報(bào)文的接口是否使能代理地址解析協(xié)議功能�����,若使能���,則通知限速單元對(duì)所述報(bào)文進(jìn)行限速上報(bào)�����;若未使能�����,則通知所得胡丟棄處理單元丟棄地址解析協(xié)議請(qǐng)求報(bào)文����;校驗(yàn)單元505�����,用于當(dāng)在表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)���,判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)��;上報(bào)單元507�,用于當(dāng)表項(xiàng)中的上報(bào)參數(shù)為允許上報(bào)時(shí)�,將地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器。
可以理解的是�,本實(shí)施例中執(zhí)行類似功能的單元在實(shí)際應(yīng)用中可以合并為同一個(gè)單元,例如第一查詢單元502以及第二查詢單元504可以集成實(shí)現(xiàn)��。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成�����,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí),包括如下步驟轉(zhuǎn)發(fā)平面處理器判斷接收到的地址解析協(xié)議報(bào)文的類型�;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文,則查詢本地配置的地址解析協(xié)議表�����,若在所述表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)���,則直接對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)����;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文,則查詢本地配置的地址解析協(xié)議表�,若在所述表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng),則判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)�����,若為允許上報(bào)����,則將所述地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器,若在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)���,則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文����。
上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器����,磁盤或光盤等。
以上對(duì)本發(fā)明所提供的一種地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器進(jìn)行了詳細(xì)介紹���,對(duì)于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明實(shí)施例的思想�����,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述����,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1.一種地址解析協(xié)議報(bào)文處理方法��,其特征在于����,包括轉(zhuǎn)發(fā)平面處理器判斷接收到的地址解析協(xié)議報(bào)文的類型;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文��,則查詢本地配置的地址解析協(xié)議表�,若在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),則直接對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)���;若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文��,則查詢本地配置的地址解析協(xié)議表����,若在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng),則判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)�,若為允許上報(bào),則將所述地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器���,若在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)����,則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文���。
2.根據(jù)權(quán)利要求1所述的地址解析協(xié)議報(bào)文處理方法�,其特征在于�����,若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文��,且在所述地址解析協(xié)議表中未查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng),則判斷接收所述地址解析協(xié)議請(qǐng)求報(bào)文的接口是否使能代理地址解析協(xié)議功能���,若使能,則對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行限速處理�,將限速后的地址解析協(xié)議請(qǐng)求報(bào)文上報(bào)至控制平面處理器;若未使能���,則丟棄所述地址解析協(xié)議請(qǐng)求報(bào)文����。
3.根據(jù)權(quán)利要求1或2所述的地址解析協(xié)議報(bào)文處理方法���,其特征在于��,若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文���,且在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng),并且所述表項(xiàng)中的上報(bào)參數(shù)為不允許上報(bào)�,則根據(jù)預(yù)置的處理規(guī)則對(duì)所述地址解析協(xié)議響應(yīng)報(bào)文進(jìn)行限速處理,將限速后的地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器��;或根據(jù)預(yù)置的處理規(guī)則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文����。
4.根據(jù)權(quán)利要求3所述的地址解析協(xié)議報(bào)文處理方法�,其特征在于��,若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文�����,則所述查詢本地配置的地址解析協(xié)議表的步驟包括獲取所述地址解析協(xié)議請(qǐng)求報(bào)文的端口號(hào)�����,虛擬局域網(wǎng)標(biāo)識(shí)以及目的互聯(lián)網(wǎng)協(xié)議地址��;根據(jù)所述端口號(hào)�,虛擬局域網(wǎng)標(biāo)識(shí)以及目的互聯(lián)網(wǎng)協(xié)議地址查詢所述地址解析協(xié)議表。
