PT2139187E - Método, sistema de comunicação e dispositivo para processamento de pacotes arp - Google Patents
Método, sistema de comunicação e dispositivo para processamento de pacotes arp Download PDFInfo
- Publication number
- PT2139187E PT2139187E PT08715268T PT08715268T PT2139187E PT 2139187 E PT2139187 E PT 2139187E PT 08715268 T PT08715268 T PT 08715268T PT 08715268 T PT08715268 T PT 08715268T PT 2139187 E PT2139187 E PT 2139187E
- Authority
- PT
- Portugal
- Prior art keywords
- arp
- response
- request
- packet
- communication
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Description
1
DESCRIÇÃO "MÉTODO, SISTEMA DE COMUNICAÇÃO E DISPOSITIVO PARA PROCESSAMENTO DE PACOTES ARP"
Campo da Invenção A presente invenção refere-se a comunicações e, em particular, a um método, um sistema de comunicação e um dispositivo de processamento de pacotes ARP (Address Resolution Protocol).
Antecedentes da Invenção 0 ARP é um dos protocolos de camada inferior no conjunto de protocolos TCP/IP (Transmission Control Protocol/Internet Protocol - Protocolo de Controlo de Transmissão/Protocolo de Internet). 0 ARP foi concebido para converter um endereço IP num endereço físico Ethernet, nomeadamente um endereço MAC (Media Access Control - Controlo de Acesso de Suporte).
As comunicações entre dispositivos Ethernet utilizam endereços MAC para o endereçamento, enquanto várias aplicações TCP/IP utilizam endereços IP para o endereçamento. É necessário que vários pacotes de dados sejam finalmente encapsulados em tramas Ethernet para a transmissão. Por conseguinte, antes de efetuar comunicações IP, é necessário obter o endereço MAC do outro lado através da resolução do endereço IP do outro lado. 0 protocolo responsável pelo processo de resolução é o ARP.
Para acelerar a conversão de endereços, um dispositivo de rede utiliza a tecnologia de cache ARP ao implementar o ARP e utiliza uma estrutura de tabela para colocar em cache uma 2 determinada quantidade de relações de mapeamento de endereços localmente. Em geral, a tabela é conhecida como tabela ARP.
Contudo, na rede existente, existem habitualmente ataques de rede baseados em ARP. Da perspetiva da origem do ataque, os ataques ARP dividem-se nos seguintes dois tipos: 1. Fraude de endereço: a pessoa que efetua o ataque envia um pedido ARP ou uma resposta ARP com uma relação de mapeamento de endereço errado para alterar a tabela ARP do anfitrião ou da porta de conexão. Por conseguinte, a porta de conexão ou o anfitrião envia o pacote para um endereço físico errado e o ataque funciona. 2. Ataque DoS (Denial of Service) ARP: geralmente, o ataque DoS ARP visa os dispositivos da porta de conexão (tais como um router ou um comutador) . Os pacotes ARP são, de uma forma geral, processados no plano de controlo do dispositivo. Habitualmente, o plano de controlo utiliza uma CPU universal como um motor de processamento. A CPU universal é caracterizada por ter um processamento sofisticado, mas um desempenho limitado. Devido às demasiadas tarefas de processamento, a CPU no plano de controlo tem tendência para ficar sobrecarregada ou avariar. Tendo em conta a fraqueza anterior, a pessoa que efetua o ataque DoS ARP envia pacotes ARP de tráfego elevado para o dispositivo da porta de conexão, de modo a tornar o plano de controlo do dispositivo extremamente ocupado e incapaz de processar pacotes ARP normais, e o ataque funciona. 3
Em seguida, é apresentado um método de processamento de pacotes ARP no estado da técnica:
Primeiro, o endereço IP de cada pacote ARP é verificado no plano de encaminhamento e os pacotes ARP ilegais são rejeitados. A verificação do endereço IP inclui: 1. Verificação do endereço IP de destino: verificar se o endereço IP de destino corresponde ao endereço IP no segmento de rede da porta de conexão; caso contrário, rejeitar o pacote; e 2. Verificação do endereço IP de origem: verificar se o endereço IP de origem é um endereço IP "legal". "Legal" significa que o endereço IP já esteve nas entradas da tabela ARP. Para esses pacotes, a prioridade de envio é elevada; para outros pacotes ARP, a prioridade de envio é baixa.
Contudo, a tecnologia anterior é incapaz de impedir os ataques com endereços IP legais.
Para superar o defeito da solução anterior, outro método de processamento de pacotes ARP no estado da técnica é: a resposta ao pedido ARP no plano de encaminhamento diretamente mediante a utilização da capacidade de processamento de alta velocidade do processador de rede no plano de encaminhamento.
Os pacotes ARP classificam-se em pedido ARP e resposta ARP. A solução anterior trata apenas do pedido ARP e é incapaz de resolver o problema dos ataques de tráfego elevado utilizando a resposta ARP. 0 pedido de patente US 4 2006/0209818 divulga métodos e dispositivos para impedir a corrupção de cache ARP.
Resumo da Invenção A presente invenção fornece um método, um sistema de comunicação e um dispositivo de processamento de pacotes ARP para impedir ataques de rede iniciados com pacotes ARP.
