专利名称:一种处理报文的方法、系统和网关设备的制作方法
技术领域:
本发明涉及网络通信技术,特别涉及一种处理报文的方法、系统和网关 设备。
背景技术:
地址解析协议(ARP, Address Resolution Protocol)是实现IP地址到以 太网的媒体访问控制(MAC, Media Access Control)地址之间转换的协议, 由于以太网之间的通信是使用MAC地址来寻址的,而基于TCP/IP的各种 应用是基于IP地址来寻址的,基于IP地址寻址的各种数据包最终都需要封 装在基于MAC地址寻址的以太网帧内进行传输。
动态主才几配置十办i义(DHCP, Dynamic Host Configuration Protocol)是一 种动态配置IP地址的协议。在解决未授权用户访问网络问题时,通常将ARP 与DHCP结合使用,DHCP服务器授权ARP功能具体为网关设备中保存 用户设备IP地址和用户设备MAC地址对应关系的ARP表项,该ARP表项 不再由网关设备动态学习,而通过DHCP服务器为用户设备动态分配的IP 地址来生成,并且,将经过DHCP服务器动态分配IP地址的用户设备称为 授权用户,将没有经过DHCP服务器动态分配IP地址的用户设备称为非授 权用户,例如,自己配置静态IP地址的用户设备就是非授权用户。
现有技术中,如果网关设备启用了 DHCP服务器授权ARP功能,即网 关设备保存的ARP表项是根据DHCP服务器动态分配的IP地址生成的,则 网关设备的报文处理过程为用户设备为了获取网关设备的MAC地址,向 网关设备发送MAC地址请求报文,该MAC地址请求报文可以是ARP请求 报文,也可以是网络控制报文协议(ICMP, Internet Control Message Protocol)
心跳(Ping )报文。网关设备在接收到用户设备的MAC地址请求报文后, 会根据该MAC地址请求报文中携带的用户设备的IP地址和MAC地址,查 询自身存储的ARP表项中是否有与该用户设备的IP地址和MAC地址相同 的ARP表项,如果是,则确认该用户设备为授权用户,向该用户设备发送 正确的响应^艮文;如果否,则丢弃该MAC地址请求纟艮文。
但是,由于在确定该用户设备为非授权用户后,网关设备丢弃该用户设 备的MAC地址请求报文,该非授权用户未获得响应报文则可能会持续发送 MAC地址请求报文,这必然会使得网关设备重复执行上述报文处理过程, 严重影响网关设备的处理效率。 一旦非授权用户恶意攻击,持续发送大量 MAC地址请求报文,则可能会导致网关设备的瘫痪。
发明内容
本发明实施例提供了一种处理报文的方法、系统和设备,以便于提高网 关设备的处理效率,防止恶意攻击。
一种处理4艮文的方法,该方法包括
接收到用户设备发送的i某体访问控制MAC地址请求报文后,查询是否存 在与所述MAC地址请求报文中携带的该用户设备的MAC地址和IP地址一致 的地址解析协议ARP表项,如果否,则屏蔽该用户设备发送的报文。 一种处理报文的系统,该系统包括网关设备和用户设备; 所述网关设备,用于接收到所述用户设备发送的MAC地址请求才艮文后, 查询是否存在与所述MAC地址请求报文中携带的所述用户设备的MAC地址和 IP地址一致的ARP表项,如果否,则屏蔽所述用户设备发送的报文; 所述用户设备,用于向所述网关设备发送MAC地址请求报文。 一种网关设备,该网关设备包括接收单元、查询单元和报文屏蔽单元; 所述接收单元,用于接收用户设备发送的MAC地址请求报文; 所述查询单元,用于查询是否存在与所述MAC地址请求报文中携带的该 用户设备的MAC地址和IP地址一致的ARP表项,如果否,则发送错误响应
执行通知;
所述报文屏蔽单元,接收到所述错误响应执行通知后,屏蔽该用户设备发 送的报文。
