專利名稱:一種處理報文的方法、系統(tǒng)和網關設備的制作方法
技術領域:
本發(fā)明涉及網絡通信技術��,特別涉及一種處理報文的方法�、系統(tǒng)和網關 設備。
背景技術:
地址解析協(xié)議(ARP, Address Resolution Protocol)是實現(xiàn)IP地址到以 太網的媒體訪問控制(MAC, Media Access Control)地址之間轉換的協(xié)議���, 由于以太網之間的通信是使用MAC地址來尋址的�,而基于TCP/IP的各種 應用是基于IP地址來尋址的,基于IP地址尋址的各種數(shù)據(jù)包最終都需要封 裝在基于MAC地址尋址的以太網幀內進行傳輸��。
動態(tài)主才幾配置十辦i義(DHCP�����, Dynamic Host Configuration Protocol)是一 種動態(tài)配置IP地址的協(xié)議�����。在解決未授權用戶訪問網絡問題時����,通常將ARP 與DHCP結合使用,DHCP服務器授權ARP功能具體為網關設備中保存 用戶設備IP地址和用戶設備MAC地址對應關系的ARP表項�����,該ARP表項 不再由網關設備動態(tài)學習��,而通過DHCP服務器為用戶設備動態(tài)分配的IP 地址來生成����,并且����,將經過DHCP服務器動態(tài)分配IP地址的用戶設備稱為 授權用戶�,將沒有經過DHCP服務器動態(tài)分配IP地址的用戶設備稱為非授 權用戶,例如���,自己配置靜態(tài)IP地址的用戶設備就是非授權用戶��。
現(xiàn)有技術中,如果網關設備啟用了 DHCP服務器授權ARP功能��,即網 關設備保存的ARP表項是根據(jù)DHCP服務器動態(tài)分配的IP地址生成的�,則 網關設備的報文處理過程為用戶設備為了獲取網關設備的MAC地址,向 網關設備發(fā)送MAC地址請求報文�����,該MAC地址請求報文可以是ARP請求 報文����,也可以是網絡控制報文協(xié)議(ICMP, Internet Control Message Protocol)
心跳(Ping )報文�����。網關設備在接收到用戶設備的MAC地址請求報文后, 會根據(jù)該MAC地址請求報文中攜帶的用戶設備的IP地址和MAC地址�����,查 詢自身存儲的ARP表項中是否有與該用戶設備的IP地址和MAC地址相同 的ARP表項�,如果是,則確認該用戶設備為授權用戶�,向該用戶設備發(fā)送 正確的響應^艮文;如果否���,則丟棄該MAC地址請求纟艮文��。
但是����,由于在確定該用戶設備為非授權用戶后���,網關設備丟棄該用戶設 備的MAC地址請求報文����,該非授權用戶未獲得響應報文則可能會持續(xù)發(fā)送 MAC地址請求報文��,這必然會使得網關設備重復執(zhí)行上述報文處理過程, 嚴重影響網關設備的處理效率���。 一旦非授權用戶惡意攻擊�����,持續(xù)發(fā)送大量 MAC地址請求報文���,則可能會導致網關設備的癱瘓。
發(fā)明內容
本發(fā)明實施例提供了一種處理報文的方法���、系統(tǒng)和設備����,以便于提高網 關設備的處理效率����,防止惡意攻擊���。
一種處理4艮文的方法���,該方法包括
接收到用戶設備發(fā)送的i某體訪問控制MAC地址請求報文后�,查詢是否存 在與所述MAC地址請求報文中攜帶的該用戶設備的MAC地址和IP地址一致 的地址解析協(xié)議ARP表項��,如果否��,則屏蔽該用戶設備發(fā)送的報文��。 一種處理報文的系統(tǒng)�,該系統(tǒng)包括網關設備和用戶設備; 所述網關設備��,用于接收到所述用戶設備發(fā)送的MAC地址請求才艮文后�����, 查詢是否存在與所述MAC地址請求報文中攜帶的所述用戶設備的MAC地址和 IP地址一致的ARP表項�,如果否,則屏蔽所述用戶設備發(fā)送的報文���; 所述用戶設備�,用于向所述網關設備發(fā)送MAC地址請求報文�。 一種網關設備,該網關設備包括接收單元��、查詢單元和報文屏蔽單元���; 所述接收單元���,用于接收用戶設備發(fā)送的MAC地址請求報文��; 所述查詢單元���,用于查詢是否存在與所述MAC地址請求報文中攜帶的該 用戶設備的MAC地址和IP地址一致的ARP表項,如果否���,則發(fā)送錯誤響應
執(zhí)行通知���;
所述報文屏蔽單元,接收到所述錯誤響應執(zhí)行通知后����,屏蔽該用戶設備發(fā) 送的報文。
由以上技術方案可以看出��,本發(fā)明實施例提供的方法���、系統(tǒng)和設備中, 接收到用戶設備發(fā)送的MAC地址請求報文后�����,查詢是否存在與MAC地址 請求報文中攜帶的該用戶的MAC地址和IP地址一致的ARP表項,如果否�����, 則屏蔽該用戶設備發(fā)送報文���。也就是在判斷了發(fā)送MAC地址請求報文的用 戶設備為非授權用戶后��,可以通過該方法屏蔽該用戶設備在一定時間內再向 網關設備發(fā)送MAC地址請求報文�����,避免了網關設備重復執(zhí)行報文處理過程��, 提高網關設備的處理效率��,也可以防止非授權用戶的惡意攻擊�。
圖1為本發(fā)明實施例提供的方法流程圖����; 圖2為本發(fā)明實施例提供的系統(tǒng)流程圖。
具體實施例方式
為了使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚�����,下面結合附圖和具體 實施例對本發(fā)明進行詳細描述��。
本發(fā)明實施例提供的方法主要包括接收到用戶設備發(fā)送的MAC地址 請求報文后�,查詢是否存在與MAC地址請求報文中攜帶的該用戶設備的 MAC地址和IP地址一致的ARP表項,如果否����,則屏蔽該用戶i殳備發(fā)送的 報文。
其中���,MAC地址請求報文可以是ARP請求報文��,也可以是ICMPPing 報文�。以下實施例中����,均以ARP請求報文為例進行描述。
圖1為本發(fā)明實施例提供的方法流程圖��,在該實施例中�,網關設備啟用 了 DHCP授權ARP功能,保存的ARP表項是通過DHCP服務器為用戶設備 動態(tài)分配的IP地址生成的�。ARP表項的內容為用戶設備的IP地址和MAC
地址之間的對應關系。如圖l所示�,該方法主要包括
步驟101:網關設備接收到用戶設備發(fā)送的ARP請求報文后,獲取該 ARP"請求報文中攜帶的用戶設備的IP地址和MAC地址�����。
用戶設備發(fā)送的ARP請求報文中攜帶的源IP地址和源MAC地址即為 發(fā)送該凈艮文的用戶設備的IP地址和MAC地址�����。
步驟102:網關設備查找ARP表項中是否存在與用戶設備的IP地址和 MAC地址一致的ARP表項�,如果存在,則執(zhí)行步驟103��,如果不存在��,則 執(zhí)行步驟104���。
步驟103:發(fā)送正確的ARP響應報文給用戶設備����,并更新該ARP表項 的其它相關信息。結束流程���。
本步驟中�,ARP表項中存在與用戶設備的IP地址和MAC地址一致的 ARP表項���,則說明該用戶設備為授權用戶����,網關設備按照現(xiàn)有技術中的流程 發(fā)送正確的ARP響應報文給用戶設備�����。
其中�,如果ARP表項中不存在該用戶的IP地址或MAC地址,或者�, 表項中的IP地址和MAC地址與ARP請求報文中攜帶的源IP地址和源MAC 地址不一致,則均為ARP表項中不存在用戶i殳備的IP地址和MAC地址一 致的ARP表項�����,即該用戶設備為非授權用戶��。
