CN108712449A - 防止mac地址泛洪攻击的方法、装置及电子设备 - Google Patents
防止mac地址泛洪攻击的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN108712449A CN108712449A CN201810766528.8A CN201810766528A CN108712449A CN 108712449 A CN108712449 A CN 108712449A CN 201810766528 A CN201810766528 A CN 201810766528A CN 108712449 A CN108712449 A CN 108712449A
- Authority
- CN
- China
- Prior art keywords
- port
- mac address
- under fire
- marked
- address entries
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Abstract
本公开提供了一种防止MAC地址泛洪攻击的方法、装置及电子设备,应用于交换机中,统计每个端口已学习到的MAC表项数量;若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;缩短在端口被标记为受攻击后、被标记为受攻击的端口学习到的MAC表项的老化时间。达到能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率的技术效果。
Description
技术领域
本公开涉及交换机技术领域,尤其是涉及一种防止MAC地址泛洪攻击的方法、装置及电子设备。
背景技术
MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。
泛洪(Flooding)是交换机和网桥使用的一种数据流传递技术,将某个接口收到的数据流从除该接口之外的所有接口发送出去。交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。
目前,在MAC地址表被泛洪攻击时,MAC地址表将会被伪造的MAC地址长期占用,无法再添加到新的MAC地址到MAC地址表中,影响用户的使用。
发明内容
有鉴于此,本公开的目的在于提供一种防止MAC地址泛洪攻击的方法、装置及电子设备,以缓解现有技术中存在的泛洪攻击使MAC地址表被充满时,无法再添加到MAC地址表中,导致大量的用户数据被攻击者截获的技术问题。
第一方面,本公开实施例提供了应用于交换机中,所述方法包括:
统计每个端口已学习到的MAC表项数量;
若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;
缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
结合第一方面,本公开实施例提供了第一方面的第一种可能的实施方式,其中,所述缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,包括:
将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;
将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。
结合第一方面,本公开实施例提供了第一方面的第二种可能的实施方式,其中,所述方法还包括:
丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
结合第一方面,本公开实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。
结合第一方面,本公开实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:
将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
第二方面,本公开实施例还提供一种防止MAC地址泛洪攻击的装置,应用于交换机中,所述装置包括:
统计模块,用于统计每个端口已学习到的MAC表项数量,
标记模块,用于在存在已学习到的MAC表项数量大于或者等于预设阈值的端口时,将所述端口标记为受攻击;
缩短模块,用于缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
结合第二方面,本公开实施例提供了第二方面的第一种可能的实施方式,其中,所述缩短模块,还用于:
将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;
将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。
结合第二方面,本公开实施例提供了第二方面的第二种可能的实施方式,其中,所述装置还包括:
丢弃模块,用于丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
结合第二方面,本公开实施例提供了第二方面的第三种可能的实施方式,其中,所述装置还包括:
重新标记模块,用于若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。
结合第二方面,本公开实施例提供了第二方面的第四种可能的实施方式,其中,所述装置还包括:
设置模块,用于将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
第三方面,本公开实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。
第四方面,本公开实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述方法。
本公开实施例带来了以下有益效果:本发明实施例通过统计各个端口已学习到的MAC表项数量,若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,可以将所述端口标记为受攻击,可以缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
本发明实施例能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率。
