一种防止IP地址欺骗的方法和装置制造方法及图纸

本申请提供了一种防止IP地址欺骗的方法和装置，当虚拟机请求者发送第一ARP报文时，虚拟交换机就能够拦截第一ARP报文，并且在第一ARP报文中的源MAC地址不是所述虚拟机请求者对应的预设源MAC地址时，过滤掉第一ARP报文。进而就不会存在让虚拟机请求者将强制伪造指定IP地址的第一ARP报文发送至其他虚拟机和让其他虚拟机伪造IP地址的机会，进而防止了IP地址欺骗。

【技术实现步骤摘要】
一种防止IP地址欺骗的方法和装置
本专利技术涉及通信领域，更具体的说，涉及一种防止IP地址欺骗的方法和装置。
技术介绍
服务器的虚拟化是指将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，我们不再受限于物理上的界限，而是让中央处理器CPU、内存、磁盘、输入/输出端口I/O等硬件变成可以动态管理的“资源池”。服务器的虚拟化提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。在服务器的虚拟化过程中，服务器网络虚拟化面临着IP地址欺骗的问题，IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道，进而导致非法报文的传播。目前防止IP地址欺骗的方法应用在应用层面上，即在应用上设置认证或者是权限，进而使假冒的客户端不能正常访问应用。但是在网络层面上，还没有能够防止IP地址欺骗的方法。因此，服务器网络虚拟化亟需一种能够在网络层面上，防止IP地址欺骗的方法。
技术实现思路
有鉴于此，本专利技术提供一种防止IP地址欺骗的方法和装置，以解决在服务器网络虚拟化层面上，还没有防止IP地址欺骗的方法的问题。为解决上述技术问题，本专利技术采用了如下技术方案：一种防止IP地址欺骗的方法，应用于虚拟交换机，所述方法包括：拦截虚拟机请求者发送的第一地址解析协议ARP报文，所述第一ARP报文中携带有获得目标互联网协议地址IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；当判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。优选地，所述拦截虚拟机请求者发送的第一ARP报文后，还包括：判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；若判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，执行所述判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。优选地，当判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址后，还包括：将所述第一ARP报文发送到控制模块；接收所述控制模块发送的第三ARP报文；将所述第三ARP报文发送到所述虚拟机请求者。一种防止IP地址欺骗的方法，应用于控制模块，所述方法包括：接收虚拟交换机发送的第一ARP报文；判断第二对照表中是否保存有目标IP地址对应的目标MAC地址；其中，所述第二对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；当判断出所述第二对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第三ARP报文到所述虚拟交换机；其中，所述第三ARP报文中携带有所述目标MAC地址。优选地，所述判断第二对照表中是否保存有目标IP地址对应的目标MAC地址，包括：从预设位置读取所述第二对照表并判断所述第二对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。一种防止IP地址欺骗的装置，应用于虚拟交换机，所述装置包括：拦截模块，用于拦截虚拟机请求者发送的第一ARP报文，所述第一ARP报文中携带有获得目标IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；判断模块，用于判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；第一发送模块，用于当所述判断模块判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。优选地，还包括：地址判断单元，用于所述拦截模块拦截虚拟机请求者发送的第一ARP报文后，判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；所述判断模块，还用于若所述地址判断单元判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。优选地，还包括：第二发送模块，用于当所述判断模块判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址，将所述第一ARP报文发送到控制模块；接收模块，用于接收所述控制模块发送的第三ARP报文；第三发送模块，用于将所述第三ARP报文发送到所述虚拟机请求者。一种防止IP地址欺骗的装置，应用于控制模块，所述装置包括：接收单元，用于接收虚拟交换机发送的第一ARP报文；判断单元，用于判断第二对照表中是否保存有目标IP地址对应的目标MAC地址；其中，所述第二对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；发送单元，用于当所述判断单元判断出所述第二对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第三ARP报文到所述虚拟交换机；其中，所述第三ARP报文中携带有所述目标MAC地址。优选地，所述判断单元包括：判断子单元，用于从预设位置读取所述第二对照表并判断所述第二对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。相较于现有技术，本专利技术具有以下有益效果：本专利技术提供了一种防止IP地址欺骗的方法和装置，当虚拟机请求者发送第一ARP报文时，虚拟交换机就能够拦截第一ARP报文，进而去查询目标IP地址对应的目标MAC地址，由于虚拟交换机拦截了第一ARP报文，因此，第一ARP报文就不会发送到其他的虚拟机上，进而就不会存在让其他虚拟机伪造IP地址的机会，进而防止了IP地址欺骗。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术提供的应用于虚拟交换机的一种防止IP地址欺骗的方法的方法流程图；图2为本专利技术提供的应用于虚拟交换机的另一种防止IP地址欺骗的方法的方法流程图；图3为本专利技术提供的应用于控制模块的一种防止IP地址欺骗的方法的方法流程图；图4为本专利技术提供的应用于虚拟交换机的一种防止IP地址欺骗的装置的结构示意图；图5为本专利技术提供的应用于虚拟交换机的另一种防止IP地址欺骗的装置的结构示意图；图6为本专利技术提供的应用于控制装置的一种防止IP地址欺骗的装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文档来自技高网...

【技术保护点】
一种防止IP地址欺骗的方法，其特征在于，应用于虚拟交换机，所述方法包括：拦截虚拟机请求者发送的第一地址解析协议ARP报文，所述第一ARP报文中携带有获得目标互联网协议地址IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；当判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。

【技术特征摘要】
1.一种防止IP地址欺骗的方法，其特征在于，应用于虚拟交换机，所述方法包括：拦截虚拟机请求者发送的第一地址解析协议ARP报文，所述第一ARP报文中携带有获得目标互联网协议地址IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；当判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。2.根据权利要求1所述的方法，其特征在于，所述拦截虚拟机请求者发送的第一ARP报文后，还包括：判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；若判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，执行所述判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。3.根据权利要求1所述的方法，其特征在于，当判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址后，还包括：将所述第一ARP报文发送到控制模块；接收所述控制模块发送的第三ARP报文；将所述第三ARP报文发送到所述虚拟机请求者。4.一种防止IP地址欺骗的方法，其特征在于，应用于控制模块，所述方法包括：接收虚拟交换机发送的第一ARP报文；判断第二对照表中是否保存有目标IP地址对应的目标MAC地址；其中，所述第二对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；当判断出所述第二对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第三ARP报文到所述虚拟交换机；其中，所述第三ARP报文中携带有所述目标MAC地址。5.根据权利要求4所述的方法，其特征在于，所述判断第二对照表中是否保存有目标IP地址对应的目标MAC地址，包括：从预设位置读取所述第二对照表并判断所述第二对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。6.一种防止IP地址欺骗的装置，其特征在于，应用于虚拟交换机，所述装置包括：拦截模...

【专利技术属性】
技术研发人员：秦海中，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41