專利名稱:一種以太網(wǎng)交換設(shè)備中防止mac地址欺騙的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,尤其涉及一種以太網(wǎng)交換設(shè)備中防止MAC地址#太騙的方法。
背景技術(shù):
以太網(wǎng)交換設(shè)備可實(shí)現(xiàn)OSI (開(kāi)放系統(tǒng)互連)模型的第二層(數(shù)據(jù)鏈路層)數(shù)據(jù)的分組(幀)交換�。介質(zhì)訪問(wèn)控制(MAC)地址是以太網(wǎng)地址,每個(gè)接入以太網(wǎng)的設(shè)備都有其固定的MAC地址�。以太網(wǎng)交換設(shè)備可維護(hù)其MAC地址表,并顯示出其上端口與連接到該端口的其它網(wǎng)絡(luò)設(shè)備的MAC地址之間的映射關(guān)系�,指出數(shù)據(jù)幀去往目的端口的方向。當(dāng)以太網(wǎng)交換設(shè)備收到一個(gè)數(shù)據(jù)幀時(shí)��,其在MAC地址表中對(duì)該數(shù)據(jù)幀的目的MAC地址進(jìn)行查找匹配���,當(dāng)MAC地址表中有匹配項(xiàng)時(shí)���,以太網(wǎng)交換設(shè)備會(huì)把該數(shù)據(jù)幀轉(zhuǎn)發(fā)到相應(yīng)的目的端口。以太網(wǎng)交換設(shè)備還將檢查上述數(shù)據(jù)幀的源MAC地址���,并在MAC地址表中查找與之相匹配的項(xiàng)���,如果沒(méi)有����,交換設(shè)備將記錄下該源MAC地址和接收該數(shù)據(jù)幀的端口 ����,這個(gè)過(guò)程被稱作MAC地址學(xué)習(xí)��。
MAC地址欺騙攻擊是指用戶主機(jī)A (攻擊者)構(gòu)造用戶數(shù)據(jù)幀���,該數(shù)據(jù)幀的源MAC地址不是其本身地址��,而是一個(gè)已知設(shè)備B的MAC地址��。以太網(wǎng)交換設(shè)備收到該數(shù)據(jù)幀�,學(xué)習(xí)MAC地址��,將設(shè)備B的MAC地址與主機(jī)A連接的端口映射�����,從而使交換設(shè)備將發(fā)往設(shè)備B的數(shù)據(jù)幀轉(zhuǎn)發(fā)給了用戶主機(jī)A��。圖1所示為交換機(jī)受到MAC地址欺騙攻擊的示意圖�。主機(jī)A和主機(jī)B分別與交換機(jī)的端口 1和端口 2相連,主機(jī)A偽裝主機(jī)B的MAC地址向交換機(jī)發(fā)送數(shù)據(jù)幀���,由于交換機(jī)會(huì)通過(guò)MAC地址學(xué)習(xí)將主機(jī)B的MAC地址與端口 1的映射關(guān)系保存在MAC地址表中�,因此服務(wù)器會(huì)將本應(yīng)該發(fā)送給主機(jī)B的數(shù)據(jù)幀全部轉(zhuǎn)發(fā)到了主機(jī)A。
為了防止MAC地址欺騙���,避免交換設(shè)備中MAC地址映射表發(fā)生混亂��,
3一種有效的辦法是實(shí)現(xiàn)MAC地址與以太網(wǎng)交換設(shè)備端口的綁定��。將若干個(gè) MAC地址綁定到一個(gè)端口 �����,該端口上只允許具有與綁定MAC相同的源MAC 地址的數(shù)據(jù)幀通過(guò)���,這就是所謂的綁定白名單。如果在以太網(wǎng)交換設(shè)備上實(shí) 現(xiàn)上述綁定配置��,且在一個(gè)端口上不允許具有與綁定MAC相同的源MAC地 址的數(shù)據(jù)幀通過(guò)���,則稱為綁定黑名單�����。圖2所示為在交換設(shè)備中使用綁定白 名單和綁定黑名單后��,數(shù)據(jù)幀進(jìn)入該設(shè)備后的處理流程���。交換設(shè)備接收到數(shù) 據(jù)幀后,根據(jù)端口是否綁定白名單或綁定黑名單做出判斷��,符合綁定條件的 數(shù)據(jù)幀可以進(jìn)行交換����,否則將被丟棄。通過(guò)綁定可以使用戶無(wú)法通過(guò)更改 MAC地址來(lái)進(jìn)行惡意攻擊�。但是,端口綁定黑名單的配置�����,往往是在攻擊出 現(xiàn)后����,當(dāng)交換設(shè)備中出現(xiàn)MAC地址欺騙攻擊時(shí),網(wǎng)管或設(shè)備的防火墻才會(huì) 設(shè)法找出攻擊源端口和纟皮攻擊的MAC地址����,然后再通過(guò)配置攻擊端口的綁 定黑名單來(lái)阻止攻擊。也就是說(shuō)�,只有在經(jīng)受過(guò)至少一次MAC地址欺騙攻 擊后,才能在該端口上配置出綁定黑名單���,這對(duì)網(wǎng)絡(luò)的實(shí)時(shí)安全保障是極為 不利的�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種以太網(wǎng)交換設(shè)備中防止MAC地址 欺騙的方法���,以提前預(yù)防在后續(xù)通信中對(duì)該交換設(shè)備進(jìn)行MAC地址欺騙的 行為����。
本發(fā)明提供了一種以太網(wǎng)交換設(shè)備中防止MAC地址欺騙的方法�����,在該 方法中��,
所述交換設(shè)備中配置有一全局MAC綁定黑名單�����,所述黑名單中存有所 述交換設(shè)備上所有端口配置的綁定MAC白名單中保存的MAC地址�;
當(dāng)所述交換設(shè)備通過(guò)其上一端口接收到一數(shù)據(jù)幀后,根據(jù)所述數(shù)據(jù)幀的 源MAC地址是否在所述端口配置的MAC綁定白名單和所述全局MAC綁定 黑名單中���,而對(duì)所述數(shù)據(jù)幀進(jìn)行相應(yīng)的處理�。
進(jìn)一步地,上述方法還可具有以下特征當(dāng)所述端口接收到所述數(shù)據(jù)幀 后����,具體包括以下步驟判斷所述端口是否配置有所述MAC綁定白名單�����,如已配置�����,則判斷所 述MAC綁定白名單中是否包含所述數(shù)據(jù)幀的源MAC地址�����,如包含則執(zhí)行步 驟c���,否則丟棄所述數(shù)據(jù)幀后結(jié)束����;如沒(méi)有綁定��,則執(zhí)行步驟b;
判斷所述交換設(shè)備上是否啟用所述全局MAC綁定黑名單,如已啟用����, 則判斷所述全局MAC綁定黑名單中是否包含所述數(shù)據(jù)幀的源MAC地址,如 包含則丟棄所述數(shù)據(jù)幀后結(jié)束����,否則執(zhí)行步驟c;
所述交換設(shè)備對(duì)所述數(shù)據(jù)幀進(jìn)行二層交換。
進(jìn)一步地�����,上述方法還可具有以下特征步驟b中��,如果所述交換設(shè)備 上沒(méi)有啟用所述全局MAC綁定黑名單���,則執(zhí)行步驟c�����。
進(jìn)一步地��,上述方法還可具有以下特征用戶對(duì)所述全局MAC綁定黑 名單中的MAC地址進(jìn)行添加和刪除����。
與現(xiàn)有技術(shù)中使用的通過(guò)在各端口配置MAC綁定白名單和MAC綁定黑 名單功能來(lái)防止MAC地址欺騙的技術(shù)相比較,本發(fā)明是對(duì)現(xiàn)有技術(shù)的改進(jìn)����, 其彌補(bǔ)了現(xiàn)有技術(shù)需要在MAC地址欺騙攻擊發(fā)生后,才能找出相應(yīng)端口�����, 并配置綁定黑名單進(jìn)行防護(hù)的技術(shù)缺陷�。本發(fā)明實(shí)現(xiàn)簡(jiǎn)單�,能有效對(duì)MAC 地址欺騙進(jìn)行提前預(yù)防,避免了同一臺(tái)交換設(shè)備上連接用戶之間發(fā)生的MAC 地址欺騙攻擊事件��,從而可以簡(jiǎn)單���、有效的實(shí)現(xiàn)對(duì)MAC地址欺騙的防護(hù)����。
圖]為現(xiàn)有技術(shù)中交換設(shè)備收到MAC地址欺騙攻擊的示意圖2為現(xiàn)有技術(shù)中釆用MAC地址綁定技術(shù)的交換設(shè)備中數(shù)據(jù)幀的處理 流程圖3為本發(fā)明實(shí)施例中采用全局MAC綁定黑名單功能的交換設(shè)備中數(shù) 據(jù)幀的處理流程圖���。
具體實(shí)施例方式
