[发明专利]路由装置及相关的封包处理电路

说明书

技术领域

本发明有关网络通讯装置，尤指能对网络地址解析数据被破坏的终端装置所发出的跨网段网络封包进行路由处理的路由装置及相关的封包处理电路。

背景技术

网际网络的应用已经深入渗透到许多人生活、工作和娱乐等各个层面中，使得网络资讯安全的重要性与日俱增。然而，网络病毒和入侵等各种网络安全威胁的型态和传播方式也在不断演进当中。

对许多区域网络环境而言，除了要防范来自网络外部的安全威胁和攻击外，来自内部网络架构的威胁也是一大问题。举例而言，网络地址解析协议(Address Resolution Protocol，ARP)资讯(又称为ARP表或ARP快取)在以太网络的通讯上扮演重要角色，但由于通讯协定的不完善，使得攻击者或恶意程序很容易利用所谓的ARP欺骗(ARP Spoofing)手段制造伪造的ARP封包，进而破坏区域网络内的终端装置的ARP资讯。

常见的ARP攻击会破坏记录在终端装置的ARP资讯中的路由器地址资讯，导致终端装置会在要发送给路由器的网络封包标头中填入不是路由器真正物理地址的错误目的物理地址(physical address，例如MAC地址)。在习知的网络通讯协定下，当路由器收到该终端装置所发出的网络封包时，会因为这些网络封包的目的物理地址并不是指向路由器本身的物理地址而将这些网络封包丢弃，造成该终端装置无法连到其他网段或是无法上网的问题。

当这种情况发生时，会造成使用者严重的不便，而且网络管理者也必须逐一检查并修正受影响的各终端装置的ARP资讯，才能恢复受影响的终端装置的网络连线功能，是一项非常耗时又烦人的工作。

要降低区域网络受到ARP攻击的可能性，习知的一种作法是在区域网络内加装VLAN交换器(VLAN Switch)。利用VLAN交换器把区域网络内所有终端装置间的连结在物理层做隔绝，使得伪造的ARP封包难以在终端装置间进行传送，藉此降低终端装置的ARP资讯遭受破坏的机会。

然而，加装VLAN交换器必须增加额外的成本和增加整体区域网络架构的复杂性，对小型网络环境或家用网络环境而言也不太符合经济效益，所以并非理想的解决方案。

发明内容

有鉴于此，如何以更经济便利的方式降低ARP攻击对区域网络内的终端装置的使用者所造成的威胁和不便，实系有待解决的问题。

本说明书提供了一种用于路由装置的封包处理电路的实施例，其包含有：一输出/输入接口；以及一处理器，耦接于该输出/输入接口，当经由该输出/输入接口收到目的网络协定地址指向一外部网段，且目的物理地址与该路由装置的物理地址不同的一第一网络封包时，会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同且来源物理地址与该路由装置的物理地址相同的一第二网络封包。

本说明书另提供了一种路由装置的实施例，用来处理一第一网段中的终端装置的网络封包路由，其包含有：一储存媒体，用来储存路由资讯(RoutingInformation)；一第一网络接口，用来接收一终端装置所发出的网络封包；一处理器，耦接于该储存媒体与该第一网络接口，当经由该第一网络接口收到目的网络协议地址指向一第二网段的一第一网络封包时，不论该第一网络封包的目的物理地址是否与该路由装置的物理地址相同，都会依据该第一网络封包产生目的网络协议地址与该第一网络封包的目的网络协议地址相同，且来源物理地址与该路由装置的物理地址相同的一第二网络封包；以及一第二网络接口，耦接于该处理器，用来依据该路由资讯将该第二网络封包往一次传送点(next hop)传送。

本发明的优点之一是，无需加装其他VLAN交换器，便可降低ARP攻击对区域网络内的终端装置的对外网络通讯所造成的威胁。

本发明的另一项优点在于，路由装置仅需检查一网络封包标头栏位中的目的网络协议地址和来源地址，而无需耗费额外运算能力去读取该网络封包的承载数据内容，便能快速地判断出该网络封包的来源装置是否受到ARP攻击，并维持该来源装置与其它网段的通讯能力。

本发明的另一优点是，即便区域网络内的终端装置受到了ARP攻击，本发明所揭露的路由装置和相关的封包处理电路仍可维持该终端装置与网际网络或其他网段的通讯，让系统管理者可以不必耗时费力的逐一检查和修复受攻击的各个终端装置的ARP资讯。

附图说明

图1是本发明的网络系统的一实施例简化后的示意图。

图2是本发明的封包处理电路的一实施例功能方块图。

图3是本发明的封包路由方法的一实施例流程图。

【主要元件符号说明】

100    网络系统