MÉTODO, SISTEMA DE COMUNICACIÓN Y DISPOSITIVO PARA PROCESAR PAQUETES ARP.
Un método para el procesamiento de paquetes del Protocolo de Resolución de Direcciones (ARP),
que comprende: recibir (101) un paquete ARP, y determinar el tipo del paquete ARP; cuando el paquete ARP es una petición ARP, responder (105) a la petición ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; y cuando el paquete ARP es una respuesta ARP, transmitir (110) la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar (112) la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2008/070532.
H04L29/06ELECTRICIDAD. › H04TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
H04L29/12H04L 29/00 […] › caracterizados por el terminal de datos.
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia.
Método, sistema de comunicación y dispositivo para procesar paquetes ARP Campo de la invención La presente invención está relacionada con las comunicaciones, y en particular, con un método, un sistema de comunicación y un dispositivo para procesar paquetes del Protocolo de Resolución de Direcciones (ARP). Antecedentes de la invención ARP es uno de los protocolos de los niveles inferiores en la pila del Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP). ARP está diseñado para traducir una dirección IP en una dirección física Ethernet, es decir, en una dirección de Control de Acceso al Medio (MAC). Para el direccionamiento, las comunicaciones entre dispositivos Ethernet utilizan direcciones MAC, mientras diversas aplicaciones TCP/IP utilizan direcciones IP. En todo caso, los diversos paquetes de datos deben ser encapsulados en tramas Ethernet para ser transmitidos. Por lo tanto, antes de producirse las comunicaciones IP es necesario obtener la dirección MAC del otro extremo mediante la resolución de la dirección IP de dicho extremo. El protocolo responsable del proceso de resolución es ARP. Un dispositivo de red utiliza la tecnología de memoria cache ARP (de almacenamiento intermedio de alta velocidad) para agilizar la traducción de direcciones cuando implementa el ARP, y emplea una estructura de tabla para almacenar localmente una determinada cantidad de correspondencias entre direcciones. La tabla se conoce generalmente como tabla ARP. Sin embargo, en las redes actuales se producen generalmente ataques a la red basados en el protocolo ARP. Desde la perspectiva de los fundamentos de los ataques, los ataques ARP pertenecen a uno de los dos tipos siguientes: 1. Suplantación de dirección: El atacante envía una petición ARP o una respuesta ARP que contiene una relación de correspondencia de direcciones errónea para corromper la tabla ARP del servidor o de la pasarela. En consecuencia, la pasarela o el servidor envían el paquete a una dirección física errónea y, de este modo, el ataque consigue su objetivo. 2. Ataque de Denegación de Servicio (DoS) ARP: La DoS al ARP atacado se dirige generalmente a dispositivos pasarela (tales como enrutadores o conmutadores). Los paquetes ARP se procesan generalmente en el plano de control del dispositivo. El plano de control utiliza habitualmente una CPU de propósito general como motor de proceso. La CPU de propósito general se caracteriza por tener un procesamiento avanzado pero un rendimiento limitado. Cuando hay demasiadas tareas que procesar, la CPU del plano de control tiende a sobrecargarse o fallar. En vista de las deficiencias precedentes, el atacante de DoS al ARP envía al dispositivo pasarela un tráfico intenso de paquetes ARP para conseguir que el plano de control de dicho dispositivo se vea extremadamente cargado y no sea capaz de procesar los paquetes ARP normales y, de este modo, el ataque consigue su objetivo. En la técnica anterior, un método para el procesamiento de paquetes ARP es el siguiente: En primer lugar, se comprueba la dirección IP de cada paquete ARP en el plano de reenvío, y los paquetes ARP ilegales son descartados. La comprobación de una dirección IP comprende: 1. Verificar la dirección IP de destino: comprobar si la dirección IP de destino es una dirección IP perteneciente al segmento de red de la pasarela; en caso contrario, descartar el paquete; y 2. Verificar la dirección IP de origen: comprobar si la dirección IP de origen es una dirección IP "legal". "Legal" significa que la dirección IP ya ha formado parte de las entradas de la tabla del ARP. Para estos paquetes, la prioridad de envío es alta; para el resto de paquetes ARP, la prioridad es baja. En todo caso, la tecnología precedente no es capaz de evitar los ataques mediante direcciones IP legales. Para evitar el inconveniente de la solución precedente, otro método para el procesamiento de paquetes ARP en la técnica anterior es el siguiente: responder directamente a la petición ARP en el plano de reenvío gracias a la capacidad de procesamiento a alta velocidad del procesador de la red en el plano de reenvío. Los paquetes ARP se clasifican en peticiones ARP y respuestas ARP. La solución precedente se ocupa únicamente 2 E08715268 03-11-2011 de las peticiones ARP, y es incapaz de resolver el problema de los ataques basados en tráfico masivo que utilizan las respuestas ARP. El documento US 2006/0209818 divulga métodos y dispositivos para impedir que se corrompa la cache ARP. Resumen de la invención La presente invención proporciona un método, un sistema de comunicación y un dispositivo para el procesamiento de paquetes ARP para impedir los ataque a la red lanzados mediante paquetes ARP. Como un primer aspecto de la invención, el método para el procesamiento de paquetes ARP incluye: recibir un paquete ARP y determinar el tipo de dicho paquete; cuando el paquete ARP es una petición ARP, responder a la petición ARP si en una tabla ARP local existe una entrada ARP correspondiente a la petición ARP; y cuando el paquete ARP es una respuesta ARP, si en la tabla ARP local existe una entrada ARP correspondiente a la respuesta ARP y el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, transmitir la respuesta ARP; o si en la tabla ARP no existe ninguna entrada ARP correspondiente a la respuesta ARP, descartar la respuesta ARP; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío. Como un segundo aspecto de la invención, el sistema de comunicación incluye: un procesador del plano de reenvío configurado para recibir un paquete del Protocolo de Resolución de Direcciones, ARP, y determinar el tipo del paquete ARP; si el paquete ARP es un una petición ARP y en una tabla ARP local existe una entrada ARP correspondiente a la petición ARP, responder a la petición ARP; si el paquete ARP es una respuesta ARP y en la tabla ARP local existe una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, transmitir la respuesta ARP; o, si en la tabla ARP no existe ninguna entrada ARP correspondiente a la respuesta ARP, descartar la respuesta ARP; y un procesador del plano de control configurado para recibir la petición ARP o la respuesta ARP remitida por el procesador del plano de reenvío; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío. De acuerdo con la presente invención, el procesador del plano de reenvío puede responder directamente a una petición ARP recibida en lugar de crear una entrada ARP en función de la petición ARP, imposibilitando de este modo la utilización de la petición ARP para conseguir una suplantación de dirección en la tabla ARP. Además, al recibir una respuesta ARP, el procesador del plano de reenvío transmite únicamente la respuesta cuya transmisión se permite en la tabla ARP, imposibilitando de este modo los ataques que utilizan respuestas ARP masivas. Breve descripción de los dibujos La FIG. 1 es un diagrama de flujo de un método para el procesamiento de paquetes ARP en un modo de realización de la presente invención; La FIG. 2 es un diagrama de flujo del procesamiento de una petición ARP en un modo de realización de la presente invención; La FIG. 3 es un diagrama de flujo del procesamiento de una respuesta ARP en un modo de realización de la presente invención; La FIG. 4 muestra un sistema de comunicación en un modo de realización de la presente invención; y La FIG. 5 muestra un procesador del plano de reenvío en un modo de realización de la presente invención. Descripción detallada de la invención Los modos de realización de la presente invención proporcionan un método, un sistema de comunicación y un procesador del plano de reenvío para el procesamiento de paquetes ARP para impedir ataques a la red mediante la utilización de paquetes ARP. La FIG. 1 es un diagrama de flujo de un método para el procesamiento de paquetes ARP en un modo de realización 3 E08715268 03-11-2011 de la presente invención. El método incluye: 101. Recibir un paquete ARP. El procesador del plano de reenvío recibe un paquete ARP enviado por un dispositivo externo. Generalmente, un dispositivo de comunicación de datos de gama alta (tales como enrutadores o conmutadores de gama alta) comprende tres planos relativamente independientes: un plano de control, un plano de reenvío y un plano de gestión. El plano de control utiliza generalmente como motor de proceso una CPU de propósito general, y se encarga de protocolos de procesamiento avanzados... [Seguir leyendo]
Reivindicaciones:
1. Un método para el procesamiento de paquetes del Protocolo de Resolución de Direcciones (ARP), que comprende: recibir (101) un paquete ARP, y determinar el tipo del paquete ARP; cuando el paquete ARP es una petición ARP, responder (105) a la petición ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; y cuando el paquete ARP es una respuesta ARP, transmitir (110) la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar (112) la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP; donde la tabla ARP local se traspasa por parte de un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío. 2. El método para el procesamiento de paquetes ARP de la reivindicación 1, que comprende, además: cuando el paquete ARP es la petición ARP, determinar si en la interfaz que recibe la petición ARP está habilitada una función proxy ARP, si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la petición ARP; si la función proxy ARP está habilitada, limitar la velocidad de la petición ARP y, a continuación, transmitir la petición ARP a un procesador del plano de control; y si la función proxy ARP no está habilitada, descartar la petición ARP. 3. El método para el procesamiento de paquetes ARP de la reivindicación 1, que comprende, además: cuando el paquete ARP es la respuesta ARP (301), si en la tabla ARP (302) se encuentra la entrada ARP correspondiente a la respuesta ARP, y el un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que no se permite la transmisión (304), limitar (306) la velocidad de la respuesta ARP y, a continuación, transmitir la respuesta ARP a un procesador del plano de control, o descartar (307) la respuesta ARP. 4. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, que comprende, además: si el paquete ARP es una petición ARP, explorar la tabla ARP en función de un número de puerto de la petición ARP, una ID de una Red de Área Local Virtual, VLAN, y una dirección de destino del Protocolo de Internet, IP. 5. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, donde, antes de responder a la petición ARP, el método comprende, además: si la entrada ARP correspondiente a la petición ARP no es una entrada ARP de una pasarela o una entrada ARP de un proxy (205), descartar la petición ARP (207). 6. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, que comprende, además: si el paquete ARP es una respuesta ARP, explorar la tabla ARP en función de una dirección de origen del Protocolo de Internet, IP, de la respuesta ARP. 7. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1-3, donde, después de transmitir la petición ARP, el método comprende, además: modificar el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP en la tabla ARP para que indique que no se permite la transmisión. 8. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1 ó 2, donde la entrada ARP correspondiente a la petición ARP comprende la relación de correspondencia entre la dirección IP de la interfaz de una pasarela y la dirección MAC de la pasarela. 9. El método para el procesamiento de paquetes ARP de cualquiera de las reivindicaciones 1 ó 3, donde la entrada ARP correspondiente a la respuesta ARP comprende transmitir el parámetro que indica el permiso de transmisión. 9 E08715268 03-11-2011 10. Un sistema de comunicación que comprende: un procesador (402) del plano de reenvío, configurado para recibir un paquete del Protocolo de Resolución de Direcciones, ARP, y determinar el tipo del paquete ARP; cuando el paquete ARP es una petición ARP, responder a la petición ARP si en una tabla ARP local se encuentra una entrada ARP correspondiente a la petición ARP; cuando el paquete ARP es una respuesta ARP, transmitir la respuesta ARP si en la tabla ARP local se encuentra una entrada ARP correspondiente a la respuesta ARP y un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión; o descartar la respuesta ARP si en la tabla ARP no se encuentra ninguna entrada ARP correspondiente a la respuesta ARP; y un procesador (403) del plano de control, configurado para recibir la petición ARP o la respuesta ARP remitida por el procesador del plano de reenvío; donde la tabla ARP local se traspasa por parte un procesador del plano de control a un procesador del plano de reenvío, o se configura directamente en el procesador del plano de reenvío. 11. El sistema de comunicación de la reivindicación 10, donde el procesador (402) del plano de reenvío comprende: una unidad de determinación (501), configurada para determinar el tipo de un paquete del Protocolo de Resolución de Direcciones, ARP, recibido; una primera unidad de búsqueda (502), configurada para explorar la tabla ARP local cuando la unidad de determinación establece que el paquete ARP es una petición ARP; una unidad de respuesta (503), configurada para responder a la petición ARP si la primera unidad de búsqueda encuentra una entrada ARP correspondiente a la petición ARP; una segunda unidad de búsqueda (504), configurada para explorar la tabla ARP local cuando la unidad de determinación establece que el paquete ARP es una respuesta ARP; y una unidad para descartar (506), configurada para descartar la respuesta ARP si la segunda unidad de búsqueda no encuentra ninguna entrada ARP correspondiente a la respuesta ARP. 12. El sistema de comunicación de la reivindicación 11, donde el procesador (402) del plano de reenvío comprende, además: una unidad de limitación de la velocidad (509), configurada para limitar la velocidad del paquete ARP y trasmitir el paquete ARP a un procesador del plano de control; una unidad (508) de determinación de interfaz, configurada para determinar si la función proxy ARP está habilitada en la interfaz que recibe la petición ARP cuando la primera unidad de búsqueda no encuentra en la tabla ARP ninguna entrada correspondiente a la petición ARP recibida; si la función proxy ARP está habilitada, indicar a la unidad de limitación de la velocidad que limite la velocidad de la petición ARP y que transmita la petición ARP; si la función proxy ARP no está habilitada, indicar a la unidad para descartar que descarte la petición ARP. 13. El sistema de comunicación de la reivindicación 11 ó la reivindicación 12, donde el procesador (402) del plano de reenvío comprende, además: una unidad de verificación (505), configurada para determinar si un parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión, cuando en la tabla ARP se encuentre la entrada ARP correspondiente a la respuesta ARP; y una unidad de transmisión (507), configurada para transmitir la respuesta ARP cuando el parámetro de transmisión en la entrada ARP correspondiente a la respuesta ARP indica que se permite la transmisión. 14. El sistema de comunicación de cualquiera de las reivindicaciones 10-12, donde la entrada ARP correspondiente a la petición ARP comprende la relación de correspondencia entre la dirección IP de la interfaz de una pasarela y la dirección MAC de la pasarela. 15. El sistema de comunicación de cualquiera de las reivindicaciones 10-13, donde la entrada ARP correspondiente a la respuesta ARP comprende transmitir el parámetro que indica el permiso de transmisión. E08715268 03-11-2011 11 E08715268 03-11-2011 12 E08715268 03-11-2011 13 E08715268 03-11-2011 14 E08715268 03-11-2011
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento:
recibir (S201), mediante un nodo de consenso, una solicitud […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento:
recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método:
obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende:
obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa
que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende:
al menos un procesador; y
al menos una memoria que incluye un código de programa informático para uno o más programas,
[…]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios:
acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .