国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      路由裝置及相關(guān)的封包處理電路的制作方法

      文檔序號(hào):7744261閱讀:203來源:國知局
      專利名稱:路由裝置及相關(guān)的封包處理電路的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明有關(guān)網(wǎng)絡(luò)通訊裝置,尤指能對網(wǎng)絡(luò)地址解析數(shù)據(jù)被破壞的終端裝置所發(fā)出的跨網(wǎng)段網(wǎng)絡(luò)封包進(jìn)行路由處理的路由裝置及相關(guān)的封包處理電路。
      背景技術(shù)
      網(wǎng)際網(wǎng)絡(luò)的應(yīng)用已經(jīng)深入滲透到許多人生活、工作和娛樂等各個(gè)層面中,使得網(wǎng)絡(luò)資訊安全的重要性與日俱增。然而,網(wǎng)絡(luò)病毒和入侵等各種網(wǎng)絡(luò)安全威脅的型態(tài)和傳播方式也在不斷演進(jìn)當(dāng)中。對許多區(qū)域網(wǎng)絡(luò)環(huán)境而言,除了要防范來自網(wǎng)絡(luò)外部的安全威脅和攻擊外,來自內(nèi)部網(wǎng)絡(luò)架構(gòu)的威脅也是一大問題。舉例而言,網(wǎng)絡(luò)地址解析協(xié)議(Address Resolution Protocol,ARP)資訊(又稱為ARP表或ARP快取)在以太網(wǎng)絡(luò)的通訊上扮演重要角色,但由于通訊協(xié)定的不完善,使得攻擊者或惡意程序很容易利用所謂的ARP欺騙(ARP Spoofing) 手段制造偽造的ARP封包,進(jìn)而破壞區(qū)域網(wǎng)絡(luò)內(nèi)的終端裝置的ARP資訊。常見的ARP攻擊會(huì)破壞記錄在終端裝置的ARP資訊中的路由器地址資訊,導(dǎo)致終端裝置會(huì)在要發(fā)送給路由器的網(wǎng)絡(luò)封包標(biāo)頭中填入不是路由器真正物理地址的錯(cuò)誤目的物理地址(physical address,例如MAC地址)。在習(xí)知的網(wǎng)絡(luò)通訊協(xié)定下,當(dāng)路由器收到該終端裝置所發(fā)出的網(wǎng)絡(luò)封包時(shí),會(huì)因?yàn)檫@些網(wǎng)絡(luò)封包的目的物理地址并不是指向路由器本身的物理地址而將這些網(wǎng)絡(luò)封包丟棄,造成該終端裝置無法連到其他網(wǎng)段或是無法上網(wǎng)的問題。當(dāng)這種情況發(fā)生時(shí),會(huì)造成使用者嚴(yán)重的不便,而且網(wǎng)絡(luò)管理者也必須逐一檢查并修正受影響的各終端裝置的ARP資訊,才能恢復(fù)受影響的終端裝置的網(wǎng)絡(luò)連線功能,是一項(xiàng)非常耗時(shí)又煩人的工作。要降低區(qū)域網(wǎng)絡(luò)受到ARP攻擊的可能性,習(xí)知的一種作法是在區(qū)域網(wǎng)絡(luò)內(nèi)加裝 VLAN交換器(VLAN Switch)。利用VLAN交換器把區(qū)域網(wǎng)絡(luò)內(nèi)所有終端裝置間的連結(jié)在物理層做隔絕,使得偽造的ARP封包難以在終端裝置間進(jìn)行傳送,藉此降低終端裝置的ARP資訊遭受破壞的機(jī)會(huì)。然而,加裝VLAN交換器必須增加額外的成本和增加整體區(qū)域網(wǎng)絡(luò)架構(gòu)的復(fù)雜性, 對小型網(wǎng)絡(luò)環(huán)境或家用網(wǎng)絡(luò)環(huán)境而言也不太符合經(jīng)濟(jì)效益,所以并非理想的解決方案。

      發(fā)明內(nèi)容
      有鑒于此,如何以更經(jīng)濟(jì)便利的方式降低ARP攻擊對區(qū)域網(wǎng)絡(luò)內(nèi)的終端裝置的使用者所造成的威脅和不便,實(shí)系有待解決的問題。本說明書提供了一種用于路由裝置的封包處理電路的實(shí)施例,其包含有一輸出 /輸入接口 ;以及一處理器,耦接于該輸出/輸入接口,當(dāng)經(jīng)由該輸出/輸入接口收到目的網(wǎng)絡(luò)協(xié)定地址指向一外部網(wǎng)段,且目的物理地址與該路由裝置的物理地址不同的一第一網(wǎng)絡(luò)封包時(shí),會(huì)產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同且來源物理地址與該路由裝置的物理地址相同的一第二網(wǎng)絡(luò)封包。