專利名稱:Arp代理技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要應(yīng)用于電信網(wǎng)絡(luò)中的樓道交換機和家庭多業(yè)務(wù)交換機,通過控制ARP報文的 轉(zhuǎn)發(fā)來達到限制過多的非法終端以及AKP攻擊的目的��。
背景技術(shù):
冃前����,在電信和廣電網(wǎng)絡(luò)環(huán)境下,越來越多的家庭用戶使用電信網(wǎng)絡(luò)的寬帶服務(wù)或廣電 網(wǎng)絡(luò)的多業(yè)務(wù)服務(wù)�����。比起傳統(tǒng)的電話線撥號網(wǎng)絡(luò)服務(wù)���,有帶寬大����、安裝方便、成本低等優(yōu)勢���。 但由于這種方式的業(yè)務(wù)數(shù)據(jù)傳輸使用的通用以太網(wǎng)傳輸協(xié)議和使用交換機作為終端接入設(shè)
備�,所以造成兩點缺陷容易被非法用戶介入和容易產(chǎn)生內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊�����。
非法用戶一般為兩種家庭中超過申請數(shù)量的用戶和直接從樓道介入的非法用戶�����。內(nèi)網(wǎng) 的網(wǎng)絡(luò)攻擊一般為ARP欺詐?���,F(xiàn)有的解決方案一般為使用用戶登錄軟件以及安裝分布式防火 墻,但此方案的缺點是購買和維護軟件的成本較高�����,且家庭增加用戶時須新增賬號,用戶使 用不便��;另外安裝分布式防火墻需購買防火墻設(shè)備�����,成本較高�����。
發(fā)明內(nèi)容
本發(fā)明解決其技術(shù)問題所采用的方案是在交換機的CPU中加入ARP代理功能模塊�,此 模塊包含兩部分����。 一部分是ARP處理部分,這部分的主要功能是將上下行的ARP報文分別進 行處理�;另一部分是MAC地址限制部分,主要功能是限制連接業(yè)務(wù)的MAC地址數(shù)量�����。
兩部分共同工作�����,對上行ARP報文做MAC地址數(shù)量限制處理,對下行的ARP報文做攻擊 檢査處理����,從而同時解決上述兩個問題。
具體處理是當(dāng)下行接口 (連接終端用戶)接受到ARP請求報文后����,模塊檢查報文的源MAC 地址是否在模塊的MAC地址表中,如果在就轉(zhuǎn)發(fā)報文�,不在的話再檢査MAC地址表的數(shù)量有 沒有達到設(shè)置的上限;如果未達到��,記錄此MAC地址并轉(zhuǎn)發(fā)報文���,若達到上限的話就丟棄報 文��。這樣用戶的MAC地址已在MAC地址表中或MAC地址表還未達到設(shè)置的上限值時就能順利 連接網(wǎng)絡(luò)業(yè)務(wù)����;如果MAC地址表已達到上限值���,交換機將不再對新增加用戶的ARP報文進行 轉(zhuǎn)發(fā)��,從而限制超數(shù)量的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)�����。
當(dāng)上行接口(連接業(yè)務(wù)通路)接收到ARP請求報文后�����,模塊直接丟棄報文���;如果是ARP應(yīng) 答報文��,則進行IP地址有效性檢查和填充數(shù)據(jù)段檢査���,防lhARP欺詐�����。從而有效地保護終端用戶的網(wǎng)絡(luò)安全��,并且此技術(shù)實現(xiàn)簡單����,成本很低,非常適合家庭和樓道交換機使用��。
下面結(jié)合附圖和實現(xiàn)例對本發(fā)明進一步說明 圖1是帶ARP代理功能的產(chǎn)品應(yīng)用示意圖。 圖2是內(nèi)嵌ARP代理功能模塊示意圖�。 圖3是ARP代理功能模塊的內(nèi)部邏輯結(jié)構(gòu)。
