ES2371127T3 - Método, sistema de comunicación y dispositivo para procesar paquetes arp. - Google Patents

Método, sistema de comunicación y dispositivo para procesar paquetes arp. Download PDF

Info

Publication number
ES2371127T3
ES2371127T3 ES08715268T ES08715268T ES2371127T3 ES 2371127 T3 ES2371127 T3 ES 2371127T3 ES 08715268 T ES08715268 T ES 08715268T ES 08715268 T ES08715268 T ES 08715268T ES 2371127 T3 ES2371127 T3 ES 2371127T3
Authority
ES
Spain
Prior art keywords
arp
response
request
processor
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08715268T
Other languages
English (en)
Inventor
Zhenhai Li
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2371127T3 publication Critical patent/ES2371127T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

Un método para el procesamiento de paquetes del Protocolo de Resolución de Direcciones (ARP), que comprende: recibir (101) un paquete ARP, y determinar el tipo del paquete ARP; cuando el paquete ARP es una petición ARP, responder (105) a la petición ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; y cuando el paquete ARP es una respuesta ARP, transmitir (110) la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar (112) la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío.

Description

Método, sistema de comunicación y dispositivo para procesar paquetes ARP
Campo de la invención
La presente invención está relacionada con las comunicaciones, y en particular, con un método, un sistema de comunicación y un dispositivo para procesar paquetes del Protocolo de Resolución de Direcciones (ARP).
Antecedentes de la invención
ARP es uno de los protocolos de los niveles inferiores en la pila del Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP). ARP está diseñado para traducir una dirección IP en una dirección física Ethernet, es decir, en una dirección de Control de Acceso al Medio (MAC).
Para el direccionamiento, las comunicaciones entre dispositivos Ethernet utilizan direcciones MAC, mientras diversas aplicaciones TCP/IP utilizan direcciones IP. En todo caso, los diversos paquetes de datos deben ser encapsulados en tramas Ethernet para ser transmitidos. Por lo tanto, antes de producirse las comunicaciones IP es necesario obtener la dirección MAC del otro extremo mediante la resolución de la dirección IP de dicho extremo. El protocolo responsable del proceso de resolución es ARP.
Un dispositivo de red utiliza la tecnología de memoria cache ARP (de almacenamiento intermedio de alta velocidad) para agilizar la traducción de direcciones cuando implementa el ARP, y emplea una estructura de tabla para almacenar localmente una determinada cantidad de correspondencias entre direcciones. La tabla se conoce generalmente como tabla ARP.
Sin embargo, en las redes actuales se producen generalmente ataques a la red basados en el protocolo ARP. Desde la perspectiva de los fundamentos de los ataques, los ataques ARP pertenecen a uno de los dos tipos siguientes:
1.
Suplantación de dirección: El atacante envía una petición ARP o una respuesta ARP que contiene una relación de correspondencia de direcciones errónea para corromper la tabla ARP del servidor o de la pasarela. En consecuencia, la pasarela o el servidor envían el paquete a una dirección física errónea y, de este modo, el ataque consigue su objetivo.
2.
Ataque de Denegación de Servicio (DoS) ARP: La DoS al ARP atacado se dirige generalmente a dispositivos pasarela (tales como enrutadores o conmutadores). Los paquetes ARP se procesan generalmente en el plano de control del dispositivo. El plano de control utiliza habitualmente una CPU de propósito general como motor de proceso. La CPU de propósito general se caracteriza por tener un procesamiento avanzado pero un rendimiento limitado. Cuando hay demasiadas tareas que procesar, la CPU del plano de control tiende a sobrecargarse o fallar. En vista de las deficiencias precedentes, el atacante de DoS al ARP envía al dispositivo pasarela un tráfico intenso de paquetes ARP para conseguir que el plano de control de dicho dispositivo se vea extremadamente cargado y no sea capaz de procesar los paquetes ARP normales y, de este modo, el ataque consigue su objetivo.
En la técnica anterior, un método para el procesamiento de paquetes ARP es el siguiente:
En primer lugar, se comprueba la dirección IP de cada paquete ARP en el plano de reenvío, y los paquetes ARP ilegales son descartados.
La comprobación de una dirección IP comprende:
1.
Verificar la dirección IP de destino: comprobar si la dirección IP de destino es una dirección IP perteneciente al segmento de red de la pasarela; en caso contrario, descartar el paquete; y
2.
Verificar la dirección IP de origen: comprobar si la dirección IP de origen es una dirección IP "legal". "Legal" significa que la dirección IP ya ha formado parte de las entradas de la tabla del ARP. Para estos paquetes, la prioridad de envío es alta; para el resto de paquetes ARP, la prioridad es baja.
En todo caso, la tecnología precedente no es capaz de evitar los ataques mediante direcciones IP legales.
Para evitar el inconveniente de la solución precedente, otro método para el procesamiento de paquetes ARP en la técnica anterior es el siguiente:
responder directamente a la petición ARP en el plano de reenvío gracias a la capacidad de procesamiento a alta velocidad del procesador de la red en el plano de reenvío.
Los paquetes ARP se clasifican en peticiones ARP y respuestas ARP. La solución precedente se ocupa únicamente
E08715268 03-11-2011
de las peticiones ARP, y es incapaz de resolver el problema de los ataques basados en tráfico masivo que utilizan las respuestas ARP. El documento US 2006/0209818 divulga métodos y dispositivos para impedir que se corrompa la cache ARP.
Resumen de la invención
La presente invención proporciona un método, un sistema de comunicación y un dispositivo para el procesamiento de paquetes ARP para impedir los ataque a la red lanzados mediante paquetes ARP.
Como un primer aspecto de la invención, el método para el procesamiento de paquetes ARP incluye:
recibir un paquete ARP y determinar el tipo de dicho paquete;
cuando el paquete ARP es una petición ARP, responder a la petición ARP si en una tabla ARP local existe una entrada ARP correspondiente a la petición ARP; y
cuando el paquete ARP es una respuesta ARP, si en la tabla ARP local existe una entrada ARP correspondiente a la respuesta ARP y el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, transmitir la respuesta ARP; o si en la tabla ARP no existe ninguna entrada ARP correspondiente a la respuesta ARP, descartar la respuesta ARP; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío.
Como un segundo aspecto de la invención, el sistema de comunicación incluye:
un procesador del plano de reenvío configurado para recibir un paquete del Protocolo de Resolución de Direcciones, ARP, y determinar el tipo del paquete ARP; si el paquete ARP es un una petición ARP y en una tabla ARP local existe una entrada ARP correspondiente a la petición ARP, responder a la petición ARP;
si el paquete ARP es una respuesta ARP y en la tabla ARP local existe una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, transmitir la respuesta ARP; o, si en la tabla ARP no existe ninguna entrada ARP correspondiente a la respuesta ARP, descartar la respuesta ARP; y
un procesador del plano de control configurado para recibir la petición ARP o la respuesta ARP remitida por el procesador del plano de reenvío;
donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío.
De acuerdo con la presente invención, el procesador del plano de reenvío puede responder directamente a una petición ARP recibida en lugar de crear una entrada ARP en función de la petición ARP, imposibilitando de este modo la utilización de la petición ARP para conseguir una suplantación de dirección en la tabla ARP. Además, al recibir una respuesta ARP, el procesador del plano de reenvío transmite únicamente la respuesta cuya transmisión se permite en la tabla ARP, imposibilitando de este modo los ataques que utilizan respuestas ARP masivas.
Breve descripción de los dibujos
La FIG. 1 es un diagrama de flujo de un método para el procesamiento de paquetes ARP en un modo de realización de la presente invención;
La FIG. 2 es un diagrama de flujo del procesamiento de una petición ARP en un modo de realización de la presente invención;
La FIG. 3 es un diagrama de flujo del procesamiento de una respuesta ARP en un modo de realización de la presente invención;
La FIG. 4 muestra un sistema de comunicación en un modo de realización de la presente invención; y
La FIG. 5 muestra un procesador del plano de reenvío en un modo de realización de la presente invención.
Descripción detallada de la invención
Los modos de realización de la presente invención proporcionan un método, un sistema de comunicación y un procesador del plano de reenvío para el procesamiento de paquetes ARP para impedir ataques a la red mediante la utilización de paquetes ARP.
La FIG. 1 es un diagrama de flujo de un método para el procesamiento de paquetes ARP en un modo de realización
E08715268 03-11-2011
de la presente invención. El método incluye:
101. Recibir un paquete ARP.
El procesador del plano de reenvío recibe un paquete ARP enviado por un dispositivo externo.
Generalmente, un dispositivo de comunicación de datos de gama alta (tales como enrutadores o conmutadores de gama alta) comprende tres planos relativamente independientes: un plano de control, un plano de reenvío y un plano de gestión.
El plano de control utiliza generalmente como motor de proceso una CPU de propósito general, y se encarga de protocolos de procesamiento avanzados (tales como el protocolo de enrutamiento).
El plano de reenvío se encarga del reenvío de los datos a alta velocidad.
El plano de gestión se encarga de la gestión de la red, las líneas de órdenes, los registros de sucesos y las alarmas.
En este modo de realización, el procesador del plano de reenvío puede consistir en un sistema de procesamiento compuesto por una CPU de un solo núcleo o de núcleo múltiple, o un procesador de red, o un procesador ASIC (Circuito Integrado para Aplicaciones Específicas), y los dispositivos periféricos necesarios para el funcionamiento de dichos componentes. Ejemplos de dichos periféricos son una Memoria de Acceso Aleatorio (RAM), o una Memoria Ternaria de Contenido Direccionable (TCAM), o una memoria Flash.
102.
Determinar el tipo del paquete ARP. Si el paquete ARP es una petición ARP, se ejecuta el paso 103; si el paquete ARP es una respuesta ARP, se ejecuta el paso 107.
La determinación del tipo del paquete ARP se basa en la técnica anterior y aquí no se proporcionan más detalles.
103.
Buscar en la tabla ARP.
