CN109274588A - Ip报文的处理方法及装置 - Google Patents
Ip报文的处理方法及装置 Download PDFInfo
- Publication number
- CN109274588A CN109274588A CN201710587533.8A CN201710587533A CN109274588A CN 109274588 A CN109274588 A CN 109274588A CN 201710587533 A CN201710587533 A CN 201710587533A CN 109274588 A CN109274588 A CN 109274588A
- Authority
- CN
- China
- Prior art keywords
- address
- list item
- arp
- packet
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
- H04L45/502—Frame based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种IP报文的处理方法及装置,其中,该方法包括:生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;在接收到IP报文时,提取IP报文的源IP地址和源媒体接入控制MAC地址;将源IP地址和源MAC地址作为关键字段与ARP侦听表项和/或DHCP侦听表项中的对应字段进行匹配;根据匹配结果处理IP报文。通过本发明,解决了相关技术中当发起IP报文攻击时不能处理正常业务报文的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种IP报文的处理方法及装置。
背景技术
传送多协议标签交换(MPLS-TP)是一种基于MPLS、面向连接的分组传送技术。MPLS-TP取消了MPLS中与L3和IP路由相关的功能特性,其设备实现将满足运营商对低成本和大容量的下一代分组网络的需求。MPLS-TP沿袭了现有基于电路交换传送网的思想,采用与其相同的体系架构、管理和运行模式。MPLS-TP可以支持各种分组业务和电路业务。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(媒体接入控制地址或称物理地址)的协议。在局域网中,IP数据报文必须封装成帧才能通过物理网络发送,因此发送站必须知道接收站的物理地址,当主机或其它网络设备有数据要发送给另一个主机或设备时,它首先根据对方的网络层地址(即IP地址),查询本地的ARP表找到对应的MAC后通过物理网发送;如果本地ARP表中没有对应的记录项,ARP协议就要发送ARP请求广播包向拥有该IP地址的主机询问其MAC地址,以便完成数据发送。
在基于MPLS-TP的L3VPN(虚拟专用网络,Virtual Private Network)网络中,CE(用户端设备)通过AC与PE(运营商边缘设备)相连,进而通过L3VPN实现CE间的互联,VPN被PE和P(运营商设备)建立的隧道所承载。当Client(客户端)发起IP报文攻击时,需要通过AC向PE发送大量错误的IP报文,这样会导致PE设备被占用大量资源,CPU冲高,来不及处理正常的业务报文,导致性能下降。如图1所示,图1为本发明相关技术中的组网示意图。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种IP报文的处理方法及装置,以至少解决相关技术中当发起IP报文攻击时不能处理正常业务报文的技术问题。
根据本发明的一个实施例,提供了一种IP报文的处理方法,包括:生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;根据匹配结果处理所述IP报文。
可选地,生成ARP侦听表项和DHCP侦听表项包括:启动ARP侦听监测ARP报文,以及启动DHCP侦听DHCP报文;从所述ARP报文和所述DHCP报文中获取以下报文信息:报文的源IP地址、报文的MAC地址,入端口信息;将所述报文信息分别保存得到所述ARP侦听表项和所述DHCP侦听表项。
可选地,将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配包括:在所述ARP侦听表项和所述DHCP侦听表项中都没有查询到所述源IP地址和所述源MAC地址时,确定不匹配;在所述ARP侦听表项或所述DHCP侦听表项中查询到所述源IP地址和所述源MAC地址时,判断所述源MAC地址的对应的入端口信息与所述IP报文的入端口信息是否相同,在入端口信息相同时,确定匹配,在入端口信息不相同时,确定不匹配。
可选地,根据匹配结果处理所述IP报文包括:在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段匹配时,转发所述IP报文;在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段不匹配时,丢弃所述IP报文。