由以上技术方案可以看出,本发明实施例提供的方法、系统和设备中, 接收到用户设备发送的MAC地址请求报文后,查询是否存在与MAC地址 请求报文中携带的该用户的MAC地址和IP地址一致的ARP表项,如果否, 则屏蔽该用户设备发送报文。也就是在判断了发送MAC地址请求报文的用 户设备为非授权用户后,可以通过该方法屏蔽该用户设备在一定时间内再向 网关设备发送MAC地址请求报文,避免了网关设备重复执行报文处理过程, 提高网关设备的处理效率,也可以防止非授权用户的恶意攻击。
图1为本发明实施例提供的方法流程图; 图2为本发明实施例提供的系统流程图。
具体实施例方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体 实施例对本发明进行详细描述。
本发明实施例提供的方法主要包括接收到用户设备发送的MAC地址 请求报文后,查询是否存在与MAC地址请求报文中携带的该用户设备的 MAC地址和IP地址一致的ARP表项,如果否,则屏蔽该用户i殳备发送的 报文。
其中,MAC地址请求报文可以是ARP请求报文,也可以是ICMPPing 报文。以下实施例中,均以ARP请求报文为例进行描述。
图1为本发明实施例提供的方法流程图,在该实施例中,网关设备启用 了 DHCP授权ARP功能,保存的ARP表项是通过DHCP服务器为用户设备 动态分配的IP地址生成的。ARP表项的内容为用户设备的IP地址和MAC
地址之间的对应关系。如图l所示,该方法主要包括
步骤101:网关设备接收到用户设备发送的ARP请求报文后,获取该 ARP"请求报文中携带的用户设备的IP地址和MAC地址。
用户设备发送的ARP请求报文中携带的源IP地址和源MAC地址即为 发送该净艮文的用户设备的IP地址和MAC地址。
步骤102:网关设备查找ARP表项中是否存在与用户设备的IP地址和 MAC地址一致的ARP表项,如果存在,则执行步骤103,如果不存在,则 执行步骤104。
步骤103:发送正确的ARP响应报文给用户设备,并更新该ARP表项 的其它相关信息。结束流程。
本步骤中,ARP表项中存在与用户设备的IP地址和MAC地址一致的 ARP表项,则说明该用户设备为授权用户,网关设备按照现有技术中的流程 发送正确的ARP响应报文给用户设备。
其中,如果ARP表项中不存在该用户的IP地址或MAC地址,或者, 表项中的IP地址和MAC地址与ARP请求报文中携带的源IP地址和源MAC 地址不一致,则均为ARP表项中不存在用户i殳备的IP地址和MAC地址一 致的ARP表项,即该用户设备为非授权用户。
本步骤中更新的该ARP表项的其它相关信息可以是该ARP表项的老化 时间、接口信息等。
步骤104:网关设备向用户设备发送目的MAC地址和源MAC地址均 为该用户设备的MAC地址的错误响应报文。结束流程。
本步骤中,ARP表项中不存在与用户设备的IP地址和MAC地址一致 的ARP表项,说明该用户设备为非授权用户,此时,网关设备向用户设备 发送屏蔽该用户设备报文的错误响应报文,该实施例中可以采用将该用户设 备的MAC地址作为该错误响应报文的目的MAC地址和源MAC地址的方 式,也可以采用随机产生一个错误的MAC地址作为错误响应报文的源MAC 地址。
在用户设备接收到该错误响应报文后,用户设备会在本地生成一条错误
的ARP表项,该ARP表项的IP地址为网关设备的IP地址,但是该表项的 MAC地址为用户设备自身的MAC地址或随机产生的一个错误的MAC地 址,即该MAC地址是一个错误的MAC地址。这样,由于用户设备在发送 报文时,需要按照本地的ARP表项中的内容发送4艮文,因此,该用户设备 在该ARP表项的老化时间内,将无法再发送报文到该网关设备。
