本发明专利技术所提出用于路由装置的封包处理电路之一,包含有一输出/输入接口;以及一处理器,耦接于该输出/输入接口,当经由该输出/输入接口收到目的网络协议地址指向一外部网段,且目的物理地址与该路由装置的物理地址不同的一第一网络封包时,会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同且来源物理地址与该路由装置的物理地址相同的一第二网络封包。即便发出该第一网络封包的终端装置的ARP资讯因ARP攻击而受到破坏,本发明专利技术的封包处理电路仍可维持该终端装置与其他网段(例如网际网络)的通讯。
【技术实现步骤摘要】
本专利技术有关网络通讯装置,尤指能对网络地址解析数据被破坏的终端装置所发出的跨网段网络封包进行路由处理的路由装置及相关的封包处理电路。
技术介绍
网际网络的应用已经深入渗透到许多人生活、工作和娱乐等各个层面中,使得网络资讯安全的重要性与日俱增。然而,网络病毒和入侵等各种网络安全威胁的型态和传播方式也在不断演进当中。对许多区域网络环境而言,除了要防范来自网络外部的安全威胁和攻击外,来自内部网络架构的威胁也是一大问题。举例而言,网络地址解析协议(Address Resolution Protocol,ARP)资讯(又称为ARP表或ARP快取)在以太网络的通讯上扮演重要角色,但由于通讯协定的不完善,使得攻击者或恶意程序很容易利用所谓的ARP欺骗(ARP Spoofing) 手段制造伪造的ARP封包,进而破坏区域网络内的终端装置的ARP资讯。常见的ARP攻击会破坏记录在终端装置的ARP资讯中的路由器地址资讯,导致终端装置会在要发送给路由器的网络封包标头中填入不是路由器真正物理地址的错误目的物理地址(physical address,例如MAC地址)。在习知的网络通讯协定下,当路由器收到该终端装置所发出的网络封包时,会因为这些网络封包的目的物理地址并不是指向路由器本身的物理地址而将这些网络封包丢弃,造成该终端装置无法连到其他网段或是无法上网的问题。当这种情况发生时,会造成使用者严重的不便,而且网络管理者也必须逐一检查并修正受影响的各终端装置的ARP资讯,才能恢复受影响的终端装置的网络连线功能,是一项非常耗时又烦人的工作。要降低区域网络受到ARP攻击的可能性,习知的一种作法是在区域网络内加装 VLAN交换器(VLAN Switch)。利用VLAN交换器把区域网络内所有终端装置间的连结在物理层做隔绝,使得伪造的ARP封包难以在终端装置间进行传送,藉此降低终端装置的ARP资讯遭受破坏的机会。然而,加装VLAN交换器必须增加额外的成本和增加整体区域网络架构的复杂性, 对小型网络环境或家用网络环境而言也不太符合经济效益,所以并非理想的解决方案。
技术实现思路
有鉴于此,如何以更经济便利的方式降低ARP攻击对区域网络内的终端装置的使用者所造成的威胁和不便,实系有待解决的问题。本说明书提供了一种用于路由装置的封包处理电路的实施例,其包含有一输出 /输入接口 ;以及一处理器,耦接于该输出/输入接口,当经由该输出/输入接口收到目的网络协定地址指向一外部网段,且目的物理地址与该路由装置的物理地址不同的一第一网络封包时,会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同且来源物理地址与该路由装置的物理地址相同的一第二网络封包。本说明书另提供了一种路由装置的实施例,用来处理一第一网段中的终端装置的网络封包路由,其包含有一储存媒体,用来储存路由资讯(RoutingInformation)广第一网络接口,用来接收一终端装置所发出的网络封包;一处理器,耦接于该储存媒体与该第一网络接口,当经由该第一网络接口收到目的网络协议地址指向一第二网段的一第一网络封包时,不论该第一网络封包的目的物理地址是否与该路由装置的物理地址相同,都会依据该第一网络封包产生目的网络协议地址与该第一网络封包的目的网络协议地址相同,且来源物理地址与该路由装置的物理地址相同的一第二网络封包;以及一第二网络接口,耦接于该处理器,用来依据该路由资讯将该第二网络封包往一次传送点(next hop)传送。本专利技术的优点之一是,无需加装其他VLAN交换器,便可降低ARP攻击对区域网络内的终端装置的对外网络通讯所造成的威胁。本专利技术的另一项优点在于,路由装置仅需检查一网络封包标头栏位中的目的网络协议地址和来源地址,而无需耗费额外运算能力去读取该网络封包的承载数据内容,便能快速地判断出该网络封包的来源装置是否受到ARP攻击,并维持该来源装置与其它网段的通讯能力。本专利技术的另一优点是,即便区域网络内的终端装置受到了 ARP攻击,本专利技术所揭露的路由装置和相关的封包处理电路仍可维持该终端装置与网际网络或其他网段的通讯, 让系统管理者可以不必耗时费力的逐一检查和修复受攻击的各个终端装置的ARP资讯。附图说明图1是本专利技术的网络系统的一实施例简化后的示意图。图2是本专利技术的封包处理电路的一实施例功能方块图。图3是本专利技术的封包路由方法的一实施例流程图。主要元件符号说明100 网络系统110 路由装置112 封包处理电路114、116 网络接口118 储存媒体120 区域网络122、124、126 终端装置128 集线器130 其他网段210 处理器220 输出/输入接口具体实施例方式以下将配合相关图式来说明本专利技术的实施例。