【技术实现步骤摘要】
一种预防MAC地址泛洪攻击的方法及装置
本专利技术属于通信
,具体涉及一种预防MAC地址泛洪攻击的方法及装置。
技术介绍
以太网交换机是基于以太网传输数据的交换机,工作于OSI参考模型的第二层,即数据链路层,是一种基于MAC(介质访问控制)地址识别、完成以太网数据帧转发的网络设备。以太网交换机在同一时刻可进行多个端口对之间的数据传输,使每一对相互通信的主机都能进行无冲突数据传输,有效的隔离冲突域,保障各个终端的宽带互不影响。与集线器以广播方式对所有节点发送数据包不同的是,以太网交换机可以直接对目的节点发送数据包。是因为以太网交换机内部有一个MAC地址表,记录了网络中所有MAC地址与该交换机各端口的对应信息。某一数据帧需要转发时,以太网交换机根据该数据帧的目的MAC地址来查找MAC地址表,从而得到该地址对应的端口。如果数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。这一过程成为泛洪。以太网交换机的MAC地址表容量有限,通过MAC地址老化,删除MAC地址表中的MAC表项释放空间。如果攻击者伪造大量的未知MAC地址进行通信,通过以太网交换机不断学习,MAC地址表达到存储MAC地址上限,当正常的主机MAC地址在老化之后,无法再添加到MAC地址表中,导致数据变成了广播,形成MAC泛洪攻击,造成网络带宽资源耗尽,影响以太网交换机的正常使用。目前为解决MAC地址泛洪攻击问题,常见的预防泛洪攻击的手段为给交换机的每个端口限制终端的数量,当一个端口学习的MAC地址数量超过这个限制的数量,则将超出的M ...
【技术保护点】
1.一种预防MAC地址泛洪攻击的方法,其特征在于,包括:以太网交换机通过任一端口接收终端发送的数据帧,获取源MAC地址和目的MAC地址;源MAC地址表项在黑名单MAC地址表中,且源MAC地址表项处于休眠状态,丢弃数据帧;判断源MAC地址表项是否在MAC地址表中,当未在MAC地址表中,将源MAC地址添加到MAC地址表,标记MAC地址表项状态为可信;判定端口是否被攻击,当端口被攻击时,缩短MAC地址表中该端口的相关MAC地址老化时间,重新标记MAC地址表项状态为可疑;判断目的MAC地址表项是否在MAC地址表中,当目的MAC地址表项不在MAC地址表时,进行广播,无应答时将源MAC地址加入到黑名单MAC地址表中,修改疑似次数及状态,将源MAC地址表项从MAC地址表删除。/n
【技术特征摘要】
1.一种预防MAC地址泛洪攻击的方法,其特征在于,包括:以太网交换机通过任一端口接收终端发送的数据帧,获取源MAC地址和目的MAC地址;源MAC地址表项在黑名单MAC地址表中,且源MAC地址表项处于休眠状态,丢弃数据帧;判断源MAC地址表项是否在MAC地址表中,当未在MAC地址表中,将源MAC地址添加到MAC地址表,标记MAC地址表项状态为可信;判定端口是否被攻击,当端口被攻击时,缩短MAC地址表中该端口的相关MAC地址老化时间,重新标记MAC地址表项状态为可疑;判断目的MAC地址表项是否在MAC地址表中,当目的MAC地址表项不在MAC地址表时,进行广播,无应答时将源MAC地址加入到黑名单MAC地址表中,修改疑似次数及状态,将源MAC地址表项从MAC地址表删除。
2.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法,其特征在于,当源MAC地址表项在黑名单MAC地址表,且所述源MAC地址表项状态为非休眠状态,即活跃状态时,需进行源地址表项是否在MAC地址表中的判断;
所述休眠,用于表示黑名单MAC地址表中MAC地址表项疑似次数超过设定疑似次数阈值时MAC地址表项的一种状态,当数据帧源MAC地址为所述MAC地址表项中的MAC地址时,丢弃数据帧;
所述活跃,用于表示黑名单MAC地址表中MAC地址表项疑似次数未达到设定疑似次数阈值时MAC地址表项的一种状态;
当源MAC地址表项未在黑名单MAC地址表时,需进行源地址表项是否在MAC地址表中的判断。
3.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法,其特征在于,MAC地址表在初始状态是一张空表,当源MAC地址表项在MAC地址表中,表明源MAC地址已经被MAC地址表学习。
4.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法,其特征在于,黑名单MAC地址表中本端口MAC地址表项中疑似次数总和大于或等于设定疑似次数总和阈值时,判断端口被攻击,否则未被攻击;当端口处于被攻击时,MAC地址表中所述端口对应的MAC地址均为可疑对象,将所述端口对应的MAC地址表项状态标记为可疑,缩短老化时间。
5.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法,其特征在于,目的MAC地址表项在MAC地址表中,无需通过广播方式查找目的MAC地址端口,源MAC地址不是造成泛洪攻击的因素,若源MAC地址表项状态为可疑,重新标记状态为可信,重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间;
当通过广播方式查找目的MAC地址时,在源MAC地址表项老化时间内收到应答响应,将目的MAC地址加入到MAC地址表中,目的MAC地址状态标记为可信,若源MAC地址表项状态为可疑,重新标记状态为可信,重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老...
【专利技术属性】
技术研发人员:刘伟娜,左晓军,侯波涛,董娜,常杰,陈泽,
申请(专利权)人:国网河北省电力有限公司电力科学研究院,国家电网有限公司,国网河北能源技术服务有限公司,
类型:发明
国别省市:河北;13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。