本公开的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的本发明实施例可以应用的一种组网结构图;
图2为本公开实施例提供的一种防止MAC地址泛洪攻击的方法的一种流程图;
图3为本公开实施例提供的一种防止MAC地址泛洪攻击的方法的另一种流程图;
图4为本公开实施例提供的一种防止MAC地址泛洪攻击的装置的一种结构图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
目前,交换机正常的通信是只有在MAC地址表中没有包含目标主机的MAC地址和端口的MAC表项时,才进行数据广播;在MAC地址表中有目标主机的MAC地址和端口的MAC表项时,交换机将直接根据MAC地址和端口转发数据,其它主机无法获取到这两台主机之间的数据;
泛洪攻击的目的是想获取主机之间的通信数据及影响交换机的性能。为了实现这个目的,需要强迫交换机进行数据广播,也就是说,需要令MAC地址表中没有目标主机的MAC地址和端口。因此,泛洪攻击的实现方法就是从交换机上的受攻击端口进入,通过伪造大量的未知MAC地址和端口进行通信,这样,交换机在接收到大量的未知的MAC地址的报文后,该受攻击端口按照MAC地址学习机制不断的学习,很快交换机中的MAC地址表就会被充满;这样正常主机的MAC地址在经过老化之前,将无法再添加到MAC地址表中,导致之后的数据都变成以广播方式发送,进而攻击者可以截获这些数据,进行下一步的攻击。
由于MAC地址表中的MAC表项均会老化,老化后设备仍可以为正常用户学习源MAC表项,但这个机制有滞后性,在检测到攻击之前,仍存在大量的用户数据已经被攻击者截获的风险,也就是说,MAC地址表会被泛洪攻击伪造的MAC地址长期占用,将无法再添加到新的MAC地址到MAC地址表中,影响用户的使用,基于此,本公开实施例提供的一种防止MAC地址泛洪攻击的方法、装置及电子设备,能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种防止MAC地址泛洪攻击的方法进行详细介绍,所述防止MAC地址泛洪攻击的方法可以应用于交换机中,如图1所示为实际应用中本发明实施例可以应用的一种组网结构图,图1中包括多个主机01和一个交换机02,所述交换机02统计每个端口已学习到的MAC表项数量。
如图2所示,所述防止MAC地址泛洪攻击的方法可以包括以下步骤。
步骤S101,统计每个端口已学习到的MAC表项数量;
在本发明实施例中,示例性的,可以为交换机02的每个端口对应分配有端口计数器,所述端口计数器用于统计端口已学习到的MAC表项数量。交换机的端口按照MAC地址自动学习机制在接收到报文时,若报文的源MAC地址不位于MAC地址表中,可以在MAC地址表中建立MAC表项,即认为学习到MAC表项,在每次学习到MAC表项时,端口计数器加1;若报文的源MAC地址位于MAC地址表中,则认为未学习到MAC表项,端口计数器不加1。
MAC地址表中的每个MAC表项均有预设默认老化时间,示例性的,预设默认老化时间可以为300秒等,在MAC表项老化时,端口计数器减1。当端口计数器统计的MAC表项数量小于预设阈值时,端口计数器对应的端口正常的学习MAC表项。
步骤S102,若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击。
在本发明实施例中,预设阈值可以根据交换机实际连接的终端的数量+预设端口数余量确定,示例性的,预设端口数余量可以为5至10个等等。
可以将每个端口计数及统计的MAC表项数量分别与预设阈值比较,如果存在统计的MAC表项数量大于或者等于预设阈值的端口计数器,可以将这个端口计数器对应的端口标记为受攻击,例如,可以参照下表1所示。
表1
MAC地址 | 端口 | 计数器 | 是否受攻击 |
MAC地址x | 3 | 1 | 否 |
MAC地址y | 2 | 1 | 否 |
MAC地址a~n | 1 | n | 是 |
攻击者 | 1 | n+z | 是 |
表1中,端口1接收到源MAC地址为a~n(也即MAC地址a至MAC地址n)的报文时,学习到MAC表项,计数器加后的计数数值为n,若预设阈值为n,则可以认为端口1收到攻击,将端口1标记为受攻击;假设攻击者发送z个报文(z>0),端口1学习到z个MAC表项,由于端口1在第三行的时候已经学习到n个MAC表项,所以此时计数器的计数数值为n+z,端口1仍然保持被标记为受攻击状态。
步骤S103,缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
在本公开实施例中,在端口被标记为受攻击后,为了能够快速释放受攻击的端口在被标记为受攻击后、学习到的MAC表项占用MAC地址表中资源的时间,可以首先将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项。
例如,将在所述端口被标记为受攻击后、所述被标记为受攻击的端口后续学习到的MAC表项标记为可疑MAC表项,可以参照下表2所示。
表2
MAC地址 | 端口 | 计数器 | 是否受攻击 | MAC表项类型 |
MAC地址x | 3 | 1 | 否 | 正常表项 |
MAC地址y | 2 | 1 | 否 | 正常表项 |
MAC地址a~n | 1 | n | 是 | 正常表项 |
攻击者 | 1 | n+z | 是 | 可疑MAC表项 |
表2中,可以将在端口1被标记为受攻击后,端口1后续学习到的MAC表项均标记为可疑MAC表项,也就是说,无论端口1后续接收到的MAC表项是来自攻击者还是来自于正常用户,均将其标记为可疑MAC表项(因为对于交换机来说无法区分源MAC地址是来自于攻击者还是来自于正常用户),但是,对于在计数器数值等于预设阈值时,由于该次计数是对于已经学习到的MAC表项的计数,在学习MAC表项时,还无法知晓端口计数器的计数数值是否等于预设阈值,所以,这个MAC表项仍被标记为正常表项,例如:若预设阈值为10,端口先学习到第10个MAC表项,随后,计数数值加1为10,但是在学习第10个MAC表项时由于无法知晓计数数值是否为10,该第10个MAC表项仍被标记为正常表项。
然后,将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间。
在本发明实施例中,所述可疑MAC表项的预设可疑MAC表项老化时间小于正常表项的预设默认老化时间,预设默认老化时间可以为预设默认老化时间可以为1/2、1/3或者1/4等等,示例性的,预设默认老化时间为30分钟,预设可疑MAC表项老化时间可以为10分钟等等。在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
