CN102843362B - 一种使用tcam进行arp防御的方法 - Google Patents
一种使用tcam进行arp防御的方法 Download PDFInfo
- Publication number
- CN102843362B CN102843362B CN201210279886.9A CN201210279886A CN102843362B CN 102843362 B CN102843362 B CN 102843362B CN 201210279886 A CN201210279886 A CN 201210279886A CN 102843362 B CN102843362 B CN 102843362B
- Authority
- CN
- China
- Prior art keywords
- tcam
- arp
- message
- defence
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种使用TCAM进行ARP防御的方法,主要是使用TCAM对含有特征信息的ARP数据包进行匹配,来提高网络设备对ARP欺骗及攻击行为的检测处理速度,同时可减轻网络设备CPU负担,加强网络设备的安全防御功能。本发明是使用TCAM技术则将大部分的功能通过硬件来完成,TCAM是一种三态内容寻址存储器,具有查找速度快、操作简单的优点,使用TCAM来进行查找时,整个表项空间的所有数据在同一时刻被查询,查找速度不受表项空间数据大小影响,每个时钟周期完成一次查找,查询相当快,这样在进行ARP防御的时候就会将防御功能对CPU的影响降到最低,保证设备的正常转发。
Description
技术领域
本发明涉及一种在包含有TCAM硬件组件的网络芯片(以下简称目标芯片)中的使用TCAM进行ARP防御的方法。属于网络安全技术领域。
背景技术
网络已经成为人们在日常生活、工作中的一个重要组成部分,人们通过网络来完成购物、理财等活动。因此,人们对网络的安全问题也越来越重视,网络中存在着许多非法的攻击行为,ARP就是其中最常见的一种攻击行为,许多交换机厂商针对ARP攻击行为,开发了许多防御功能,但是效率方面都不尽人意且影响到网络设备的处理性能。在传统的网络设备中,一般都使用软件在CPU处理来完成整个ARP防御过程,而ARP防御策略中最重要的就是ARP表项的查找,软件使用的是传统的表项查找方法,主要有:线型查找法、二叉树查找法、哈希表查找等,共同特点是查找速度受CPU及软件算法限制。这样的ARP防御模式对CPU的消耗较大,同时软件的处理速度较慢,在防御ARP的时候可能会因为CPU使用率过高导致设备的崩溃,无法正常转发。因此,我们需要一种能快速查找,并将CPU影响降到最低的方法,保证设备的正常转发。
发明内容
本发明的目的在于克服上述不足,提供一种使用TCAM进行ARP防御的方法,能够使网络设备降低CPU使用率,实现线速ARP防御。
本发明的目的是这样实现的:一种使用TCAM来进行ARP防御的方法,所述方法包括以下步骤:
步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种:
a、(一)根据所需防御特征确定对应ARP绑定条目内容;(二)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。
b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单;
步骤二、目标芯片带有一至多个网络接口模块,当网络设备的任意接口模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配;
步骤三、若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。
所述步骤一中的ARP绑定条目及动态TCAM黑名单包含进入接口、IP和MAC信息。
所述步骤二中对ARP报文进行匹配是指:模块接口接收ARP报文,并对其进行分析,提取ARP报文的PORT、IP、MAC,然后将此信息内容和TCAM中对应内容进行匹配,若完全符合TCAM匹配项,则为匹配成功,依据判断进行正常转发还是丢弃。
所述步骤三中ARP报文重定向到CPU处理包括以下步骤:(一)重定向的ARP报文先将在静态绑定表中查找是否存在PORT、IP、MAC相同的ARP绑定条目信息,若存在其中PORT、IP、MAC不完全相同的信息并且PORT不是汇聚端口的,则将被判断为ARP欺骗,并且该条ARP欺骗报文将被加入到动态TCAM黑名单生成TCAM规则中并且设置老化时间,同时丢弃该ARP报文;(二)重定向的ARP报文在ARP静态绑定表中未发现相同的PORT或IP或MAC信息,则将会判断是否在动态表中存在,即是否已经动态学习该条ARP报文。若没有则自动学习该条ARP报文并将其添加到动态学习表中,同时监测在指定时间1秒内相同的动态ARP报文是否超过30条,若超过,则将判断为ARP攻击,丢弃掉该条ARP报文,同时将该条ARP报文动态的添加到动态TCAM黑名单生成TCAM规则中并且设置老化时间。在老化时间内再次接收到匹配TCAM黑名单的ARP报文时,会由TCAM过滤直接丢弃,并重置老化时间,在老化时间内没有接收到匹配TCAM黑名单的ARP报文则会动态的将该条ARP报文从TCAM中删除。
与现有技术相比,本发明的有益效果是:
本发明是使用TCAM技术则将大部分的功能通过硬件来完成,TCAM是一种三态内容寻址存储器,具有查找速度快、操作简单的优点,使用TCAM来进行查找时,整个表项空间的所有数据在同一时刻被查询,查找速度不受表项空间数据大小影响,每个时钟周期完成一次查找,查询相当快,这样在进行ARP防御的时候就会将防御功能对CPU的影响降到最低,保证设备的正常转发。
附图说明
图1是建立TCAM规则过程;
图2是ARP报文的处理过程;
图3是TCAM规则在TCAM中对ARP报文进行匹配过程。
