用于防御MAC表溢出攻击的方法包括多个操作。执行操作,用于确定MAC表中多个MAC地址的每一个是否具有与之相应的单向业务或双向业务。此后,执行以下操作,将每个具有与之相应的双向业务的MAC地址指定为第一类MAC地址并且将每个具有与之相应的单向业务的MAC地址指定为第二类MAC地址。响应于被指定为第二类MAC地址的MAC地址的数量超过规定的阈值,执行以下操作,促使被指定为第二类MAC地址的所述MAC地址的至少一部分的超时值小于被指定为第一类MAC地址的所述MAC地址的超时值。
【技术实现步骤摘要】
【国外来华专利技术】
此处所作的公开一般涉及MAC(媒体访问控制)表中的源地址学习以及,更特别 地,涉及通过对MAC表中信息的控制来促进对MAC表溢出攻击的防御。
技术介绍
根据来自以太网帧的物理目标地址(例如,MAC地址),以太网交换机(例如,交 换机)将以太网帧转发到特定端口。为此,交换机必须记住哪个端口通向特定的目标地址。 这个信息被存储在MAC表中,通过被称为源学习(source learning)的方法来填充(例如, 构成)所述MAC表。源学习包括交换机通过检查所接收的以太网帧的源地址来动态地学习 以太网帧的MAC地址。如果在MAC表中不存在这个以太网帧的MAC地址,则创建将这个MAC 地址与端口相互关联的记录,在所述端口上学习MAC地址。每个动态学习条目都具有生存时间。以此种方式,如果以太网帧指示在可配置的 时间间隔内交换机没有接收到相应MAC地址,MAC表中的每个条目将过期(age out)。可配 置的时间间隔被称为超时值。当MAC表已满,在表中的一些条目过期之前将无法学习MAC 地址。关于与管理MAC表内信息相关的恶意行为,MAC表溢出攻击是对以太网LAN服务 和模拟以太网LAN服务的一种主要风险,其中所述模拟以太网LAN服务例如MPLS(多协议 标签交换)上的虚拟专用局域网(VPLS)。在MAC表溢出攻击中,攻击者试图开发利用以太 网交换机MAC表的源学习。这种开发利用包括使以太网交换机遭受大量的无效源MAC地址 (例如,以无效的源MAC地址进行泛洪(flooding))以用这种无效的源MAC地址来填充MAC 表。这样做,到达和来自未知地址的业务将被泛洪到以太网交换机的所有端口,这会引起网 络性能明显地下降并且允许攻击者探听业务。如果攻击者保持无效的源MAC地址的泛洪, 最后所有较早的合法MAC条目将过期,并且所有合法的业务将被淹没。从性能和安全这两 个角度来看,当以太网跨越城域网或广域网部署时,与MAC地址泛洪相关的问题变得更加 严重。一种防御MAC地址泛洪的已知方法被称作“端口安全”。端口安全通过允许网络管 理员配置(例如,统计地配置)针对太网交换机的特定端口而被允许的MAC地址以行使阻 止MAC表溢出的功能。丢弃源自除已配置地址之外的地址的帧。然而,因为需要在以太网 交换机上手动配置每个MAC地址,所以端口安全的局限为它不能适当地扩展。这样,当网络 明显变大(例如,载波网络)时,往往不可能去手动配置每个和所有MAC地址。对端口安全的扩展被称为“动态端口安全”。动态端口安全允许管理员指定每个端 口允许的MAC地址的数量,而不是仅仅能够配置它们自己的MAC地址。当所配置的端口学 习了指定数量的MAC地址时,其它的源MAC地址将不被允许。以此种方式,动态端口安全解 决MAC地址手动配置的问题。但是,动态端口安全也不是没有其自身的局限性。例如,如果 攻击者在一个端口上发起MAC泛洪攻击,当MAC地址到达限制余量时,它能够引发对连接到 同一端口的合法主机的拒绝服务(DoS)攻击。如果新的用户被添加到端口,交换机上MAC地址的限制余量将被提高以适应更多的MAC地址。基于上述理由,动态端口安全并不适合 服务提供商的网络。被称作MACSec (例如,在IEEE 802. Iae中定义的MAC安全)的标准通过使用密码 技术来保护LAN中数据的机密性和完整性,从而提供LAN安全,并且它还直接地解决了 MAC 泛洪问题。但是,MACSec是重量级的解决方案,需要交换机和所有终端用户的支持以阻止 DoS攻击。因此,它在现有网络中可能无法运行。此外,对以太网的必要安装基础进行升级 以支持MACSec这个标准是不切实际的,并且在网络通信能被初始化之前,一些装置必须适 当地带外地或者在线地传递PKI (公钥基础设施)安全密钥。必须要完成重要密钥管理工 作以支持MACSec标准。结果,对于一些更关注速度和服务有效性的用户,例如,VPLS服务 提供商,可能更加需要MAC表溢出攻击的轻量级解决方案。因此,以克服与防御MAC表溢出攻击的已知方法相关的局限性的方式,防御MAC表 溢出攻击的解决方案将是有利的、想要的和有用的。
技术实现思路
本专利技术的实施例被配置用于以克服与防御MAC表溢出攻击的已知方法相关的局 限性的方式来防御MAC表溢出攻击。更特别地,当攻击者保持无效的源MAC地址的泛洪时, 本专利技术的实施例阻止MAC表溢出攻击所引起的MAC表中合法的MAC条目过期。以此种方式, 本专利技术的实施例使得所有合法业务免于淹没在来自攻击者的无效源MAC地址。传统上,交换机通过源学习(例如,动态学习)来构建MAC表并基于这个表转发 帧。每个这样的动态学习条目都具有相同的超时值。因此,当交换机受到攻击时,如果较早 的条目比所学习的新条目过期得要慢,则最终将填满交换机MAC表的容量。相对于为每个 MAC地址分配相同的超时值,根据本专利技术实施例所配置的交换机为无效的MAC地址分配比 合法的MAC地址较短的超时值。这样做,当MAC表溢出攻击发生时,MAC表中的无效条目能 够更快地过期并且为合法的条目腾出空间,从而阻止潜在的MAC表溢出攻击。在本专利技术的一个实施例中,用于防御MAC表溢出攻击的方法包括多个操作。执行 这样的操作,用于确定MAC表中多个MAC地址的每一个是否具有与之相应的单向业务或双 向业务。其后,执行以下操作用于将每个具有与之相应的双向业务的MAC地址指定为第一 类MAC地址并且用于将每个具有与之相应的单向业务的MAC地址指定为第二类MAC地址。 响应于被指定为第二类MAC地址的所述MAC地址的数量超过规定的阈值,执行以下操作促 使被指定为第二类MAC地址的MAC地址的至少一部分的超时值小于被指定为第一类MAC地 址的MAC地址的超时值。在本专利技术的另一个实施例中,以太网交换机包括:MAC表、泛洪确定结构、和超时 值调整结构。MAC表内具有多个MAC地址条目。所述条目的每一个指定各自的MAC地址、各 自的MAC地址分类和各自的超时值。所述各自的MAC地址分类为对应于单向业务的MAC地 址分类和对应于双向业务的MAC地址分类中的一个。所述泛洪确定结构被配置为用于确定 指定所述单向业务的MAC地址分类的MAC地址条目在数量上的增加何时超过规定阈值;所 述超时值调整结构被配置为,根据MAC地址分类调整所述超时值。这种调整包括促使指定 所述单向业务MAC地址分类的MAC地址条目的至少一部分的超时值小于默认超时值。在本专利技术的另一个实施例中,数据存储设备具有在其上存储处理器可执行指令的装置。所述处理器可执行指令的装置包括被配置用于防御MAC表溢出攻击的多种指令。 为此,指令被提供用于以多个MAC地址条目来填充MAC表。所述条目的每一个指定各自的 MAC地址、各自的MAC地址分类和各自的超时值并且其中所述各自的MAC地址分类为对应于 单向业务的MAC地址分类和对应于双向业务的MAC地址分类中的一个。指令被提供用于 确定指定所述单向业务MAC地址分类的MAC地址条目在数量上的增加何时超过规定阈值。 指令被提供用于响应于指定所述单向业务MAC地址分类的MAC地址的数量超过规定阈值, 根据MAC地址分类来调整至少一部分超时值。这样,所属
的技术人员可本文档来自技高网...
【技术保护点】
一种用于防御MAC表溢出攻击的方法,包括:确定MAC表中多个MAC地址的每一个是否具有与之相应的单向业务或双向业务;将每个具有与之相应的双向业务的MAC地址指定为第一类MAC地址;将每个具有与之相应的单向业务的MAC地址指定为第二类MAC地址;以及响应于被指定为第二类MAC地址的所述MAC地址的数量超过规定的阈值,促使被指定为第二类MAC地址的所述MAC地址的至少一部分的超时值小于被指定为第一类MAC地址的所述MAC地址的超时值。
【技术特征摘要】
【国外来华专利技术】US 2008-1-11 12/008,535一种用于防御MAC表溢出攻击的方法,包括确定MAC表中多个MAC地址的每一个是否具有与之相应的单向业务或双向业务;将每个具有与之相应的双向业务的MAC地址指定为第一类MAC地址;将每个具有与之相应的单向业务的MAC地址指定为第二类MAC地址;以及响应于被指定为第二类MAC地址的所述MAC地址的数量超过规定的阈值,促使被指定为第二类MAC地址的所述MAC地址的至少一部分的超时值小于被指定为第一类MAC地址的所述MAC地址的超时值。2.根据权利要求1所述的方法,其中所述确定、所述指定和所述促使步骤都在每个端 口基础上执行。3.根据权利要求1所述的方法,其中所有所述MAC地址的超时值最初设置为共同的默认超时值;以及 促使被指定为第二类MAC地址的所述MAC地址的至少一部分的超时值小于被指定为第 一类MAC地址的所述MAC地址的超时值包括响应于被指定为第二类MAC地址的所述MAC 地址的数量超过各自规定的惩罚阈值,将被指定为第二类MAC地址的所述MAC地址的超时 值设置为相对于所述默认超时值的降低值。4.根据权利要求3所述的方法,进一步包括响应于被指定为第二类MAC地址的所述MAC地址的数量超过各自规定的丢弃阈值,丢 弃与被指定为第二类MAC地址的所述MAC地址的至少一部分相关的业务。5.根据权利要求3所述的方法,其中将超时值设置为降低值包括响应于被指定为第二类MAC地址的所述MAC地址的数量超过第一规定阈值,将被指定 为第二类MAC地址的所述MAC地址的超时值设置为相对于所述默认超时值的第一降低值; 以及响应于被指定为第二类MAC地址的所述MAC地址的数量超过大于所述第一规定阈值的 第二规定阈值,将被指定为第二类MAC地址的所述MAC地址的超时值设置为相对于所述默 认超时值的第二降低值。6. 一种以太网交换机,包括MAC表,其中具有多个MAC地址条目,其中所述条目的每一个指定各自的MAC地址、各自 的MAC地址分类和各自的超时值,并且其中所述各自的MAC地址分类为对应于单向业务的 MAC地址分...
【专利技术属性】
技术研发人员:Y孙,VK乔伊,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。