如果主要为了防止恶意攻击的非授权用户频繁发送ARP请求到网关设 备,可以预先设定一个次数阈值,在每次判断发送ARP请求报文的用户设 备为非授权用户后,记录该用户设备发送ARP请求报文的次数,如果记录 的次数达到设定的次数阈值,则向该用户设备发送错误响应报文,如果没有 达到设定的次数阈值,则可以不向该用户设备发送任何响应4艮文。同时,可 以设定一个定时器,当定时器到时,将记录的次数清零。这样可以用于防止 在短时间内频繁发送ARP请求报文对网关设备造成的影响。
图2为本发明实施例提供的系统结构图,如图2所示,该系统包括网关 设备200和用户设备210。
网关设备200,用于接收到用户设备210发送的MAC地址请求后,查询是 否存在与MAC地址请求中携带的用户设备210的MAC地址和IP地址一致的 ARP表项,如果否,则屏蔽用户设备210发送的报文。
用户设备210,用于向网关设备200发送MAC地址请求报文,接收网关设 备200发送的错误响应报文。
其中,网关设备200可以包括接收单元201、查询单元202和l艮文屏蔽 单元203。
接收单元201,用于接收用户设备210发送的MAC地址请求才艮文。 查询单元202,用于查询是否存在与MAC地址请求报文中携带的该用户设
备210的MAC地址和IP地址一致的ARP表项,如果否,则发送错误响应执
行通知。
查询单元202查询出MAC地址请求报文中不存在携带的该用户设备210
的MAC地址和IP地址一致ARP表项,则表明该用户设备210是非授:权用户。 报文屏蔽单元203,接收到错误响应执行通知后,屏蔽用户设备210发送 的报文。
其中,报文屏蔽单元203可以包括错误响应生成单元204和^^文发送单 元205。
一睹误响应生成单元204,用于生成目的MAC地址和源MAC地址均为用户 设备210的MAC地址的错误响应报文。
报文发送单元205,用于将错误响应生成单元204生成的错误响应报文发 送给用户设备210。
更进一步地,网关设备200还可以包括次数记录单元206和次数判断单 元207。
次数记录单元206,用于接收到错误响应执行通知后,记录用户设备210 发送的MAC地址请求净艮文的次数。
次数判断单元207,用于判断次数记录单元206记录的次数是否达到预设 的次数阈值,如果是,则向报文屏蔽单元203发送错误响应执行通知。
更进一步地,该网关设备200还可以包括定时器208,用于设定屏蔽用 户设备210的时间,在到达i殳定时间时,向次数记录单元206发送清零通知。
次数记录单元206,用于接收到清零通知后,将记录的用户设备210发送 的MAC地址请求报文的次数清零。
由以上描述可以看出,本发明实施例提供的方法、系统和设备中,接收 到用户设备发送的MAC地址请求报文后,查询是否存在与MAC地址请求 报文中携带的该用户的MAC地址和IP地址一致的ARP表项,如果否,则 屏蔽该用户设备发送的报文。也就是在判断了发送MAC地址请求报文的用 户设备为非授权用户后,可以利用该方法屏蔽该用户设备在一定时间内再向 网关设备发送MAC地址请求报文,避免了网关设备重复执行报文处理过程, 提高网关设备的处理效率,也可以防止非授权用户的恶意攻击。
另外,本发明实施例中还提供了一种通过设定定时时限和对发送MAC
地址请求次数进行记录的方式,在设定时限内MAC地址请求4艮文的记录次 数达到设定阈值时,向用户设备发送屏蔽该用户设备报文的错误响应报文, 从而防止在短时间内频繁发送MAC地址请求报文对网关设备造成的不良影 响。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在 本发明保护的范围之内。
权利要求
1、一种处理报文的方法,其特征在于,该方法包括接收到用户设备发送的媒体访问控制MAC地址请求报文后,查询是否存在与所述MAC地址请求报文中携带的该用户设备的MAC地址和IP地址一致的地址解析协议ARP表项,如果否,则屏蔽该用户设备发送的报文。