下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說(shuō)明��。本發(fā)明提供了 一種將交換設(shè)備每一端口的MAC綁定白名單中的MAC地 址配置到設(shè)備全局MAC綁定黑名單中��,使設(shè)備其它端口連接的用戶都不能
設(shè)備進(jìn)行MAC地址欺騙攻擊的方法�。
在交換設(shè)備的端口啟用MAC綁定白名單功能后,只有報(bào)文源MAC地址 與該端口上綁定白名單中MAC地址相同的數(shù)據(jù)幀才能通過(guò)該端口����。為了防 止交換設(shè)備其它端口上連接的用戶利用上述端口綁定白名單中的MAC地址 進(jìn)行偽裝MAC地址欺騙攻擊,可以在交換設(shè)備上啟用 一張全局MAC綁定黑 名單��,該黑名單中存有交換設(shè)備上所有端口的綁定MAC白名單中保存的 MAC地址�����。除此之外���,全局MAC綁定黑名單中的MAC地址也可以由網(wǎng)絡(luò) 管理員通過(guò)一人機(jī)交互界面進(jìn)行手動(dòng)添加和刪除��。
在交換設(shè)備啟用端口 MAC綁定白名單功能和全局MAC綁定黑名單功能 后�,數(shù)據(jù)幀進(jìn)入交換設(shè)備某一端口的處理步驟如圖3所示
A����、 判斷該端口是否配置有MAC綁定白名單,如已配置�����,則判斷該白名 單中是否包含該數(shù)據(jù)幀的源MAC地址,如包含則執(zhí)行步驟C���,否則丟棄該數(shù) 據(jù)幀后結(jié)束�;如沒(méi)有配置��,則執(zhí)行步驟B;
B����、 判斷交換設(shè)備上是否啟用全局MAC綁定黑名單,如已啟用�����,則判斷 該全局MAC綁定黑名單中是否包含該數(shù)據(jù)幀的源MAC地址����,如包含則丟棄 該數(shù)據(jù)幀后結(jié)束�����,否則執(zhí)行步驟C;如果交換設(shè)備上沒(méi)有啟用全局MAC綁定 黑名單����,則執(zhí)行步驟C;
C����、 交換設(shè)備按二層交換原理進(jìn)行數(shù)據(jù)幀的交換��。 下面用本發(fā)明的一應(yīng)用實(shí)例進(jìn)一步加以說(shuō)明�。
DSLAM是一種典型的寬帶接入設(shè)備,該設(shè)備采用以太網(wǎng)交換方式進(jìn)行 數(shù)據(jù)分組交換����,屬于以太網(wǎng)交換設(shè)備。下面以DSLAM中對(duì)端口 MAC綁定 白名單和設(shè)備全局MAC綁定黑名單功能的具體應(yīng)用為實(shí)施例���,對(duì)本發(fā)明進(jìn) 行進(jìn)一步說(shuō)明���。
在該應(yīng)用實(shí)例中,DSLAM已啟用全局MAC綁定黑名單功能��,其上端口 1連接有MAC地址為0000.AAAA.AAAA的用戶主機(jī)A�,端口 2連接有MAC地址為OOOO.BBBB.BBBB的用戶主才幾B,端口 1已啟用MAC綁定白名單功 能且用戶主機(jī)A的MAC地址已保存在該白名單中�,端口2沒(méi)啟用MAC綁定 白名單功能。該方法包括以下步驟
當(dāng)用戶主機(jī)A向DSLAM發(fā)送數(shù)據(jù)幀��,該數(shù)據(jù)幀的源MAC地址為 0000.AAAA.AAAA;端口 1收到后��,判斷其源地址與其上MAC綁定白名單 中的MAC地址相同,所以轉(zhuǎn)發(fā)該數(shù)據(jù)幀�����,同時(shí)DSLAM通過(guò)MAC地址學(xué)習(xí) 在MAC地址表中建立MAC地址0000.AAAA.AAAA與端口 1的映射關(guān)系�。
當(dāng)用戶主機(jī)B發(fā)送數(shù)據(jù)幀向DSLAM發(fā)送數(shù)據(jù)幀,該數(shù)據(jù)幀的源MAC 地址不是其本身的MAC地址0000.BBBB.BBBB��,而是偽裝成主機(jī)A的MAC 地址OOOO.AAAA.AAAA;端口 2收到后����,由于該端口上沒(méi)有啟用MAC綁定 白名單功能,所以直接在全局MAC綁定黑名單中查找是否存在該MAC地址 0000.AAAA.AAAA���。由于該DSLAM已啟用全局MAC綁定黑名單功能�,因 此該黑名單中存有端口 1綁定的白名單中所有的MAC地址��,即MAC地址 OOOO.AAAA.AAAA在該黑名單中����,因此DSLAM會(huì)丟棄該數(shù)據(jù)幀���,即有效地 阻止了 MAC地址欺騙攻擊�。
