[发明专利]路由装置及相关的控制电路

说明书

技术领域

本发明有关网络通讯装置，尤指对网络地址解析攻击有较高防御能力的路由装置及相关的控制电路。

背景技术

网络地址解析协议(Address Resolution Protocol，ARP)资讯在以太网络的通讯上扮演重要角色，但习知区域网络内的终端装置或路由装置的网络地址解析资讯，却很容易被攻击者或恶意程序利用所谓的ARP欺骗(ARPSpoofing)手段加以破坏。

由于路由装置是负责处理区域网络与其他网段间的数据往来的关键设备，一旦路由装置中的网络地址解析资讯因ARP攻击而受到破坏，将会造成区域网络内的终端装置无法与其他网段(例如网际网络)进行通讯的严重问题。

要避免路由装置中的网络地址解析资讯受到ARP攻击的破坏，习知的一种解决方法是网络管理者亲自设定路由装置中的每一笔网络地址解析资讯。然而，这种方法对许多网络环境而言并不实用。例如，对于动态分配网络协议地址的网络环境、终端装置可经常移动位置的无线网络环境、或是终端装置数量庞大或架构复杂的网络环境而言，要求网络管理者逐一设定路由装置中数量庞大且可能随时变动的网络地址解析资讯，显然是不切实际的方式。

发明内容

有鉴于此，如何提升路由装置对ARP攻击的防御能力，实系有待解决的问题。

本说明书提供了一种用于路由装置的控制电路的实施例，其包含有：一输出/输入接口；以及一处理器，耦接于该输出/输入接口，当该处理器接收到一网络地址解析封包，且该网络地址解析封包所包含的一第一网段的一网络协议地址的网络地址解析资讯与该路由装置中的记录不同时，若该网络协议地址曾至少一次存取其他网段，且符合一预定条件，则该处理器不会更新该网络协议地址的网络地址解析资讯。

本说明书提供了一种用于路由装置的控制电路的实施例，其包含有：一输出/输入接口；以及一处理器，耦接于该输出/输入接口，当一第一网段的一网络协议地址曾多次存取其他网段，且符合一预定条件时，该处理器会将该网络协议地址的网络地址解析资讯设成不可改变。

本说明书另提供了一种路由装置的实施例，其包含有：一控制电路，当接收到一第一网络封包时，若该网络封包的来源网络协议地址位于一第一网段、目的网络协议地址指向一第二网段、目的物理地址与该路由装置的物理地址不同、且该来源网络协议地址符合一预定条件，则该处理器会产生目的网络协议地址与该第一网络封包的目的网络协议地址相同，且来源物理地址与该路由装置的物理地址相同的一第二网络封包；其中该预定条件选自于由下列情况所组成的一群组：(a)离该来源网络协议地址先前存取其他网段的时间，小于一预定时间长度；(b)该来源网络协议地址存取其他网段的频率达到一预定频率；(c)该来源网络协议地址曾存取其他网段达一预定次数；及(d)该来源网络协议地址先前存取其他网段时使用的物理通讯埠，与收到该网络封包的物理通讯埠相同。

本发明的优点之一在于，可有效改善路由装置对于伪造的网络地址解析封包的辨识能力，进而提升对于ARP攻击的防御力及/或警示能力。

本发明的另一优点在于，路由装置可依据每一网络协议地址存取其他网段的情况，动态地决定是否允许变更个别网络协议地址的网络地址解析资讯，无需网络管理者的介入操作，故适用于各种网络环境中。

本发明的另一优点在于，路由装置仅需分析一网络封包的来源网络协议地址存取其他网段的相关连线记录，而无需耗费额外运算能力去读取该网络封包的承载数据内容便能快速地自动判断该网络封包是否有效，并决定后续的处理动作，可有效提升网络的资讯安全。

本发明的另一优点是，即便区域网络内的终端装置中的网络地址解析资讯受到ARP攻击的破坏，路由装置仍可维持该终端装置与网际网络或其他网段的通讯，大幅降低了ARP攻击对于网络通讯的威胁。

附图说明

图1是本发明的网络系统的一实施例简化后的示意图。

图2是本发明的控制电路的一实施例功能方块图。

图3是本发明的网络地址解析资讯管理方法的第一实施例流程图。

图4是本发明的特定网络协议地址的相关连线记录的一实施例示意图。

图5是特定网络协议地址以TCP传输方式存取其他网段的示意图。

图6是特定网络协议地址以UDP传输方式存取其他网段的示意图。

图7是本发明的网络地址解析资讯管理方法的第二实施例流程图。

图8是本发明的网络封包处理方法的一实施例流程图。

【主要元件符号说明】

100    网络系统

110    路由装置