CN101599889B - 一种以太网交换设备中防止mac地址欺骗的方法 - Google Patents
一种以太网交换设备中防止mac地址欺骗的方法 Download PDFInfo
- Publication number
- CN101599889B CN101599889B CN2008101106262A CN200810110626A CN101599889B CN 101599889 B CN101599889 B CN 101599889B CN 2008101106262 A CN2008101106262 A CN 2008101106262A CN 200810110626 A CN200810110626 A CN 200810110626A CN 101599889 B CN101599889 B CN 101599889B
- Authority
- CN
- China
- Prior art keywords
- mac
- binding
- frame
- mac address
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种以太网交换设备中防止MAC地址欺骗的方法,在该方法中,交换设备中配置有一全局MAC绑定黑名单,该黑名单中存有交换设备上所有端口配置的绑定MAC白名单中保存的MAC地址;当交换设备通过其上一端口接收到一数据帧后,根据该数据帧的源MAC地址是否在该端口配置的MAC绑定白名单和全局MAC绑定黑名单中,而对所述数据帧进行相应的处理。本发明弥补了现有技术需要在MAC地址欺骗攻击发生后,才能找出相应端口,并配置绑定黑名单进行防护的技术缺陷,简单、有效的实现对MAC地址欺骗的防护。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种以太网交换设备中防止MAC地址欺骗的方法。
背景技术
以太网交换设备可实现OSI(开放系统互连)模型的第二层(数据链路层)数据的分组(帧)交换。介质访问控制(MAC)地址是以太网地址,每个接入以太网的设备都有其固定的MAC地址。以太网交换设备可维护其MAC地址表,并显示出其上端口与连接到该端口的其它网络设备的MAC地址之间的映射关系,指出数据帧去往目的端口的方向。当以太网交换设备收到一个数据帧时,其在MAC地址表中对该数据帧的目的MAC地址进行查找匹配,当MAC地址表中有匹配项时,以太网交换设备会把该数据帧转发到相应的目的端口。以太网交换设备还将检查上述数据帧的源MAC地址,并在MAC地址表中查找与之相匹配的项,如果没有,交换设备将记录下该源MAC地址和接收该数据帧的端口,这个过程被称作MAC地址学习。
MAC地址欺骗攻击是指:用户主机A(攻击者)构造用户数据帧,该数据帧的源MAC地址不是其本身地址,而是一个已知设备B的MAC地址。以太网交换设备收到该数据帧,学习MAC地址,将设备B的MAC地址与主机A连接的端口映射,从而使交换设备将发往设备B的数据帧转发给了用户主机A。图1所示为交换机受到MAC地址欺骗攻击的示意图。主机A和主机B分别与交换机的端口1和端口2相连,主机A伪装主机B的MAC地址向交换机发送数据帧,由于交换机会通过MAC地址学习将主机B的MAC地址与端口1的映射关系保存在MAC地址表中,因此服务器会将本应该发送给主机B的数据帧全部转发到了主机A。
为了防止MAC地址欺骗,避免交换设备中MAC地址映射表发生混乱,一种有效的办法是实现MAC地址与以太网交换设备端口的绑定。将若干个MAC地址绑定到一个端口,该端口上只允许具有与绑定MAC相同的源MAC地址的数据帧通过,这就是所谓的绑定白名单。如果在以太网交换设备上实现上述绑定配置,且在一个端口上不允许具有与绑定MAC相同的源MAC地址的数据帧通过,则称为绑定黑名单。图2所示为在交换设备中使用绑定白名单和绑定黑名单后,数据帧进入该设备后的处理流程。交换设备接收到数据帧后,根据端口是否绑定白名单或绑定黑名单做出判断,符合绑定条件的数据帧可以进行交换,否则将被丢弃。通过绑定可以使用户无法通过更改MAC地址来进行恶意攻击。但是,端口绑定黑名单的配置,往往是在攻击出现后,当交换设备中出现MAC地址欺骗攻击时,网管或设备的防火墙才会设法找出攻击源端口和被攻击的MAC地址,然后再通过配置攻击端口的绑定黑名单来阻止攻击。也就是说,只有在经受过至少一次MAC地址欺骗攻击后,才能在该端口上配置出绑定黑名单,这对网络的实时安全保障是极为不利的。
发明内容
本发明要解决的技术问题是提供一种以太网交换设备中防止MAC地址欺骗的方法,以提前预防在后续通信中对该交换设备进行MAC地址欺骗的行为。
本发明提供了一种以太网交换设备中防止MAC地址欺骗的方法,在该方法中,
所述交换设备中配置有一全局MAC绑定黑名单,所述黑名单中存有所述交换设备上所有端口配置的绑定MAC白名单中保存的MAC地址;
当所述交换设备通过其上一端口接收到一数据帧后,根据所述数据帧的源MAC地址是否在所述端口配置的MAC绑定白名单和所述全局MAC绑定黑名单中,而对所述数据帧进行相应的处理。
进一步地,上述方法还可具有以下特征:当所述端口接收到所述数据帧后,具体包括以下步骤:
判断所述端口是否配置有所述MAC绑定白名单,如已配置,则判断所述MAC绑定白名单中是否包含所述数据帧的源MAC地址,如包含则执行步骤c,否则丢弃所述数据帧后结束;如没有绑定,则执行步骤b;
判断所述交换设备上是否启用所述全局MAC绑定黑名单,如已启用,则判断所述全局MAC绑定黑名单中是否包含所述数据帧的源MAC地址,如包含则丢弃所述数据帧后结束,否则执行步骤c;
所述交换设备对所述数据帧进行二层交换。
进一步地,上述方法还可具有以下特征:步骤b中,如果所述交换设备上没有启用所述全局MAC绑定黑名单,则执行步骤c。
进一步地,上述方法还可具有以下特征:用户对所述全局MAC绑定黑名单中的MAC地址进行添加和删除。
与现有技术中使用的通过在各端口配置MAC绑定白名单和MAC绑定黑名单功能来防止MAC地址欺骗的技术相比较,本发明是对现有技术的改进,其弥补了现有技术需要在MAC地址欺骗攻击发生后,才能找出相应端口,并配置绑定黑名单进行防护的技术缺陷。本发明实现简单,能有效对MAC地址欺骗进行提前预防,避免了同一台交换设备上连接用户之间发生的MAC地址欺骗攻击事件,从而可以简单、有效的实现对MAC地址欺骗的防护。
