本发明专利技术公开了一种抵御MAC地址欺骗攻击的方法和装置,该方法包括:所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。本发明专利技术提供的方法使网络中的重要设备避免遭受源MAC地址欺骗攻击。
【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种抵推卩MAC地址#夂骗攻击的方法及设备。
技术介绍
目前,二层交换过程中,交换机对接收的报文的转发过程如附图说明图1所示, 包括获取报文中以太网帧的二层信息,即以太网帧的目的MAC地址,并根 据获取到的目的MAC地址查找交换机中存储的MAC转发表,即L2FDB,根 据该MAC转发表中存储的与MAC地址相应的端口转发接收的报文;如果交 换机在MAC转发表中查找不到目的MAC地址以及与目的MAC地址相应的 端口,则将该报文通过广播的方式向所有端口转发;同时,该报文的源MAC 地址将被学习到接收该报文的端口上,即建立该报文的源MAC地址与接收该 报文的端口之间的对应关系。当后续交换机接收到目的地址为上述源MAC地 址的报文时,根据建立的对应关系,通过与源MAC地址相应的端口转发该报 文。现有技术中,交换机对报文的转发过程中,对^艮文的合法性有一个初步 的检查,例如报文的源MAC地址为非法MAC地址的4企查,包括源MAC地 址为全0地址、组播MAC地址或者广播MAC地址的情况;报文的目的MAC 地址为非法MAC地址的检查。交换机通过检查发现报文的源MAC地址或者 目的MAC地址非法时,丢弃该报文。如果检查结果为MAC地址合法,则交 换机对该报文进行正常转发,不再进行进一步的^f企查。由于交换机对MAC地址合法的报文没有进行进一步的检查,例如该报文络用户进行攻击。下面以图2所示对非法用户的攻击方式进行介绍,其中B 设备为服务器,MAC地址为0-0-1,通过交换机的端口 B与交换机连接,为5交换机下挂的用户提供服务;交换机中的MAC地址表中存储的MAC地址与 端口的对应关系为MAC0-0-l——端口B; Ai殳备为一个非法用户,发送的 报文源MAC地址也是0-0-1,交换机通过端口 A接收该报文。此时,如果交 换机根据A设备发送的报文重新学习MAC地址,将会在MAC转发表中更新 MAC地址与端口的对应关系,更新结果为MAC 0-0-1——端口 A。这样将会 导致所有去往B设备的报文都被交换机向A设备转发,导致转发出现异常; 通常,碰到这种情况都会配置静态MAC地址,解决MAC地址迁移的问题。 但是,这样存在两个问题一是交换机依然接收非法用户A发送的攻击l艮文并转发该报文,导致网 络内的其他用户遭受攻击;二是当服务器通过多个端口接入此交换机时,配置静态MAC地址无法实现,如图3所示,由于交换机中的MAC转发表中存 储的B设备的MAC地址对应关系为MAC 0-0-1——PORT (端口 ) 1 ,或者 MACO-0-1——PORT(端口)2,以第一种情况为例,当交换机与B设备之间 的连接由PORT 1切换到PORT2时,所有正常报文都无法通过PORT2发送而 被丟弃。所以,现有技术中没有提供一种有效解决非法用户利用MAC地址进 行报文攻击的方法。
技术实现思路
本专利技术提供了 一种抵御MAC地址欺骗攻击的方法及设备,以使网络中的 重要设备避免遭受源MAC地址欺骗攻击。本专利技术提供一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址 进行报文转发的交换系统中,交换设备中配置MAC地址与端口组的绑定关 系,所述端口组中包括与MAC地址相应的信任端口和非信任端口 ,包括所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地 址是否配置绑定关系;如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属 于与所述源MAC地址相应的信任端口或者非信任端口 ;当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;当所述判断结果为非信任端口时,所述交换i殳备丟弃所述:R文。 所述判断所述源MAC地址是否配置绑定关系具体为 所述交换设备在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判断所述源MAC地址配置有绑定关系。所述判断所述源MAC地址是否配置绑定关系具体为 所述交换设备查找是否存在与所述源MAC地址相应的端口 ,如果存在,则判断所述源MAC地址配置有绑定关系,否则,判断所述源MAC地址没有配置绑定关系。所述判断所述源MAC地址是否配置绑定关系之后,还包括 如果所述判断结果为否,所述交换设备转发所述4艮文。 所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口之后,还包括当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,所述交换设备转发所述报文。所述判断所述源MAC地址是否配置绑定关系之前,还包括 当所述获取的源MAC地址具有静态标志位时,所述交换设备直接转发所述报文;当所述获取的源MAC地址不具有静态标志位时,继续下一步操作。本专利技术提供一种抵御MAC地址欺骗攻击的装置,作为交换设备的一部分或者交换设备应用于根据MAC地址进行报文转发的交换系统中,所述装置中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的 信任端口和非信任端口,包括地址获取单元,用于获取接收到的报文的源MAC地址,并判断所述源 MAC地址是否配置绑定关系;信任判断单元,与所述地址获取单元连接,用于当所述地址获取单元的7判断结果为是时,判断所述报文的入端口属于与所述源MAC地址相应的信任 端口或者非信任端口;报文转发单元,与所述信任判断单元连接,用于当所述信任判断单元的 判断结杲为信任端口时,转发所述报文,并根据所述报文学习所述源MAC地 址;报文丢弃单元,与所述信任判断单元连接,用于当所述信任判断单元的 判断结果为非信任端口时,丢弃所述^艮文。 所述地址获取单元具体用于在预先配置的MAC地址绑定列表中查找所述源MAC地址;如果没有找 到所述源MAC地址,则判断所述源MAC地址没有配置绑定关系;否则,判 断所述源MAC地址配置有绑定关系。所述地址获取单元具体用于查找是否存在与所述源MAC地址相应的端口;如杲存在,则判断所述源 MAC地址配置有绑定关系;否则,判断所述源MAC地址没有配置绑定关系。 所述报文转发单元还用于当所述地址获取单元的判断结果为否时,转发所述报文。 所述报文转发单元还用于当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,转 发所述报文。所述报文转发单元还用于当所述地址获取单元获取的源MAC地址具有静态标志位时,直接转发所 述报文。与现有技术相比,本专利技术至少具有以下优点交换i殳备中配置MAC地址与端口组的绑定关系,该端口组中包括与 MAC地址相应的信任端口和非信任端口 ;交换设备4艮据通过信任端口接收的 报文进行MAC地址学习,丢弃通过非信任端口接收的报文;在接收到非法用 户发送的报文时,交换设备判断该报文的入端口为非信任端口,丟弃非法用 户发送的报文,从而起到防止非法用户报文攻击的效果。图1是现有技术中交换机对接收的报文的转发过程示意图; 图2是现有技术中非法用户的攻击方式示意图; 图3是现有技术中多端口接入示意图;图4是本专利技术提供的抵御MAC地址欺骗攻击的方法的流程示意图;图5是本应用场景提供的抵御MAC地址欺骗攻击的方法的流程示意图;图6是本专利技术提供的抵御MAC地址欺骗攻击的装置的结构示意本文档来自技高网...
【技术保护点】
一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址进行报文转发的交换系统中,其特征在于,交换设备中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括: 所述交换设备获取接收到的报文的源M AC地址,并判断所述源MAC地址是否配置绑定关系; 如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口; 当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所 述报文学习所述源MAC地址; 当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。
【技术特征摘要】
1、一种抵御MAC地址欺骗攻击的方法,应用于根据MAC地址进行报文转发的交换系统中,其特征在于,交换设备中配置MAC地址与端口组的绑定关系,所述端口组中包括与MAC地址相应的信任端口和非信任端口,包括所述交换设备获取接收到的报文的源MAC地址,并判断所述源MAC地址是否配置绑定关系;如果所述判断结果为是,所述交换设备进一步判断所述报文的入端口属于与所述源MAC地址相应的信任端口或者非信任端口;当所述判断结果为信任端口时,所述交换设备转发所述报文,并根据所述报文学习所述源MAC地址;当所述判断结果为非信任端口时,所述交换设备丢弃所述报文。2、 如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址 是否配置绑定关系具体为所述交换设备在预先配置的MAC地址绑定列表中查找所述源MAC地 址;如果没有找到所述源MAC地址,则判断所述源MAC地址没有配置绑定 关系;否则,判断所述源MAC地址配置有绑定关系。3、 如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址 是否配置绑定关系具体为所述交换设备查找是否存在与所述源MAC地址相应的端口 ,如果存在, 则判断所述源MAC地址配置有绑定关系,否则,判断所述源MAC地址没有 配置绑定关系。4、 如权利要求1所述的方法,其特征在于,所述判断所述源MAC地址 是否配置绑定关系之后,还包括如果所述判断结果为否,所述交换设备转发所述^R文。5、 如权利要求1-4中任一项所述的方法,其特征在于,所述交换设备进 一步判断所述t艮文的入端口属于与所述源MAC地址相应的信任端口或者非 信任端口之后,还包括当所述判断结果为信任端口,且所述源MAC地址具有静态标志位时,所述交换设备转发所述报文。6、 如权利要求1-4中任一项所述的方法,其特征在于,所述判断所述源 MAC地址是否配置绑定关系之前,还包括当所述获取的源MAC地址具有静态标志位时,所述交换设备直接转发所 述报文;当所述获取的源...
【专利技术属性】
技术研发人员:汪洪远,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。