在这些图式中,相同的标号表示相同或类似的元件。在说明书及后续的权利要求当中使用了某些词汇来指称特定的元件。本领域技术人员应可理解,制造商可能会用不同的名词来称呼同样的元件。本说明书及后续的权利要求并不以名称的差异来作为区分元件的方式,而是以元件在功能上的差异来作为区分的基准。在通篇说明书及后续的请求项当中所提及的「包含」为一开放式的用语,故应解释成 「包含但不限定于...」。另外,「耦接」一词在此包含任何直接及间接的连接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表该第一装置可直接(包含通过电性连接或无线传输、光学传输等讯号连接方式)连接于该第二装置,或通过其他装置或连接手段间接地电性或讯号连接至该第二装置。图1所绘示为本专利技术一实施例的网络系统100简化后的示意图。在网络系统100 中,路由装置(又称为通讯闸道)Iio是区域网络120与其他网段(例如网际网络)130之间的通讯桥梁。本实施例中的路由装置110包含一封包处理电路112、用来与区域网络120 进行通讯的一网络接口 114、用来与其他网段130进行通讯的一网络接口 116、以及一储存媒体118。实作上,路由装置110可以是专用的网络设备,也可以将具有封包转递能力的软件或作业程序架设在一般电脑上来实现。路由装置110和区域网络120间,以及路由装置110和其他网段130间的通讯,都可利用有线传输或无线传输方式来达成。因此,网络接口 114和网络接口 116可以是传统的有线网络接口,也可以是无线通讯接口。储存媒体118则是用来储存路由装置110运作时所需的路由资讯及ARP资讯。储存媒体118可以是内建于路由装置110中的储存装置、 外接的储存装置、也可以是以上两者的组合。如图1所示,区域网络120中包含有多个终端装置(图中以终端装置122、124和 126为例)。这些终端装置可以是手机、电脑、PDA、机上盒、游戏机或任何其他具有网络存取功能的设备。实作上,区域网络120内的多个终端装置可以通过一个或多个集线器(或交换器)128以有线或无线方式互联,建构成较复杂或较大型的区域网络环境,并耦接于路由装置110的网络接口 114。在区域网络120中,各个终端装置122、124、126会利用ARP封包来取得路由装置 110与其他终端装置的物理地址(例如MAC地址)和网络协议地址(例如IPv4地址或IPv6 地址)的配对数据,并据以更新自己的ARP资讯。为方便说明起见,在此假设路由装置110 的物理地址是MAC_110本文档来自技高网...
【技术保护点】
1.一种用于路由装置的封包处理电路,该路由装置用来处理一第一网段中的终端装置的网络封包路由,该封包处理电路包含有:一输出/输入接口;以及一处理器,耦接于该输出/输入接口,当经由该输出/输入接口收到目的网络协议地址指向一第二网段,且目的物理地址与该路由装置的物理地址不同的一第一网络封包时,会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同且来源物理地址与该路由装置的物理地址相同的一第二网络封包。
【技术特征摘要】
1.一种用于路由装置的封包处理电路,该路由装置用来处理一第一网段中的终端装置的网络封包路由,该封包处理电路包含有一输出/输入接口 ;以及一处理器,耦接于该输出/输入接口,当经由该输出/输入接口收到目的网络协议地址指向一第二网段,且目的物理地址与该路由装置的物理地址不同的一第一网络封包时,会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同且来源物理地址与该路由装置的物理地址相同的一第二网络封包。2.如权利要求1所述的封包处理电路,其中若该第一网络封包是一有效封包或该第一网络封包的来源地址包含一有效地址,该处理器才会产生该第二网络封包。3.如权利要求1所述的封包处理电路,其中该处理器依据该第一网络封包产生目的网络协议地址与该第一网络封包的目的网络协议地址相同,且目的物理地址与该路由装置的物理地址相同的一中间封包,再依据该中间封包产生该第二网络封包。4.如权利要求1所述的封包处理电路,其中若该第一网络封包符合以下条件的至少其中之一,该处理器才会产生该第二网络封包(a)该第一网络封包的来源地址在该第一网段的范围内;(b)该第一网络封包的来源地址记录在该路由装置的一网络地址解析协议资讯中;(c)该第一网络封包的来源地址是由一网络管理者所设定;或(d)该第一网络封包的来源地址与该第一网段外的其他网段的连线频率高于一临界值。5.如权利要求1所述的封包处理电路,其中该处理器会以该第一网络封包的承载数据经过一预定处理后所得到的数据,作为该第二网络封包的承载数据。6.一种路由装置,用来处理一第一网段中的终端装置的网络封包路由...
【专利技术属性】
技术研发人员:邬培麟,
申请(专利权)人:正文科技股份有限公司,
类型:发明
国别省市:71
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。