圖1中���,家庭交換機使用ARP代理功能后�����,家庭用戶的數(shù)量將受交換機設(shè)置的MAC地址 上限值限制�,超過上限值的用戶為非法用戶��,將不通過交換機連接上行業(yè)務(wù)�,并且由于ARP 報文為交換機轉(zhuǎn)發(fā)過濾,可以有效的防止ARP攻擊��。
樓道交換機使用ARP代理功能后�����,整個樓道的家庭交換機數(shù)量將受到樓道交換機設(shè)置的 MAC地址上限值限制���,超過上限值的用戶為非法用戶��,將不能通過樓道交換機連接上行業(yè)務(wù)�。
圖2中,交換機的內(nèi)嵌ARP代理功能模塊的方式是先將CPU置于上行以太網(wǎng)接口與交換 引擎之間��,上行以太網(wǎng)接口所有收發(fā)的報文都須通過CPU�, ARP代理功能模塊內(nèi)嵌于CPU, CPU 對通過的報文進行判斷��,普通報文不做處理��,將上下行的ARP報文分別導(dǎo)入ARP代理功能模 塊進行處理轉(zhuǎn)發(fā)�。
圖3中,ARP代理功能模塊內(nèi)部結(jié)構(gòu)主要分為兩部分 一部分是ARP解析處理部分����,它 把上下行的ARP報文分別做不同規(guī)劃的處理和轉(zhuǎn)發(fā);另一部分是MAC地址限制部分�,由一個 MAC地址表和四個控制器組成,四個控制器分別是查詢控制器�、數(shù)量控制器��、記錄控制器和 老化控制器�����。
具體實施例方式
圖3中��,各模塊的具體處理邏輯如下
ARP報文解析器將上下行以太網(wǎng)接口接收到的ARP報文進行解析,分為四種類型 >上行口進入的ARP請求報文直接丟棄����;
>上行口進入的ARP應(yīng)答報文對報文做ARP欺詐檢查后轉(zhuǎn)發(fā)報文; >下行口進入的ARP請求報文導(dǎo)入MAC地址查詢控制器��; >下行口進入的ARP應(yīng)答報文直接丟棄����。MAC地址查詢控制器比對報文的源MAC地址是否存在于MAC地址表中,然后分類處理
>源MAC已在MAC地址表中記錄直接轉(zhuǎn)發(fā)報文���;
>源MAC未在MAC地址表中記錄導(dǎo)入MAC地址數(shù)量控制器�����。
MAC地址數(shù)量控制器檢查MAC地址表中的地址數(shù)量是否達到CPU設(shè)置的上限值���,然后對 導(dǎo)入的報文進行分類處理
> MAC地址已滿直接丟棄報文;
> MAC地址未滿轉(zhuǎn)發(fā)報文并且將報文的源MAC導(dǎo)入MAC地址記錄控制器�����。 MAC地址記錄控制器將導(dǎo)入的源MAC在MAC地址表中做記錄����。
MAC地址記錄控制器將長時間未進行網(wǎng)絡(luò)連接的MAC地址從MAC地址表中老化掉�。
圖2中��,內(nèi)部CPU需包含兩個MII接口��, 一個接上行以太網(wǎng)接口�,另一個接交換機引擎 的MII接口,保證所有通過上行接口的報文都必須通過CPU���。在CPU的以太網(wǎng)報文處理模塊 中對每個報文的以太網(wǎng)類型進行檢查�����,如果是ARP報文就導(dǎo)入ARP代理功能模塊�����,其他報文
直接轉(zhuǎn)發(fā)��。
ARP代理功能模塊與CPU的內(nèi)部接口有兩種, 一種是以太網(wǎng)接口 (一般為RAM接口)�,連接 ARP報文的緩存,分為上下行兩路接口�,將ARP報文的上下行區(qū)分出來��;另一種串行配置接 口 ���,作為CPU對ARP代理功能模塊MAC地址上限值的配置接口 。