具体实施方式
参见图1,本发明涉及一种使用TCAM进行ARP防御的方法,所述方法包括以下步骤:
步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种:
a、(一)根据所需防御特征确定对应ARP绑定条目内容;(二)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;(四)如果没有制定ARP防御匹配项,则TCAM中规则为空。
b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单;
如图2所示ARP报文的处理过程:
步骤二.目标芯片带有一至多个网络接口模块(PORT),当网络设备的任意接口模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配,这里的TCAM规则可能是用户认为设定的或者由***软件自动生成的规则;
步骤三.若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。
图3所示TCAM规则在TCAM中对ARP报文进行匹配过程:
模块接口接收ARP报文,并对其进行分析,提取ARP报文的PORT、IP、MAC,然后将此信息内容和TCAM中对应内容进行匹配,若完全符合TCAM匹配项,则为匹配成功,依据判断进行正常转发还是丢弃。
其中,步骤一中ARP绑定条目及动态TCAM黑名单包含:进入接口(PORT)、IP、MAC信息。
图2所示,ARP报文重定向到CPU处理包括以下步骤:(一)重定向的ARP报文先在静态绑定表中查找是否存在PORT、IP、MAC相同的ARP绑定条目信息,若存在PORT、IP、MAC不完全相同的信息并且PORT不是汇聚端口的,则将被判断为ARP欺骗,并且该条ARP欺骗报文将被加入到动态TCAM黑名单生成TCAM规则中并且设置老化时间,同时丢弃该ARP报文;(二)重定向的ARP报文在ARP静态绑定表中未发现相同的PORT或IP或MAC信息,则将会判断是否在动态表中存在,即是否已经动态学习该条ARP报文。若没有则自动学习该条ARP报文并将其添加到动态学习表中,同时监测在指定时间1秒内相同的动态ARP报文是否超过30条,若超过,则将判断为ARP攻击,丢弃掉该条ARP报文,同时将该条ARP报文动态的添加到动态TCAM黑名单生成TCAM规则中并且设置老化时间。在老化时间内再次接收到匹配TCAM黑名单的ARP报文时,会由TCAM过滤直接丢弃,并重置老化时间。在老化时间内没有接收到匹配TCAM黑名单的ARP报文则会动态的将该条ARP报文从TCAM中删除。
Claims (4)
1.一种使用TCAM来进行ARP防御的方法,其特征在于该方法是由TCAM芯片和处理流程构成,所述TCAM芯片是存在于网络设备中的芯片,所述处理流程包括以下步骤:
步骤一、在目标芯片的TCAM中生成TCAM规则,生成TCAM规则的方式有两种:
a、(一)根据所需防御特征确定对应ARP绑定条目内容;
(二)同时生成静态绑定表,如果失败则重新构建ARP绑定条目内容;
(三)构建成功,在TCAM中会建立对应ARP防御匹配项生成TCAM规则;
(四)如果没有制定ARP防御匹配项,则TCAM中规则为空;
b、经CPU处理判断为非法的ARP报文生成TCAM规则,非法ARP报文包括ARP欺骗及ARP攻击,生成的TCAM规则即动态TCAM黑名单;
步骤二、目标芯片带有一至多个网络接口模块,当网络设备的任意接口模块接收到ARP报文时,都将根据TCAM规则在TCAM中对ARP报文进行匹配;
步骤三、若匹配成功,则检查该报文属于动态TCAM黑名单还是ARP防御匹配项,如果属于动态TCAM黑名单,则丢弃该报文;如果属于ARP防御匹配项,则正常转发;若TCAM规则为空或匹配失败,则将该报文重定向到CPU进行规则后续处理。
2.如权利要求1所述的一种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤一中的ARP绑定条目及动态TCAM黑名单包含进入接口、IP和MAC信息。
3.如权利要求1所述的一种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤二中对ARP报文进行匹配是指:模块接口接收ARP报文,并对其进行分析,提取ARP报文的PORT、IP、MAC,然后将此信息内容和TCAM中对应内容进行匹配,若完全符合TCAM匹配项,则为匹配成功,依据判断进行正常转发还是丢弃。
4.如权利要求1所述的一种使用TCAM来进行ARP防御的方法,其特征在于,所述步骤三中ARP报文重定向到CPU处理包括以下步骤:(一)重定向的ARP报文先将在静态绑定表中查找是否存在PORT、IP、MAC相同的ARP绑定条目信息,若存在其中PORT、IP、MAC不完全相同的信息并且PORT不是汇聚端口的,则将被判断为ARP欺骗,并且该条ARP欺骗报文将被加入到动态TCAM黑名单生成TCAM规则中并且设置老化时间,同时丢弃该ARP报文;(二)重定向的ARP报文在ARP静态绑定表中未发现相同的PORT或IP或MAC信息,则将会判断是否在动态表中存在,即是否已经动态学习该条ARP报文,若没有则自动学习该条ARP报文并将其添加到动态学习表中,同时监测在指定时间1秒内相同的动态ARP报文是否超过30条,若超过,则将判断为ARP攻击,丢弃掉该条ARP报文,同时将该条ARP报文动态的添加到动态TCAM黑名单生成TCAM规则中并且设置老化时间,在老化时间内再次接收到匹配TCAM黑名单的ARP报文时,会由TCAM过滤直接丢弃,并重置老化时间,在老化时间内没有接收到匹配TCAM黑名单的ARP报文则会动态的将该条ARP报文从TCAM中删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210279886.9A CN102843362B (zh) | 2012-08-08 | 2012-08-08 | 一种使用tcam进行arp防御的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210279886.9A CN102843362B (zh) | 2012-08-08 | 2012-08-08 | 一种使用tcam进行arp防御的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102843362A CN102843362A (zh) | 2012-12-26 |
