【技术实现步骤摘要】
本专利技术涉及ー种在包含有TCAM硬件组件的网络芯片(以下简称目标芯片)中的使用TCAM进行ARP防御的方法。属于网络安全
技术介绍
网络已经成为人们在日常生活、工作中的ー个重要组成部分,人们通过网络来完成购物、理财等活动。因此,人们对网络的安全问题也越来越重视,网络中存在着许多非法的攻击行为,ARP就是其中最常见的ー种攻击行为,许多交换机厂商针对ARP攻击行为,开发了许多防御功能,但是效率方面都不尽人意且影响到网络设备的处理性能。在传统的网络设备中,一般都使用软件在CPU处理来完成整个ARP防御过程,而ARP防御策略中最重要的就是ARP表项的查找,软件使用的是传统的表项查找方法,主要有线型查找法、ニ叉树查找法、哈希表查找等,共同特点是查找速度受CPU及软件算法限制。这样的ARP防御模式 对CPU的消耗较大,同时软件的处理速度较慢,在防御ARP的时候可能会因为CPU使用率过高导致设备的崩溃,无法正常转发。因此,我们需要ー种能快速查找,并将CPU影响降到最低的方法,保证设备的正常转发。
技术实现思路
本专利技术的目的在于克服上述不足,提供ー种使用TCAM进行...
【技术保护点】
一种使用TCAM来进行ARP防御的方法,其特征在于,所述方法包括以下步骤:步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种:a、(一)根据所需防御特征确定对应ARP绑定条目内容;(二)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。
【技术特征摘要】
1.ー种使用TCAM来进行ARP防御的方法,其特征在于,所述方法包括以下步骤 步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种 a、(一)根据所需防御特征确定对应ARP绑定条目内容;(ニ)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。2.b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单; 步骤ニ、目标芯片带有一至多个网络接ロ模块,当网络设备的任意接ロ模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配; 步骤三、若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。3.如权利要求I所述的ー种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤一中的ARP绑定条目及动态TCAM黑名单包含进入接ロ、IP和MAC信息。4.如权利要求I所述的ー种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤ニ中对ARP报文进行匹配是指模块接ロ接收ARP报文...
【专利技术属性】
技术研发人员:刘涛,冉宇晖,陈静,潘月红,丁贤根,胡建鹤,
申请(专利权)人:江苏华丽网络工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。