Se explora la tabla ARP del procesador del plano de reenvío en función de la petición ARP recibida.
En este modo de realización, la tabla ARP del procesador del plano de reenvío se puede traspasar por parte del procesador del plano de control al procesador del plano de reenvío, o configurar directamente en el procesador del plano de reenvío.
En este modo de realización, en la entrada de la tabla ARP se incluye la correspondencia entre la dirección IP de la interfaz de la pasarela y la dirección MAC. Cuando en la interfaz se habilita el Protocolo de Redundancia de Enrutador Virtual (VRRP) es necesario mantener actualizada la entrada de acuerdo con los cambios de estado del VRRP.
En la entrada de la tabla ARP se puede activar un bit indicador para señalar si la entrada es una entrada ARP de una pasarela o una entrada ARP de una interfaz de comunicación (proxy).
104.
Determinar si en la tabla ARP aparece una entrada correspondiente a la petición ARP recibida; en caso afirmativo, se ejecuta el paso 105; en caso contrario, se ejecuta el paso 106.
Más adelante, en el siguiente modo de realización, se detallará cómo se realiza la determinación anterior.
105.
Responder a la petición ARP.
Si en la tabla ARP se encuentra una entrada correspondiente a la petición ARP recibida, el procesador del plano de reenvío responde a la petición ARP. Más adelante, en el siguiente modo de realización, se detallará cómo se efectúa dicha respuesta.
106.
Realizar otros procesos.
Si en la tabla ARP no se encuentra ninguna entrada correspondiente a la petición ARP recibida, el procesador del plano de reenvío realiza otros procesos. Más adelante, en el siguiente modo de realización, se detallarán dichos procesos.
107.
Buscar en la tabla ARP. Se explora la tabla ARP del procesador del plano de reenvío de acuerdo con la respuesta ARP recibida. En este modo de realización, la tabla ARP del procesador del plano de reenvío se puede traspasar por parte del
procesador del plano de control al procesador del plano de reenvío, o configurar directamente en el procesador del plano de reenvío. 4
E08715268 03-11-2011
108.
Determinar si en la tabla ARP aparece una entrada correspondiente a la respuesta ARP recibida; en caso afirmativo, se ejecuta el paso 109; en caso contrario, se ejecuta el paso 112.
109.
Determinar si el parámetro de transmisión en la entrada correspondiente indica que se permite la transmisión. Si el parámetro de transmisión indica que ésta está permitida, se ejecuta el paso 110; en caso contrario se ejecuta el paso 111.
110.
Comunicar la respuesta ARP.
Si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que se permite la transmisión, el procesador del plano de reenvío comunica la respuesta ARP al procesador del plano de control.
111.
Realizar otros procesos.
Si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que la transmisión no está permitida, el procesador del plano de reenvío realiza otros procesos. Más adelante, en el siguiente modo de realización, se detallarán dichos procesos.
112.
Descartar la respuesta ARP.
Si en la tabla ARP no aparece ninguna entrada correspondiente a la respuesta ARP recibida, se descarta la respuesta ARP.
En el siguiente modo de realización, el procesador del plano de reenvío responde directamente a la petición ARP recibida, en lugar de crear una entrada ARP en función de la petición ARP, imposibilitando de este modo la utilización de la petición ARP para conseguir una suplantación de dirección en la tabla ARP. Además, al recibir una respuesta ARP, el procesador del plano de reenvío comunica únicamente la respuesta ARP cuya transmisión se permite en la tabla ARP, imposibilitando de este modo los ataques que utilizan respuestas ARP masivas.
A continuación se detalla el método para el procesamiento de cada tipo de paquete ARP:
I. Procesar una petición ARP.
La FIG. 2 es un diagrama de flujo de un método para el procesamiento de una petición ARP en un modo de realización de la presente invención. El método incluye:
201.
Recibir una petición ARP. El procesador del plano de reenvío recibe una petición ARP enviada por un dispositivo externo.
202.
Si la dirección MAC de origen de la petición ARP es una dirección de unidifusión, filtrar la petición ARP.
El modo en el que se realiza el filtro de la petición ARP se basa en la técnica anterior y aquí no se proporcionan más detalles.
203.
Buscar en la tabla ARP.
Los parámetros tales como el número de puerto, la ID de la Red de Área Local Virtual (VLAN) y la dirección IP de destino se extraen de la petición ARP recibida, y se explora la tabla ARP almacenada localmente en el procesador del plano de reenvío en función de los parámetros obtenidos.
204 Determinar si en la tabla ARP aparece una entrada correspondiente a la petición ARP recibida; en caso afirmativo, se ejecuta el paso 205; en caso contrario, se ejecuta el paso 208.
205.
Determinar si la petición ARP es una petición ARP de una pasarela o una petición ARP de un proxy; en caso afirmativo, se ejecuta el paso 206; en caso contrario, se ejecuta el paso 207.
La determinación se lleva a cabo comprobando un bit de indicación de "entrada ARP de pasarela o entrada ARP de proxy" en la entrada correspondiente.
206.
Responder a la petición ARP.
