專利名稱:一種報文處理方法及交換設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別涉及一種報文處理方法及交換設備。
背景技術:
建立以太網的早期,大部分局域網互聯采用的集線器,利用CSMA/⑶技術來解決局域網中的連接問題,但目前的快速以太網(100BASE-T, 1000BASE-T標準)為了最大程度的減少沖突,最大程度的提高網絡速度和使用效率,類似于集線器這樣的設備已經逐漸淘汰,使用了交換機(swithc hub)來進行網絡連接和組織,這樣以太網的拓撲結構就成了星型結構。以太網建立的初期并沒有考慮到太多的安全問題,以至于留下了很多的安全隱患。類似于 ARP(Address Resolution Protocol,地址解析協議)攻擊,MAC (Media AccessControl,媒體訪問控制)地址攻擊。 ARP攻擊,利用了 ARP協議的無認證的缺陷,通過給被攻擊主機發(fā)送偽裝的ARP應答報文,篡改被攻擊主機的ARP表項,使攻擊主機的發(fā)送報文給攻擊主機,可以選擇對報文進行丟棄或者轉發(fā)或者分析報文,從而導致被攻擊主機無法連接網絡,或者報文被抓包分析,丟失隱私。同時攻擊主機利用ARP泛洪攻擊的方式可以獲取被攻擊主機的MAC地址,從而偽裝成被攻擊主機,攻擊網關,導致網關學習錯誤的ARP,導致從外網進來的報文轉發(fā)給攻擊主機,對被攻擊主機造成影響。MAC地址攻擊是一種二層交換機的攻擊方式,攻擊主機通過ARP泛洪的方式獲取到了被攻擊主機的MAC地址,利用被攻擊主機的MAC,發(fā)送偽裝源MAC的報文,修改交換機的MAC表,導致交換機轉發(fā)報文出錯。下面進行簡單介紹。
圖1為現有技術中MAC地址攻擊的組網示意圖。交換機分別通過接口 Ethl/l、Ethl/2、Ethl/3、Ethl/4連接主機A、主機B、主機C和主機D。主機之間通過交換機實現通信。交換機內學習有各個主機的MAC地址,形成MAC表項:
權利要求
1.一種報文處理方法,應用于交換設備,該方法包括:所述交換設備建立MAC表項時為真實MAC地址配置對應的虛假MAC地址; 所述交換設備接收到報文,判斷報文的源MAC地址是否是真實MAC地址,如果是,則將報文中的真實源MAC地址轉換為對應的虛假MAC地址,同時將報文目的MAC的虛假MAC地址轉換為對應的真實MAC地址,發(fā)送出去。
2.按權利要求1所述的方法,其特征在于,該方法進一步包括,當所述交換設備判斷報文的源MAC地址不是真實MAC地址時,丟棄該報文。
3.按權利要求1或2所述的方法,其特征在于,所述報文為多播報文或者單播報文。
4.按權利要求3所述的方法,其特征在于,當所述報文為多播報文時,對目的MAC地址不做處理。
5.一種交換設備,該交換設備包括:對應關系存儲模塊、判斷模塊和轉換處理模塊; 對應關系存儲模塊,用于在建立MAC表項時存儲真實MAC地址和虛假MAC地址的對應關系; 判斷模塊,用于在接收到報文時,判斷報文的源MAC地址是否是真實MAC地址; 轉換處理模塊,用于在報文的源MAC地址是真實MAC地址時,將報文中的真實源MAC地址轉換為對應的虛假MAC地址,同時將報文目的MAC的虛假MAC地址轉換為對應的真實MAC地址,發(fā)送出去。
6.按權利要求5所述的交換設備,其特征在于,所述轉換處理模塊,還用于在報文的源MAC地址不是真實MAC地址時,丟棄該報文。
7.按權利要求5所述的交換設備,其特征在于,所述判斷模塊,還用于在判斷報文的源MAC地址是真實MAC地址之后,進一步判斷所述報文為多播報文還是單播報文;當所述報文為多播報文時,所述轉換處理模塊,還用于對報文的目的MAC地址不做處理。
全文摘要
本發(fā)明公開了一種報文處理方法,應用于交換設備,該方法包括所述交換設備建立MAC表項時為真實MAC地址配置對應的虛假MAC地址;所述交換設備接收到報文,判斷報文的源MAC地址是否是真實MAC地址,如果是,則將報文中的真實源MAC地址轉換為對應的虛假MAC地址,同時將報文目的MAC的虛假MAC地址轉換為對應的真實MAC地址,發(fā)送出去。本發(fā)明還公開了一種交換設備。采用本發(fā)明能夠在防止ARP攻擊和MAC地址攻擊的基礎上,確保主機間實現通信安全。
文檔編號H04L12/741GK103095584SQ20131004854
公開日2013年5月8日 申請日期2013年2月4日 優(yōu)先權日2013年2月4日
發(fā)明者王偉 申請人:杭州華三通信技術有限公司