[发明专利]一种防范ARP报文攻击的方法及设备

说明书

技术领域

本发明涉及通信网络技术领域，尤其涉及一种防范ARP报文攻击的方法及设备。

背景技术

地址解析协议（Address Resolution Protocol，ARP）用于在以太网环境下通过因特网协议（Internet Protocol，IP）地址获取对应媒体访问控制（Media Access Control，MAC）地址的协议。由于ARP没有提供安全认证、通信终端合法性鉴别等功能。在以太网实际应用的过程中，出现了各种各样与ARP相关的攻击，比如网关欺骗、ARP报文泛洪以及ARP扫描等。

现有技术中，控制平面处理器上运行的软件模块规定在预定的时间范围内接收到终端发送的ARP报文流量和/或报文数量上限作为是否受到ARP攻击的判断依据。例如，当控制平面处理器接收某一ARP报文时，对接收的ARP报文按照来源终端进行报文数量和/或流量的统计，然后在预定的时间范围内检测接收的报文数量和/或流量是否超过上限。当接收的报文数量和/或流量超过上限之后，控制平面处理器将发送上述ARP报文的终端标记为攻击终端。则控制平面处理器在接收到该攻击终端发送的ARP报文时，丢弃该攻击终端发送的全部ARP报文，或者丢弃该攻击终端发送的部分ARP报文。

然而，通过控制平面处理器对接收的ARP报文进行流量统计、丢弃等处理操作，占用了控制平面处理器大量的处理资源，从而影响控制平面处理器的处理效率，以及由于攻击终端发送大量ARP报文流量影响其它终端与控制平面处理器之间正常的ARP报文交互。

发明内容

本发明的实施例提供一种防范ARP报文攻击的方法及设备，解决了控制平面处理器处理ARP报文占用较多处理资源的问题。

一方面，本发明的实施例提供一种防范ARP报文攻击的方法，包括：

地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文；

所述ARP控制模块获取所述第一ARP报文中的第一地址信息；

当所述ARP控制模块确定所述第一地址信息合法、存在于ARP表并且所述ARP表中所述第一地址信息对应的状态为第一预设状态时，所述ARP控制模块调用交换芯片驱动模块，指示所述交换芯片驱动模块将所述第一地址信息写入所述交换芯片中；

所述交换芯片对接收的携带有所述第一地址信息的ARP报文进行限速。

在本发明的另一实施例中，在所述地址解析协议ARP控制模块接收交换芯片发送的第一ARP报文之前，所述方法还包括：

所述ARP控制模块接收所述交换芯片发送的第二ARP报文；

所述ARP控制模块获取所述第二ARP报文中的第二地址信息，所述第二地址信息与所述第一地址信息相同；

当所述ARP控制模块确定所述第二地址信息合法并且不存在于所述ARP表时，所述ARP控制模块将所述第二地址信息写入所述ARP表中，并将所述第二地址信息对应的状态写为所述第一预设状态，所述第一预设状态用于指示所述ARP控制模块确定未收到第一ARP报文；

所述ARP控制模块通知所述第二ARP报文对应的终端发送第一ARP报文。

在本发明的另一实施例中，所述方法还包括：

所述ARP控制模块获取所述ARP表中的所述第一地址信息；

所述ARP控制模块更新所述ARP表中的所述第一地址信息对应的老化值；

所述ARP控制模块判断所述第一地址信息对应的老化值是否超过预设门限；

当所述第一地址信息对应的老化值大于等于所述预设门限时，所述ARP控制模块删除所述ARP表中的第一地址信息，或者，所述ARP控制模块删除所述ARP表中的所述第一地址信息以及调用所述交换芯片驱动模块，指示所述交换芯片驱动模块删除所述交换芯片中的所述第一地址信息。

在本发明的另一实施例中，所述第一地址信息包括所述第一ARP报文源MAC地址、所述第一地址信息对应的终端源MAC地址以及源IP地址；

在所述ARP控制模块调用交换芯片驱动模块之前，还包括：

所述ARP控制模块检测所述第一地址信息是否合法；

当所述第一地址信息中所述第一ARP报文源MAC地址与所述第一地址信息对应的终端源MAC地址一致时，所述ARP控制模块确定所述第一地址信息合法。

在本发明的另一实施例中，在所述ARP控制模块调用交换芯片驱动模块之前，还包括：