Si la petición ARP es una petición ARP de una pasarela o una petición ARP de un proxy, el procesador del plano de reenvío envía al dispositivo externo la respuesta a la petición ARP. La respuesta se realiza editando la petición ARP para transformar la petición ARP en una respuesta ARP, o creando una nueva respuesta ARP cuya dirección MAC de origen sea la dirección MAC almacenada en esta entrada ARP. La respuesta ARP editada o la respuesta ARP recién creada se envía a través de un puerto especificado en la entrada ARP.
E08715268 03-11-2011
En este modo de realización, en el proceso de respuesta a la petición ARP el procesador del plano de reenvío no crea una entrada ARP en función de la dirección IP de origen o la dirección MAC de la petición ARP, sino que realiza un procesamiento de la petición ARP sin información independientemente del estado.
207 Descartar la petición ARP.
Se descarta la petición ARP recibida.
208.
Determinar si la función proxy ARP está habilitada en la interfaz que recibió la petición ARP; si la función ARP está habilitada, se ejecuta el paso 209; en caso contrario, se ejecuta el paso 207.
209.
Limitar la velocidad de la petición ARP y transmitir la petición ARP.
Si la función proxy ARP está habilitada en la interfaz que recibió la petición ARP, el procesador del plano de reenvío limita la velocidad de la petición ARP y a continuación transmite la petición ARP al procesador del plano de control.
En este modo de realización, la determinación de si la petición ARP es una petición ARP de una pasarela o una petición ARP de un proxy se puede realizar explorando la tabla de reenvío u otras tablas que incluyan dicha información. El proceso detallado es similar al del modo de realización precedente.
En este modo de realización, después de que el procesador del plano de reenvío limite la velocidad de la petición ARP recibida y transmita la petición ARP al procesador del plano de control en el paso 209, el procesador del plano de control gestiona la petición ARP del proxy y, a continuación, traspasa la entrada proxy ARP al procesador del plano de reenvío de acuerdo con la configuración. La dirección MAC de la entrada proxy ARP es la dirección MAC de la pasarela. Posteriormente, cuando se recibe la petición ARP correspondiente a la entrada proxy ARP, el procesador del plano de reenvío puede gestionar directamente la petición ARP, sin enviársela al procesador del plano de control. Como consecuencia, en el caso de que la función proxy ARP esté habilitada se incrementa la velocidad de procesamiento y se mejora la capacidad de prevenir ataques mediante peticiones ARP.
En este modo de realización, en el proceso de respuesta a la petición ARP el procesador del plano de reenvío no crea una entrada ARP correspondiente a la dirección IP de origen o la dirección MAC de la petición ARP, imposibilitando de este modo los ataques ARP que utilizan las peticiones ARP para conseguir la suplantación de una dirección MAC.
II. Procesar una respuesta ARP
La FIG. 3 es un diagrama de flujo de un método para el procesamiento de una respuesta ARP en un modo de realización de la presente invención. El método incluye:
301.
Recibir una respuesta ARP.
El procesador del plano de reenvío recibe una respuesta ARP enviada por un dispositivo externo.
302.
Buscar en la tabla ARP.
La dirección IP de origen se obtiene a partir de la respuesta ARP recibida, y se explora la tabla ARP almacenada localmente en el procesador del plano de reenvío en función de la dirección IP obtenida.
303.
Determinar si en la tabla ARP aparece una entrada correspondiente a la respuesta ARP recibida; en caso afirmativo, se ejecuta el paso 304; en caso contrario, se ejecuta el paso 307.
304.
Determinar si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que se permite la transmisión. Si el parámetro de transmisión indica que ésta está permitida, se ejecuta el paso 305; en caso contrario se ejecutan los pasos 306 ó 307.
305.
Transmitir la respuesta ARP.
Si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que se permite la transmisión, el procesador del plano de reenvío transmite la respuesta ARP al procesador del plano de control.
En este modo de realización, el procesador del plano de reenvío transmite la respuesta ARP al procesador del plano de control. El procesador del plano de control gestiona la respuesta ARP y, a continuación, cambia el parámetro de transmisión en la entrada de la tabla ARP correspondiente a la respuesta ARP al estado "transmisión no permitida".
306. Limitar la velocidad de la respuesta ARP y, a continuación, transmitir la respuesta ARP.
El procesador del plano de reenvío limita la velocidad de la respuesta ARP de acuerdo con la regla de proceso preestablecida y, a continuación, transmite la respuesta ARP al procesador del plano de control.
E08715268 03-11-2011
307. Descartar la respuesta ARP.
En este modo de realización, si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que no se permite la transmisión en el paso 304, 306 ó 307, se puede elegir qué criterio aplicar de acuerdo con la regla de proceso preestablecida. Por ejemplo, en circunstancias normales la dirección MAC del dispositivo no cambia con frecuencia. Por lo tanto, se puede elegir el criterio de descartar la respuesta ARP. En circunstancias especiales, cuando se requiere que la dirección MAC del dispositivo cambie frecuentemente, se puede elegir el criterio de limitar la velocidad. Para prevenir la suplantación de direcciones resulta más efectivo el criterio de descartar la respuesta ARP que el de limitar la velocidad. Por lo tanto, se prefiere el criterio de descartar la respuesta ARP, excepto en circunstancias especiales.
En este modo de realización, el criterio de limitación de la velocidad o el criterio de descartar se implementan mediante la búsqueda en la tabla apropiada. El tipo de tabla no está limitado en la presente invención.
Como se muestra en la FIG. 4, un sistema de comunicación provisto en un modo de realización de la presente invención incluye:
un dispositivo externo 401, adaptado para enviar una petición ARP y una respuesta ARP;
un procesador 402 del plano de reenvío, adaptado para determinar el tipo del paquete ARP recibido; si el paquete ARP es una petición ARP, buscar en la tabla ARP local y responder a la petición ARP de acuerdo con la entrada de la tabla ARP correspondiente a la petición ARP; si el paquete ARP es una respuesta ARP, buscar en la tabla ARP local y determinar si el parámetro de transmisión en la entrada correspondiente a la respuesta ARP indica que se permite la transmisión de acuerdo con la entrada correspondiente de la tabla ARP a la respuesta ARP; si el parámetro de transmisión indica que ésta está permitida, transmitir la respuesta ARP; si en la tabla ARP no aparece ninguna entrada correspondiente a la respuesta ARP, descartar la respuesta ARP; y
un procesador 403 del plano de control, adaptado para recibir la petición ARP o la respuesta ARP remitidas por el procesador 402 del plano de reenvío.
La FIG. 5 muestra un procesador del plano de reenvío en un modo de realización de la presente invención. El procesador del plano de reenvío incluye:
una unidad de determinación 501, adaptada para determinar el tipo del paquete ARP recibido;
una primera unidad de búsqueda 502, adaptada para explorar la tabla ARP local cuando el paquete ARP es una petición ARP;
una unidad de respuesta 503, adaptada para responder a la petición ARP si en la tabla ARP existe una entrada correspondiente a la petición ARP;
una segunda unidad de búsqueda 504, adaptada para explorar la tabla ARP local cuando el paquete ARP es una respuesta ARP;
una unidad 506 para descartar, adaptada para descartar la respuesta ARP si en la tabla ARP no existe ninguna entrada correspondiente a la respuesta ARP;
una unidad de limitación de la velocidad 509, adaptada para limitar la velocidad del paquete ARP y trasmitir el paquete ARP al procesador del plano de control;
una unidad 508 de determinación de interfaz, adaptada para determinar si la función proxy ARP está habilitada en la interfaz que recibe la petición ARP en caso de que no exista en la tabla ARP ninguna entrada correspondiente a la petición ARP recibida; si la función proxy ARP está habilitada, indicar a la unidad de limitación de la velocidad 509 que limite la velocidad del paquete ARP y transmitir el paquete ARP; si la función proxy ARP no está habilitada, indicar a la unidad 506 para descartar que descarte la petición ARP;
una unidad de verificación 505, adaptada para determinar si el parámetro de transmisión de la entrada correspondiente a la respuesta ARP indica que se permite la transmisión, en caso de que exista en la tabla ARP una entrada correspondiente a la respuesta ARP; y
una unidad de transmisión 507, adaptada para transmitir la respuesta ARP al procesador del plano de control si el parámetro de transmisión de la entrada correspondiente a la respuesta ARP indica que se permite la transmisión.
En aplicaciones reales se pueden combinar en una sola unidad varias unidades que en los modos de realización de la presente invención realizan funciones similares. Por ejemplo, la primera unidad de búsqueda 502 y la segunda unidad de búsqueda 504 se pueden implementar en una sola unidad.
Aquellos experimentados en la técnica comprenderán que todos o una parte de los pasos del método de los modos de realización precedentes se pueden implementar mediante un hardware controlado por un programa. El programa se puede almacenar en un medio de almacenamiento legible por el ordenador. Al ser ejecutado, el programa lleva a cabo estos pasos: El procesador del plano de reenvío determina el tipo de un paquete ARP recibido; si el paquete 5 ARP es una petición ARP, el procesador del plano de reenvío busca en la tabla ARP local, y si encuentra en la tabla ARP una entrada correspondiente a la petición ARP, responde directamente a la petición ARP; si el paquete ARP es una respuesta ARP, el procesador del plano de reenvío busca en la tabla ARP local, y si encuentra en la tabla ARP una entrada correspondiente a la respuesta ARP determina si el parámetro de transmisión en la entrada indica si la transmisión está permitida; si el parámetro de transmisión indica que se permite la transmisión, el procesador del
10 plano de reenvío transmite la respuesta ARP al procesador del plano de control; si no se encuentra en la tabla ARP ninguna entrada correspondiente a la respuesta ARP, el procesador del plano de reenvío descarta la respuesta ARP.
El medio de almacenamiento puede ser una Memoria Solo de Lectura (ROM), un disco magnético o un Disco Compacto (CD).
15 Más arriba se han detallado un método, un sistema de comunicación y un procesador del plano de reenvío para el procesamiento de paquetes ARP de acuerdo con la presente invención. Aunque la invención se describe a través de diversos modos de realización a modo de ejemplo, la invención no se limita a dichos modos de realización.
E08715268 03-11-2011