附图说明
图1为现有技术中交换设备收到MAC地址欺骗攻击的示意图;
图2为现有技术中采用MAC地址绑定技术的交换设备中数据帧的处理流程图;
图3为本发明实施例中采用全局MAC绑定黑名单功能的交换设备中数据帧的处理流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本发明提供了一种将交换设备每一端口的MAC绑定白名单中的MAC地址配置到设备全局MAC绑定黑名单中,使设备其它端口连接的用户都不能伪装成携带全局MAC绑定黑名单中的MAC地址的其它用户,进而对该交换设备进行MAC地址欺骗攻击的方法。
在交换设备的端口启用MAC绑定白名单功能后,只有报文源MAC地址与该端口上绑定白名单中MAC地址相同的数据帧才能通过该端口。为了防止交换设备其它端口上连接的用户利用上述端口绑定白名单中的MAC地址进行伪装MAC地址欺骗攻击,可以在交换设备上启用一张全局MAC绑定黑名单,该黑名单中存有交换设备上所有端口的绑定MAC白名单中保存的MAC地址。除此之外,全局MAC绑定黑名单中的MAC地址也可以由网络管理员通过一人机交互界面进行手动添加和删除。
在交换设备启用端口MAC绑定白名单功能和全局MAC绑定黑名单功能后,数据帧进入交换设备某一端口的处理步骤如图3所示:
A、判断该端口是否配置有MAC绑定白名单,如已配置,则判断该白名单中是否包含该数据帧的源MAC地址,如包含则执行步骤C,否则丢弃该数据帧后结束;如没有配置,则执行步骤B;
B、判断交换设备上是否启用全局MAC绑定黑名单,如已启用,则判断该全局MAC绑定黑名单中是否包含该数据帧的源MAC地址,如包含则丢弃该数据帧后结束,否则执行步骤C;如果交换设备上没有启用全局MAC绑定黑名单,则执行步骤C;
C、交换设备按二层交换原理进行数据帧的交换。
下面用本发明的一应用实例进一步加以说明。
DSLAM是一种典型的宽带接入设备,该设备采用以太网交换方式进行数据分组交换,属于以太网交换设备。下面以DSLAM中对端口MAC绑定白名单和设备全局MAC绑定黑名单功能的具体应用为实施例,对本发明进行进一步说明。
在该应用实例中,DSLAM已启用全局MAC绑定黑名单功能,其上端口1连接有MAC地址为0000.AAAA.AAAA的用户主机A,端口2连接有MAC地址为0000.BBBB.BBBB的用户主机B,端口1已启用MAC绑定白名单功能且用户主机A的MAC地址已保存在该白名单中,端口2没启用MAC绑定白名单功能。该方法包括以下步骤:
当用户主机A向DSLAM发送数据帧,该数据帧的源MAC地址为0000.AAAA.AAAA;端口1收到后,判断其源地址与其上MAC绑定白名单中的MAC地址相同,所以转发该数据帧,同时DSLAM通过MAC地址学习在MAC地址表中建立MAC地址0000.AAAA.AAAA与端口1的映射关系。
当用户主机B发送数据帧向DSLAM发送数据帧,该数据帧的源MAC地址不是其本身的MAC地址0000.BBBB.BBBB,而是伪装成主机A的MAC地址0000.AAAA.AAAA;端口2收到后,由于该端口上没有启用MAC绑定白名单功能,所以直接在全局MAC绑定黑名单中查找是否存在该MAC地址0000.AAAA.AAAA。由于该DSLAM已启用全局MAC绑定黑名单功能,因此该黑名单中存有端口1绑定的白名单中所有的MAC地址,即MAC地址0000.AAAA.AAAA在该黑名单中,因此DSLAM会丢弃该数据帧,即有效地阻止了MAC地址欺骗攻击。
由于避免了MAC地址欺骗攻击,因此当DSLAM上的其它连接上联汇聚设备的端口收到目的MAC地址为0000.AAAA.AAAA的数据帧时,其会将该数据帧转发给端口1连接的用户主机A。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (3)
1.一种以太网交换设备中防止MAC地址欺骗的方法,其特征在于,
所述交换设备中配置有一全局MAC绑定黑名单,所述黑名单中存有所述交换设备上所有端口配置的MAC绑定白名单中保存的MAC地址;
当所述交换设备通过其上一端口接收到一数据帧后,根据所述数据帧的源MAC地址是否在所述端口配置的MAC绑定白名单和所述全局MAC绑定黑名单中对所述数据帧进行相应的处理,包括:
a、判断所述端口是否配置有所述MAC绑定白名单,如已配置,则判断所述MAC绑定白名单中是否包含所述数据帧的源MAC地址,如包含则执行步骤c,否则丢弃所述数据帧后结束;如没有配置,则执行步骤b;
b、判断所述交换设备上是否启用所述全局MAC绑定黑名单,如已启用,则判断所述全局MAC绑定黑名单中是否包含所述数据帧的源MAC地址,如包含则丢弃所述数据帧后结束,否则执行步骤c;
c、所述交换设备对所述数据帧进行二层交换。
2.如权利要求1所述的方法,其特征在于,
步骤b中,如果所述交换设备上没有启用所述全局MAC绑定黑名单,则执行步骤c。
3.如权利要求1所述的方法,其特征在于,
用户对所述全局MAC绑定黑名单中的MAC地址进行添加和删除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101106262A CN101599889B (zh) | 2008-06-06 | 2008-06-06 | 一种以太网交换设备中防止mac地址欺骗的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101106262A CN101599889B (zh) | 2008-06-06 | 2008-06-06 | 一种以太网交换设备中防止mac地址欺骗的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101599889A CN101599889A (zh) | 2009-12-09 |
CN101599889B true CN101599889B (zh) | 2013-01-16 |
Family