Como um primeiro aspeto da invenção, o método de processamento de pacotes ARP inclui: a receção de um pacote ARP e a avaliação do tipo do pacote ARP; quando o pacote ARP é um pedido ARP, a resposta ao pedido ARP se uma entrada ARP correspondente ao pedido ARP for encontrada numa tabela ARP local; e quando o pacote ARP é uma resposta ARP, a comunicação da resposta ARP se uma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP local e o parâmetro de comunicação no ARP correspondente à entrada de resposta ARP indicar permissão de comunicação; ou a rejeição da resposta ARP se nenhuma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP; em que a tabela ARP local é fornecida por um processador de plano de controlo a um processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente.
Como um segundo aspeto da invenção, o sistema de comunicação inclui: um processador de plano de encaminhamento, configurado para receber um pacote ARP (Address Resolution Protocol) e 5 avaliar o tipo do pacote ARP; quando o pacote ARP é um pedido ARP, responder ao pedido ARP se uma entrada ARP correspondente ao pedido ARP for encontrada numa tabela ARP local; quando o pacote ARP é uma resposta ARP, comunicar a resposta ARP se uma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP local e um parâmetro de comunicação na entrada ARP correspondente à resposta ARP indicar permissão de comunicação; ou rejeitar a resposta ARP se nenhuma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP; e um processador de plano de controlo, configurado para receber a resposta ARP ou o pedido ARP comunicado pelo processador de plano de encaminhamento; em que a tabela ARP local é fornecida por um processador de plano de controlo a um processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente.
De acordo com a presente invenção, o processador de plano de encaminhamento pode responder a um pedido ARP recebido diretamente em vez de gerar uma entrada ARP de acordo com o pedido ARP, eliminando assim a possibilidade de utilizar o pedido ARP para praticar fraude de endereço na tabela ARP. Além disso, ao receber uma resposta ARP, o processador de plano de encaminhamento comunica apenas a resposta ARP com permissão de comunicação na tabela ARP, eliminando assim a possibilidade de ataques utilizando múltiplas respostas ARP.
Descrição Breve das Figuras 6 A FIG. 1 é um fluxograma de um método de processamento de pacotes ARP numa forma de realização da presente invenção. A FIG. 2 é um fluxograma de processamento de um pedido ARP numa forma de realização da presente invenção. A FIG. 3 é um fluxograma de processamento de uma resposta ARP numa forma de realização da presente invenção. A FIG. 4 ilustra um sistema de comunicação numa forma de realização da presente invenção. A FIG. 5 ilustra um processador de plano de encaminhamento numa forma de realização da presente invenção.
Descrição Detalhada da Invenção
As formas de realização da presente invenção fornecem um método, um sistema de comunicação e um processador de plano de encaminhamento de processamento de pacotes ARP para impedir ataques de rede utilizando pacotes ARP. A FIG. 1 é um fluxograma de um método de processamento de pacotes ARP numa forma de realização da presente invenção. 0 método inclui: 101. Receber um pacote ARP. 0 processador de plano de encaminhamento recebe um pacote ARP enviado por um dispositivo externo.
Em geral, um dispositivo de comunicação de dados topo de gama (como, por exemplo, routers ou comutadores topo de gama) inclui três planos relativamente independentes: plano de controlo, plano de encaminhamento e plano de gestão. 7 0 plano de controlo utiliza geralmente uma CPU universal como motor de processamento e é responsável por processar protocolos sofisticados (como, por exemplo, um protocolo de direcionamento). 0 plano de encaminhamento é responsável pelo encaminhamento de dados de alta velocidade. 0 plano de gestão é responsável pela gestão de rede, pelas linhas de comando, pelos registos e alarmes.
Nesta forma de realização, o processador de plano de encaminhamento pode ser um sistema de processamento composto por uma CPU de núcleo único ou de múltiplos núcleos, um processador de rede ou um processador ASIC (Application Specific Integrated Circuit - Circuito Integrado de Aplicação Especifica) e os periféricos necessários para o funcionamento desses componentes. Alguns exemplos de periféricos são: Memória de Acesso Aleatório (RAM - Random Access Memory), Memória Endereçável de Conteúdo Ternária (TCAM - Ternary Content Addressable Memory) ou memória Flash. 102. Avaliar o tipo do pacote ARP. Se o pacote ARP for um pedido ARP, é realizado o passo 103; se o pacote ARP for uma resposta ARP, é realizado o passo 107. A forma como avaliar o tipo do pacote ARP baseia-se no estado da técnica e não é aqui descrita em mais detalhe. 103. Procurar a tabela ARP. A tabela ARP no processador de plano de encaminhamento é procurada de acordo com o pedido ARP obtido. 8
Nesta forma de realização, a tabela ARP no processador de plano de encaminhamento pode ser fornecida pelo processador de plano de controlo ao processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente.
Nesta forma de realização, a relação correspondente entre o endereço IP da interface da porta de conexão e o endereço MAC é incluída na entrada da tabela ARP. Quando o protocolo VRRP (Virtual Router Redundancy Protocol - Protocolo de Redundância de Router Virtual) está ativado na interface, a entrada necessita de ser mantida de acordo com a alteração de estado do VRRP. É possível definir um bit de sinalização numa entrada da tabela ARP para indicar se a entrada é uma entrada ARP da porta de conexão ou uma entrada ARP de proxy. 104. Avaliar se uma entrada correspondente ao pedido ARP obtido se encontra na tabela ARP; se sim, é realizado o passo 105; caso contrário, é realizado o passo 106. A forma como avaliar será detalhada na forma de realização subsequente mais à frente. 105. Responder ao pedido ARP.
