一種防止IP地址欺騙的方法和裝置制造方法及圖紙

本申請(qǐng)?zhí)峁┝艘环N防止IP地址欺騙的方法和裝置，當(dāng)虛擬機(jī)請(qǐng)求者發(fā)送第一ARP報(bào)文時(shí)，虛擬交換機(jī)就能夠攔截第一ARP報(bào)文，并且在第一ARP報(bào)文中的源MAC地址不是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址時(shí)，過(guò)濾掉第一ARP報(bào)文。進(jìn)而就不會(huì)存在讓虛擬機(jī)請(qǐng)求者將強(qiáng)制偽造指定IP地址的第一ARP報(bào)文發(fā)送至其他虛擬機(jī)和讓其他虛擬機(jī)偽造IP地址的機(jī)會(huì)，進(jìn)而防止了IP地址欺騙。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種防止IP地址欺騙的方法和裝置
本專利技術(shù)涉及通信領(lǐng)域，更具體的說(shuō)，涉及一種防止IP地址欺騙的方法和裝置。
技術(shù)介紹
服務(wù)器的虛擬化是指將服務(wù)器物理資源抽象成邏輯資源，讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)相互隔離的虛擬服務(wù)器，我們不再受限于物理上的界限，而是讓中央處理器CPU、內(nèi)存、磁盤、輸入/輸出端口I/O等硬件變成可以動(dòng)態(tài)管理的“資源池”。服務(wù)器的虛擬化提高資源的利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓IT對(duì)業(yè)務(wù)的變化更具適應(yīng)力。在服務(wù)器的虛擬化過(guò)程中，服務(wù)器網(wǎng)絡(luò)虛擬化面臨著IP地址欺騙的問(wèn)題，IP地址欺騙是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式，黑客使用一臺(tái)計(jì)算機(jī)上網(wǎng),而借用另外一臺(tái)機(jī)器的IP地址,從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道，進(jìn)而導(dǎo)致非法報(bào)文的傳播。目前防止IP地址欺騙的方法應(yīng)用在應(yīng)用層面上，即在應(yīng)用上設(shè)置認(rèn)證或者是權(quán)限，進(jìn)而使假冒的客戶端不能正常訪問(wèn)應(yīng)用。但是在網(wǎng)絡(luò)層面上，還沒(méi)有能夠防止IP地址欺騙的方法。因此，服務(wù)器網(wǎng)絡(luò)虛擬化亟需一種能夠在網(wǎng)絡(luò)層面上，防止IP地址欺騙的方法。
技術(shù)實(shí)現(xiàn)思路
有鑒于此，本專利技術(shù)提供一種防止IP地址欺騙的方法和裝置，以解決在服務(wù)器網(wǎng)絡(luò)虛擬化層面上，還沒(méi)有防止IP地址欺騙的方法的問(wèn)題。為解決上述技術(shù)問(wèn)題，本專利技術(shù)采用了如下技術(shù)方案：一種防止IP地址欺騙的方法，應(yīng)用于虛擬交換機(jī)，所述方法包括：攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一地址解析協(xié)議ARP報(bào)文，所述第一ARP報(bào)文中攜帶有獲得目標(biāo)互聯(lián)網(wǎng)協(xié)議地址IP地址對(duì)應(yīng)的目標(biāo)虛擬機(jī)的目標(biāo)MAC地址的請(qǐng)求；所述目標(biāo)IP地址為所述虛擬機(jī)請(qǐng)求者請(qǐng)求連接的IP地址；判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址；其中，所述第一對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；當(dāng)判斷出所述第一對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第二ARP報(bào)文到所述虛擬機(jī)請(qǐng)求者，其中，所述第二ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。優(yōu)選地，所述攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一ARP報(bào)文后，還包括：判斷所述第一ARP報(bào)文中的源MAC地址是否是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址；若判斷出所述第一ARP報(bào)文中的源MAC地址是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址，執(zhí)行所述判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。優(yōu)選地，當(dāng)判斷出所述第一對(duì)照表中沒(méi)有保存所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址后，還包括：將所述第一ARP報(bào)文發(fā)送到控制模塊；接收所述控制模塊發(fā)送的第三ARP報(bào)文；將所述第三ARP報(bào)文發(fā)送到所述虛擬機(jī)請(qǐng)求者。一種防止IP地址欺騙的方法，應(yīng)用于控制模塊，所述方法包括：接收虛擬交換機(jī)發(fā)送的第一ARP報(bào)文；判斷第二對(duì)照表中是否保存有目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址；其中，所述第二對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；當(dāng)判斷出所述第二對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第三ARP報(bào)文到所述虛擬交換機(jī)；其中，所述第三ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。