本說明書另提供了一種路由裝置的實(shí)施例,用來處理一第一網(wǎng)段中的終端裝置的網(wǎng)絡(luò)封包路由,其包含有一儲(chǔ)存媒體,用來儲(chǔ)存路由資訊(RoutingInformation)廣第一網(wǎng)絡(luò)接口,用來接收一終端裝置所發(fā)出的網(wǎng)絡(luò)封包;一處理器,耦接于該儲(chǔ)存媒體與該第一網(wǎng)絡(luò)接口,當(dāng)經(jīng)由該第一網(wǎng)絡(luò)接口收到目的網(wǎng)絡(luò)協(xié)議地址指向一第二網(wǎng)段的一第一網(wǎng)絡(luò)封包時(shí),不論該第一網(wǎng)絡(luò)封包的目的物理地址是否與該路由裝置的物理地址相同,都會(huì)依據(jù)該第一網(wǎng)絡(luò)封包產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同,且來源物理地址與該路由裝置的物理地址相同的一第二網(wǎng)絡(luò)封包;以及一第二網(wǎng)絡(luò)接口,耦接于該處理器,用來依據(jù)該路由資訊將該第二網(wǎng)絡(luò)封包往一次傳送點(diǎn)(next hop)傳送。本發(fā)明的優(yōu)點(diǎn)之一是,無需加裝其他VLAN交換器,便可降低ARP攻擊對區(qū)域網(wǎng)絡(luò)內(nèi)的終端裝置的對外網(wǎng)絡(luò)通訊所造成的威脅。本發(fā)明的另一項(xiàng)優(yōu)點(diǎn)在于,路由裝置僅需檢查一網(wǎng)絡(luò)封包標(biāo)頭欄位中的目的網(wǎng)絡(luò)協(xié)議地址和來源地址,而無需耗費(fèi)額外運(yùn)算能力去讀取該網(wǎng)絡(luò)封包的承載數(shù)據(jù)內(nèi)容,便能快速地判斷出該網(wǎng)絡(luò)封包的來源裝置是否受到ARP攻擊,并維持該來源裝置與其它網(wǎng)段的通訊能力。本發(fā)明的另一優(yōu)點(diǎn)是,即便區(qū)域網(wǎng)絡(luò)內(nèi)的終端裝置受到了 ARP攻擊,本發(fā)明所揭露的路由裝置和相關(guān)的封包處理電路仍可維持該終端裝置與網(wǎng)際網(wǎng)絡(luò)或其他網(wǎng)段的通訊, 讓系統(tǒng)管理者可以不必耗時(shí)費(fèi)力的逐一檢查和修復(fù)受攻擊的各個(gè)終端裝置的ARP資訊。


      圖1是本發(fā)明的網(wǎng)絡(luò)系統(tǒng)的一實(shí)施例簡化后的示意圖。圖2是本發(fā)明的封包處理電路的一實(shí)施例功能方塊圖。圖3是本發(fā)明的封包路由方法的一實(shí)施例流程圖。主要元件符號(hào)說明100 網(wǎng)絡(luò)系統(tǒng)110 路由裝置112 封包處理電路114、116 網(wǎng)絡(luò)接口118 儲(chǔ)存媒體120 區(qū)域網(wǎng)絡(luò)122、124、126 終端裝置128 集線器130 其他網(wǎng)段210 處理器220 輸出/輸入接口
      具體實(shí)施例方式以下將配合相關(guān)圖式來說明本發(fā)明的實(shí)施例。在這些圖式中,相同的標(biāo)號(hào)表示相同或類似的元件。
      在說明書及后續(xù)的權(quán)利要求當(dāng)中使用了某些詞匯來指稱特定的元件。本領(lǐng)域技術(shù)人員應(yīng)可理解,制造商可能會(huì)用不同的名詞來稱呼同樣的元件。本說明書及后續(xù)的權(quán)利要求并不以名稱的差異來作為區(qū)分元件的方式,而是以元件在功能上的差異來作為區(qū)分的基準(zhǔn)。在通篇說明書及后續(xù)的請求項(xiàng)當(dāng)中所提及的「包含」為一開放式的用語,故應(yīng)解釋成 「包含但不限定于...」。另外,「耦接」一詞在此包含任何直接及間接的連接手段。因此,若文中描述一第一裝置耦接于一第二裝置,則代表該第一裝置可直接(包含通過電性連接或無線傳輸、光學(xué)傳輸?shù)扔嵦?hào)連接方式)連接于該第二裝置,或通過其他裝置或連接手段間接地電性或訊號(hào)連接至該第二裝置。圖1所繪示為本發(fā)明一實(shí)施例的網(wǎng)絡(luò)系統(tǒng)100簡化后的示意圖。在網(wǎng)絡(luò)系統(tǒng)100 中,路由裝置(又稱為通訊閘道)Iio是區(qū)域網(wǎng)絡(luò)120與其他網(wǎng)段(例如網(wǎng)際網(wǎng)絡(luò))130之間的通訊橋梁。本實(shí)施例中的路由裝置110包含一封包處理電路112、用來與區(qū)域網(wǎng)絡(luò)120 進(jìn)行通訊的一網(wǎng)絡(luò)接口 114、用來與其他網(wǎng)段130進(jìn)行通訊的一網(wǎng)絡(luò)接口 116、以及一儲(chǔ)存媒體118。