可选地,在生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项之后,所述方法还包括以下至少之一:在接收变更IP地址的DHCP广播协议报文时,在所述DHCP侦听表项中更新相应的IP地址;在接收到客户端广播的更改MAC地址的ARP数据报文时,在所述ARP侦听表项中更新相应的MAC地址;在所述ARP侦听表项或DHCP侦听表项中的MAC地址超时失效时,向所有端口发送ARP请求广播报文,并在接收根据所述ARP请求广播报反馈的ARP响应广播报文后,更新相应的MAC地址。
可选地,在提取所述IP报文的源IP地址和源MAC地址之前,所述方法还包括:在所述IP报文中未查询到所述源MAC地址时,配置所述源MAC地址;建立所述源IP地址与配置的所述源MAC地址的映射关系;将所述映射关系保存到所述ARP侦听表项和/或DHCP侦听表项中。
根据本发明的另一个实施例,提供了一种IP报文的处理装置,包括:生成模块,用于生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;提取模块,用于在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;匹配模块,用于将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;处理模块,用于根据匹配结果处理所述IP报文。
可选地,所述处理模块包括:转发单元,用于在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段匹配时,转发所述IP报文;丢弃单元,用于在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段不匹配时,丢弃所述IP报文。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:
生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;
将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;
根据匹配结果处理所述IP报文。
通过本发明,通过及时检测IP报文的合法性,并根据合法性进行相应的处理,解决了相关技术中当发起IP报文攻击时不能处理正常业务报文的技术问题。减少了非法IP报文对资源的占用,节省CPU等资源,减少非法IP报文的影响。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明相关技术中的组网示意图;
图2是根据本发明实施例的IP报文的处理方法的流程图;
图3是根据本发明实施例的IP报文的处理装置的结构框图;
图4为本发明实施例的防范IP报文攻击的方法的流程图;
图5为本发明实施例的DHCP Snooping表建立过程的示意图;
图6为本发明实施例的ARP Snooping表建立过程的示意图;
图7为本发明实施例的用户MAC地址修改后的处理的示意图;
图8为本发明实施例的防范IP报文攻击的装置的架构图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
在本实施例中提供了一种运行于上述图1所示的网络架构的IP报文的处理方法,图2是根据本发明实施例的IP报文的处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
步骤S204,在接收到IP报文时,提取IP报文的源IP地址和源媒体接入控制MAC地址;
步骤S206,将源IP地址和源MAC地址作为关键字段与ARP侦听表项和/或DHCP侦听表项中的对应字段进行匹配;
步骤S208,根据匹配结果处理IP报文。
通过上述步骤,通过及时检测IP报文的合法性,并根据合法性进行相应的处理,解决了相关技术中当发起IP报文攻击时不能处理正常业务报文的技术问题。减少了非法IP报文对资源的占用,节省CPU等资源,减少非法IP报文的影响。
可选地,上述步骤的执行主体可以为网关设备,路由器,交换机,无线控制器(AC),具体可以是基于MPLS-TP的L3VPN网络中的PE等,但不限于此。
可选地,生成ARP侦听表项和DHCP侦听表项包括:
S11,启动ARP侦听监测ARP报文,以及启动DHCP侦听DHCP报文;
S12,从ARP报文和DHCP报文中获取以下报文信息:报文的源IP地址、报文的MAC地址,入端口信息;
S13,将报文信息分别保存得到ARP侦听表项和DHCP侦听表项。
可选地,将源IP地址和源MAC地址作为关键字段与ARP侦听表项和/或DHCP侦听表项中的对应字段进行匹配包括以下场景:
在ARP侦听表项和DHCP侦听表项中都没有查询到源IP地址和源MAC地址时,确定不匹配;
在ARP侦听表项或DHCP侦听表项中查询到源IP地址和源MAC地址时,判断源MAC地址的对应的入端口信息与IP报文的入端口信息是否相同,在入端口信息相同时,确定匹配,在入端口信息不相同时,确定不匹配。
可选地,根据匹配结果处理IP报文包括以下场景:
在源IP地址和源MAC地址与ARP侦听表项和/或DHCP侦听表项的对应字段匹配时,转发IP报文;即正常处理;
在源IP地址和源MAC地址与ARP侦听表项和/或DHCP侦听表项的对应字段不匹配时,丢弃IP报文。也可以同时将该报文设备为黑名单,下次在匹配之前直接丢弃;
