本发明专利技术涉及一种使用TCAM进行ARP防御的方法,主要是使用TCAM对含有特征信息的ARP数据包进行匹配,来提高网络设备对ARP欺骗及攻击行为的检测处理速度,同时可减轻网络设备CPU负担,加强网络设备的安全防御功能。本发明专利技术是使用TCAM技术则将大部分的功能通过硬件来完成,TCAM是一种三态内容寻址存储器,具有查找速度快、操作简单的优点,使用TCAM来进行查找时,整个表项空间的所有数据在同一时刻被查询,查找速度不受表项空间数据大小影响,每个时钟周期完成一次查找,查询相当快,这样在进行ARP防御的时候就会将防御功能对CPU的影响降到最低,保证设备的正常转发。
【技术实现步骤摘要】
本专利技术涉及ー种在包含有TCAM硬件组件的网络芯片(以下简称目标芯片)中的使用TCAM进行ARP防御的方法。属于网络安全
技术介绍
网络已经成为人们在日常生活、工作中的ー个重要组成部分,人们通过网络来完成购物、理财等活动。因此,人们对网络的安全问题也越来越重视,网络中存在着许多非法的攻击行为,ARP就是其中最常见的ー种攻击行为,许多交换机厂商针对ARP攻击行为,开发了许多防御功能,但是效率方面都不尽人意且影响到网络设备的处理性能。在传统的网络设备中,一般都使用软件在CPU处理来完成整个ARP防御过程,而ARP防御策略中最重要的就是ARP表项的查找,软件使用的是传统的表项查找方法,主要有线型查找法、ニ叉树查找法、哈希表查找等,共同特点是查找速度受CPU及软件算法限制。这样的ARP防御模式 对CPU的消耗较大,同时软件的处理速度较慢,在防御ARP的时候可能会因为CPU使用率过高导致设备的崩溃,无法正常转发。因此,我们需要ー种能快速查找,并将CPU影响降到最低的方法,保证设备的正常转发。
技术实现思路
本专利技术的目的在于克服上述不足,提供ー种使用TCAM进行ARP防御的方法,能够使网络设备降低CPU使用率,实现线速ARP防御。本专利技术的目的是这样实现的ー种使用TCAM来进行ARP防御的方法,所述方法包括以下步骤 步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种 a、(一)根据所需防御特征确定对应ARP绑定条目内容;(ニ)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单; 步骤ニ、目标芯片带有一至多个网络接ロ模块,当网络设备的任意接ロ模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配; 步骤三、若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。所述步骤一中的ARP绑定条目及动态TCAM黑名单包含进入接ロ、IP和MAC信息。所述步骤ニ中对ARP报文进行匹配是指模块接ロ接收ARP报文,并对其进行分析,提取ARP报文的P0RT、IP、MAC,然后将此信息内容和TCAM中对应内容进行匹配,若完全符合TCAM匹配项,则为匹配成功,依据判断进行正常转发还是丢弃。所述步骤三中ARP报文重定向到CPU处理包括以下步骤(一)重定向的ARP报文先将在静态绑定表中查找是否存在PORT、IP、MAC相同的ARP绑定条目信息,若存在其中PORT、IP、MAC不完全相同的信息并且PORT不是汇聚端ロ的,则将被判断为ARP欺骗,并且该条ARP欺骗报文将被加入到动态TCAM黑名单生成TCAM规则中并且设置老化时间,同时丢弃该ARP报文;(ニ)重定向的ARP报文在ARP静态绑定表中未发现相同的PORT或IP或MAC信息,则将会判断是否在动态表中存在,即是否已经动态学习该条ARP报文。若没有则自动学习该条ARP报文并将其添加到动态学习表中,同时监测在指定时间I秒内相同的动态ARP报文是否超过30条,若超过,则将判断为ARP攻击,丢弃掉该条ARP报文,同时将该条ARP报文动态的添加到动态TCAM黑名单生成TCAM规则中并且设置老化时间。在老化时间内再次接收到匹配TCAM黑名单的ARP报文时,会由TCAM过滤直接丢弃,并重置老化时间,在老化时间内没有接收到匹配TCAM黑名单的ARP报文则会动态的将该条ARP报文从TCAM中删除。与现有技术相比,本专利技术的有益效果是 本专利技术是使用TCAM技术则将大部分的功能通过硬件来完成,TCAM是ー种三态内容寻·址存储器,具有查找速度快、操作简单的优点,使用TCAM来进行查找时,整个表项空间的所有数据在同一时刻被查询,查找速度不受表项空间数据大小影响,每个时钟周期完成一次查找,查询相当快,这样在进行ARP防御的时候就会将防御功能对CPU的影响降到最低,保证设备的正常转发。附图说明图I是建立TCAM规则过程; 图2是ARP报文的处理过程; 图3是TCAM规则在TCAM中对ARP报文进行匹配过程。具体实施例方式參见图1,本专利技术涉及ー种使用TCAM进行ARP防御的方法,所述方法包括以下步骤 步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种 a、(一)根据所需防御特征确定对应ARP绑定条目内容;(ニ)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单; 如图2所示ARP报文的处理过程 步骤ニ .目标芯片带有一至多个网络接ロ模块(PORT),当网络设备的任意接ロ模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配,这里的TCAM规则可能是用户认为设定的或者由系统软件自动生成的规则; 步骤三.若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。图3所示TCAM规则在TCAM中对ARP报文进行匹配过程 模块接ロ接收ARP报文,并对其进行分析,提取ARP报文的PORT、IP、MAC,然后将此信息内容和TCAM中对应内容进行匹配,若完全符合TCAM匹配项,则为匹配成功,依据判断进行正常转发还是丢弃。其中,步骤一中ARP绑定条目及动态TCAM黑名单包含进入接ロ(PORT)、IP、MAC信息。图2所示,ARP报文重定向到CPU处理包括以下步骤(一)重定向的ARP报文先在静态绑定表中查找是否存在PORT、IP、MAC相同的ARP绑定条目信息,若存在PORT、IP、MAC不完全相同的信息并且PORT不是汇聚端ロ的,则将被判断为ARP欺骗,并且该条ARP欺骗 报文将被加入到动态TCAM黑名单生成TCAM规则中并且设置老化时间,同时丢弃该ARP报文;(ニ)重定向的ARP报文在ARP静态绑定表中未发现相同的PORT或IP或MAC信息,则将会判断是否在动态表中存在,即是否已经动态学习该条ARP报文。若没有则自动学习该条ARP报文并将其添加到动态学习表中,同时监测在指定时间I秒内相同的动态ARP报文是否超过30条,若超过,则将判断为ARP攻击,丢弃掉该条ARP报文,同时将该条ARP报文动态的添加到动态TCAM黑名单生成TCAM规则中并且设置老化时间。在老化时间内再次接收到匹配TCAM黑名单的ARP报文时,会由TCAM过滤直接丢弃,并重置本文档来自技高网...
【技术保护点】
一种使用TCAM来进行ARP防御的方法,其特征在于,所述方法包括以下步骤:步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种:a、(一)根据所需防御特征确定对应ARP绑定条目内容;(二)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。
【技术特征摘要】
1.ー种使用TCAM来进行ARP防御的方法,其特征在于,所述方法包括以下步骤 步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种 a、(一)根据所需防御特征确定对应ARP绑定条目内容;(ニ)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。2.b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单; 步骤ニ、目标芯片带有一至多个网络接ロ模块,当网络设备的任意接ロ模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配; 步骤三、若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。3.如权利要求I所述的ー种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤一中的ARP绑定条目及动态TCAM黑名单包含进入接ロ、IP和MAC信息。4.如权利要求I所述的ー种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤ニ中对ARP报文进行匹配是指模块接ロ接收ARP报文...
【专利技术属性】
技术研发人员:刘涛,冉宇晖,陈静,潘月红,丁贤根,胡建鹤,
申请(专利权)人:江苏华丽网络工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。