實(shí)作上,路由裝置110可以是專用的網(wǎng)絡(luò)設(shè)備,也可以將具有封包轉(zhuǎn)遞能力的軟件或作業(yè)程序架設(shè)在一般電腦上來實(shí)現(xiàn)。路由裝置110和區(qū)域網(wǎng)絡(luò)120間,以及路由裝置110和其他網(wǎng)段130間的通訊,都可利用有線傳輸或無線傳輸方式來達(dá)成。因此,網(wǎng)絡(luò)接口 114和網(wǎng)絡(luò)接口 116可以是傳統(tǒng)的有線網(wǎng)絡(luò)接口,也可以是無線通訊接口。儲(chǔ)存媒體118則是用來儲(chǔ)存路由裝置110運(yùn)作時(shí)所需的路由資訊及ARP資訊。儲(chǔ)存媒體118可以是內(nèi)建于路由裝置110中的儲(chǔ)存裝置、 外接的儲(chǔ)存裝置、也可以是以上兩者的組合。如圖1所示,區(qū)域網(wǎng)絡(luò)120中包含有多個(gè)終端裝置(圖中以終端裝置122、124和 126為例)。這些終端裝置可以是手機(jī)、電腦、PDA、機(jī)上盒、游戲機(jī)或任何其他具有網(wǎng)絡(luò)存取功能的設(shè)備。實(shí)作上,區(qū)域網(wǎng)絡(luò)120內(nèi)的多個(gè)終端裝置可以通過一個(gè)或多個(gè)集線器(或交換器)128以有線或無線方式互聯(lián),建構(gòu)成較復(fù)雜或較大型的區(qū)域網(wǎng)絡(luò)環(huán)境,并耦接于路由裝置110的網(wǎng)絡(luò)接口 114。在區(qū)域網(wǎng)絡(luò)120中,各個(gè)終端裝置122、124、126會(huì)利用ARP封包來取得路由裝置 110與其他終端裝置的物理地址(例如MAC地址)和網(wǎng)絡(luò)協(xié)議地址(例如IPv4地址或IPv6 地址)的配對數(shù)據(jù),并據(jù)以更新自己的ARP資訊。為方便說明起見,在此假設(shè)路由裝置110 的物理地址是MAC_110、網(wǎng)絡(luò)協(xié)議地址是IP_110 ;終端裝置122的物理地址是MAC_122、網(wǎng)絡(luò)協(xié)議地址是IP_122 ;終端裝置124的物理地址是MAC_124、網(wǎng)絡(luò)協(xié)議地址是IP_124。終端裝置126的物理地址是MAC_126、網(wǎng)絡(luò)協(xié)議地址是IP_126。在正常情況下,終端裝置122的ARP資訊中會(huì)記錄有MAC_110與IP_110的配對數(shù)據(jù)、MAC_124與IP_124的配對數(shù)據(jù)、以及MAC_U6與IP_126的配對數(shù)據(jù)。終端裝置124的 ARP資訊中會(huì)記錄有MAC_110與IP_110的配對數(shù)據(jù)、MAC_122與IP_122的配對數(shù)據(jù)、以及 MAC_126與IP_126的配對數(shù)據(jù)。終端裝置126的ARP資訊中會(huì)記錄有MAC_110與IP_110 的配對數(shù)據(jù)、MAC_122與IP_122的配對數(shù)據(jù)、以及MAC_1M與IP_124的配對數(shù)據(jù)。因此,當(dāng)終端裝置122要傳送一網(wǎng)絡(luò)封包A至一目的網(wǎng)絡(luò)裝置時(shí),終端裝置122會(huì)在網(wǎng)絡(luò)封包A中的來源物理地址欄位和來源網(wǎng)絡(luò)協(xié)議地址欄位,分別填入終端裝置122自己的物理地址MAC_122和網(wǎng)絡(luò)協(xié)議地址IP_122。若該目的網(wǎng)絡(luò)裝置是同樣位在同一網(wǎng)段內(nèi)的其他終端裝置,例如終端裝置124,則終端裝置122會(huì)在網(wǎng)絡(luò)封包A的目的物理地址欄位和目的網(wǎng)絡(luò)協(xié)議地址欄位,分別填入終端裝置124的物理地址MAC_1M和網(wǎng)絡(luò)協(xié)議地址 IP_124。倘若該目的網(wǎng)絡(luò)裝置是位于其他網(wǎng)段130中,例如該目的網(wǎng)絡(luò)裝置是網(wǎng)際網(wǎng)絡(luò)上的某一網(wǎng)頁服務(wù)器(假設(shè)其網(wǎng)絡(luò)協(xié)議地址為IP_Web),則終端裝置122會(huì)在網(wǎng)絡(luò)封包A的目的物理地址欄位中填入路由裝置110的物理地址MAC_110,并在網(wǎng)絡(luò)封包A的目的網(wǎng)絡(luò)協(xié)議地址欄位中,填入該網(wǎng)頁服務(wù)器的網(wǎng)絡(luò)協(xié)議地址IP_Web。藉由以上方式,區(qū)域網(wǎng)絡(luò)120中的各個(gè)終端裝置122、124、126便能與同一網(wǎng)段內(nèi)的其他終端裝置進(jìn)行通訊,亦能通過路由裝置Iio與其他網(wǎng)段130中的網(wǎng)絡(luò)裝置進(jìn)行通訊。然而,當(dāng)區(qū)域網(wǎng)絡(luò)120發(fā)生ARP攻擊時(shí),各個(gè)終端裝置可能會(huì)收到偽造的ARP封包,而使自己原先記錄的ARP資訊遭到破壞。例如,假設(shè)終端裝置IM受到惡意人士操控或是病毒感染,利用ARP欺騙(ARP Spoofing)手段將通訊閘道(亦即路由裝置110)的網(wǎng)絡(luò)協(xié)議地址IP_110與一編造的物理地址MAC_X進(jìn)行配對,并放在偽造的ARP廣播封包中發(fā)送給區(qū)域網(wǎng)絡(luò)120內(nèi)的其他終端裝置122、126。當(dāng)終端裝置122和1 收到該偽造的ARP廣播封包后,便會(huì)將原先記錄在ARP 資訊中與路由裝置110相對應(yīng)的MAC_110與IP_110的配對資料,更改成MAC_X與IP_110 的錯(cuò)誤配對。當(dāng)終端裝置122之后要傳送一網(wǎng)絡(luò)封包B給位于其他網(wǎng)段130中的目的網(wǎng)絡(luò)裝置時(shí),會(huì)在網(wǎng)絡(luò)封包B的目的物理地址欄位中填入錯(cuò)誤的物理地址MAC_X,并在網(wǎng)絡(luò)封包B的目的網(wǎng)絡(luò)協(xié)議地址欄位中,填入該目的網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)協(xié)議地址。當(dāng)路由裝置110收到網(wǎng)絡(luò)封包B時(shí),若按照習(xí)知的路由方法來處理網(wǎng)絡(luò)封包B,便會(huì)因?yàn)榫W(wǎng)絡(luò)封包B的目的物理地址欄位中所填的地址MAC_X與路由裝置110的物理地址 MAC_110不同,而直接將網(wǎng)絡(luò)封包B舍棄不予處理。如此一來,將會(huì)導(dǎo)致終端裝置122無法連線至其他網(wǎng)段130中的目的網(wǎng)絡(luò)裝置的問題(例如無法連線至網(wǎng)際網(wǎng)絡(luò))。為避免這種情況,本發(fā)明的路由裝置110會(huì)采用不同于習(xí)知方式的路由方法,來處理接收到的網(wǎng)絡(luò)封包,以維持區(qū)域網(wǎng)絡(luò)120內(nèi)的終端裝置的對外連線能力。以下將搭配圖2與圖3來進(jìn)一步說明本發(fā)明的路由裝置110的運(yùn)作方式。圖2為本發(fā)明的封包處理電路112的一實(shí)施例功能方塊圖。在本實(shí)施例中,封包處理電路112包含一處理器210與一輸出/輸入接口 220。輸出/輸入接口 220耦接于路由裝置110的網(wǎng)絡(luò)接口 114、網(wǎng)絡(luò)接口 116、以及儲(chǔ)存媒體118,用來進(jìn)行處理器210與網(wǎng)絡(luò)接口 114、116、以及儲(chǔ)存媒體118間的資料傳輸。圖3為本發(fā)明的封包路由方法的一實(shí)施例流程圖300。當(dāng)路由裝置110的網(wǎng)絡(luò)接口 114收到終端裝置122所發(fā)出的一網(wǎng)絡(luò)封包C時(shí),封包處理電路112的處理器210會(huì)進(jìn)行步驟310,檢查網(wǎng)絡(luò)封包C的目的物理地址欄位內(nèi)容是否與路由裝置110的物理地址 MAC_110相同。如果網(wǎng)絡(luò)封包C的目的物理地址欄位所填的地址是路由裝置110的物理地址MAC_110,則處理器210會(huì)進(jìn)行步驟370。倘若網(wǎng)絡(luò)封包C的目的物理地址欄位所填的地址與路由裝置110的物理地址 MAC_110不同,則處理器210會(huì)進(jìn)行步驟320。以前述終端裝置122的ARP資訊受到偽造的 ARP封包破壞的情況為例,終端裝置122會(huì)在網(wǎng)絡(luò)封包C的目的物理地址欄位中填入與路由裝置110的物理地址MAC_110不同的物理地址MAC_X。當(dāng)本發(fā)明的封包處理電路112遇到這種情況時(shí),不會(huì)按照習(xí)知的以太網(wǎng)絡(luò)通訊方式直接舍棄該網(wǎng)絡(luò)封包C,而是會(huì)進(jìn)行步驟320。在步驟320中,處理器210會(huì)判斷網(wǎng)絡(luò)封包C是否為一有效(Valid)封包。實(shí)作上,處理器210可依據(jù)網(wǎng)絡(luò)封包C的來源地址資訊判斷網(wǎng)絡(luò)封包C是否為有效封包?!竵碓吹刂贰挂辉~在此及后續(xù)說明中所指稱者,可能是網(wǎng)絡(luò)封包的來源網(wǎng)絡(luò)協(xié)議地址或來源物理地址、也可能是前述兩者的組合。