一种预防MAC地址泛洪攻击的方法及装置制造方法及图纸

本发明专利技术公开了一种预防MAC地址泛洪攻击的方法及装置，本发明专利技术通过黑名单MAC地址表中某端口MAC地址表项中疑似次数总和是否大于设定疑似次数总和阈值，判断端口是否被攻击，若被攻击，缩短MAC地址表中该端口的相关MAC地址表项老化时间，并将相关MAC地址表项标记为可疑。能够判定端口攻击情况，并作出应急措施，缩短可疑MAC地址表项删除时间，释放MAC地址表空间，控制MAC地址泛洪攻击，减少带宽压力；通过黑名单MAC地址表项疑似次数是否大于设定疑似次数阈值，判定MAC地址是否是造成泛洪攻击的因素，若是泛洪攻击因素，则将MAC地址表项状态标记为休眠。在休眠期间，丢弃数据帧，避免MAC地址广播造成泛洪，进而避免MAC地址泛洪攻击。

A method and device to prevent MAC address flooding attack

【技术实现步骤摘要】
一种预防MAC地址泛洪攻击的方法及装置
本专利技术属于通信
，具体涉及一种预防MAC地址泛洪攻击的方法及装置。
技术介绍
以太网交换机是基于以太网传输数据的交换机，工作于OSI参考模型的第二层，即数据链路层，是一种基于MAC（介质访问控制）地址识别、完成以太网数据帧转发的网络设备。以太网交换机在同一时刻可进行多个端口对之间的数据传输，使每一对相互通信的主机都能进行无冲突数据传输，有效的隔离冲突域，保障各个终端的宽带互不影响。与集线器以广播方式对所有节点发送数据包不同的是，以太网交换机可以直接对目的节点发送数据包。是因为以太网交换机内部有一个MAC地址表，记录了网络中所有MAC地址与该交换机各端口的对应信息。某一数据帧需要转发时，以太网交换机根据该数据帧的目的MAC地址来查找MAC地址表，从而得到该地址对应的端口。如果数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程成为泛洪。以太网交换机的MAC地址表容量有限，通过MAC地址老化，删除MAC地址表中的MAC表项释放空间。如果攻击者伪造大量的未知MAC地址进行通信，通过以太网交换机不断学习，MAC地址表达到存储MAC地址上限，当正常的主机MAC地址在老化之后，无法再添加到MAC地址表中，导致数据变成了广播，形成MAC泛洪攻击，造成网络带宽资源耗尽，影响以太网交换机的正常使用。目前为解决MAC地址泛洪攻击问题，常见的预防泛洪攻击的手段为给交换机的每个端口限制终端的数量，当一个端口学习的MAC地址数量超过这个限制的数量，则将超出的MAC地址舍弃。此方法虽然可以预防泛洪攻击，但也存在一定弊端。一是大量终端需要通信时，由于端口限制终端数量，需要更多的交换机来满足通信需求，造成成本增加；二是每个端口限制终端连接数量，并未从根源上遏制端口受到攻击，当端口一旦受到泛洪攻击时，仍然存在带宽资源浪费情况。因此，亟需提供一种解决上述问题的预防MAC地址泛洪攻击的方法及装置。
技术实现思路
为解决MAC地址泛洪攻击问题，避免出现限制交换机端口连接终端数量弊端，本专利技术提出一种预防MAC地址泛洪攻击的方法及装置。为了实现上述目的，本专利技术采取的技术方案如下：一种预防MAC地址泛洪攻击的方法，包括：以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址；源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；判断源MAC地址表项是否在MAC地址表中，当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；判定端口是否被攻击，当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；判断目的MAC地址表项是否在MAC地址表中，当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。作为本方法的进一步改进，当源MAC地址表项在黑名单MAC地址表，且所述源MAC地址表项状态为非休眠状态，即活跃状态时，需进行源地址表项是否在MAC地址表中的判断；作为本方法的进一步改进，所述休眠，用于表示黑名单MAC地址表中MAC地址表项疑似次数超过设定疑似次数阈值时MAC地址表项的一种状态，当数据帧源MAC地址为所述MAC地址表项中的MAC地址时，丢弃数据帧；所述活跃，用于表示表示黑名单MAC地址表中MAC地址表项疑似次数未达到设定疑似次数阈值时MAC地址表项的一种状态；当源MAC地址表项未在黑名单MAC地址表时，需进行源地址表项是否在MAC地址表中的判断。作为本方法的进一步改进，MAC地址表在初始状态是一张空表，当源MAC地址表项在MAC地址表中，表明源MAC地址已经被MAC地址表学习。作为本方法的进一步改进，黑名单MAC地址表中本端口MAC地址表项中疑似次数总和大于或等于设定疑似次数总和阈值时，判断端口被攻击，否则未被攻击；当端口处于被攻击时，MAC地址表中所述端口对应的MAC地址均为可疑对象，将所述端口对应的MAC地址表项状态标记为可疑，缩短老化时间。作为本方法的进一步改进，目的MAC地址表项在MAC地址表中，无需通过广播方式查找目的MAC地址端口，源MAC地址不是造成泛洪攻击的因素，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内收到应答响应，将目的MAC地址加入到MAC地址表中，目的MAC地址状态标记为可信，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内未收到应答响应，源MAC地址可能是造成泛洪攻击的因素之一，将源MAC地址添加至黑名单MAC地址表中，将源MAC地址表项从MAC地址表删除。作为本方法的进一步改进，将可疑MAC地址添加至黑名单MAC地址表时，若黑名单MAC地址表中无此MAC地址表项，加入该MAC地址，状态标记为活跃，设置MAC地址表项疑似次数为1，否则该MAC疑似次数增加1，如果MAC地址表项疑似次数超过疑似次数阈值，状态标记为休眠。作为本方法的进一步改进，黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为休眠，该MAC地址表项的老化时间修改为老化时间与休眠时间之和，当休眠结束，从黑名单MAC地址表中删除该MAC地址表项；黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为活跃，从黑名单MAC地址表中删除该MAC地址表项。作为本方法的进一步改进，MAC地址表项老化时间小于黑名单MAC地址表项老化时间。一种预防MAC地址泛洪攻击的装置，包括：接收模块，用于接收终端发送的数据帧，数据帧中携带源MAC地址和目的MAC地址；丢弃模块，用于接收模块接收数据帧后，经判断源MAC地址表项在黑名单MAC地址表中，且状态为休眠时丢弃数据帧；增加模块，用于MAC地址表无源MAC地址，增加源MAC地址表项，或黑名单MAC地址表无可疑MAC地址时，增加黑名单MAC地址表项；判断模块，用于判断源MAC地址、目的MAC地址是否在MAC地址表中或黑名单地址表中；判断端口是否被攻击；判断在MAC地址表中源MAC地址表项老化时间内，是否得到应答响应；判断黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态是否为休眠；删除模块，用于黑名单MAC地址项在达到老化时间老化时间或休眠结束后对应表项的删除，用于MAC地址表项在达到老化时间后对应表项的删除；计数模块，用于黑名单MAC地址表项疑似次数的计数。作为本装置的进一步改进，还包括本文档来自技高网...