可选地,在生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项之后,还随时更新表项内容,具体包括以下至少之一:
在接收变更IP地址的DHCP广播协议报文时,在DHCP侦听表项中更新相应的IP地址;
在接收到客户端广播的更改MAC地址的ARP数据报文时,在ARP侦听表项中更新相应的MAC地址;
在ARP侦听表项或DHCP侦听表项中的MAC地址超时失效时,向所有端口发送ARP请求广播报文,并在接收根据ARP请求广播报反馈的ARP响应广播报文后,更新相应的MAC地址。
可选地,在提取IP报文的源IP地址和源MAC地址之前,方法还包括:
S21,在IP报文中未查询到源MAC地址时,配置源MAC地址;具体可以是根据用户输入的源MAC地址来配置;
S22,建立源IP地址与配置的源MAC地址的映射关系;
S23,将映射关系保存到ARP侦听表项和/或DHCP侦听表项中。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种IP报文的处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的IP报文的处理装置的结构框图,如图3所示,该装置包括:
生成模块30,用于生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
提取模块32,用于在接收到IP报文时,提取IP报文的源IP地址和源媒体接入控制MAC地址;
匹配模块34,用于将源IP地址和源MAC地址作为关键字段与ARP侦听表项和/或DHCP侦听表项中的对应字段进行匹配;
处理模块36,用于根据匹配结果处理IP报文。
可选的,处理模块包括:转发单元,用于在源IP地址和源MAC地址与ARP侦听表项和/或DHCP侦听表项的对应字段匹配时,转发IP报文;丢弃单元,用于在源IP地址和源MAC地址与ARP侦听表项和/或DHCP侦听表项的对应字段不匹配时,丢弃IP报文。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本实施例是根据本发明的可选实施例,用于结合具体的场景和示例对对本申请进行详细说明:
本实施例提供了一种防范IP报文攻击的方法及装置,能够及时检测网络中的非法IP报文,并提示用户。
本实施例的一种防范IP报文攻击的方法,包括:
步骤一,生成侦听表:
运营商边缘设备(PE)启动地址解析协议侦听(ARP Snooping)和动态主机设置协议侦听(DHCP Snooping),分别侦听ARP报文和DHCP报文,从所侦听到的报文中获取报文的源IP地址、源媒体接入控制(MAC)地址和入端口信息,并相应地保存到建立的ARP Snooping表或DHCP Snooping表中;
步骤二,IP报文的匹配检查:
所述运营商边缘设备(PE)在所侦听到有IP报文进入时,提取收到的IP报文的源IP地址和源媒体接入控制(MAC)地址,作为关键字段,从所述ARP Snooping表和/或DHCPSnooping表中的表项查询,在查询到所述源媒体接入控制(MAC)地址和源IP地址的表项时,将所述源媒体接入控制(MAC)地址和IP地址的表项相关字段进行比对,如果匹配,则对所收到的IP报文进行正常处理;否则,可以根据用户规则进行处理。
进一步地,还包括:所述PE在未查询到所述源媒体接入控制(MAC)地址时,可以提示用户,用户可以手工配置源媒体接入控制(MAC)地址和IP地址映射关系,并保存到所述ARP Snooping/DHCP Snooping表中。
进一步地,还包括:所述PE在查询到所述源IP地址时,还判断所述源媒体接入控制(MAC)地址对应的入端口信息与所述IP报文的入端口信息是否相同,如果不相同,则将IP报文丢弃。
进一步地,还包括:所述PE在接收到变更IP地址的DHCP广播协议报文时,在所述DHCP Snooping表中更新相应的IP地址;并且,在接收到客户端(Client)广播的更改MAC地址的ARP数据报文时,在所述ARP Snooping表中更新相应的MAC地址,或者,在客户端的MAC地址超时失效时,向所有端口发送ARP请求广播报文,并在接收到所述客户端发送的ARP响应广播报文后,更新相应的MAC地址。
本实施例的一种防范IP报文攻击的装置,包括:报文侦听单元、地址表维护单元和地址查询单元,其中:
所述报文侦听单元,用于启动地址解析协议侦听(ARP Snooping)和动态主机设置协议侦听(DHCP Snooping),分别侦听ARP报文和DHCP报文,从所侦听到的报文中获取报文的源IP地址、源媒体接入控制(MAC)地址和入端口信息;
所述地址表维护单元,用于建立的ARP Snooping表和DHCP Snooping表,将所述报文侦听单元获取的源IP地址、源MAC地址和入端口信息,相应地保存到ARP Snooping表或DHCP Snooping表中;
所述地址查询单元,用于在收到IP报文时候,从所述ARP Snooping表和/或DHCPSnooping表中查询所述IP报文的源IP地址,在查询到所述源IP地址时,将所述源IP地址对应的MAC地址与报文中的进行匹配。
进一步地,还包括告警发送单元,用于在所述查询单元未查询到所述目的IP地址时,向用户提示未知的源MAC地址或者IP地址的报文;
进一步地,所述地址查询单元,还用于在查询到所述源IP地址时,判断所述源IP地址对应的入端口信息与所述IP报文的入端口信息是否相同,如果不相同,则将所述IP地址报文丢弃。