本步驟中更新的該ARP表項的其它相關信息可以是該ARP表項的老化 時間�����、接口信息等。
步驟104:網關設備向用戶設備發(fā)送目的MAC地址和源MAC地址均 為該用戶設備的MAC地址的錯誤響應報文�。結束流程�。
本步驟中,ARP表項中不存在與用戶設備的IP地址和MAC地址一致 的ARP表項���,說明該用戶設備為非授權用戶���,此時,網關設備向用戶設備 發(fā)送屏蔽該用戶設備報文的錯誤響應報文���,該實施例中可以采用將該用戶設 備的MAC地址作為該錯誤響應報文的目的MAC地址和源MAC地址的方 式��,也可以采用隨機產生一個錯誤的MAC地址作為錯誤響應報文的源MAC 地址����。
在用戶設備接收到該錯誤響應報文后�����,用戶設備會在本地生成一條錯誤
的ARP表項��,該ARP表項的IP地址為網關設備的IP地址,但是該表項的 MAC地址為用戶設備自身的MAC地址或隨機產生的一個錯誤的MAC地 址��,即該MAC地址是一個錯誤的MAC地址����。這樣,由于用戶設備在發(fā)送 報文時����,需要按照本地的ARP表項中的內容發(fā)送4艮文,因此�����,該用戶設備 在該ARP表項的老化時間內����,將無法再發(fā)送報文到該網關設備。
如果主要為了防止惡意攻擊的非授權用戶頻繁發(fā)送ARP請求到網關設 備��,可以預先設定一個次數(shù)閾值�����,在每次判斷發(fā)送ARP請求報文的用戶設 備為非授權用戶后����,記錄該用戶設備發(fā)送ARP請求報文的次數(shù)���,如果記錄 的次數(shù)達到設定的次數(shù)閾值,則向該用戶設備發(fā)送錯誤響應報文�,如果沒有 達到設定的次數(shù)閾值,則可以不向該用戶設備發(fā)送任何響應4艮文���。同時,可 以設定一個定時器��,當定時器到時����,將記錄的次數(shù)清零。這樣可以用于防止 在短時間內頻繁發(fā)送ARP請求報文對網關設備造成的影響�。
圖2為本發(fā)明實施例提供的系統(tǒng)結構圖,如圖2所示�����,該系統(tǒng)包括網關 設備200和用戶設備210���。
網關設備200,用于接收到用戶設備210發(fā)送的MAC地址請求后�,查詢是 否存在與MAC地址請求中攜帶的用戶設備210的MAC地址和IP地址一致的 ARP表項,如果否�����,則屏蔽用戶設備210發(fā)送的報文��。
用戶設備210����,用于向網關設備200發(fā)送MAC地址請求報文,接收網關設 備200發(fā)送的錯誤響應報文����。
其中,網關設備200可以包括接收單元201���、查詢單元202和l艮文屏蔽 單元203�����。
接收單元201,用于接收用戶設備210發(fā)送的MAC地址請求才艮文��。 查詢單元202���,用于查詢是否存在與MAC地址請求報文中攜帶的該用戶設
備210的MAC地址和IP地址一致的ARP表項���,如果否,則發(fā)送錯誤響應執(zhí)
行通知�。
查詢單元202查詢出MAC地址請求報文中不存在攜帶的該用戶設備210
的MAC地址和IP地址一致ARP表項,則表明該用戶設備210是非授:權用戶����。 報文屏蔽單元203,接收到錯誤響應執(zhí)行通知后�,屏蔽用戶設備210發(fā)送 的報文。
其中��,報文屏蔽單元203可以包括錯誤響應生成單元204和^^文發(fā)送單 元205���。
一睹誤響應生成單元204,用于生成目的MAC地址和源MAC地址均為用戶 設備210的MAC地址的錯誤響應報文�。
報文發(fā)送單元205,用于將錯誤響應生成單元204生成的錯誤響應報文發(fā) 送給用戶設備210���。
更進一步地����,網關設備200還可以包括次數(shù)記錄單元206和次數(shù)判斷單 元207��。
次數(shù)記錄單元206,用于接收到錯誤響應執(zhí)行通知后,記錄用戶設備210 發(fā)送的MAC地址請求凈艮文的次數(shù)��。
次數(shù)判斷單元207,用于判斷次數(shù)記錄單元206記錄的次數(shù)是否達到預設 的次數(shù)閾值�,如果是,則向報文屏蔽單元203發(fā)送錯誤響應執(zhí)行通知���。
更進一步地��,該網關設備200還可以包括定時器208����,用于設定屏蔽用 戶設備210的時間��,在到達i殳定時間時����,向次數(shù)記錄單元206發(fā)送清零通知。
次數(shù)記錄單元206,用于接收到清零通知后����,將記錄的用戶設備210發(fā)送 的MAC地址請求報文的次數(shù)清零。
由以上描述可以看出����,本發(fā)明實施例提供的方法����、系統(tǒng)和設備中���,接收 到用戶設備發(fā)送的MAC地址請求報文后���,查詢是否存在與MAC地址請求 報文中攜帶的該用戶的MAC地址和IP地址一致的ARP表項,如果否���,則 屏蔽該用戶設備發(fā)送的報文���。也就是在判斷了發(fā)送MAC地址請求報文的用 戶設備為非授權用戶后,可以利用該方法屏蔽該用戶設備在一定時間內再向 網關設備發(fā)送MAC地址請求報文���,避免了網關設備重復執(zhí)行報文處理過程, 提高網關設備的處理效率���,也可以防止非授權用戶的惡意攻擊�。
另外��,本發(fā)明實施例中還提供了一種通過設定定時時限和對發(fā)送MAC
地址請求次數(shù)進行記錄的方式�,在設定時限內MAC地址請求4艮文的記錄次 數(shù)達到設定閾值時����,向用戶設備發(fā)送屏蔽該用戶設備報文的錯誤響應報文��, 從而防止在短時間內頻繁發(fā)送MAC地址請求報文對網關設備造成的不良影 響�����。
以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明���,凡在本 發(fā)明的精神和原則之內��,所做的任何修改���、等同替換、改進等���,均應包含在 本發(fā)明保護的范圍之內��。
權利要求
1�、一種處理報文的方法,其特征在于����,該方法包括接收到用戶設備發(fā)送的媒體訪問控制MAC地址請求報文后,查詢是否存在與所述MAC地址請求報文中攜帶的該用戶設備的MAC地址和IP地址一致的地址解析協(xié)議ARP表項����,如果否,則屏蔽該用戶設備發(fā)送的報文�����。
2��、 根據(jù)權利要求1所述的方法�����,其特征在于��,所述ARP表項是利用動態(tài) 主機配置協(xié)議DHCP服務器為用戶設備動態(tài)分配的IP地址生成的�。
3���、 根據(jù)權利要求1所述的方法,其特征在于,所述屏蔽該用戶設備發(fā)送報 文包括:向所述用戶設備發(fā)送目的MAC地址和源MAC地址均為所述用戶設備 的MAC地址的錯誤響應報文�����。
4�����、 根據(jù)權利要求1所述的方法��,其特征在于���,在所述屏蔽該用戶設備發(fā)送 的報文之前還包括判斷該用戶設備發(fā)送MAC地址請求報文的次數(shù)是否達到 預設的次數(shù)閾值����,并將該用戶設備發(fā)送的MAC地址請求報文的次數(shù)累加�����,如 果用戶設備發(fā)送MAC地址請求報文的次數(shù)達到預設的次數(shù)閾值��,則繼續(xù)執(zhí)行 所述屏蔽該用戶設備發(fā)送的報文的步驟�����,如果用戶設備發(fā)送MAC地址請求報 文的次數(shù)沒有達到預設的次數(shù)閾值�����,則不向所述用戶設備發(fā)送任何響應報文�。