| CN102843362B true CN102843362B (zh) | 2016-05-04 |
Family
ID=47370423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210279886.9A Active CN102843362B (zh) | 2012-08-08 | 2012-08-08 | 一种使用tcam进行arp防御的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102843362B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103279423B (zh) * | 2013-05-15 | 2016-11-23 | 华为技术有限公司 | 一种内容寻址存储器的寻址方法及设备 |
| CN104754070A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 地址解析协议表项学习方法、装置及网络设备 |
| CN107360182B (zh) * | 2017-08-04 | 2020-05-01 | 南京翼辉信息技术有限公司 | 一种用于嵌入式的主动网络防御***及其防御方法 |
| CN107612890B (zh) * | 2017-08-24 | 2020-09-15 | 中国科学院信息工程研究所 | 一种网络监测方法及*** |
| CN111049840B (zh) * | 2019-12-17 | 2022-04-26 | 锐捷网络股份有限公司 | 一种报文检测方法及装置 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426207A (zh) * | 2003-01-17 | 2003-06-25 | 清华大学 | 同时支持路由查找、ip包分类、arp查找的方法及查找*** |
| CN1523815A (zh) * | 2003-02-21 | 2004-08-25 | 北京润汇科技有限公司 | 宽带网用户接入管理*** |
| CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯***及转发平面处理器 |
| CN101179515A (zh) * | 2007-12-24 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种抑制黑洞路由的方法和装置 |
| US7434254B1 (en) * | 2002-10-25 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
| CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN101753637A (zh) * | 2009-12-17 | 2010-06-23 | 北京星网锐捷网络技术有限公司 | 防止网络攻击的方法及网络地址转换设备 |
| EP2355423A1 (en) * | 2010-01-29 | 2011-08-10 | Deutsche Telekom AG | System and method for routing data packets over an Internet Protocol network |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
-
2012
- 2012-08-08 CN CN201210279886.9A patent/CN102843362B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434254B1 (en) * | 2002-10-25 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
| CN1426207A (zh) * | 2003-01-17 | 2003-06-25 | 清华大学 | 同时支持路由查找、ip包分类、arp查找的方法及查找*** |
| CN1523815A (zh) * | 2003-02-21 | 2004-08-25 | 北京润汇科技有限公司 | 宽带网用户接入管理*** |
| CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯***及转发平面处理器 |
| CN101179515A (zh) * | 2007-12-24 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种抑制黑洞路由的方法和装置 |
| CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN101753637A (zh) * | 2009-12-17 | 2010-06-23 | 北京星网锐捷网络技术有限公司 | 防止网络攻击的方法及网络地址转换设备 |