进一步地,所述地址表维护单元,还用于在所述报文侦听单元接收到变更IP地址的DHCP广播协议报文时,在所述DHCP Snooping表中更新相应的IP地址;并且,在所述报文侦听单元接收到客户端(Client)广播的更改MAC地址的ARP数据报文时,在所述ARPSnooping表中更新相应的MAC地址,或者,在客户端的MAC地址超时失效时,通知报文发送单元向所有端口发送ARP请求广播报文,并在所述报文侦听单元接收到所述客户端发送的ARP响应广播报文后,更新相应的MAC地址。
在L3VPN(三层虚拟专用网)设备中通过VPN来实现多个AC接口和多个隧道之间的映射,形成数据是三层转发实例。为了减少非法IP报文对设备的影响,本实施方式在VPN的转发实例范围内启动DHCP Snooping(动态主机设置协议侦听)和ARP Snooping(地址解析协议侦听)等广播报文侦听功能,建立DHCP Snooping表项和ARP Snooping表项,针对AC端口的上行的IP报文,首先查找本地的DHCP Snooping表项和ARP Snooping表项,如果查到相应的记录则直接直接匹配,查找不到提示用户。
如图4所示,图4为本发明实施例的防范IP报文攻击的方法的流程图,本实施方式的防范IP报文攻击的方法,包括:
步骤101:PE启动DHCP Snooping和ARP Snooping等侦听功能,并根据侦听到的数据包,获取报文的源IP地址、源MAC地址、源VLAN和入端口信息,生成相应的DHCP Snooping表和ARP Snooping表;
步骤102:PE在所侦听到的报文为IP报文时,从ARP Snooping表和/或DHCPSnooping表中查询IP报文的源IP地址,在查询到源IP地址时,将源IP地址对应的MAC地址进行匹配。
本实施方式中可以配置Client在修改MAC地址之后向全网广播免费的更改MAC地址的ARP数据报文。PE在接收到更改MAC地址的ARP数据报文时,在ARP Snooping表中更新相应的MAC地址。
在ARP Snooping表和DHCPSnooping表中均启动表项记录老化时间,如果在老化时间内没有收到相应的(ARP或DHCP)广播报文,则该记录项从表中删除。
根据不同的场景,本实施例还包括以下示例:
示例一:VPN方式实施例
(一)DHCP Snooping表项的建立:
图5为本发明实施例的DHCP Snooping表建立过程的示意图,如图5所示,其中虚线为ARP请求广播报文,实线为ARP响应广播报文,Client A启动后,会向DHCP Server发送动态IP申请的广播报文,如图中虚线所示,DHCP Serve分配IP地址之后会对请求做出响应,在VPN1、VPN2和VPN3内部的PE通过侦听Client A发送的动态IP申请的广播报文和DHCP Serve的响应报文,可以在DHCP Snooping TBL中,建立ClientA的IP地址IP_A和MAC的对应关系的表记录项1。
(二)ARP Snooping表项的建立:
图6为本发明实施例的ARP Snooping表建立过程的示意图,如图6所示,当ClientB需要向Client C发送数据包时,由于Client B的本地ARP表中没有Client C的IP地址IP_C对应的记录项,因此,须先通过ARP请求广播报文查询Client C的MAC,得到MAC后才能发送报文。当ARP请求广播报文到达VPN1后,VPN1的ARP Snooping首先记录Client B的IP和MAC得到ARP Snooping TBL中的记录项2,之后VPN1通过在DHCP Snooping表中查询IP_C发现没有对应的记录项,进而查找ARP Snooping表,也没有相关表项,此时它会向所有的其他端口发送ARP请求广播报文。ARP请求广播报文到VPN2,VPN2的ARP Snooping侦听到该ARP请求广播报文后,得到ARP Snooping TBL表中的记录项2,并将此广播报文向所有的AC端口广播,Client C收到此广播报文后发现目的IP是自己,所以用自己的MAC对该ARP请求广播作应答,应答到达VPN2后得到ARP Snooping TBL表中的记录3,同理应答广播包到达VPN1和VPN3后得到ARP Snooping TBL表中的记录3。(三)报文匹配:
当有IP报文进入本装置的时候,地址查询单元负责提取收到的IP报文的源IP地址和源媒体接入控制(MAC)地址,然后作为关键字段,从所述ARP Snooping TBL和/或DHCPSnooping TBL中的表项查询,在查询到所述源媒体接入控制(MAC)地址和源IP地址的表项时,将所述源媒体接入控制(MAC)地址和IP地址的表项对应字段进行比对,如果匹配,则对所收到的IP报文进行正常处理;否则,可以根据用户规则进行处理。IP报文的匹配规则不限于本文中所指定的IP地址和媒体接入控制(MAC)地址(MAC)地址字段,可以进一步扩展匹配协议类型、长度等协议字段。在本文中其他部分涉及的匹配规则描述不做具体的扩展和阐述,缺省都包括上送的描述。
(四)地址更改:
图7为本发明实施例的用户MAC地址修改后的处理的示意图,如图7所示,针对主机IP地址的变更,由于网络中通过DHCP协议获取主机IP地址,因此IP地址改变时整个广播域都会收到DHCP的广播协议包,从而DHCP Snooping侦听到该广播包后会在DHCP SnoopingTBL中更新相应记录,从而保证Snooping表中记录的信息和主机的实际地址信息实现实时同步。
当主机的物理MAC地址改变时(不建议修改物理MAC地址),比如Client C的MAC地址改为了MAC_C1,此时Client B需要向Client C发送数据包时,由于VPN1的ARP SnoopingTBL中,记录了IP_C与MAC_C对应,所以它会用MAC_C的目的MAC去访问Client C显然这种情况下的访问是失败的,Client B会进入重试发送流程。这种情况会一直持续到MAC_C的ARP条目超时失效,此时Client B由于自身的MAC_C的ARP条目失效,会向VPN1发送ARP广播,由于VPN2、VPN1、VPN3中的该MAC_C的ARP条目也失效,所以该广播会在全网泛洪,当Client C应答该ARP请求报文后,会在VPN1、VPN2、VPN3中重新生成MAC_C1的ARP条目。
实施例二:普通公网
(一)DHCP Snooping表项的建立:
过程同VPN实施例,只是不涉及到VPN的相关描述。
(二)ARP Snooping表项的建立:
过程同VPN实施例,只是不涉及到VPN的相关描述。
(三)报文匹配:
过程同VPN实施例,只是不涉及到VPN的相关描述。
(四)地址更改:
过程同VPN实施例,只是不涉及到VPN的相关描述。
本实施方式通过使用ARP Snooping表和DHCP Snooping表的记录,完成了IP报文的快速校验,从而大大减少了非法IP报文在设备中处理的资源浪费,有效地提高了设备性能。
图8为本发明实施例的防范IP报文攻击的装置的架构图,如图8所示,本实施方式还提供了一种防范IP报文攻击的装置,包括:报文侦听单元、地址表维护单元和地址查询单元,其中:
(一)报文侦听单元
报文侦听单元,用于启动ARP Snooping和DHCP Snooping,分别侦听ARP报文和DHCP报文,从所侦听到的报文中获取报文的源IP地址、源MAC地址和入端口信息;
报文侦听单元,还用于在接收到ARP请求广播报文对应的ARP响应广播报文时,获取目的IP地址对应的MAC地址和入端口信息;
(二)地址表维护单元
地址表维护单元,用于建立的ARP Snooping表和DHCP Snooping表,将报文侦听单元获取的源IP地址、源MAC地址和入端口信息,相应地保存到ARP Snooping表或DHCPSnooping表中;
地址表维护单元,还用于将报文侦听单元获取的目的IP地址对应的MAC地址和入端口信息保存到ARP Snooping表中。
地址表维护单元,还用于在报文侦听单元接收到变更IP地址的DHCP广播协议报文时,在DHCP Snooping表中更新相应的IP地址;并且,在报文侦听单元接收到客户端广播的更改MAC地址的ARP数据报文时,在ARP Snooping表中更新相应的MAC地址,或者,在客户端的MAC地址超时失效时,通知报文发送单元向所有端口发送ARP请求广播报文,并在报文侦听单元接收到客户端发送的ARP响应广播报文后,更新相应的MAC地址。
地址表维护单元,还用于在所侦听到的ARP报文为ARP请求广播报文时,判断ARP请求广播报文的目的IP地址是否是PE自身的IP地址,如果不是,则从ARP Snooping表和/或DHCP Snooping表中查询ARP请求广播报文的目的IP地址。
(三)地址查询单元
地址查询单元,用于在收到IP报文时候,从所述ARP Snooping表和/或DHCPSnooping表中查询所述IP报文的源IP地址,在查询到所述源IP地址时,将所述源IP地址对应的MAC地址与报文中的进行匹配。
(四)告警发送单元
上述装置还包括告警发送单元,告警发送单元用于在查询单元未查询到源IP地址时,向用户提示。
通过本实施例的方案,在通过DHCP协议动态获取主机IP地址的L3VPN网络中,为基于MPLS-TP的PE设备提供一种可以在AC上判断IP报文合法性的功能,减少非法IP报文对资源的占用,节省CPU等资源,减少非法IP报文的影响。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
S2,在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;
S3,将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;
S4,根据匹配结果处理所述IP报。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行根据匹配结果处理所述IP报。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种IP报文的处理方法,其特征在于,包括:
生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;
将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;
根据匹配结果处理所述IP报文。
2.根据权利要求1所述的方法,其特征在于,生成ARP侦听表项和DHCP侦听表项包括:
启动ARP侦听监测ARP报文,以及启动DHCP侦听DHCP报文;