本发明实施例通过统计各个端口已学习到的MAC表项数量,若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,可以将所述端口标记为受攻击,并可以丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击;而且可以缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
本发明实施例能够根据已学习到的MAC表项数量确定端口是否受攻击,能够缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,实现快速释放受攻击的端口在被标记为受攻击后学习到的MAC表项,缩短受攻击的端口在被标记为受攻击后学习到的MAC表项占用MAC地址表中资源的时间,提高MAC地址表中资源利用率。
由于泛洪攻击在通过大量伪造的MAC地址充满MAC地址表后,将导致交换机内之后转发的数据都变成以广播方式发送,攻击者可以截获这些数据,进行下一步的攻击。为此,在本发明的又一实施例中,在将所述端口标记为受攻击后,所述方法还包括以下步骤。
丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
在本发明实施例中,目的未知单播报文是指交换机在转发单播报文时,目的MAC(Media Access Control,介质访问控制)地址不能在交换机的MAC地址表中查找到,从而不能确定唯一出端口的单播报文。
在该步骤中,在接收到报文时,首先在MAC地址表中查找该报文的目的MAC地址,如果该报文的目的MAC地址不位于MAC地址表中,则丢弃该报文。
通过本发明实施例,在确定端口受攻击时,实现对发往受攻击的端口的未知单播报文与端口的隔离,保证后续向该被攻击的端口发送的未知单播报文无法发送到该被攻击的端口,能够避免泛洪攻击使交换机中的MAC地址表被充满后,在检测到攻击前以广播方式发送的数据被攻击者大量截获的问题,提高数据安全性。
由于在实际应用中,若交换机与某台主机长时间未通信,达到预设默认老化时间时,交换机会按照MAC表项老化机制将该主机的MAC表项从MAC地址表中删除掉,等下次通信时重新学习地址,这样,随着MAC表项的老化,计数器的计数数值会减少,所以,如图3所示,在本发明的又一实施例中,所述防止MAC地址泛洪攻击的方法还可以包括以下步骤:
步骤S201,若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。
示例性的,将所述被标记为受攻击的端口重新标记为未受攻击,可以在表1中将“是否受攻击”列中的“是”改为“否”。在将被标记为受攻击的端口重新标记为未受攻击后,即可允许向被标记为未受攻击的端口发送未知单播报文,也即端口隔离能够自动恢复。
步骤S202,将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
通过本发明实施例,能够在存在任一受攻击端口所对应的端口计数器统计的MAC表项数量小于预设阈值时,将所述被标记为受攻击的端口重新标记为未受攻击,并允许向被标记为未受攻击的端口发送未知单播报文,端口隔离可以被快速恢复,使得该端口资源可以重新被利用起来,提高端口资源利用率,而且能够在端口被重新标记为未受攻击时,将端口后续接收到的MAC表项的老化时间恢复为预设默认老化时间,使得未受攻击的端口后续接收到的MAC表项重新按照预设默认老化时间老化,便于后续根据MAC表项进行数据的转发等。
如图4所示,在本发明的又一实施例中,还提供一种防止MAC地址泛洪攻击的装置,所述交换机统计每个端口已学习到的MAC表项数量,所述装置包括:
统计模块11,用于统计每个端口已学习到的MAC表项数量,
标记模块12,用于在存在已学习到的MAC表项数量大于或者等于预设阈值的端口时,将所述端口标记为受攻击;
缩短模块13,用于缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
所述缩短模块13,还用于:
将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;
将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。
本公开实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本发明的又一实施例中,所述装置还包括:
丢弃模块,用于丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
在本发明的又一实施例中,所述装置还包括:
重新标记模块,用于若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向所述被重新标记为未受攻击的端口发送未知单播报文。
本公开实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本发明的又一实施例中,所述装置还包括:
设置模块,用于将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
本公开实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述的方法的步骤。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述方法实施例所述的方法。
本公开实施例所提供的防止MAC地址泛洪攻击的方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本公开实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本公开中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本公开的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种防止MAC地址泛洪攻击的方法,其特征在于,应用于交换机中,所述方法包括:
统计每个端口已学习到的MAC表项数量;
若存在已学习到的MAC表项数量大于或者等于预设阈值的端口,将所述端口标记为受攻击;
缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
2.根据权利要求1所述的方法,其特征在于,所述缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间,包括:
将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;
将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述方法还包括:
若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向被重新标记为未受攻击的端口发送未知单播报文。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
6.一种防止MAC地址泛洪攻击的装置,其特征在于,应用于交换机中,所述装置包括:
统计模块,用于统计每个端口已学习到的MAC表项数量,
标记模块,用于在存在已学习到的MAC表项数量大于或者等于预设阈值的端口时,将所述端口标记为受攻击;
缩短模块,用于缩短在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项的老化时间。
7.根据权利要求6所述的装置,其特征在于,所述缩短模块,还用于:
将在所述端口被标记为受攻击后、所述被标记为受攻击的端口学习到的MAC表项确定为可疑MAC表项;
将所述可疑MAC表项的老化时间设置为预设可疑MAC表项老化时间,所述预设可疑MAC表项老化时间小于正常表项的预设默认老化时间。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
丢弃模块,用于丢弃发往被标记为受攻击的端口的未知单播报文,直至所述被标记为受攻击的端口被重新标记为未受攻击。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
重新标记模块,用于若在已被标记为受攻击的端口中,存在已学习到的MAC表项数量小于预设阈值的端口,将所述已学习到的MAC表项数量小于预设阈值的端口重新标记为未受攻击,并允许向被重新标记为未受攻击的端口发送未知单播报文。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
设置模块,用于将所述被标记为受攻击的端口被重新标记为未受攻击后、被标记为未受攻击的端口学习到的MAC表项的老化时间设置为预设默认老化时间。
11.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至5任一项所述的方法的步骤。
12.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1-5任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810766528.8A CN108712449A (zh) | 2018-07-12 | 2018-07-12 | 防止mac地址泛洪攻击的方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810766528.8A CN108712449A (zh) | 2018-07-12 | 2018-07-12 | 防止mac地址泛洪攻击的方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108712449A true CN108712449A (zh) | 2018-10-26 |
Family
ID=63874047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810766528.8A Pending CN108712449A (zh) | 2018-07-12 | 2018-07-12 | 防止mac地址泛洪攻击的方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108712449A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493266A (zh) * | 2019-09-19 | 2019-11-22 | 中国联合网络通信集团有限公司 | 一种网络安全防护方法及系统 |
CN110620794A (zh) * | 2019-10-31 | 2019-12-27 | 国网河北省电力有限公司电力科学研究院 | 一种预防mac地址泛洪攻击的方法及装置 |
CN112804158A (zh) * | 2021-03-31 | 2021-05-14 | 四川新网银行股份有限公司 | 一种交换机未知单播转发与控制方法 |
CN113542130A (zh) * | 2021-07-22 | 2021-10-22 | 新华三信息安全技术有限公司 | 地址表项的处理方法及装置 |
CN113726658A (zh) * | 2021-08-09 | 2021-11-30 | 中国联合网络通信集团有限公司 | 一种路由转发方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043355A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
CN101232447A (zh) * | 2008-02-28 | 2008-07-30 | 中兴通讯股份有限公司 | 一种控制学习的mac地址预老化的方法 |
EP2073454A1 (en) * | 2007-12-19 | 2009-06-24 | Alcatel Lucent | Updating a dynamic learning table |
CN102404148A (zh) * | 2011-11-22 | 2012-04-04 | 华为技术有限公司 | 一种mac地址表管理方法及装置 |
CN103095717A (zh) * | 2013-01-28 | 2013-05-08 | 杭州华三通信技术有限公司 | 防止mac地址表溢出攻击的方法及网络设备 |
CN103595638A (zh) * | 2013-11-04 | 2014-02-19 | 北京星网锐捷网络技术有限公司 | 一种mac地址学习方法及装置 |
CN107547535A (zh) * | 2017-08-24 | 2018-01-05 | 新华三技术有限公司 | 防攻击的mac地址学习方法、装置和网络设备 |
-
2018