【技术保护点】
1.一种预防MAC地址泛洪攻击的方法，其特征在于，包括：以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址；源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；判断源MAC地址表项是否在MAC地址表中，当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；判定端口是否被攻击，当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；判断目的MAC地址表项是否在MAC地址表中，当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。/n

【技术特征摘要】
1.一种预防MAC地址泛洪攻击的方法，其特征在于，包括：以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址；源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；判断源MAC地址表项是否在MAC地址表中，当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；判定端口是否被攻击，当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；判断目的MAC地址表项是否在MAC地址表中，当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。


2.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，当源MAC地址表项在黑名单MAC地址表，且所述源MAC地址表项状态为非休眠状态，即活跃状态时，需进行源地址表项是否在MAC地址表中的判断；
所述休眠，用于表示黑名单MAC地址表中MAC地址表项疑似次数超过设定疑似次数阈值时MAC地址表项的一种状态，当数据帧源MAC地址为所述MAC地址表项中的MAC地址时，丢弃数据帧；
所述活跃，用于表示黑名单MAC地址表中MAC地址表项疑似次数未达到设定疑似次数阈值时MAC地址表项的一种状态；
当源MAC地址表项未在黑名单MAC地址表时，需进行源地址表项是否在MAC地址表中的判断。


3.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，MAC地址表在初始状态是一张空表，当源MAC地址表项在MAC地址表中，表明源MAC地址已经被MAC地址表学习。


4.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，黑名单MAC地址表中本端口MAC地址表项中疑似次数总和大于或等于设定疑似次数总和阈值时，判断端口被攻击，否则未被攻击；当端口处于被攻击时，MAC地址表中所述端口对应的MAC地址均为可疑对象，将所述端口对应的MAC地址表项状态标记为可疑，缩短老化时间。


5.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，目的MAC地址表项在MAC地址表中，无需通过广播方式查找目的MAC地址端口，源MAC地址不是造成泛洪攻击的因素，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；
当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内收到应答响应，将目的MAC地址加入到MAC地址表中，目的MAC地址状态标记为可信，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老...

【专利技术属性】
技术研发人员：刘伟娜，左晓军，侯波涛，董娜，常杰，陈泽，
申请(专利权)人：国网河北省电力有限公司电力科学研究院，国家电网有限公司，国网河北能源技术服务有限公司，
类型：发明
国别省市：河北;13