ID=41421150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101106262A Active CN101599889B (zh) | 2008-06-06 | 2008-06-06 | 一种以太网交换设备中防止mac地址欺骗的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101599889B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109862007A (zh) * | 2019-01-31 | 2019-06-07 | 苏州德铂思电子科技有限公司 | 一种基于交换芯片黑名单功能实现白名单功能的方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104869125B (zh) * | 2015-06-09 | 2020-04-17 | 上海斐讯数据通信技术有限公司 | 基于sdn的动态防mac地址欺骗方法 |
CN105262732A (zh) * | 2015-09-21 | 2016-01-20 | 北京鼎普科技股份有限公司 | 一种mac地址欺骗检测方法及装置 |
CN106851945A (zh) * | 2017-03-28 | 2017-06-13 | 上海斐讯数据通信技术有限公司 | 一种基于无线数据帧的路灯点亮方法及装置 |
CN107241313B (zh) * | 2017-05-18 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种防mac泛洪攻击的方法及装置 |
CN107231366A (zh) * | 2017-06-19 | 2017-10-03 | 电子科技大学 | 一种基于sdn的防止dhcp欺骗的方法 |
US11258757B2 (en) * | 2019-02-28 | 2022-02-22 | Vmware, Inc. | Management of blacklists and duplicate addresses in software defined networks |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
CN101110845A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
-
2008
- 2008-06-06 CN CN2008101106262A patent/CN101599889B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
CN101110845A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109862007A (zh) * | 2019-01-31 | 2019-06-07 | 苏州德铂思电子科技有限公司 | 一种基于交换芯片黑名单功能实现白名单功能的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101599889A (zh) | 2009-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101599889B (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
EP1969777B1 (en) | Method for operating several virtual networks | |
US10419378B2 (en) | Net-based email filtering | |
CN100581162C (zh) | 一种防止地址解析欺骗的方法 | |
CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
KR100863313B1 (ko) | 에이알피 스푸핑 자동 차단 장치 및 방법 | |
CN103763194B (zh) | 一种报文转发方法及装置 | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
CN112134891A (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
CN105991444A (zh) | 业务处理的方法和装置 | |
CN106911724A (zh) | 一种报文处理方法及装置 | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN106685861A (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
CN104009967A (zh) | 防止非信任服务器攻击的方法 | |
JP7477939B2 (ja) | スイッチング装置 | |
CN114024725A (zh) | 一种容器间通信方法、系统、电子设备及存储介质 | |
US20230028892A1 (en) | Protection against malicious data traffic | |
EP2940944B1 (en) | Method and device for processing packet in trill network | |
AU2012202410B2 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
Lv et al. | Towards spoofing prevention based on hierarchical coordination model | |
Wong et al. | 6.1 Purpose of the Chapter | |
Wong et al. | Protecting Network Infrastructure–A New Approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |