[发明专利]一种防止IP地址欺骗的方法和装置

说明书

技术领域

本发明涉及通信领域，更具体的说，涉及一种防止IP地址欺骗的方法和装置。

背景技术

服务器的虚拟化是指将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，我们不再受限于物理上的界限，而是让中央处理器CPU、内存、磁盘、输入/输出端口I/O等硬件变成可以动态管理的“资源池”。服务器的虚拟化提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。

在服务器的虚拟化过程中，服务器网络虚拟化面临着IP地址欺骗的问题，IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道，进而导致非法报文的传播。

目前防止IP地址欺骗的方法应用在应用层面上，即在应用上设置认证或者是权限，进而使假冒的客户端不能正常访问应用。但是在网络层面上，还没有能够防止IP地址欺骗的方法。

因此，服务器网络虚拟化亟需一种能够在网络层面上，防止IP地址欺骗的方法。

发明内容

有鉴于此，本发明提供一种防止IP地址欺骗的方法和装置，以解决在服务器网络虚拟化层面上，还没有防止IP地址欺骗的方法的问题。

为解决上述技术问题，本发明采用了如下技术方案：

一种防止IP地址欺骗的方法，应用于虚拟交换机，所述方法包括：

拦截虚拟机请求者发送的第一地址解析协议ARP报文，所述第一ARP报文中携带有获得目标互联网协议地址IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；

判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

当判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。

优选地，所述拦截虚拟机请求者发送的第一ARP报文后，还包括：

判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；

若判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，执行所述判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。

优选地，当判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址后，还包括：

将所述第一ARP报文发送到控制模块；

接收所述控制模块发送的第三ARP报文；

将所述第三ARP报文发送到所述虚拟机请求者。

一种防止IP地址欺骗的方法，应用于控制模块，所述方法包括：

接收虚拟交换机发送的第一ARP报文；

判断第二对照表中是否保存有目标IP地址对应的目标MAC地址；其中，所述第二对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

当判断出所述第二对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第三ARP报文到所述虚拟交换机；

其中，所述第三ARP报文中携带有所述目标MAC地址。

优选地，所述判断第二对照表中是否保存有目标IP地址对应的目标MAC地址，包括：

从预设位置读取所述第二对照表并判断所述第二对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。

一种防止IP地址欺骗的装置，应用于虚拟交换机，所述装置包括：

拦截模块，用于拦截虚拟机请求者发送的第一ARP报文，所述第一ARP报文中携带有获得目标IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；

判断模块，用于判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

第一发送模块，用于当所述判断模块判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。

优选地，还包括：