Claims (15)

  1. REIVINDICACIONES
    1. Un método para el procesamiento de paquetes del Protocolo de Resolución de Direcciones (ARP), que comprende:
    recibir (101) un paquete ARP, y determinar el tipo del paquete ARP;
    cuando el paquete ARP es una petición ARP, responder (105) a la petición ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; y
    cuando el paquete ARP es una respuesta ARP, transmitir (110) la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar (112) la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP;
    donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío.
  2. 2. El método para el procesamiento de paquetes ARP de la reivindicación 1, que comprende, además:
    cuando el paquete ARP es la petición ARP, determinar si en la interfaz que recibe la petición ARP está habilitada una función proxy ARP, si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la petición ARP; si la función proxy ARP está habilitada, limitar la velocidad de la petición ARP y, a continuación, transmitir la petición
    ARP a un procesador del plano de control; y si la función proxy ARP no está habilitada, descartar la petición ARP.
  3. 3.
    El método para el procesamiento de paquetes ARP de la reivindicación 1, que comprende, además:
    cuando el paquete ARP es la respuesta ARP (301), si en la tabla ARP (302) se encuentra la entrada ARP correspondiente a la respuesta ARP, y el un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que no se permite la transmisión (304), limitar (306) la velocidad de la respuesta ARP y, a continuación, transmitir la respuesta ARP a un procesador del plano de control, o descartar (307) la respuesta ARP.
  4. 4.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, que comprende, además:
    si el paquete ARP es una petición ARP,
    explorar la tabla ARP en función de un número de puerto de la petición ARP, una ID de una Red de Área Local Virtual, VLAN, y una dirección de destino del Protocolo de Internet, IP.
  5. 5.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, donde, antes de responder a la petición ARP, el método comprende, además:
    si la entrada ARP correspondiente a la petición ARP no es una entrada ARP de una pasarela o una entrada ARP de un proxy (205), descartar la petición ARP (207).
  6. 6.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, que comprende, además:
    si el paquete ARP es una respuesta ARP, explorar la tabla ARP en función de una dirección de origen del Protocolo de Internet, IP, de la respuesta ARP.
  7. 7.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, donde, después de transmitir la petición ARP, el método comprende, además:
    modificar el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP en la tabla ARP para que indique que no se permite la transmisión.
  8. 8.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1 ó 2, donde la entrada ARP correspondiente a la petición ARP comprende la relación de correspondencia entre la dirección IP de la interfaz de una pasarela y la dirección MAC de la pasarela.
  9. 9.
    El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1 ó 3, donde la entrada ARP correspondiente a la respuesta ARP comprende transmitir el parámetro que indica el permiso de transmisión.
    E08715268 03-11-2011
  10. 10. Un sistema de comunicación que comprende:
    un procesador (402) del plano de reenvío, configurado para recibir un paquete del Protocolo de Resolución de Direcciones, ARP, y determinar el tipo del paquete ARP; cuando el paquete ARP es una petición ARP, responder a la petición ARP si en una tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; cuando el paquete ARP es una respuesta ARP, transmitir la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP; y
    un procesador (403) del plano de control, configurado para recibir la petición ARP o la respuesta ARP remitida por el procesador del plano de reenvío;
    donde la tabla ARP local se traspasa por parte un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío.
  11. 11. El sistema de comunicación de la reivindicación 10, donde el procesador (402) del plano de reenvío comprende:
    una unidad de determinación (501), configurada para determinar el tipo de un paquete del Protocolo de Resolución de Direcciones, ARP, recibido;
    una primera unidad de búsqueda (502), configurada para explorar la tabla ARP local cuando la unidad de determinación establece que el paquete ARP es una petición ARP;
    una unidad de respuesta (503), configurada para responder a la petición ARP si la primera unidad de búsqueda encuentra una entrada ARP correspondiente a la petición ARP;
    una segunda unidad de búsqueda (504), configurada para explorar la tabla ARP local cuando la unidad de determinación establece que el paquete ARP es una respuesta ARP; y
    una unidad para descartar (506), configurada para descartar la respuesta ARP si la segunda unidad de búsqueda no encuentra ninguna entrada ARP correspondiente a la respuesta ARP.
  12. 12. El sistema de comunicación de la reivindicación 11, donde el procesador (402) del plano de reenvío comprende, además:
    una unidad de limitación de la velocidad (509), configurada para limitar la velocidad del paquete ARP y trasmitir el paquete ARP a un procesador del plano de control;
    una unidad (508) de determinación de interfaz, configurada para determinar si la función proxy ARP está habilitada en la interfaz que recibe la petición ARP cuando la primera unidad de búsqueda no encuentra en la tabla ARP ninguna entrada correspondiente a la petición ARP recibida; si la función proxy ARP está habilitada, indicar a la unidad de limitación de la velocidad que limite la velocidad de la petición ARP y que transmita la petición ARP; si la función proxy ARP no está habilitada, indicar a la unidad para descartar que descarte la petición ARP.
  13. 13. El sistema de comunicación de la reivindicación 11 ó la reivindicación 12, donde el procesador (402) del plano de reenvío comprende, además:
    una unidad de verificación (505), configurada para determinar si un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, cuando en la tabla ARP se encuentre la entrada ARP correspondiente a la respuesta ARP; y
    una unidad de transmisión (507), configurada para transmitir la respuesta ARP cuando el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión.
  14. 14.
    El sistema de comunicación de cualquiera de las reivindicaciones 10-12, donde la entrada ARP correspondiente a la petición ARP comprende la relación de correspondencia entre la dirección IP de la interfaz de una pasarela y la dirección MAC de la pasarela.
  15. 15.
    El sistema de comunicación de cualquiera de las reivindicaciones 10-13, donde la entrada ARP correspondiente a la respuesta ARP comprende transmitir el parámetro que indica el permiso de transmisión.
ES08715268T 2007-07-20 2008-03-19 Método, sistema de comunicación y dispositivo para procesar paquetes arp. Active ES2371127T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200710129994 2007-07-20
CN2007101299947A CN101094236B (zh) 2007-07-20 2007-07-20 地址解析协议报文处理方法及通讯系统及转发平面处理器