Se uma entrada correspondente ao pedido ARP obtido for encontrada na tabela ARP, o processador de plano de encaminhamento responde ao pedido ARP. A forma como responder será detalhada na forma de realização subsequente mais à frente. 106. Efetuar outros processos. 9
Se nenhuma entrada correspondente ao pedido ARP obtido for encontrada na tabela ARP, o processador de plano de encaminhamento efetua outros processos. Esses processos serão detalhados na forma de realização subsequente mais à frente. 107. Procurar a tabela ARP. A tabela ARP no processador de plano de encaminhamento é procurada de acordo com a resposta ARP obtida.
Nesta forma de realização, a tabela ARP no processador de plano de encaminhamento pode ser fornecida pelo processador de plano de controlo ao processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente. 108. Avaliar se uma entrada correspondente à resposta ARP obtida se encontra na tabela ARP; se sim, é realizado o passo 109; caso contrário, é realizado o passo 112. 109. Avaliar se o parâmetro de comunicação na entrada correspondente indica permissão de comunicação. Se o parâmetro de comunicação indicar permissão, é realizado o passo 110; caso contrário, é realizado o passo 111. 110. Comunicar a resposta ARP.
Quando o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação, o processador de plano de encaminhamento comunica a resposta ARP ao processador de plano de controlo. 111. Efetuar outros processos. 10
Se o parâmetro de comunicação na entrada correspondente à resposta ARP indicar sem permissão de comunicação, o processador de plano de encaminhamento efetua outros processos. Esses processos serão detalhados na forma de realização subsequente mais à frente. 112. Rejeitar a resposta ARP.
Se nenhuma entrada correspondente à resposta ARP obtida existir na tabela ARP, a resposta ARP é rejeitada.
Na forma de realização anterior, o processador de plano de encaminhamento responde ao pedido ARP recebido diretamente em vez de gerar uma entrada ARP de acordo com o pedido ARP, eliminando assim a possibilidade de utilizar o pedido ARP para praticar fraude de endereço na tabela ARP. Além disso, ao receber uma resposta ARP, o processador de plano de encaminhamento comunica apenas a resposta ARP com permissão de comunicação na tabela ARP, eliminando assim a possibilidade de ataques utilizando múltiplas respostas ARP. 0 método para processar cada tipo de pacote ARP é explicado abaixo em detalhe:
I. Processar um pedido ARP A FIG. 2 é um fluxograma de um método de processamento de pedidos ARP numa forma de realização da presente invenção. 0 método inclui: 201. Receber um pedido ARP. O processador de plano de encaminhamento recebe um pedido ARP enviado por um dispositivo externo. 11 202. Filtrar o pedido ARP se o endereço MAC de origem do pedido ARP for um endereço não unicast. A forma como filtrar o pedido ARP baseia-se no estado da técnica e não é aqui descrita em mais detalhe. 203. Procurar a tabela ARP.
Os parâmetros, tais como o número de porta, o ID VLAN (Virtual Local Area Network - Rede Local Virtual) e o endereço IP de destino são obtidos a partir do pedido ARP recebido, e a tabela ARP armazenada localmente no processador de plano de encaminhamento é procurada de acordo com os parâmetros obtidos. 204. Avaliar se uma entrada correspondente ao pedido ARP obtido se encontra na tabela ARP; se sim, é realizado o passo 205; caso contrário, é realizado o passo 208. 205. Avaliar se o pedido ARP é um pedido ARP da porta de conexão ou um pedido ARP de proxy; se sim, é realizado o passo 206; caso contrário, é realizado o passo 207. A avaliação é implementada verificando se existe um bit de sinalização "entrada ARP da porta de conexão ou entrada ARP de proxy" na entrada correspondente. 206. Responder ao pedido ARP.
Se o pedido ARP for um pedido ARP da porta de conexão ou um pedido ARP de proxy, o processador de plano de encaminhamento responde ao pedido ARP para o dispositivo externo. A resposta é implementada através da edição do pedido ARP, de modo a tornar o pedido ARP numa resposta ARP, ou da criação de uma nova resposta ARP cujo endereço 12 MAC de origem seja o endereço MAC nesta entrada ARP. A resposta ARP editada ou a resposta ARP recentemente criada é enviada através de uma porta especificada na entrada ARP.
Nesta forma de realização, no processo de resposta ao pedido ARP, o processador de plano de encaminhamento não gera uma entrada ARP de acordo com o endereço IP de origem ou o endereço MAC no pedido ARP, mas efetua processamento sem estado para o pedido ARP. 207. Rejeitar o pedido ARP. 0 pedido ARP recebido é rejeitado. 208. Avaliar se a função ARP de proxy está ativada na interface que recebeu o pedido ARP; se a função ARP estiver ativada, é realizado o passo 209; caso contrário, é realizado o passo 207. 209. Limitar a velocidade do pedido ARP e comunicar o pedido ARP.
Se a função ARP de proxy estiver ativada na interface que recebeu o pedido ARP, o processador de plano de encaminhamento limita a velocidade do pedido ARP e, em seguida, comunica o pedido ARP ao processador de plano de controlo.