从所述ARP报文和所述DHCP报文中获取以下报文信息:报文的源IP地址、报文的MAC地址,入端口信息;
将所述报文信息分别保存得到所述ARP侦听表项和所述DHCP侦听表项。
3.根据权利要求1所述的方法,其特征在于,将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配包括:
在所述ARP侦听表项和所述DHCP侦听表项中都没有查询到所述源IP地址和所述源MAC地址时,确定不匹配;
在所述ARP侦听表项或所述DHCP侦听表项中查询到所述源IP地址和所述源MAC地址时,判断所述源MAC地址的对应的入端口信息与所述IP报文的入端口信息是否相同,在入端口信息相同时,确定匹配,在入端口信息不相同时,确定不匹配。
4.根据权利要求1所述的方法,其特征在于,根据匹配结果处理所述IP报文包括:
在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段匹配时,转发所述IP报文;
在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段不匹配时,丢弃所述IP报文。
5.根据权利要求1所述的方法,其特征在于,在生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项之后,所述方法还包括以下至少之一:
在接收变更IP地址的DHCP广播协议报文时,在所述DHCP侦听表项中更新相应的IP地址;
在接收到客户端广播的更改MAC地址的ARP数据报文时,在所述ARP侦听表项中更新相应的MAC地址;
在所述ARP侦听表项或DHCP侦听表项中的MAC地址超时失效时,向所有端口发送ARP请求广播报文,并在接收根据所述ARP请求广播报反馈的ARP响应广播报文后,更新相应的MAC地址。
6.根据权利要求1所述的方法,其特征在于,在提取所述IP报文的源IP地址和源MAC地址之前,所述方法还包括:
在所述IP报文中未查询到所述源MAC地址时,配置所述源MAC地址;
建立所述源IP地址与配置的所述源MAC地址的映射关系;
将所述映射关系保存到所述ARP侦听表项和/或DHCP侦听表项中。
7.一种IP报文的处理装置,其特征在于,包括:
生成模块,用于生成地址解析协议ARP侦听表项和动态主机设置协议DHCP侦听表项;
提取模块,用于在接收到IP报文时,提取所述IP报文的源IP地址和源媒体接入控制MAC地址;
匹配模块,用于将所述源IP地址和所述源MAC地址作为关键字段与所述ARP侦听表项和/或所述DHCP侦听表项中的对应字段进行匹配;
处理模块,用于根据匹配结果处理所述IP报文。
8.根据权利要求7所述的装置,其特征在于,所述处理模块包括:
转发单元,用于在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段匹配时,转发所述IP报文;
丢弃单元,用于在所述源IP地址和所述源MAC地址与所述ARP侦听表项和/或所述DHCP侦听表项的对应字段不匹配时,丢弃所述IP报文。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至6中任一项所述的方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587533.8A CN109274588A (zh) | 2017-07-18 | 2017-07-18 | Ip报文的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587533.8A CN109274588A (zh) | 2017-07-18 | 2017-07-18 | Ip报文的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109274588A true CN109274588A (zh) | 2019-01-25 |
Family
ID=65148008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710587533.8A Pending CN109274588A (zh) | 2017-07-18 | 2017-07-18 | Ip报文的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109274588A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110730168A (zh) * | 2019-09-29 | 2020-01-24 | 佛山市兴颂机器人科技有限公司 | 一种通信控制方法、装置及服务端设备 |
| CN111683162A (zh) * | 2020-06-09 | 2020-09-18 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法和装置 |
| CN111835735A (zh) * | 2020-06-29 | 2020-10-27 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN111988446A (zh) * | 2020-08-26 | 2020-11-24 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112492056A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种ip地址使用分析方法及装置 |
| CN113572774A (zh) * | 2021-07-27 | 2021-10-29 | 杭州迪普科技股份有限公司 | 一种网络设备中的报文转发方法及装置 |
| CN115914163A (zh) * | 2022-11-15 | 2023-04-04 | 北京北信源软件股份有限公司 | 地址信息维护方法、装置、计算机设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、系统和设备 |
| CN101094178A (zh) * | 2007-07-16 | 2007-12-26 | 杭州华三通信技术有限公司 | 无vlan虚接口情况下发送arp请求的方法和装置 |
| CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
| CN103166858A (zh) * | 2013-03-26 | 2013-06-19 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
| CN103248720A (zh) * | 2012-02-13 | 2013-08-14 | 中兴通讯股份有限公司 | 一种查询物理地址的方法及装置 |
| CN104219338A (zh) * | 2014-09-15 | 2014-12-17 | 杭州华三通信技术有限公司 | 授权地址解析协议安全表项的生成方法及装置 |
| US8958318B1 (en) * | 2011-09-21 | 2015-02-17 | Cisco Technology, Inc. | Event-based capture of packets from a network flow |
-
2017
- 2017-07-18 CN CN201710587533.8A patent/CN109274588A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060495A (zh) * | 2007-05-22 | 2007-10-24 | 华为技术有限公司 | 报文处理方法、系统和设备 |
| CN101094178A (zh) * | 2007-07-16 | 2007-12-26 | 杭州华三通信技术有限公司 | 无vlan虚接口情况下发送arp请求的方法和装置 |
| CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
| US8958318B1 (en) * | 2011-09-21 | 2015-02-17 | Cisco Technology, Inc. | Event-based capture of packets from a network flow |
| CN103248720A (zh) * | 2012-02-13 | 2013-08-14 | 中兴通讯股份有限公司 | 一种查询物理地址的方法及装置 |
| CN103166858A (zh) * | 2013-03-26 | 2013-06-19 | 杭州华三通信技术有限公司 | 一种报文传输方法和设备 |
| CN104219338A (zh) * | 2014-09-15 | 2014-12-17 | 杭州华三通信技术有限公司 | 授权地址解析协议安全表项的生成方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110730168A (zh) * | 2019-09-29 | 2020-01-24 | 佛山市兴颂机器人科技有限公司 | 一种通信控制方法、装置及服务端设备 |
| CN111683162A (zh) * | 2020-06-09 | 2020-09-18 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法和装置 |
| CN111683162B (zh) * | 2020-06-09 | 2022-10-25 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法 |
| CN111835735A (zh) * | 2020-06-29 | 2020-10-27 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN111835735B (zh) * | 2020-06-29 | 2023-12-29 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN111988446A (zh) * | 2020-08-26 | 2020-11-24 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN111988446B (zh) * | 2020-08-26 | 2023-05-23 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112492056A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种ip地址使用分析方法及装置 |