例如,在一實(shí)施例中,處理器210會(huì)于網(wǎng)絡(luò)封包C的來源網(wǎng)絡(luò)協(xié)議地址、來源物理地址或兩者同時(shí)都在路由裝置110負(fù)責(zé)處理的網(wǎng)段范圍內(nèi)時(shí),將網(wǎng)絡(luò)封包C的來源地址認(rèn)定為有效地址,進(jìn)而將該網(wǎng)絡(luò)封包C判斷為有效封包。在另一實(shí)施例中,處理器210會(huì)檢查儲(chǔ)存媒體118所儲(chǔ)存的ARP資訊,若其中記錄有網(wǎng)絡(luò)封包C的來源網(wǎng)絡(luò)協(xié)議地址、來源物理地址或兩者的配對數(shù)據(jù)時(shí),則會(huì)將網(wǎng)絡(luò)封包C 的來源地址判斷為有效地址,進(jìn)而將該網(wǎng)絡(luò)封包C判斷為有效封包。在另一實(shí)施例中,不僅儲(chǔ)存媒體118的ARP資訊中要記錄有網(wǎng)絡(luò)封包C的來源網(wǎng)絡(luò)協(xié)議地址和來源物理地址兩者的配對數(shù)據(jù),且該筆配對數(shù)據(jù)還必須是由一網(wǎng)絡(luò)管理者所設(shè)定的,處理器210才會(huì)將網(wǎng)絡(luò)封包C的來源地址判斷為有效地址,并將該網(wǎng)絡(luò)封包C判斷為有效封包。例如,若儲(chǔ)存媒體118的ARP資訊中有記錄網(wǎng)絡(luò)封包C的來源網(wǎng)絡(luò)協(xié)議地址和來源物理地址的配對數(shù)據(jù),且該筆配對數(shù)據(jù)的類型是設(shè)定成靜態(tài)(Static),處理器210 便可將該筆配對數(shù)據(jù)認(rèn)定是由網(wǎng)絡(luò)管理者所設(shè)定的數(shù)據(jù),并將網(wǎng)絡(luò)封包C的來源地址判斷成有效地址。另外,處理器210也可依據(jù)其他與網(wǎng)絡(luò)封包C的來源地址資訊相關(guān)的數(shù)據(jù),來判斷網(wǎng)絡(luò)封包C是否為有效封包。例如,處理器210可記錄負(fù)責(zé)處理的網(wǎng)段內(nèi)每一終端裝置的地址與其他網(wǎng)段(例如網(wǎng)際網(wǎng)絡(luò))連線的相關(guān)數(shù)據(jù)(例如連線頻率、次數(shù)、及/或最后連線時(shí)間等)。當(dāng)處理器210發(fā)現(xiàn)網(wǎng)絡(luò)封包C的來源網(wǎng)絡(luò)協(xié)議地址或來源物理地址與其他網(wǎng)段連線的相關(guān)數(shù)據(jù)符合一預(yù)定條件時(shí)(例如連線頻率高過一臨界頻率以及/或連線次數(shù)高過一臨界次數(shù)等),便可推斷該來源網(wǎng)絡(luò)協(xié)議地址或來源物理地址是在路由裝置110負(fù)責(zé)處理的網(wǎng)段內(nèi),進(jìn)而將網(wǎng)絡(luò)封包C的來源地址判斷成有效地址,并將該網(wǎng)絡(luò)封包C判斷為有效封包。前述預(yù)定條件中的臨界頻率和臨界次數(shù)可以是固定的,也可以由網(wǎng)絡(luò)管理者依網(wǎng)絡(luò)架構(gòu)的環(huán)境或特性而調(diào)整。實(shí)作上,亦可將處理器210的演算法設(shè)計(jì)成當(dāng)網(wǎng)絡(luò)封包C的來源地址或相關(guān)的數(shù)據(jù)符合以上所述的兩個(gè)或兩個(gè)以上的條件時(shí),處理器210才會(huì)將網(wǎng)絡(luò)封包C的來源地址判斷成有效地址,并將網(wǎng)絡(luò)封包C判斷成有效封包?;蛘撸嗫衫闷渌姆獍?yàn)證機(jī)制、來源地址驗(yàn)證機(jī)制、或安全驗(yàn)證機(jī)制來作為判斷網(wǎng)絡(luò)封包C的來源地址是否有效,或判斷該網(wǎng)絡(luò)封包C是否為有效封包的依據(jù)。倘若處理器210于步驟320中的判斷結(jié)果認(rèn)為該網(wǎng)絡(luò)封包C的來源地址不是有效地址,或是網(wǎng)絡(luò)封包C并非有效封包,則會(huì)進(jìn)行步驟330,將該網(wǎng)絡(luò)封包C舍棄,不予處理。 倘若處理器210判斷該網(wǎng)絡(luò)封包C的來源地址是有效地址,或是判斷網(wǎng)絡(luò)封包C是有效封包,則會(huì)進(jìn)行步驟;340。在步驟340中,處理器210會(huì)讀取網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址欄位中的值,并據(jù)以判斷網(wǎng)絡(luò)封包C的目的地是在路由裝置110負(fù)責(zé)處理的網(wǎng)段范圍內(nèi),還是屬于其他網(wǎng)段 130。