Publications (1)

Publication Number Publication Date
ES2371127T3 true ES2371127T3 (es) 2011-12-27

Family

ID=38992262

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08715268T Active ES2371127T3 (es) 2007-07-20 2008-03-19 Método, sistema de comunicación y dispositivo para procesar paquetes arp.

Country Status (7)

Country Link
US (2) US8542684B2 (es)
EP (1) EP2139187B1 (es)
CN (1) CN101094236B (es)
AT (1) ATE523023T1 (es)
ES (1) ES2371127T3 (es)
PT (1) PT2139187E (es)
WO (1) WO2009012663A1 (es)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094236B (zh) 2007-07-20 2011-08-10 华为技术有限公司 地址解析协议报文处理方法及通讯系统及转发平面处理器
CN101547187B (zh) * 2008-03-28 2012-01-11 中兴通讯股份有限公司 宽带接入设备的网络攻击防护方法
CN101998531B (zh) 2009-08-11 2013-04-24 华为技术有限公司 策略和计费控制规则授权方法、装置及系统
CN101997768B (zh) * 2009-08-21 2012-10-17 华为技术有限公司 一种上送地址解析协议报文的方法和装置
CN102195862A (zh) * 2010-03-11 2011-09-21 正文科技股份有限公司 路由装置及相关的封包处理电路
US8879554B2 (en) * 2010-05-07 2014-11-04 Cisco Technology, Inc. Preventing MAC spoofs in a distributed virtual switch
CN102255984B (zh) * 2011-08-08 2015-06-03 华为技术有限公司 一种arp请求报文验证方法及装置
CN103036794A (zh) * 2011-10-10 2013-04-10 华为技术有限公司 一种报文的学习方法、装置和系统
KR101270041B1 (ko) * 2011-10-28 2013-05-31 삼성에스디에스 주식회사 Arp 스푸핑 공격 탐지 시스템 및 방법
US9455948B2 (en) * 2012-06-29 2016-09-27 Cisco Technology, Inc. Reducing proliferation of network-to-link-layer address resolution messages
CN102843362B (zh) * 2012-08-08 2016-05-04 唐稳杰 一种使用tcam进行arp防御的方法
CN103024851A (zh) * 2012-11-23 2013-04-03 福建星网锐捷网络有限公司 基于无线网络的报文传输方法、装置及网络设备
CN103152203B (zh) * 2013-03-18 2015-10-14 成都广达电子股份有限公司 一种eoc局端mac地址限制学习的方法
CN103347031B (zh) * 2013-07-26 2016-03-16 迈普通信技术股份有限公司 一种防范arp报文攻击的方法及设备
WO2015100593A1 (zh) 2013-12-31 2015-07-09 华为技术有限公司 一种报文传输方法、设备及通信系统
EP3092751A4 (en) 2014-01-06 2017-10-18 Samsung Electronics Co., Ltd. Method and apparatus for relaying packet transmission and updating network address information in communication system
US9716687B2 (en) * 2014-06-19 2017-07-25 Cisco Technology, Inc. Distributed gateways for overlay networks
US9876712B2 (en) * 2014-09-05 2018-01-23 Kt Corporation Method and device for processing address resolution protocol in software-defined networking environment
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
CN104601460B (zh) * 2015-02-16 2018-12-25 新华三技术有限公司 一种报文转发方法及装置
CN106470127B (zh) * 2015-08-18 2020-12-29 中兴通讯股份有限公司 一种网络异常流量的检测方法及系统
CN105939332B (zh) * 2016-03-03 2019-09-17 杭州迪普科技股份有限公司 防御arp攻击报文的方法及装置
CN106130985B (zh) * 2016-06-24 2019-09-06 新华三技术有限公司 一种报文处理方法及装置
CN106982234A (zh) * 2017-05-26 2017-07-25 杭州迪普科技股份有限公司 一种arp攻击防御方法及装置
CN107294989B (zh) * 2017-07-04 2020-02-11 杭州迪普科技股份有限公司 一种防arp网关欺骗的方法及装置
CN108234522B (zh) * 2018-03-01 2021-01-22 深圳市共进电子股份有限公司 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质
US10616175B2 (en) 2018-05-01 2020-04-07 Hewlett Packard Enterprise Development Lp Forwarding information to forward data to proxy devices
CN109274638A (zh) * 2018-05-22 2019-01-25 四川斐讯信息技术有限公司 一种攻击源接入自动识别处理的方法和路由器
US11050650B1 (en) * 2019-05-23 2021-06-29 Juniper Networks, Inc. Preventing traffic outages during address resolution protocol (ARP) storms
CN113872949B (zh) * 2021-09-18 2023-08-22 山东云海国创云计算装备产业创新中心有限公司 一种地址解析协议的应答方法及相关装置
CN114051013B (zh) * 2021-10-26 2023-11-24 联想(北京)有限公司 一种通信数据传输方法及装置
CN114221928A (zh) * 2021-11-05 2022-03-22 济南浪潮数据技术有限公司 一种管理网ip冲突的防御方法、系统、装置及存储介质