由于避免了 MAC地址欺騙攻擊,因此當(dāng)DSLAM上的其它連接上聯(lián)匯 聚設(shè)備的端口收到目的MAC地址為0000.AAAA.AAAA的數(shù)據(jù)幀時(shí)�,其會(huì)將 該數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口 1連接的用戶主機(jī)A。
當(dāng)然�����,本發(fā)明還可有其他多種實(shí)施例��,在不背離本發(fā)明精神及其實(shí)質(zhì)的 但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍��。
權(quán)利要求
1���、一種以太網(wǎng)交換設(shè)備中防止MAC地址欺騙的方法���,其特征在于,所述交換設(shè)備中配置有一全局MAC綁定黑名單��,所述黑名單中存有所述交換設(shè)備上所有端口配置的綁定MAC白名單中保存的MAC地址��;當(dāng)所述交換設(shè)備通過(guò)其上一端口接收到一數(shù)據(jù)幀后��,根據(jù)所述數(shù)據(jù)幀的源MAC地址是否在所述端口配置的MAC綁定白名單和所述全局MAC綁定黑名單中��,而對(duì)所述數(shù)據(jù)幀進(jìn)行相應(yīng)的處理。
2����、 如權(quán)利要求1所述的方法,其特征在于����,當(dāng)所述端口接收到所述數(shù)據(jù) 幀后,具體包括以下步驟a�、 判斷所述端口是否配置有所述MAC綁定白名單,如已配置����,則判斷 所述MAC綁定白名單中是否包含所述數(shù)據(jù)幀的源MAC地址,如包含則執(zhí)行 步驟c,否則丟棄所述數(shù)據(jù)幀后結(jié)束�����;如沒(méi)有綁定����,則執(zhí)行步驟b;b、 判斷所述交換設(shè)備上是否啟用所述全局MAC綁定黑名單�,如已啟用���, 則判斷所述全局MAC綁定黑名單中是否包含所述數(shù)據(jù)幀的源MAC地址���,如 包含則丟棄所述數(shù)據(jù)幀后結(jié)束���,否則執(zhí)行步驟c;c、 所述交換設(shè)備對(duì)所述數(shù)據(jù)幀進(jìn)行二層交換���。
3��、 如權(quán)利要求2所述的方法�,其特征在于���,步驟b中�,如果所述交換設(shè)備上沒(méi)有啟用所述全局MAC綁定黑名單��, 則執(zhí)行步驟c����。
4、 如權(quán)利要求l所述的方法����,其特征在于,用戶對(duì)所述全局MAC綁定黑名單中的MAC地址進(jìn)行添加和刪除。
全文摘要
一種以太網(wǎng)交換設(shè)備中防止MAC地址欺騙的方法��,在該方法中�,交換設(shè)備中配置有一全局MAC綁定黑名單,該黑名單中存有交換設(shè)備上所有端口配置的綁定MAC白名單中保存的MAC地址��;當(dāng)交換設(shè)備通過(guò)其上一端口接收到一數(shù)據(jù)幀后�,根據(jù)該數(shù)據(jù)幀的源MAC地址是否在該端口配置的MAC綁定白名單和全局MAC綁定黑名單中,而對(duì)所述數(shù)據(jù)幀進(jìn)行相應(yīng)的處理�。本發(fā)明彌補(bǔ)了現(xiàn)有技術(shù)需要在MAC地址欺騙攻擊發(fā)生后,才能找出相應(yīng)端口����,并配置綁定黑名單進(jìn)行防護(hù)的技術(shù)缺陷,簡(jiǎn)單���、有效的實(shí)現(xiàn)對(duì)MAC地址欺騙的防護(hù)���。
文檔編號(hào)H04L29/06GK101599889SQ20081011062
公開(kāi)日2009年12月9日 申請(qǐng)日期2008年6月6日 優(yōu)先權(quán)日2008年6月6日
發(fā)明者熊文杰, 王碩祎 申請(qǐng)人:中興通訊股份有限公司