5、 根據(jù)權利要求4所述的方法�����,其特征在于��,該方法還包括預設屏蔽該 用戶設備的時間�����,如果預設時間到時���,將記錄的所述用戶設備發(fā)送MAC地址 請求報文的次數(shù)清零�����。
6�、 一種處理報文的系統(tǒng)���,其特征在于,該系統(tǒng)包括網關設備和用戶設備��; 所述網關設備���,用于接收到所述用戶設備發(fā)送的MAC地址請求報文后�,查詢是否存在與所述MAC地址請求報文中攜帶的所述用戶設備的MAC地址和 IP地址一致的ARP表項���,如果否�,則屏蔽所述用戶設備發(fā)送的報文; 所述用戶設備���,用于向所述網關設備發(fā)送MAC地址請求報文����。
7����、 一種網關設備,其特征在于��,該網關設備包括接收單元����、查詢單元和 報文屏蔽單元�;所述接收單元�,用于接收用戶設備發(fā)送的MAC地址請求報文; 所述查詢單元�����,用于查詢是否存在與所述MAC地址請求報文中攜帶的該用戶設備的MAC地址和IP地址一致的ARP表項���,如果否����,則發(fā)送錯誤響應執(zhí)行通知;所述報文屏蔽單元�����,接收到所述錯誤響應執(zhí)行通知后��,屏蔽該用戶設備發(fā) 送的報文����。
8�、 根據(jù)權利要求7所述的網關設備,其特征在于�,所述報文屏蔽單元包括 錯誤響應生成單元和報文發(fā)送單元;所述^l晉誤響應生成單元����,用于生成目的MAC地址和源MAC地址均為所述 用戶設備的MAC地址的錯誤響應報文���;所述報文發(fā)送單元,用于將所述錯誤響應生成單元生成的錯誤響應報文發(fā) 送給用戶設備�����。
9����、 根據(jù)權利要求7所述的網關設備���,其特征在于��,該網關設備還包括次 數(shù)記錄單元和次數(shù)判斷單元���;所述次數(shù)記錄單元,用于接收到所述錯誤響應執(zhí)行通知后�����,記錄所述用戶 設備發(fā)送的MAC地址請求報文的次數(shù);所述次數(shù)判斷單元���,用于判斷所述次數(shù)記錄單元記錄的次數(shù)是否達到預設 的次數(shù)閾值���,如果是��,則向所述報文屏蔽單元發(fā)送所述錯誤響應執(zhí)行通知。
10�����、 根據(jù)權利要求9所述的網關設備�,其特征在于�,該網關設備還包括 定時器,用于設定屏蔽所述用戶設備的時間��,在到達設定時間時��,向所述次數(shù) 記錄單元發(fā)送清零通知�;所述次數(shù)記錄單元����,用于接收到所述清零通知后,將記錄的所述用戶設備 發(fā)送的MAC地址請求報文的次數(shù)清零�。
全文摘要
本發(fā)明提供了一種處理報文的方法、系統(tǒng)和設備����,其中����,方法包括接收到用戶設備發(fā)送的媒體訪問控制(MAC)地址請求報文后,查詢是否存在與MAC地址請求報文中攜帶的該用戶的MAC地址和IP地址一致的ARP表項����,如果否,則屏蔽該用戶設備發(fā)送的報文���。也就是在判斷了發(fā)送MAC地址請求報文的用戶設備為非授權用戶后�,可以利用該方法屏蔽該用戶設備在一定時間內再向網關設備發(fā)送MAC地址請求報文��,避免了網關設備重復執(zhí)行報文處理過程���,提高網關設備的處理效率����,也可以防止非授權用戶的惡意攻擊�。
文檔編號H04L12/56GK101170515SQ20071019522
公開日2008年4月30日 申請日期2007年12月4日 優(yōu)先權日2007年12月4日
發(fā)明者王莉麗 申請人:華為技術有限公司