優(yōu)選地，所述判斷第二對(duì)照表中是否保存有目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址，包括：從預(yù)設(shè)位置讀取所述第二對(duì)照表并判斷所述第二對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。一種防止IP地址欺騙的裝置，應(yīng)用于虛擬交換機(jī)，所述裝置包括：攔截模塊，用于攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一ARP報(bào)文，所述第一ARP報(bào)文中攜帶有獲得目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)虛擬機(jī)的目標(biāo)MAC地址的請(qǐng)求；所述目標(biāo)IP地址為所述虛擬機(jī)請(qǐng)求者請(qǐng)求連接的IP地址；判斷模塊，用于判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址；其中，所述第一對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；第一發(fā)送模塊，用于當(dāng)所述判斷模塊判斷出所述第一對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第二ARP報(bào)文到所述虛擬機(jī)請(qǐng)求者，其中，所述第二ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。優(yōu)選地，還包括：地址判斷單元，用于所述攔截模塊攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一ARP報(bào)文后，判斷所述第一ARP報(bào)文中的源MAC地址是否是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址；所述判斷模塊，還用于若所述地址判斷單元判斷出所述第一ARP報(bào)文中的源MAC地址是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址，判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。優(yōu)選地，還包括：第二發(fā)送模塊，用于當(dāng)所述判斷模塊判斷出所述第一對(duì)照表中沒(méi)有保存所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，將所述第一ARP報(bào)文發(fā)送到控制模塊；接收模塊，用于接收所述控制模塊發(fā)送的第三ARP報(bào)文；第三發(fā)送模塊，用于將所述第三ARP報(bào)文發(fā)送到所述虛擬機(jī)請(qǐng)求者。一種防止IP地址欺騙的裝置，應(yīng)用于控制模塊，所述裝置包括：接收單元，用于接收虛擬交換機(jī)發(fā)送的第一ARP報(bào)文；判斷單元，用于判斷第二對(duì)照表中是否保存有目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址；其中，所述第二對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；發(fā)送單元，用于當(dāng)所述判斷單元判斷出所述第二對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第三ARP報(bào)文到所述虛擬交換機(jī)；其中，所述第三ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。優(yōu)選地，所述判斷單元包括：判斷子單元，用于從預(yù)設(shè)位置讀取所述第二對(duì)照表并判斷所述第二對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。相較于現(xiàn)有技術(shù)，本專利技術(shù)具有以下有益效果：本專利技術(shù)提供了一種防止IP地址欺騙的方法和裝置，當(dāng)虛擬機(jī)請(qǐng)求者發(fā)送第一ARP報(bào)文時(shí)，虛擬交換機(jī)就能夠攔截第一ARP報(bào)文，進(jìn)而去查詢目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址，由于虛擬交換機(jī)攔截了第一ARP報(bào)文，因此，第一ARP報(bào)文就不會(huì)發(fā)送到其他的虛擬機(jī)上，進(jìn)而就不會(huì)存在讓其他虛擬機(jī)偽造IP地址的機(jī)會(huì)，進(jìn)而防止了IP地址欺騙。附圖說(shuō)明為了更清楚地說(shuō)明本專利技術(shù)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本專利技術(shù)的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。圖1為本專利技術(shù)提供的應(yīng)用于虛擬交換機(jī)的一種防止IP地址欺騙的方法的方法流程圖；圖2為本專利技術(shù)提供的應(yīng)用于虛擬交換機(jī)的另一種防止IP地址欺騙的方法的方法流程圖；圖3為本專利技術(shù)提供的應(yīng)用于控制模塊的一種防止IP地址欺騙的方法的方法流程圖；圖4為本專利技術(shù)提供的應(yīng)用于虛擬交換機(jī)的一種防止IP地址欺騙的裝置的結(jié)構(gòu)示意圖；圖5為本專利技術(shù)提供的應(yīng)用于虛擬交換機(jī)的另一種防止IP地址欺騙的裝置的結(jié)構(gòu)示意圖；圖6為本專利技術(shù)提供的應(yīng)用于控制裝置的一種防止IP地址欺騙的裝置的結(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合本專利技術(shù)實(shí)施例中的附圖，對(duì)本專利技術(shù)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本專利技術(shù)一部分實(shí)施例，而不是全部的實(shí)施例。