本公开提供了一种防止MAC地址泛洪攻击的方法、装置及电子设备,应用于交换机中,统计每个端口已学习到的MAC表项数量;若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;缩短在端口被标记为受攻击后、被标记为受攻击的端口学习到的MAC表项的老化时间。达到能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率的技术效果。
【技术实现步骤摘要】
防止MAC地址泛洪攻击的方法、装置及电子设备
本公开涉及交换机
,尤其是涉及一种防止MAC地址泛洪攻击的方法、装置及电子设备。
技术介绍
MAC(MediaAccessControl或者MediumAccessControl)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。泛洪(Flooding)是交换机和网桥使用的一种数据流传递技术,将某个接口收到的数据流从除该接口之外的所有接口发送出去。交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。目前,在MAC地址表被泛洪攻击时,MAC地址表将会被伪造的MAC地址长期占用,无法再添加到新的MAC地址到MAC地址表中,影响用户的使用。
技术实现思路
有鉴于此,本公开的目的在于提供一种防止MAC地址泛洪攻击的方法、装置及电子设备,以缓解现有技术中存在的泛洪攻击使MAC地址表被充满时,无法再添加到MAC地址表中,导致大量的用户数据被攻击者截获的技术问题。第一方面,本公开实施例提供了应用于交换机中,所述方法包括:统计每个端口已学习到的MAC表项数量;若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。结合第一方面,本公开实施例提供了第一方面的第一种可能的实施方式,其中,所述缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,包括:将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。结合第一方面,本公开实施例提供了第一方面的第二种可能的实施方式,其中,所述方法还包括:丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。结合第一方面,本公开实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。结合第一方面,本公开实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。第二方面,本公开实施例还提供一种防止MAC地址泛洪攻击的装置,应用于交换机中,所述装置包括:统计模块,用于统计每个端口已学习到的MAC表项数量,标记模块,用于在存在已学习到的MAC表项数量大于或者等于预设阈值的端口时,将所述端口标记为受攻击;缩短模块,用于缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。结合第二方面,本公开实施例提供了第二方面的第一种可能的实施方式,其中,所述缩短模块,还用于:将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。结合第二方面,本公开实施例提供了第二方面的第二种可能的实施方式,其中,所述装置还包括:丢弃模块,用于丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。结合第二方面,本公开实施例提供了第二方面的第三种可能的实施方式,其中,所述装置还包括:重新标记模块,用于若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。结合第二方面,本公开实施例提供了第二方面的第四种可能的实施方式,其中,所述装置还包括:设置模块,用于将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。第三方面,本公开实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。第四方面,本公开实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述方法。本公开实施例带来了以下有益效果:本专利技术实施例通过统计各个端口已学习到的MAC表项数量,若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,可以将所述端口标记为受攻击,可以缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。本专利技术实施例能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率。本公开的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本公开实施例提供的本专利技术实施例可以应用的一种组网结构图;图2为本公开实施例提供的一种防止MAC地址泛洪攻击的方法的一种流程图;图3为本公开实施例提供的一种防止MAC地址泛洪攻击的方法的另一种流程图;图4为本公开实施例提供的一种防止MAC地址泛洪攻击的装置的一种结构图。具体实施方式为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。目前,交换机正常的通信是只有在MAC地址表中没有包含目标主机的MAC地址和端口的MAC表项时,才进行数据广播;在MAC地址表中有目标主机的MAC地址和端口的MAC表项时,交换机将直接根据MAC地址和端口转发数据,其它主机无法获取到这两台主机之本文档来自技高网...
【技术保护点】
1.一种防止MAC地址泛洪攻击的方法,其特征在于,应用于交换机中,所述方法包括:统计每个端口已学习到的MAC表项数量;若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
【技术特征摘要】
1.一种防止MAC地址泛洪攻击的方法,其特征在于,应用于交换机中,所述方法包括:统计每个端口已学习到的MAC表项数量;若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。2.根据权利要求1所述的方法,其特征在于,所述缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,包括:将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述方法还包括:若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向被重新标记为未受攻击的端口发送未知单播报文。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。6.一种防止MAC地址泛洪攻击的装置,其特征在于,应用于交换机中,所述装置包括:统计模块,用于统计每个端口已学习到的MAC表项数量,标记模块,用于在存在已学习...
【专利技术属性】
技术研发人员:张哲,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。