Nesta forma de realização, a forma como avaliar se o pedido ARP é um pedido ARP da porta de conexão ou um pedido ARP de proxy pode ser implementada através da procura da tabela de encaminhamento ou de outras tabelas que incluam essas informações. O processo detalhado é semelhante ao da forma de realização anterior. 13
Nesta forma de realização, depois de o processador de plano de encaminhamento limitar a velocidade do pedido ARP recebido e comunicar o pedido ARP ao processador de plano de controlo no passo 209, o processador de plano de controlo trata do pedido ARP de proxy e, em seguida, fornece a entrada ARP de proxy ao processador de plano de encaminhamento de acordo com a configuração. 0 endereço MAC na entrada ARP de proxy é o endereço MAC da porta de conexão. Subsequentemente, quando o pedido ARP correspondente à entrada ARP de proxy for recebido, o processador de plano de encaminhamento pode tratar do pedido ARP diretamente sem o enviar ao processador de plano de controlo. Por conseguinte, a velocidade de processamento é aumentada, e a capacidade de impedir ataques de pedido ARP é melhorada no caso de a função ARP de proxy estar ativada.
Nesta forma de realização, no processo de resposta ao pedido ARP, o processador de plano de encaminhamento não gera uma entrada ARP de acordo com o endereço IP de origem ou o endereço MAC no pedido ARP, impedindo assim os ataques ARP que utilizam o pedido ARP para praticar fraude de endereço MAC.
II. Processar uma resposta ARP A FIG. 3 é um fluxograma de um método de processamento de respostas ARP numa forma de realização da presente invenção. 0 método inclui: 301. Receber uma resposta ARP. O processador de plano de encaminhamento recebe uma resposta ARP enviada por um dispositivo externo. 14 302. Procurar a tabela ARP. 0 endereço IP de origem é obtido a partir da resposta ARP recebida, e a tabela ARP armazenada localmente no processador de plano de encaminhamento é procurada de acordo com o endereço IP de origem obtido. 303. Avaliar se uma entrada correspondente à resposta ARP obtida se encontra na tabela ARP; se sim, é realizado o passo 304; caso contrário, é realizado o passo 307. 304. Avaliar se o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação. Se o parâmetro de comunicação indicar permissão, é realizado o passo 305; caso contrário, é realizado o passo 306 ou 307. 305. Comunicar a resposta ARP.
Quando o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação, o processador de plano de encaminhamento comunica a resposta ARP ao processador de plano de controlo.
Nesta forma de realização, o processador de plano de encaminhamento comunica a resposta ARP ao processador de plano de controlo. 0 processador de plano de controlo trata da resposta ARP e, em seguida, modifica o parâmetro de comunicação na entrada correspondente à resposta ARP para "sem permissão de comunicação" na tabela ARP. 306. Limitar a velocidade da resposta ARP e, em seguida, comunicar a resposta ARP. 0 processador de plano de encaminhamento limita a velocidade da resposta ARP de acordo com a regra de 15 processamento predefinida e, em seguida, comunica a resposta ARP ao processador de plano de controlo. 307. Rejeitar a resposta ARP.
Nesta forma de realização, se o parâmetro de comunicação na entrada correspondente à resposta ARP indicar sem permissão de comunicação no passo 304, é escolhido realizar o passo 306 ou 307 de acordo com a regra de processamento predefinida. Por exemplo, em circunstâncias normais, o endereço MAC do dispositivo não muda frequentemente. Por conseguinte, é possível escolher a política de rejeição. Em circunstâncias especiais em que seja necessário que o endereço MAC mude com frequência, é possível escolher a política de limitação de velocidade. A política de rejeição é mais eficaz do que a política de limitação de velocidade no impedimento da fraude de endereço. Por conseguinte, a política de rejeição é preferida, exceto em circunstâncias especiais.
Nesta forma de realização, a política de limitação de velocidade ou a política de rejeição é implementada através da procura da tabela relevante. Aqui, o tipo da tabela não é limitado.
Conforme ilustrado na FIG. 4, um sistema de comunicação fornecido numa forma de realização da presente invenção inclui: um dispositivo externo 401, adaptado para enviar um pedido ARP e uma resposta ARP; um processador de plano de encaminhamento 402, adaptado para avaliar o tipo do pacote ARP recebido; quando o pacote 16 ARP é um pedido ARP, procurar a tabela ARP local e responder ao pedido ARP de acordo com a entrada correspondente ao pedido ARP na tabela ARP; quando o pacote ARP é uma resposta ARP, procurar a tabela ARP local e avaliar se o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação de acordo com a entrada correspondente à resposta ARP na tabela ARP; se o parâmetro de comunicação indicar permissão de comunicação, comunicar a resposta ARP; se nenhuma entrada correspondente à resposta ARP for encontrada na tabela ARP, rejeitar a resposta ARP; e um processador de plano de controlo 403, adaptado para receber a resposta ARP ou o pedido ARP comunicado pelo processador de plano de encaminhamento 402.