- 2018-07-12 CN CN201810766528.8A patent/CN108712449A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043355A (zh) * | 2006-05-19 | 2007-09-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
EP2073454A1 (en) * | 2007-12-19 | 2009-06-24 | Alcatel Lucent | Updating a dynamic learning table |
CN101232447A (zh) * | 2008-02-28 | 2008-07-30 | 中兴通讯股份有限公司 | 一种控制学习的mac地址预老化的方法 |
CN102404148A (zh) * | 2011-11-22 | 2012-04-04 | 华为技术有限公司 | 一种mac地址表管理方法及装置 |
CN103095717A (zh) * | 2013-01-28 | 2013-05-08 | 杭州华三通信技术有限公司 | 防止mac地址表溢出攻击的方法及网络设备 |
CN103595638A (zh) * | 2013-11-04 | 2014-02-19 | 北京星网锐捷网络技术有限公司 | 一种mac地址学习方法及装置 |
CN107547535A (zh) * | 2017-08-24 | 2018-01-05 | 新华三技术有限公司 | 防攻击的mac地址学习方法、装置和网络设备 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493266A (zh) * | 2019-09-19 | 2019-11-22 | 中国联合网络通信集团有限公司 | 一种网络安全防护方法及系统 |
CN110493266B (zh) * | 2019-09-19 | 2021-09-10 | 中国联合网络通信集团有限公司 | 一种网络安全防护方法及系统 |
CN110620794A (zh) * | 2019-10-31 | 2019-12-27 | 国网河北省电力有限公司电力科学研究院 | 一种预防mac地址泛洪攻击的方法及装置 |
CN112804158A (zh) * | 2021-03-31 | 2021-05-14 | 四川新网银行股份有限公司 | 一种交换机未知单播转发与控制方法 |
CN112804158B (zh) * | 2021-03-31 | 2021-09-21 | 四川新网银行股份有限公司 | 一种交换机未知单播转发与控制方法 |
CN113542130A (zh) * | 2021-07-22 | 2021-10-22 | 新华三信息安全技术有限公司 | 地址表项的处理方法及装置 |
CN113726658A (zh) * | 2021-08-09 | 2021-11-30 | 中国联合网络通信集团有限公司 | 一种路由转发方法及装置 |
CN113726658B (zh) * | 2021-08-09 | 2022-10-18 | 中国联合网络通信集团有限公司 | 一种路由转发方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108712449A (zh) | 防止mac地址泛洪攻击的方法、装置及电子设备 | |
CN106412142B (zh) | 一种资源设备地址获取方法及装置 | |
CN101841442B (zh) | 一种在名址分离网络中对网络异常进行检测的方法 | |
CN102165741B (zh) | 在ipv6网络中用于封锁和搜索主机的方法 | |
JP5111618B2 (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
CN101325554B (zh) | 一种路由创建方法、转发芯片及三层交换机 | |
CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
US10652145B2 (en) | Managing data frames in switched networks | |
CN100536474C (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
CN106464745A (zh) | Dns的服务器、客户端及数据同步方法 | |
CN107612937B (zh) | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 | |
US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
CN107465621A (zh) | 一种路由器发现方法、sdn控制器、路由器和网络系统 | |
US20080167050A1 (en) | Method and system for managing user preferences for one or more software applications runing on a mobile computing device | |
CN104468497A (zh) | 监控系统的数据隔离方法及装置 | |
US10541918B2 (en) | Detecting stale memory addresses for a network device flow cache | |
CN106131046B (zh) | 一种防攻击处理方法及装置 | |
CN106330712A (zh) | 一种mac地址学习的控制方法和装置 | |
CN110932975B (zh) | 流表下发方法、数据转发方法、装置及电子设备 | |
CN104618469B (zh) | 一种基于代理网络架构的局域网访问控制方法及管理机 | |
EP2893674A1 (en) | A method of operating a switch or access node in a network and a processing apparatus configured to implement the same | |
CN102571516A (zh) | 用户设备采用任意静态ip地址上网的方法 | |
CN108076068B (zh) | 一种防攻击方法以及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181026 |