| EP2355423A1 (en) * | 2010-01-29 | 2011-08-10 | Deutsche Telekom AG | System and method for routing data packets over an Internet Protocol network |
| CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102843362A (zh) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102843362B (zh) | 一种使用tcam进行arp防御的方法 | |
| CN103581363B (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| US9990583B2 (en) | Match engine for detection of multi-pattern rules | |
| Lin et al. | Using string matching for deep packet inspection | |
| US8908564B2 (en) | Method for Media Access Control address learning and learning rate suppression | |
| US20220094712A1 (en) | Session maturity model with trusted sources | |
| CN103136372B (zh) | 网络可信性行为管理中url快速定位、分类和过滤方法 | |
| WO2020107446A1 (zh) | 攻击者信息的获取方法、装置、设备和存储介质 | |
| CN104618304A (zh) | 数据处理方法及数据处理*** | |
| CN101938382A (zh) | 审计特征的检测方法及用户行为审计*** | |
| CN104025520A (zh) | 查找表的创建方法、查询方法、控制器、转发设备和*** | |
| CN107222496A (zh) | 基于现场层设备的报文的安全策略匹配方法和现场层设备 | |
| US20200201846A1 (en) | Blockchain-based transaction processing | |
| WO2018177184A1 (zh) | 一种实现查表处理的方法及装置、设备、存储介质 | |
| Liu et al. | An overlay automata approach to regular expression matching | |
| Peris-Lopez et al. | Quasi-linear cryptanalysis of a secure RFID ultralightweight authentication protocol | |
| CN114006763A (zh) | 一种基于快速表的快速检索匹配方法及*** | |
| CN109905366A (zh) | 终端设备安全验证方法、装置、可读存储介质及终端设备 | |
| Ray et al. | Smart RFID reader protocol for malware detection | |
| US9294399B2 (en) | Method for learning media access control address, network device, and system | |
| CN110380952A (zh) | 邮件收发方法及装置 | |
| US11563715B2 (en) | Pattern matching by a network device for domain names with wildcard characters | |
| Bertino | Security threats: protecting the new cyberfrontier | |
| Yang et al. | A compression approach to reducing power consumption of TCAMs in regular expression matching | |
| CN102968578A (zh) | 一种防注入方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160309 Address after: 215600 Jiangsu city of Zhangjiagang Province Tang Qiao Zhen Heng Jing Cun Jing Dong Pan Bridge Group No. 5 Applicant after: Tang Wenjie Address before: 214432 Jiangyin, Wuxi, Chengjiang street, new road, No., No. 9 Applicant before: Jiangsu Huali Network Engineering Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200922 Address after: Room 603, building 52, Hongqiao 5 village, Jiangyin City, Wuxi City, Jiangsu Province Patentee after: Ding Xiangen Address before: 215600 Jiangsu city of Zhangjiagang Province Tang Qiao Zhen Heng Jing Cun Jing Dong Pan Bridge Group No. 5 Patentee before: Tang Wenjie |