A FIG. 5 ilustra um processador de plano de encaminhamento numa forma de realização da presente invenção. O processador de plano de encaminhamento inclui: uma unidade de avaliação 501, adaptada para avaliar o tipo de um pacote ARP recebido; uma primeira unidade de procura 502, adaptada para procurar a tabela ARP local quando o pacote ARP é um pedido ARP; uma unidade de resposta 503, adaptada para responder ao pedido ARP se uma entrada correspondente ao pedido ARP for encontrada na tabela ARP; uma segunda unidade de procura 504, adaptada para procurar a tabela ARP local quando o pacote ARP é uma resposta ARP; 17 uma unidade de rejeição 506, adaptada para rejeitar a resposta ARP se nenhuma entrada correspondente à resposta ARP for encontrada na tabela ARP; uma unidade de limitação de velocidade 509, adaptada para limitar a velocidade do pacote ARP e comunicar o pacote ARP ao processador de plano de controlo; uma unidade de avaliação de interface 508, adaptada para avaliar se a função ARP de proxy está ativada na interface que recebe o pedido ARP se nenhuma entrada correspondente ao pedido ARP recebido for encontrada na tabela ARP; se a função ARP de proxy estiver ativada, dar instruções à unidade de limitação de velocidade 509 para limitar a velocidade do pacote ARP e comunicar o pacote ARP; se a função ARP de proxy não estiver ativada, dar instruções à unidade de rejeição 506 para rejeitar o pedido ARP; uma unidade de verificação 505, adaptada para avaliar se o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação quando uma entrada correspondente à resposta ARP é encontrada na tabela ARP; e uma unidade de comunicação 507, adaptada para comunicar a resposta ARP ao processador de plano de controlo quando o parâmetro de comunicação na entrada correspondente à resposta ARP indica permissão de comunicação.
Na aplicação prática, podem ser combinadas numa unidade várias unidades que implementem funções semelhantes nas formas de realização da presente invenção. Por exemplo, a primeira unidade de procura 502 e a segunda unidade de procura 504 podem ser implementadas numa unidade. É evidente para os peritos na especialidade que todos ou parte dos passos do método nas formas de realização 18 anteriores podem ser implementados através de equipamento informático que recebe instruções de um programa. 0 programa pode ser armazenado num suporte de armazenamento legível por computador. Ao ser executado, o programa efetua estes passos: o processador de plano de encaminhamento avalia o tipo de um pacote ARP recebido; quando o pacote ARP é um pedido ARP, o processador de plano de encaminhamento procura a tabela ARP local e, se uma entrada correspondente ao pedido ARP for encontrada na tabela ARP, responde ao pedido ARP diretamente; quando o pacote ARP é uma resposta ARP, o processador de plano de encaminhamento procura a tabela ARP local e, se uma entrada correspondente à resposta ARP for encontrada na tabela ARP, avalia se o parâmetro de comunicação na entrada indica permissão de comunicação; se o parâmetro de comunicação indicar permissão de comunicação, o processador de plano de encaminhamento comunica a resposta ARP ao processador de plano de controlo; se nenhuma entrada correspondente à resposta ARP for encontrada na tabela ARP, o processador de plano de encaminhamento rejeita a resposta ARP. 0 suporte de armazenamento pode ser uma Memória Só de Leitura (ROM - Read-Only Memory) , um disco magnético ou um CD (Compact Disk - Disco Compacto).
Um método, um sistema de comunicação e um processador de plano de encaminhamento de processamento de pacotes ARP de acordo com a presente invenção são descritos acima. Embora a invenção seja descrita através de várias formas de realização exemplares, a invenção não está limitada a essas formas de realização.
Lisboa, 27 de Outubro de 2011
Claims (7)
1 REIVINDICAÇÕES 1. Um método de processamento de pacotes ARP (Address Resolution Protocol), caracterizado por compreender: a receção (101) de um pacote ARP e a avaliação do tipo do pacote ARP; quando o pacote ARP é um pedido ARP, a resposta (105) ao pedido ARP se uma entrada ARP correspondente ao pedido ARP for encontrada numa tabela ARP local; e quando o pacote ARP é uma resposta ARP, a comunicação (110) da resposta ARP se uma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP local e um parâmetro de comunicação na entrada ARP correspondente à resposta ARP indicar permissão de comunicação; ou a rejeição (112) da resposta ARP se nenhuma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP; em que a tabela ARP local é fornecida por um processador de plano de controlo a um processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente.
2. O método de processamento de pacotes ARP de acordo com a reivindicação 1, caracterizado por compreender ainda: quando o pacote ARP é o pedido ARP, a avaliação sobre se uma função ARP de proxy está ativada numa interface que recebe o pedido ARP se nenhuma entrada ARP correspondente ao pedido ARP for encontrada na tabela ARP; se a função ARP de proxy estiver ativada, a limitação da velocidade do pedido ARP e, em seguida, a comunicação do pedido ARP a um processador de plano de controlo; e 2 se a função ARP de proxy não estiver ativada, a rejeição do pedido ARP. 3. 0 método de processamento de pacotes ARP de acordo com a reivindicação 1, caracterizado por compreender ainda: quando o pacote ARP é a resposta ARP (301), se a entrada ARP correspondente à resposta ARP for encontrada na tabela ARP (302) e o parâmetro de comunicação na entrada ARP correspondente à resposta ARP indicar sem permissão de comunicação (304), a limitação (306) da velocidade da resposta ARP e, em seguida, a comunicação da resposta ARP a um processador de plano de controlo ou a rejeição (307) da resposta ARP. 4. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 a 3, caracterizado por compreender ainda: se o pacote ARP for o pedido ARP, a procura da tabela ARP de acordo com um número de porta do pedido ARP, um ID VLAN (Virtual Local Area Network) e um endereço IP (Internet Protocol) de destino. 5. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 a 3, em que antes da resposta ao pedido ARP, o método é caracterizado por compreender ainda: se a entrada ARP correspondente ao pedido ARP não for uma entrada ARP da porta de conexão ou uma entrada ARP de proxy (205), a rejeição do pedido ARP (207). 3 6. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 a 3, caracterizado por compreender ainda: se o pacote ARP for uma resposta ARP, a procura da tabela ARP de acordo com um endereço IP (Internet Protocol) de origem da resposta ARP. 7. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 a 3, em que após a comunicação da resposta ARP, o método é caracterizado por compreender ainda: a modificação do parâmetro de comunicação na entrada ARP correspondente à resposta ARP na tabela ARP para sem permissão de comunicação. 8. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 ou 2, caracterizado por a entrada ARP correspondente ao pedido ARP compreender: a relação correspondente entre o endereço IP de uma interface da porta de conexão e o endereço MAC da porta de conexão. 9. 0 método de processamento de pacotes ARP de acordo com qualquer uma das reivindicações 1 ou 3, caracterizado por a entrada ARP correspondente à resposta ARP compreender: o parâmetro de comunicação a indicar permissão de comunicação.
10. Um sistema de comunicação, caracterizado por compreender: um processador de plano de encaminhamento (402), configurado para receber um pacote ARP (Address Resolution Protocol) e avaliar o tipo do pacote ARP; quando o pacote ARP é um pedido ARP, responder ao 4 pedido ARP se uma entrada ARP correspondente ao pedido ARP for encontrada numa tabela ARP local; quando o pacote ARP é uma resposta ARP, comunicar a resposta ARP se uma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP local e um parâmetro de comunicação na entrada ARP correspondente à resposta ARP indicar permissão de comunicação; ou rejeitar a resposta ARP se nenhuma entrada ARP correspondente à resposta ARP for encontrada na tabela ARP; e um processador de plano de controlo (403), configurado para receber a resposta ARP ou o pedido ARP comunicado pelo processador de plano de encaminhamento; em que a tabela ARP local é fornecida por um processador de plano de controlo a um processador de plano de encaminhamento ou configurada no processador de plano de encaminhamento diretamente.
11. O sistema de comunicação de acordo com a reivindicação 10, caracterizado por o processador de plano de encaminhamento (402) compreender: uma unidade de avaliação (501), configurada para avaliar o tipo de um pacote ARP (Address Resolution Protocol) recebido; uma primeira unidade de procura (502), configurada para procurar uma tabela ARP local quando a unidade de avaliação determina que o pacote ARP é um pedido ARP; uma unidade de resposta (503), configurada para responder ao pedido ARP se a primeira unidade de procura encontrar uma entrada ARP correspondente ao pedido ARP; uma segunda unidade de procura (504), configurada para procurar a tabela ARP local quando a unidade de 5 avaliação determina que o pacote ARP é uma resposta ARP; e uma unidade de rejeição (506), configurada para rejeitar a resposta ARP se a segunda unidade de procura não encontrar nenhuma entrada correspondente à resposta ARP.
12. O sistema de comunicação de acordo com a reivindicação 11, caracterizado por o processador de plano de encaminhamento (402) compreender ainda: uma unidade de limitação de velocidade (509), configurada para limitar a velocidade do pacote ARP e comunicar o pacote ARP a um processador de plano de controlo; uma unidade de avaliação de interface (508), configurada para avaliar se uma função ARP de proxy está ativada numa interface que recebe o pedido ARP quando a primeira unidade de procura não encontra nenhuma entrada ARP correspondente ao pedido ARP recebido na tabela ARP; se a função ARP de proxy estiver ativada, dar instruções à unidade de limitação de velocidade para limitar a velocidade do pedido ARP e comunicar o pedido ARP; se a função ARP de proxy não estiver ativada, dar instruções à unidade de rejeição para rejeitar o pedido ARP.
13. O sistema de comunicação de acordo com qualquer uma das reivindicações 11 ou 12, caracterizado por o processador de plano de encaminhamento (402) compreender ainda: uma unidade de verificação (505), configurada para avaliar se um parâmetro de comunicação na entrada ARP correspondente à resposta ARP indica permissão de 6 comunicação quando a entrada ARP correspondente à resposta ARP é encontrada na tabela ARP; e uma unidade de comunicação (507), configurada para comunicar a resposta ARP quando o parâmetro de comunicação na entrada ARP correspondente à resposta ARP indica permissão de comunicação.
14. O sistema de comunicação de acordo com qualquer uma das reivindicações 10 a 12, caracterizado por a entrada ARP correspondente ao pedido ARP compreender: a relação correspondente entre o endereço IP de uma interface da porta de conexão e o endereço MAC da porta de conexão. 15. 0 sistema de comunicação de acordo com qualquer uma das reivindicações 10 a 13, caracterizado por a entrada ARP correspondente à resposta ARP compreender: o parâmetro de comunicação a indicar permissão de comunicação. Lisboa, 27 de Outubro de 2011
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299947A CN101094236B (zh) | 2007-07-20 | 2007-07-20 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| PT2139187E true PT2139187E (pt) | 2011-11-10 |
Family
ID=38992262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PT08715268T PT2139187E (pt) | 2007-07-20 | 2008-03-19 | Método, sistema de comunicação e dispositivo para processamento de pacotes arp |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8542684B2 (pt) |
| EP (1) | EP2139187B1 (pt) |
| CN (1) | CN101094236B (pt) |
| AT (1) | ATE523023T1 (pt) |
| ES (1) | ES2371127T3 (pt) |
| PT (1) | PT2139187E (pt) |
| WO (1) | WO2009012663A1 (pt) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094236B (zh) | 2007-07-20 | 2011-08-10 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
| CN101547187B (zh) * | 2008-03-28 | 2012-01-11 | 中兴通讯股份有限公司 | 宽带接入设备的网络攻击防护方法 |
| CN101998531B (zh) | 2009-08-11 | 2013-04-24 | 华为技术有限公司 | 策略和计费控制规则授权方法、装置及系统 |
| CN101997768B (zh) * | 2009-08-21 | 2012-10-17 | 华为技术有限公司 | 一种上送地址解析协议报文的方法和装置 |
| CN102195862A (zh) * | 2010-03-11 | 2011-09-21 | 正文科技股份有限公司 | 路由装置及相关的封包处理电路 |
| US8879554B2 (en) * | 2010-05-07 | 2014-11-04 | Cisco Technology, Inc. | Preventing MAC spoofs in a distributed virtual switch |
| CN102255984B (zh) * | 2011-08-08 | 2015-06-03 | 华为技术有限公司 | 一种arp请求报文验证方法及装置 |
| CN103036794A (zh) * | 2011-10-10 | 2013-04-10 | 华为技术有限公司 | 一种报文的学习方法、装置和系统 |
| KR101270041B1 (ko) * | 2011-10-28 | 2013-05-31 | 삼성에스디에스 주식회사 | Arp 스푸핑 공격 탐지 시스템 및 방법 |
| US9455948B2 (en) * | 2012-06-29 | 2016-09-27 | Cisco Technology, Inc. | Reducing proliferation of network-to-link-layer address resolution messages |
| CN102843362B (zh) * | 2012-08-08 | 2016-05-04 | 唐稳杰 | 一种使用tcam进行arp防御的方法 |
| CN103024851A (zh) * | 2012-11-23 | 2013-04-03 | 福建星网锐捷网络有限公司 | 基于无线网络的报文传输方法、装置及网络设备 |
| CN103152203B (zh) * | 2013-03-18 | 2015-10-14 | 成都广达电子股份有限公司 | 一种eoc局端mac地址限制学习的方法 |
| CN103347031B (zh) * | 2013-07-26 | 2016-03-16 | 迈普通信技术股份有限公司 | 一种防范arp报文攻击的方法及设备 |
| CN104995878B (zh) | 2013-12-31 | 2019-02-05 | 华为技术有限公司 | 一种报文传输方法、设备及通信系统 |
| WO2015102468A1 (en) | 2014-01-06 | 2015-07-09 | Samsung Electronics Co., Ltd. | Method and apparatus for relaying packet transmission and updating network address information in communication system |
| US9716687B2 (en) * | 2014-06-19 | 2017-07-25 | Cisco Technology, Inc. | Distributed gateways for overlay networks |
| US9876712B2 (en) * | 2014-09-05 | 2018-01-23 | Kt Corporation | Method and device for processing address resolution protocol in software-defined networking environment |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| CN104601460B (zh) * | 2015-02-16 | 2018-12-25 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN106470127B (zh) * | 2015-08-18 | 2020-12-29 | 中兴通讯股份有限公司 | 一种网络异常流量的检测方法及系统 |
| CN105939332B (zh) * | 2016-03-03 | 2019-09-17 | 杭州迪普科技股份有限公司 | 防御arp攻击报文的方法及装置 |
| CN106130985B (zh) * | 2016-06-24 | 2019-09-06 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
| CN107294989B (zh) * | 2017-07-04 | 2020-02-11 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN108234522B (zh) * | 2018-03-01 | 2021-01-22 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| US10616175B2 (en) | 2018-05-01 | 2020-04-07 | Hewlett Packard Enterprise Development Lp | Forwarding information to forward data to proxy devices |
| CN109274638A (zh) * | 2018-05-22 | 2019-01-25 | 四川斐讯信息技术有限公司 | 一种攻击源接入自动识别处理的方法和路由器 |
| US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
| CN113872949B (zh) * | 2021-09-18 | 2023-08-22 | 山东云海国创云计算装备产业创新中心有限公司 | 一种地址解析协议的应答方法及相关装置 |
| CN114051013B (zh) * | 2021-10-26 | 2023-11-24 | 联想(北京)有限公司 | 一种通信数据传输方法及装置 |
| CN114221928A (zh) * | 2021-11-05 | 2022-03-22 | 济南浪潮数据技术有限公司 | 一种管理网ip冲突的防御方法、系统、装置及存储介质 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5708654A (en) * | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network |
| US6771649B1 (en) * | 1999-12-06 | 2004-08-03 | At&T Corp. | Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning |
| US8001269B1 (en) * | 2002-06-18 | 2011-08-16 | Cisco Technology, Inc. | Network address translation with IP redundancy |
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1133350C (zh) | 2002-08-15 | 2003-12-31 | 西安西电捷通无线网络通信有限公司 | 使用主动arp实现移动终端跨ip网际漫游的方法 |