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708654A (en) * 1996-11-27 1998-01-13 Arndt; Manfred R. Method for detecting proxy ARP replies from devices in a local area network
US6771649B1 (en) * 1999-12-06 2004-08-03 At&T Corp. Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning
US8001269B1 (en) * 2002-06-18 2011-08-16 Cisco Technology, Inc. Network address translation with IP redundancy
CN1233135C (zh) * 2002-06-22 2005-12-21 华为技术有限公司 一种动态地址分配中防止ip地址欺骗的方法
CN1133350C (zh) 2002-08-15 2003-12-31 西安西电捷通无线网络通信有限公司 使用主动arp实现移动终端跨ip网际漫游的方法
FR2844941B1 (fr) * 2002-09-24 2005-02-18 At & T Corp Demande d'acces securise aux ressources d'un reseau intranet
US7356032B1 (en) * 2002-11-01 2008-04-08 Bbn Technologies Corp. System and method for reducing broadcast traffic wireless access-point networks
CN1173531C (zh) 2003-01-17 2004-10-27 清华大学 同时支持路由查找、ip包分类、arp查找的方法及查找系统
US7490351B1 (en) * 2003-03-12 2009-02-10 Occam Networks Controlling ARP traffic to enhance network security and scalability in TCP/IP networks
CN100353717C (zh) * 2003-03-28 2007-12-05 华为技术有限公司 一种针对互联网协议的安全访问控制方法
CN100379205C (zh) 2003-08-11 2008-04-02 华为技术有限公司 交换机加速arp表项老化的方法
US7237267B2 (en) * 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US8149723B2 (en) 2004-05-21 2012-04-03 Computer Associates Think, Inc. Systems and methods for discovering machines
US7471684B2 (en) 2004-10-21 2008-12-30 International Machines Corporation Preventing asynchronous ARP cache poisoning of multiple hosts
US7551559B1 (en) * 2004-10-22 2009-06-23 Cisco Technology, Inc. System and method for performing security actions for inter-layer binding protocol traffic
CN100490424C (zh) 2005-03-01 2009-05-20 杭州华三通信技术有限公司 一种分布式arp实现方法
US20060209818A1 (en) * 2005-03-18 2006-09-21 Purser Jimmy R Methods and devices for preventing ARP cache poisoning
US7436783B2 (en) * 2005-04-04 2008-10-14 Apple Inc. Method and apparatus for detecting a router that improperly responds to ARP requests
CN100563245C (zh) * 2005-04-27 2009-11-25 华为技术有限公司 一种针对arp泛滥攻击的防范方法
CN100505757C (zh) * 2005-08-09 2009-06-24 华为技术有限公司 Arp缓存表防攻击方法
JP4640128B2 (ja) * 2005-11-16 2011-03-02 日立電線株式会社 応答通信機器及びarp応答通信機器
CN100454901C (zh) 2006-02-17 2009-01-21 华为技术有限公司 一种arp报文处理方法
CN1946041B (zh) 2006-06-20 2010-08-18 杭州华三通信技术有限公司 基于arp侦听的vlan聚合方法、汇聚交换机及系统
CN100553259C (zh) 2006-09-15 2009-10-21 杭州华三通信技术有限公司 一种arp报文处理方法及装置
CN101094236B (zh) * 2007-07-20 2011-08-10 华为技术有限公司 地址解析协议报文处理方法及通讯系统及转发平面处理器

Also Published As

Publication number Publication date
EP2139187B1 (en) 2011-08-31
US20100054253A1 (en) 2010-03-04
US8542684B2 (en) 2013-09-24
ATE523023T1 (de) 2011-09-15
EP2139187A4 (en) 2010-04-14
CN101094236A (zh) 2007-12-26
PT2139187E (pt) 2011-11-10
WO2009012663A1 (fr) 2009-01-29
US9148374B2 (en) 2015-09-29
EP2139187A1 (en) 2009-12-30
US20130336326A1 (en) 2013-12-19
CN101094236B (zh) 2011-08-10

Similar Documents

Publication Publication Date Title
ES2371127T3 (es) Método, sistema de comunicación y dispositivo para procesar paquetes arp.
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US7672293B2 (en) Hardware throttling of network traffic sent to a processor based on new address rates
US10348684B2 (en) Filtering of packets for packet types at network devices
US8661544B2 (en) Detecting botnets
KR101863024B1 (ko) 분산 로드 밸런서
WO2019062839A1 (zh) 转发报文的方法、装置、交换机、设备及存储介质
EP2224645B1 (en) A method and equipment for transmitting a message based on the layer-2 tunnel protocol
EP2469787B1 (en) Method and device for preventing network attacks
US10587514B1 (en) Filtering control plane decision requests for forwarding network packets
US20070183416A1 (en) Per-port penalty queue system for re-prioritization of network traffic sent to a processor
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
US10805240B2 (en) System and method of processing network data
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
US11323485B2 (en) Network traffic switching for virtual machines
EP3618355B1 (en) Systems and methods for operating a networking device
US11632288B2 (en) Determining the impact of network events on network applications
WO2019096104A1 (zh) 攻击防范
KR100439950B1 (ko) 네트워크 침입탐지 시스템
US8050266B2 (en) Low impact network debugging
Spangler Packet sniffing on layer 2 switched local area networks
US20110216770A1 (en) Method and apparatus for routing network packets and related packet processing circuit
US11838197B2 (en) Methods and system for securing a SDN controller from denial of service attack