[发明专利]地址解析协议报文处理方法及通讯系统及转发平面处理器

说明书

技术领域

本发明涉及通讯领域，尤其涉及一种地址解析协议报文处理方法及通讯系统及转发平面处理器。

背景技术

地址解析协议(ARP，Address Resolution Protocol)是传输控制协议/互联网协议(TCP/IP，Transmission Control Protocol/Internet Protocol)协议栈中较低层的协议之一，其作用是实现IP地址到以太网物理地址，即媒体接入控制(MAC，Media Access Control)地址的转换。

以太网设备之间的通信是使用MAC地址来寻址的，而基于TCP/IP的各种应用是以IP地址来寻址的，基于IP地址寻址的各种数据包最终都需要封装在基于MAC地址寻址的以太网帧内进行传输。因此，以太网设备在进行IP通信之前，都需要通过协议从对端的IP地址解析出对端的MAC地址，完成这一解析过程的协议就是ARP协议。

为了加快地址转换速度，网络设备在实现ARP协议时都会用到ARP缓存技术，在本地通过表结构来缓存一定数量的地址映射关系，这张表通常叫做ARP表。

但是在现有网络中通常会存在基于ARP的网络攻击行为，从攻击原理区分，ARP攻击一般有以下两个方面：

1、地址欺骗：通过发送具有错误地址映射关系的ARP请求或ARP响应报文来篡改主机或网关的ARP表，使网关或主机将报文发送到错误的物理地址从而达到攻击目的。

2、ARP DoS攻击：一般针对网关设备(如路由器或交换机)进行。由于ARP报文一般在设备的控制平面进行处理，控制平面一般采用通用CPU作为处理引擎。通用CPU的特点是可以进行复杂的处理但性能有限，过多的处理任务会使控制平面的CPU不堪重负甚至崩溃。ARP DoS攻击就是利用这个原理，向网关设备发送大流量ARP报文，使设备的控制平面极度繁忙而无法处理正常的ARP报文，从而达到攻击目的。

现有技术中一种ARP报文处理方法为：

首先在转发平面中对ARP报文的IP地址进行检查，不合法的ARP报文被丢弃。

IP地址检查主要包括：

1、目的IP地址检查。检查目的IP地址是否是网关所在网段的IP地址，如果不是该报文将被丢弃。

2、源IP地址检查。检查源IP地址是否是“确认合法”的IP地址。这里的“确认合法”是指该IP地址已经在ARP表项中存在，对于这类报文给予较高的上送优先级，对于其它ARP报文以低优先级上送。

但上述技术不能应对来自使用合法IP地址的攻击。攻击报文通常伪造合法的IP地址或者在整个网段内采用源地址扫描攻击，源、目的IP地址是合法IP地址的可能性很大，因此，该方案不能有效防止使用合法IP地址的ARP攻击。

为了克服上一方案的缺陷，现有技术中另一种ARP报文处理方法为：

利用转发平面中网络处理器的高速处理能力，直接在转发平面中回应ARP请求报文。

由于ARP报文分为ARP请求报文和ARP响应报文两种，而上述方案只解决了ARP请求报文的问题；不能解决使用ARP响应报文进行大流量攻击的问题。

发明内容

本发明实施例要解决的技术问题是提供一种地址解析协议报文处理方法及通讯系统及转发平面处理器，能够有效的防御利用ARP报文发起的网络攻击。

本发明实施例提供的地址解析协议报文处理方法，包括：转发平面处理器判断接收到的地址解析协议报文的类型；若所述地址解析协议报文为地址解析协议请求报文，则查询本地配置的地址解析协议表，若在所述地址解析协议表中查询到所述地址解析协议请求报文对应的表项，则直接对所述地址解析协议请求报文进行回应；若所述地址解析协议报文为地址解析协议响应报文，则查询本地配置的地址解析协议表，若在所述地址解析协议表中查询到所述地址解析协议响应报文对应的表项，则判断所述表项中的上报参数是否为允许上报，若为允许上报，则将所述地址解析协议响应报文上报至控制平面处理器，若在所述表中未查询到所述地址解析协议响应报文对应的表项，则丢弃所述地址解析协议响应报文。