| FR2844941B1 (fr) * | 2002-09-24 | 2005-02-18 | At & T Corp | Demande d'acces securise aux ressources d'un reseau intranet |
| US7356032B1 (en) * | 2002-11-01 | 2008-04-08 | Bbn Technologies Corp. | System and method for reducing broadcast traffic wireless access-point networks |
| CN1173531C (zh) | 2003-01-17 | 2004-10-27 | 清华大学 | 同时支持路由查找、ip包分类、arp查找的方法及查找系统 |
| US7490351B1 (en) * | 2003-03-12 | 2009-02-10 | Occam Networks | Controlling ARP traffic to enhance network security and scalability in TCP/IP networks |
| CN100353717C (zh) * | 2003-03-28 | 2007-12-05 | 华为技术有限公司 | 一种针对互联网协议的安全访问控制方法 |
| CN100379205C (zh) | 2003-08-11 | 2008-04-02 | 华为技术有限公司 | 交换机加速arp表项老化的方法 |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| WO2005114909A1 (en) | 2004-05-21 | 2005-12-01 | Computer Associates Think, Inc. | Systems and methods for discovering machines |
| US7471684B2 (en) | 2004-10-21 | 2008-12-30 | International Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
| US7551559B1 (en) * | 2004-10-22 | 2009-06-23 | Cisco Technology, Inc. | System and method for performing security actions for inter-layer binding protocol traffic |
| CN100490424C (zh) | 2005-03-01 | 2009-05-20 | 杭州华三通信技术有限公司 | 一种分布式arp实现方法 |
| US20060209818A1 (en) * | 2005-03-18 | 2006-09-21 | Purser Jimmy R | Methods and devices for preventing ARP cache poisoning |
| US7436783B2 (en) * | 2005-04-04 | 2008-10-14 | Apple Inc. | Method and apparatus for detecting a router that improperly responds to ARP requests |
| CN100563245C (zh) * | 2005-04-27 | 2009-11-25 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| CN100505757C (zh) * | 2005-08-09 | 2009-06-24 | 华为技术有限公司 | Arp缓存表防攻击方法 |
| JP4640128B2 (ja) * | 2005-11-16 | 2011-03-02 | 日立電線株式会社 | 応答通信機器及びarp応答通信機器 |
| CN100454901C (zh) | 2006-02-17 | 2009-01-21 | 华为技术有限公司 | 一种arp报文处理方法 |
| CN1946041B (zh) | 2006-06-20 | 2010-08-18 | 杭州华三通信技术有限公司 | 基于arp侦听的vlan聚合方法、汇聚交换机及系统 |
| CN100553259C (zh) | 2006-09-15 | 2009-10-21 | 杭州华三通信技术有限公司 | 一种arp报文处理方法及装置 |
| CN101094236B (zh) * | 2007-07-20 | 2011-08-10 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
-
2007
- 2007-07-20 CN CN2007101299947A patent/CN101094236B/zh not_active Expired - Fee Related
-
2008
- 2008-03-19 EP EP08715268A patent/EP2139187B1/en active Active
- 2008-03-19 AT AT08715268T patent/ATE523023T1/de not_active IP Right Cessation
- 2008-03-19 WO PCT/CN2008/070532 patent/WO2009012663A1/zh active Application Filing
- 2008-03-19 PT PT08715268T patent/PT2139187E/pt unknown
- 2008-03-19 ES ES08715268T patent/ES2371127T3/es active Active
-
2009
- 2009-11-06 US US12/614,206 patent/US8542684B2/en active Active
-
2013
- 2013-08-19 US US13/987,651 patent/US9148374B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| ATE523023T1 (de) | 2011-09-15 |
| EP2139187A1 (en) | 2009-12-30 |
| US8542684B2 (en) | 2013-09-24 |
| CN101094236A (zh) | 2007-12-26 |
| US20100054253A1 (en) | 2010-03-04 |
| CN101094236B (zh) | 2011-08-10 |
| ES2371127T3 (es) | 2011-12-27 |
| US9148374B2 (en) | 2015-09-29 |
| EP2139187A4 (en) | 2010-04-14 |
| WO2009012663A1 (fr) | 2009-01-29 |
| US20130336326A1 (en) | 2013-12-19 |
| EP2139187B1 (en) | 2011-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| PT2139187E (pt) | Método, sistema de comunicação e dispositivo para processamento de pacotes arp | |
| JP4886788B2 (ja) | 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法 | |
| KR101664922B1 (ko) | 정책 시행 포인트의 분산을 위한 시스템 및 방법 | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| CN110166568B (zh) | 分布负载平衡器 | |
| US9264402B2 (en) | Systems involving firewall of virtual machine traffic and methods of processing information associated with same | |
| US9917928B2 (en) | Network address translation | |
| US7197664B2 (en) | Stateless redundancy in a network device | |
| US10785137B2 (en) | Dataplane-based seamless bidirectional forwarding detection monitoring for network entities | |
| US9838314B1 (en) | Contextual service mobility in an enterprise fabric network environment | |
| EP2469787A1 (en) | Method and device for preventing network attacks | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| US20220094711A1 (en) | Data plane with connection validation circuits | |
| US20210203695A1 (en) | Anti-spoofing attack check method, device, and system | |
| US9860157B2 (en) | Zero configuration approach for port forwarding cascaded routers | |
| WO2019096104A1 (zh) | 攻击防范 | |
| US11627110B2 (en) | Systems and methods for operating a networking device | |
| TWI685231B (zh) | 封包分類方法 | |
| US10148576B2 (en) | Network processing unit (NPU) integrated layer 2 network device for layer 3 offloading | |
| EP4283947A1 (en) | Method to build a service function chain in an overlay network | |
| WO2021036535A1 (zh) | 一种防报文攻击方法、装置及存储介质 | |
| Kadi et al. | Performance Analysis of Identifier Locator Communication Cache Effects on ILNPv6 Stack | |
| CN116346383A (zh) | 一种确定失陷主机的方法及装置 |