5.根據(jù)權(quán)利要求4所述的地址解析協(xié)議報(bào)文處理方法����,其特征在于,所述對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)的步驟之前包括判斷所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)是否為網(wǎng)關(guān)地址解析協(xié)議表項(xiàng)或代理地址解析協(xié)議表項(xiàng)�,若是,則執(zhí)行對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)的步驟���,若否�,則丟棄所述地址解析協(xié)議請(qǐng)求報(bào)文。
6.根據(jù)權(quán)利要求5所述的地址解析協(xié)議報(bào)文處理方法�,其特征在于,若所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文�,則所述查詢本地配置的地址解析協(xié)議表的步驟包括獲取所述地址解析協(xié)議響應(yīng)報(bào)文的源互聯(lián)網(wǎng)協(xié)議地址;根據(jù)所述源互聯(lián)網(wǎng)協(xié)議地址查詢所述地址解析協(xié)議表�。
7.根據(jù)權(quán)利要求3所述的地址解析協(xié)議報(bào)文處理方法,其特征在于����,所述將地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器的步驟之后包括將所述地址解析協(xié)議響應(yīng)報(bào)文在地址解析協(xié)議表中對(duì)應(yīng)的表項(xiàng)中的上報(bào)參數(shù)修改為不允許上報(bào)����。
8.一種通訊系統(tǒng),其特征在于�����,包括外部設(shè)備�����,用于發(fā)送地址解析協(xié)議請(qǐng)求報(bào)文以及地址解析協(xié)議響應(yīng)報(bào)文����;轉(zhuǎn)發(fā)平面處理器,用于判斷接收到的地址解析協(xié)議報(bào)文的類型;在所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)�����,查詢本地配置的地址解析協(xié)議表���,并根據(jù)在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)���,對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng);在所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí)��,查詢本地配置的地址解析協(xié)議表�����,并根據(jù)在所述地址解析協(xié)議表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)���,判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)��,若為允許上報(bào)���,則上報(bào)所述地址解析協(xié)議響應(yīng)報(bào)文,若在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)�����,則丟棄所述地址解析協(xié)議響應(yīng)報(bào)文;控制平面處理器�����,用于接收所述轉(zhuǎn)發(fā)平面處理器上報(bào)的地址解析協(xié)議請(qǐng)求報(bào)文或地址解析協(xié)議響應(yīng)報(bào)文���。
9.一種轉(zhuǎn)發(fā)平面處理器���,其特征在于���,包括判斷單元����,用于判斷接收到的地址解析協(xié)議報(bào)文的類型�����;第一查詢單元�����,用于當(dāng)所述地址解析協(xié)議報(bào)文為地址解析協(xié)議請(qǐng)求報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表;回應(yīng)處理單元��,用于當(dāng)在所述表中查詢到所述地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)���,對(duì)所述地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行回應(yīng)�;第二查詢單元���,用于當(dāng)所述地址解析協(xié)議報(bào)文為地址解析協(xié)議響應(yīng)報(bào)文時(shí)查詢本地配置的地址解析協(xié)議表���;丟棄處理單元,用于當(dāng)在所述表中未查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)��,丟棄所述地址解析協(xié)議響應(yīng)報(bào)文�����。
10.根據(jù)權(quán)利要求9所述的轉(zhuǎn)發(fā)平面處理器�����,其特征在于�����,所述轉(zhuǎn)發(fā)平面處理器還包括限速單元,用于對(duì)地址解析協(xié)議報(bào)文進(jìn)行限速后上報(bào)至控制平面處理器�����;接口判斷單元�����,用于當(dāng)?shù)刂方馕鰠f(xié)議表中未查詢到接收到的地址解析協(xié)議請(qǐng)求報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)���,判斷接收所述地址解析協(xié)議請(qǐng)求報(bào)文的接口是否使能代理地址解析協(xié)議功能��,若使能����,則通知限速單元對(duì)所述報(bào)文進(jìn)行限速上報(bào)��;若未使能�����,則通知所得胡丟棄處理單元丟棄所述報(bào)文����。
11.根據(jù)權(quán)利要求9或10所述的轉(zhuǎn)發(fā)平面處理器,其特征在于�����,所述轉(zhuǎn)發(fā)平面處理器還包括校驗(yàn)單元�����,用于當(dāng)在所述表中查詢到所述地址解析協(xié)議響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)時(shí)���,判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)���;上報(bào)單元,用于當(dāng)表項(xiàng)中的上報(bào)參數(shù)為允許上報(bào)時(shí)�����,將所述地址解析協(xié)議響應(yīng)報(bào)文上報(bào)至控制平面處理器��。
全文摘要
本發(fā)明公開了一種地址解析協(xié)議報(bào)文處理方法及通訊系統(tǒng)及轉(zhuǎn)發(fā)平面處理器����,用于防御利用ARP報(bào)文發(fā)起的網(wǎng)絡(luò)攻擊。本發(fā)明方法包括轉(zhuǎn)發(fā)平面處理器判斷接收到的ARP報(bào)文的類型���;若為ARP請(qǐng)求報(bào)文��,則直接進(jìn)行回應(yīng)�;若為ARP響應(yīng)報(bào)文,則查詢ARP表�,若在表中查詢到所述ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng),則判斷所述表項(xiàng)中的上報(bào)參數(shù)是否為允許上報(bào)���,若為允許上報(bào)����,則將所述ARP響應(yīng)報(bào)文上報(bào)至控制平面處理器��,若在所述表中未查詢到所述ARP響應(yīng)報(bào)文對(duì)應(yīng)的表項(xiàng)���,則丟棄所述ARP響應(yīng)報(bào)文�����。此外還提供一種通訊系統(tǒng)及相關(guān)設(shè)備。本發(fā)明可以有效防御利用ARP報(bào)文發(fā)起的網(wǎng)絡(luò)攻擊��。
文檔編號(hào)H04L12/24GK101094236SQ20071012999
公開日2007年12月26日 申請(qǐng)日期2007年7月20日 優(yōu)先權(quán)日2007年7月20日
發(fā)明者李振海 申請(qǐng)人:華為技術(shù)有限公司