圖1中�����,將家庭和樓道的交換機分別設(shè)置對應(yīng)的MAC地址上限值����,當(dāng)家庭用戶登錄時, 用戶的ARP將通過交換機進行轉(zhuǎn)發(fā)�,交換機的ARP代理功能模塊將對MAC地址表進行檢查, 當(dāng)用戶的MAC地址己在MAC地址表里或MAC地址表還未達到設(shè)置的上限值時就對ARP報文轉(zhuǎn) 發(fā)����,讓此用戶能順利連接網(wǎng)絡(luò)業(yè)務(wù)。如果MAC地址表已達到上限值�,交換機將不再對新增加 的ARP報文進行轉(zhuǎn)發(fā),從而限制超數(shù)量的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)��。
樓道交換機也具有同樣的功能���,可以對樓道的總用戶數(shù)進行控制���。
另外�����,交換機的ARP代理功能模塊對從交換機上行以太網(wǎng)接口接收到的ARP報文進行檢 查和處理����,如果是ARP請求報文直接丟棄��,如果是ARP應(yīng)答報文就進行ARP欺詐檢査和處理����, 從而有效的防止網(wǎng)絡(luò)中的ARP攻擊,保護用戶的安全����。
權(quán)利要求
1.家庭或樓道交換機,通過ARP代理技術(shù)來實現(xiàn)限制非法用戶登錄和防范ARP攻擊�����,其特征是用戶的ARP將通過交換機進行轉(zhuǎn)發(fā)�,交換機的ARP代理功能模塊將對MAC地址表進行檢查,當(dāng)用戶的MAC地址已在MAC地址表中或MAC地址表還未達到設(shè)置的上限值時就對ARP報文轉(zhuǎn)發(fā)���,讓此用戶能順利連接網(wǎng)絡(luò)業(yè)務(wù)��。如果MAC地址表已達到上限值�,交換機將不再對新增用戶的ARP報文進行轉(zhuǎn)發(fā)�,從而限制超數(shù)量的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)。
2. 根據(jù)權(quán)利要求1所述的家庭或樓道交換機���,其特征是交換機的ARP代理功能模塊對從 交換機上行以太網(wǎng)接口接收到的ARP報文進行檢査和處理����,如果是ARP請求報文直接丟 棄���,ARP應(yīng)答報文就進行ARP欺詐檢查和處理�,從而有效的防止網(wǎng)絡(luò)中的ARP攻擊�,保護 用戶的安全。
全文摘要
家庭或樓道交換機����,通過ARP代理技術(shù)來實現(xiàn)限制非法用戶登錄和防范ARP攻擊的目的,用戶的ARP將通過交換機進行轉(zhuǎn)發(fā)���,交換機的ARP代理功能模塊將對MAC地址表進行檢查����,當(dāng)用戶的MAC地址已在MAC地址表中或MAC地址表還未達到設(shè)置的上限值時就對ARP報文轉(zhuǎn)發(fā),讓此用戶能順利連接網(wǎng)絡(luò)業(yè)務(wù)�����。如果MAC地址表已達到上限值�����,交換機將不再對新增用戶的ARP報文進行轉(zhuǎn)發(fā)��,從而限制超數(shù)量的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)��。交換機的ARP代理功能模塊對從交換機上行以太網(wǎng)接口接收到的ARP報文進行檢查和處理�,如果是ARP請求報文直接丟棄,ARP應(yīng)答報文就進行ARP欺詐檢查和處理����,從而有效的防止網(wǎng)絡(luò)中的ARP攻擊,保護用戶的安全���。
文檔編號H04L12/56GK101616075SQ200910059669
公開日2009年12月30日 申請日期2009年6月19日 優(yōu)先權(quán)日2009年6月19日
發(fā)明者朱仁昌 申請人:成都華程信息技術(shù)有限公司