若網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址是指向區(qū)域網(wǎng)絡(luò)120內(nèi)同一網(wǎng)段中的其他終端裝置(假設(shè)是終端裝置126),則處理器210會(huì)進(jìn)行步驟350。在步驟350中,封包處理電路112會(huì)通過網(wǎng)絡(luò)接口 114將該網(wǎng)絡(luò)封包C送往物理地址MAC_U6所對應(yīng)的目的裝置,亦即區(qū)域網(wǎng)絡(luò)120中的終端裝置126。在某些實(shí)施例中, 處理器210還可于步驟350的流程之前,對網(wǎng)絡(luò)封包C中的承載數(shù)據(jù)進(jìn)行預(yù)定的處理,例如掃毒、攔截惡意程序、封包過濾、或其他應(yīng)用層的處理等等。若處理器210在步驟340中發(fā)現(xiàn)網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址是指向?qū)儆谄渌W(wǎng)段130的目的裝置(假設(shè)其網(wǎng)絡(luò)協(xié)議地址是IP_WAN),則處理器210會(huì)推斷網(wǎng)絡(luò)封包C的來源裝置(亦即終端裝置12 受到了 ARP攻擊。因此,為了避免終端裝置122的對外連線功能中斷會(huì)對其使用者造成不便,一實(shí)施例中之處理器122會(huì)進(jìn)行步驟360,并可依封包處理電路112的預(yù)設(shè)規(guī)則決定是否要發(fā)出警訊通知網(wǎng)絡(luò)管理者。在步驟360中,處理器會(huì)將該網(wǎng)絡(luò)封包C的目的物理地址欄位所填的地址更改成路由裝置110的物理地址MAC_110,以產(chǎn)生一中間網(wǎng)絡(luò)封包C’。在步驟370中,處理器210會(huì)在儲(chǔ)存媒體118所記錄的路由資訊中查找出與網(wǎng)絡(luò)協(xié)議地址IP_WAN相對應(yīng)的路由規(guī)則,以及該路由規(guī)則所對應(yīng)的次傳送點(diǎn)(next hop)。在步驟380中,處理器210會(huì)依據(jù)該中間網(wǎng)絡(luò)封包C’產(chǎn)生一待傳送網(wǎng)絡(luò)封包D。 實(shí)作上,處理器210可直接以中間網(wǎng)絡(luò)封包C’的承載數(shù)據(jù)(在本實(shí)施例中與網(wǎng)絡(luò)封包C的承載數(shù)據(jù)相同)作為待傳送網(wǎng)絡(luò)封包D的承載數(shù)據(jù),亦可對中間網(wǎng)絡(luò)封包C’中的承載數(shù)據(jù)進(jìn)行預(yù)定的處理,例如掃毒、攔截惡意程序、封包過濾、或其他應(yīng)用層的處理等等,并以處理后得到的數(shù)據(jù)作為網(wǎng)絡(luò)封包D的承載數(shù)據(jù)。此外,處理器210還會(huì)將網(wǎng)絡(luò)封包D的目的網(wǎng)絡(luò)協(xié)議地址設(shè)成與中間網(wǎng)絡(luò)封包C’之目的網(wǎng)絡(luò)協(xié)議地址IP_WAN(亦即網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址)相同,并在網(wǎng)絡(luò)封包D的來源物理地址欄位填入路由裝置110之物理地址 MAC_110。換言之,處理器210在步驟380中會(huì)產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址IP_WAN相同,且來源物理地址與路由裝置110的物理地址MAC_110相同的網(wǎng)絡(luò)封包D。接著,封包處理電路112會(huì)進(jìn)行步驟390,通過網(wǎng)絡(luò)接口 116將該網(wǎng)絡(luò)封包D往步驟370中得到的該次傳送點(diǎn)傳送。請注意,流程圖300中各步驟的實(shí)施順序僅為一實(shí)施例,而非局限本發(fā)明的實(shí)作方式。例如,步驟310、步驟320、和步驟330的順序可以是任意排列。此外,在區(qū)域網(wǎng)絡(luò)120 架構(gòu)較單純(例如區(qū)域網(wǎng)絡(luò)120內(nèi)只有一個(gè)網(wǎng)段)、區(qū)域網(wǎng)絡(luò)120內(nèi)的終端裝置組成很少變動(dòng)、新終端裝置的加入都會(huì)經(jīng)過網(wǎng)絡(luò)管理者確認(rèn)、或是路由裝置110的ARP資訊是由網(wǎng)絡(luò)管理者設(shè)定和控制的環(huán)境中,可將步驟310及/或步驟320省略。實(shí)作上,亦可將步驟360省略。