基于本專利技術(shù)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種防止IP地址欺騙的方法，其特征在于，應(yīng)用于虛擬交換機(jī)，所述方法包括：攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一地址解析協(xié)議ARP報(bào)文，所述第一ARP報(bào)文中攜帶有獲得目標(biāo)互聯(lián)網(wǎng)協(xié)議地址IP地址對(duì)應(yīng)的目標(biāo)虛擬機(jī)的目標(biāo)MAC地址的請(qǐng)求；所述目標(biāo)IP地址為所述虛擬機(jī)請(qǐng)求者請(qǐng)求連接的IP地址；判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址；其中，所述第一對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；當(dāng)判斷出所述第一對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第二ARP報(bào)文到所述虛擬機(jī)請(qǐng)求者，其中，所述第二ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。

【技術(shù)特征摘要】
1.一種防止IP地址欺騙的方法，其特征在于，應(yīng)用于虛擬交換機(jī)，所述方法包括：攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一地址解析協(xié)議ARP報(bào)文，所述第一ARP報(bào)文中攜帶有獲得目標(biāo)互聯(lián)網(wǎng)協(xié)議地址IP地址對(duì)應(yīng)的目標(biāo)虛擬機(jī)的目標(biāo)MAC地址的請(qǐng)求；所述目標(biāo)IP地址為所述虛擬機(jī)請(qǐng)求者請(qǐng)求連接的IP地址；判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址；其中，所述第一對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；當(dāng)判斷出所述第一對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第二ARP報(bào)文到所述虛擬機(jī)請(qǐng)求者，其中，所述第二ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述攔截虛擬機(jī)請(qǐng)求者發(fā)送的第一ARP報(bào)文后，還包括：判斷所述第一ARP報(bào)文中的源MAC地址是否是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址；若判斷出所述第一ARP報(bào)文中的源MAC地址是所述虛擬機(jī)請(qǐng)求者對(duì)應(yīng)的預(yù)設(shè)源MAC地址，執(zhí)行所述判斷第一對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。3.根據(jù)權(quán)利要求1所述的方法，其特征在于，當(dāng)判斷出所述第一對(duì)照表中沒(méi)有保存所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址后，還包括：將所述第一ARP報(bào)文發(fā)送到控制模塊；接收所述控制模塊發(fā)送的第三ARP報(bào)文；將所述第三ARP報(bào)文發(fā)送到所述虛擬機(jī)請(qǐng)求者。4.一種防止IP地址欺騙的方法，其特征在于，應(yīng)用于控制模塊，所述方法包括：接收虛擬交換機(jī)發(fā)送的第一ARP報(bào)文；判斷第二對(duì)照表中是否保存有目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址；其中，所述第二對(duì)照表中保存有IP地址與網(wǎng)絡(luò)設(shè)備的MAC地址的對(duì)應(yīng)關(guān)系且所述網(wǎng)絡(luò)設(shè)備包括虛擬機(jī)；當(dāng)判斷出所述第二對(duì)照表中保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址，發(fā)送第三ARP報(bào)文到所述虛擬交換機(jī)；其中，所述第三ARP報(bào)文中攜帶有所述目標(biāo)MAC地址。5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述判斷第二對(duì)照表中是否保存有目標(biāo)IP地址對(duì)應(yīng)的目標(biāo)MAC地址，包括：從預(yù)設(shè)位置讀取所述第二對(duì)照表并判斷所述第二對(duì)照表中是否保存有所述目標(biāo)IP地址對(duì)應(yīng)的所述目標(biāo)MAC地址。6.一種防止IP地址欺騙的裝置，其特征在于，應(yīng)用于虛擬交換機(jī)，所述裝置包括：攔截模...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：秦海中，
申請(qǐng)(專利權(quán))人：鄭州云海信息技術(shù)有限公司，
類型：發(fā)明
國(guó)別省市：河南,41