2、 根据权利要求1所述的方法,其特征在于,所述ARP表项是利用动态 主机配置协议DHCP服务器为用户设备动态分配的IP地址生成的。
3、 根据权利要求1所述的方法,其特征在于,所述屏蔽该用户设备发送报 文包括:向所述用户设备发送目的MAC地址和源MAC地址均为所述用户设备 的MAC地址的错误响应报文。
4、 根据权利要求1所述的方法,其特征在于,在所述屏蔽该用户设备发送 的报文之前还包括判断该用户设备发送MAC地址请求报文的次数是否达到 预设的次数阈值,并将该用户设备发送的MAC地址请求报文的次数累加,如 果用户设备发送MAC地址请求报文的次数达到预设的次数阈值,则继续执行 所述屏蔽该用户设备发送的报文的步骤,如果用户设备发送MAC地址请求报 文的次数没有达到预设的次数阈值,则不向所述用户设备发送任何响应报文。
5、 根据权利要求4所述的方法,其特征在于,该方法还包括预设屏蔽该 用户设备的时间,如果预设时间到时,将记录的所述用户设备发送MAC地址 请求报文的次数清零。
6、 一种处理报文的系统,其特征在于,该系统包括网关设备和用户设备; 所述网关设备,用于接收到所述用户设备发送的MAC地址请求报文后,查询是否存在与所述MAC地址请求报文中携带的所述用户设备的MAC地址和 IP地址一致的ARP表项,如果否,则屏蔽所述用户设备发送的报文; 所述用户设备,用于向所述网关设备发送MAC地址请求报文。
7、 一种网关设备,其特征在于,该网关设备包括接收单元、查询单元和 报文屏蔽单元;所述接收单元,用于接收用户设备发送的MAC地址请求报文; 所述查询单元,用于查询是否存在与所述MAC地址请求报文中携带的该用户设备的MAC地址和IP地址一致的ARP表项,如果否,则发送错误响应执行通知;所述报文屏蔽单元,接收到所述错误响应执行通知后,屏蔽该用户设备发 送的报文。
8、 根据权利要求7所述的网关设备,其特征在于,所述报文屏蔽单元包括 错误响应生成单元和报文发送单元;所述^l晉误响应生成单元,用于生成目的MAC地址和源MAC地址均为所述 用户设备的MAC地址的错误响应报文;所述报文发送单元,用于将所述错误响应生成单元生成的错误响应报文发 送给用户设备。
9、 根据权利要求7所述的网关设备,其特征在于,该网关设备还包括次 数记录单元和次数判断单元;所述次数记录单元,用于接收到所述错误响应执行通知后,记录所述用户 设备发送的MAC地址请求报文的次数;所述次数判断单元,用于判断所述次数记录单元记录的次数是否达到预设 的次数阈值,如果是,则向所述报文屏蔽单元发送所述错误响应执行通知。
10、 根据权利要求9所述的网关设备,其特征在于,该网关设备还包括 定时器,用于设定屏蔽所述用户设备的时间,在到达设定时间时,向所述次数 记录单元发送清零通知;所述次数记录单元,用于接收到所述清零通知后,将记录的所述用户设备 发送的MAC地址请求报文的次数清零。
全文摘要
本发明提供了一种处理报文的方法、系统和设备,其中,方法包括接收到用户设备发送的媒体访问控制(MAC)地址请求报文后,查询是否存在与MAC地址请求报文中携带的该用户的MAC地址和IP地址一致的ARP表项,如果否,则屏蔽该用户设备发送的报文。也就是在判断了发送MAC地址请求报文的用户设备为非授权用户后,可以利用该方法屏蔽该用户设备在一定时间内再向网关设备发送MAC地址请求报文,避免了网关设备重复执行报文处理过程,提高网关设备的处理效率,也可以防止非授权用户的恶意攻击。
文档编号H04L12/56GK101170515SQ20071019522
公开日2008年4月30日 申请日期2007年12月4日 优先权日2007年12月4日
发明者王莉丽 申请人:华为技术有限公司