由以上說明可知,當(dāng)區(qū)域網(wǎng)絡(luò)120內(nèi)的終端裝置122受到偽造的ARP封包攻擊,造成其ARP資訊中關(guān)于路由裝置110的物理地址數(shù)據(jù)發(fā)生錯(cuò)誤,因而在要傳送到其他網(wǎng)段130 的網(wǎng)絡(luò)封包C中填入了錯(cuò)誤的目的物理地址,本發(fā)明的封包處理電路112的處理器210并不會(huì)直接舍棄該網(wǎng)絡(luò)封包C,而是會(huì)進(jìn)行其他的檢驗(yàn)程序,以評(píng)估發(fā)出該網(wǎng)絡(luò)封包C的終端裝置122是否受到了 ARP攻擊。在前面的例子中,處理器210發(fā)現(xiàn)網(wǎng)絡(luò)封包C的目的網(wǎng)絡(luò)協(xié)議地址指向其他網(wǎng)段130,但目的物理地址卻與路由裝置110的物理地址MAC_110有所不同,處理器210會(huì)因此推斷終端裝置122的ARP資訊已受到ARP攻擊的破壞。此時(shí),本發(fā)明的封包處理電路112會(huì)繼續(xù)為網(wǎng)絡(luò)封包C執(zhí)行路由處理,將其轉(zhuǎn)換成網(wǎng)絡(luò)封包D,并往正確的路由路徑發(fā)送出去,以使終端裝置122與其他網(wǎng)段(例如網(wǎng)際網(wǎng)絡(luò))的通訊不會(huì)因終端裝置122的ARP資訊發(fā)生錯(cuò)誤而中斷。從前述說明亦可發(fā)現(xiàn),使用本發(fā)明的路由裝置110的網(wǎng)絡(luò)架構(gòu)無需加裝VLAN交換器,便可降低ARP攻擊對區(qū)域網(wǎng)絡(luò)內(nèi)的終端裝置的對外網(wǎng)絡(luò)通訊所造成的威脅,可節(jié)省網(wǎng)絡(luò)建置的成本。路由裝置110的另一項(xiàng)優(yōu)點(diǎn)在于,其僅需檢查一網(wǎng)絡(luò)封包標(biāo)頭欄位中的目的網(wǎng)絡(luò)協(xié)議地址和來源地址,而無需耗費(fèi)額外運(yùn)算能力去讀取該網(wǎng)絡(luò)封包的承載數(shù)據(jù)內(nèi)容,便能快速地判斷出該網(wǎng)絡(luò)封包的來源裝置是否受到ARP攻擊,并維持該來源裝置與其它網(wǎng)段的通訊能力,可有效降低ARP攻擊對區(qū)域網(wǎng)絡(luò)的威脅。另外,由于本發(fā)明的路由裝置110和相關(guān)的封包處理電路112在一終端裝置的ARP 資訊受到破壞后,仍可維持該終端裝置與網(wǎng)際網(wǎng)絡(luò)或其他網(wǎng)段的通訊,系統(tǒng)管理者就不必逐一檢查和修復(fù)受攻擊的各個(gè)終端裝置的ARP資訊。以上所述僅為本發(fā)明的較佳實(shí)施例,凡依本發(fā)明權(quán)利要求所做的均等變化與修飾,皆應(yīng)屬本發(fā)明的涵蓋范圍。
      權(quán)利要求
      1.一種用于路由裝置的封包處理電路,該路由裝置用來處理一第一網(wǎng)段中的終端裝置的網(wǎng)絡(luò)封包路由,該封包處理電路包含有一輸出/輸入接口 ;以及一處理器,耦接于該輸出/輸入接口,當(dāng)經(jīng)由該輸出/輸入接口收到目的網(wǎng)絡(luò)協(xié)議地址指向一第二網(wǎng)段,且目的物理地址與該路由裝置的物理地址不同的一第一網(wǎng)絡(luò)封包時(shí),會(huì)產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同且來源物理地址與該路由裝置的物理地址相同的一第二網(wǎng)絡(luò)封包。
      2.如權(quán)利要求1所述的封包處理電路,其中若該第一網(wǎng)絡(luò)封包是一有效封包或該第一網(wǎng)絡(luò)封包的來源地址包含一有效地址,該處理器才會(huì)產(chǎn)生該第二網(wǎng)絡(luò)封包。
      3.如權(quán)利要求1所述的封包處理電路,其中該處理器依據(jù)該第一網(wǎng)絡(luò)封包產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同,且目的物理地址與該路由裝置的物理地址相同的一中間封包,再依據(jù)該中間封包產(chǎn)生該第二網(wǎng)絡(luò)封包。
      4.如權(quán)利要求1所述的封包處理電路,其中若該第一網(wǎng)絡(luò)封包符合以下條件的至少其中之一,該處理器才會(huì)產(chǎn)生該第二網(wǎng)絡(luò)封包(a)該第一網(wǎng)絡(luò)封包的來源地址在該第一網(wǎng)段的范圍內(nèi);(b)該第一網(wǎng)絡(luò)封包的來源地址記錄在該路由裝置的一網(wǎng)絡(luò)地址解析協(xié)議資訊中;(c)該第一網(wǎng)絡(luò)封包的來源地址是由一網(wǎng)絡(luò)管理者所設(shè)定;或(d)該第一網(wǎng)絡(luò)封包的來源地址與該第一網(wǎng)段外的其他網(wǎng)段的連線頻率高于一臨界值。
      5.如權(quán)利要求1所述的封包處理電路,其中該處理器會(huì)以該第一網(wǎng)絡(luò)封包的承載數(shù)據(jù)經(jīng)過一預(yù)定處理后所得到的數(shù)據(jù),作為該第二網(wǎng)絡(luò)封包的承載數(shù)據(jù)。
      6.一種路由裝置,用來處理一第一網(wǎng)段中的終端裝置的網(wǎng)絡(luò)封包路由,其包含有一儲(chǔ)存媒體,用來儲(chǔ)存路由資訊;一第一網(wǎng)絡(luò)接口,用來接收網(wǎng)絡(luò)封包;一處理器,耦接于該儲(chǔ)存媒體與該第一網(wǎng)絡(luò)接口,當(dāng)經(jīng)由該第一網(wǎng)絡(luò)接口收到目的網(wǎng)絡(luò)協(xié)議地址指向一第二網(wǎng)段的一第一網(wǎng)絡(luò)封包時(shí),不論該第一網(wǎng)絡(luò)封包的目的物理地址是否與該路由裝置的物理地址相同,都會(huì)依據(jù)該第一網(wǎng)絡(luò)封包產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同,且目的物理地址與該路由裝置的物理地址相同的一第二網(wǎng)絡(luò)封包;以及一第二網(wǎng)絡(luò)接口,耦接于該處理器,用來依據(jù)該路由資訊將該第二網(wǎng)絡(luò)封包往一次傳送點(diǎn)傳送。
      7.如權(quán)利要求6所述的路由裝置,其中若該第一網(wǎng)絡(luò)封包是一有效封包或該第一網(wǎng)絡(luò)封包的來源地址包含一有效地址,該處理器才會(huì)產(chǎn)生該第二網(wǎng)絡(luò)封包。
      8.如權(quán)利要求6所述的路由裝置,其中該處理器依據(jù)該第一網(wǎng)絡(luò)封包產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同,且目的物理地址與該路由裝置的物理地址相同的一中間封包,再依據(jù)該中間封包產(chǎn)生該第二網(wǎng)絡(luò)封包。
      9.如權(quán)利要求6所述的路由裝置,其中若該第一網(wǎng)絡(luò)封包符合以下條件的至少其中之一,該處理器才會(huì)產(chǎn)生該第二網(wǎng)絡(luò)封包(a)該第一網(wǎng)絡(luò)封包的來源地址在該第一網(wǎng)段的范圍內(nèi);(b)該第一網(wǎng)絡(luò)封包的來源地址記錄在該路由裝置的一網(wǎng)絡(luò)地址解析協(xié)議資訊中;(C)該第一網(wǎng)絡(luò)封包的來源地址是由一網(wǎng)絡(luò)管理者所設(shè)定;或(d)該第一網(wǎng)絡(luò)封包的來源地址與該第一網(wǎng)段外的其他網(wǎng)段的連線頻率高于一臨界值。
      10.如權(quán)利要求6所述的路由裝置,其中該處理器會(huì)以該第一網(wǎng)絡(luò)封包的承載數(shù)據(jù)經(jīng)過一預(yù)定處理后所得到的數(shù)據(jù),作為該第二網(wǎng)絡(luò)封包的承載數(shù)據(jù)。
      全文摘要
      本發(fā)明所提出用于路由裝置的封包處理電路之一,包含有一輸出/輸入接口;以及一處理器,耦接于該輸出/輸入接口,當(dāng)經(jīng)由該輸出/輸入接口收到目的網(wǎng)絡(luò)協(xié)議地址指向一外部網(wǎng)段,且目的物理地址與該路由裝置的物理地址不同的一第一網(wǎng)絡(luò)封包時(shí),會(huì)產(chǎn)生目的網(wǎng)絡(luò)協(xié)議地址與該第一網(wǎng)絡(luò)封包的目的網(wǎng)絡(luò)協(xié)議地址相同且來源物理地址與該路由裝置的物理地址相同的一第二網(wǎng)絡(luò)封包。即便發(fā)出該第一網(wǎng)絡(luò)封包的終端裝置的ARP資訊因ARP攻擊而受到破壞,本發(fā)明的封包處理電路仍可維持該終端裝置與其他網(wǎng)段(例如網(wǎng)際網(wǎng)絡(luò))的通訊。
      文檔編號(hào)H04L12/56GK102195862SQ201010130530
      公開日2011年9月21日 申請日期2010年3月11日 優(yōu)先權(quán)日2010年3月11日
      發(fā)明者鄔培麟 申請人:正文科技股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1