| CN112492056B (zh) * | 2020-11-13 | 2022-12-06 | 中盈优创资讯科技有限公司 | 一种ip地址使用分析方法及装置 |
| CN113572774A (zh) * | 2021-07-27 | 2021-10-29 | 杭州迪普科技股份有限公司 | 一种网络设备中的报文转发方法及装置 |
| CN113572774B (zh) * | 2021-07-27 | 2023-04-28 | 杭州迪普科技股份有限公司 | 一种网络设备中的报文转发方法及装置 |
| CN115914163A (zh) * | 2022-11-15 | 2023-04-04 | 北京北信源软件股份有限公司 | 地址信息维护方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109274588A (zh) | Ip报文的处理方法及装置 | |
| US9596211B2 (en) | Cloud based customer premises equipment | |
| US20200169872A1 (en) | System and method of fast roaming in enterprise fabric networks | |
| CN104935516B (zh) | 基于软件定义网络的通信系统及方法 | |
| US10243781B1 (en) | Detecting link faults in network paths that include link aggregation groups (LAGs) | |
| US20160269284A1 (en) | Packet forwarding method and apparatus | |
| CN105812259B (zh) | 一种报文转发方法和设备 | |
| CN106453025B (zh) | 一种隧道创建方法及装置 | |
| EP3113426B1 (en) | Data packet processing method and device | |
| US8578034B2 (en) | Optimized network device discovery | |
| WO2016101646A1 (zh) | 以太虚拟网络的接入方法及装置 | |
| CN104702476B (zh) | 基于分布式网关的报文处理方法及网络虚拟化边缘点 | |
| WO2016082588A1 (zh) | 链路连通性检测方法及装置 | |
| CN108964940B (zh) | 消息发送方法及装置、存储介质 | |
| US9756148B2 (en) | Dynamic host configuration protocol release on behalf of a user | |
| EP2654250A2 (en) | Virtual local area network identity transformation method and apparatus | |
| US8611358B2 (en) | Mobile network traffic management | |
| WO2021042445A1 (zh) | 一种二层专线网络系统、配置方法及设备 | |
| CN103248720A (zh) | 一种查询物理地址的方法及装置 | |
| US9438475B1 (en) | Supporting relay functionality with a distributed layer 3 gateway | |
| CN102143164B (zh) | 报文中继方法、装置及基站 | |
| EP3583751B1 (en) | Method for an improved deployment and use of network nodes of a switching fabric of a data center or within a central office point of delivery of a broadband access network of a telecommunications network | |
| CN103561122B (zh) | IPv6地址配置方法、IPv6客户端及服务器 | |
| CN115567440A (zh) | 局域网间通信的实现方法及装置 | |
| CN103457794B (zh) | 确定ip承载网故障的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190125 |
|
| RJ01 | Rejection of invention patent application after publication |