CN110620794A - 一种预防mac地址泛洪攻击的方法及装置 - Google Patents

Abstract

本发明公开了一种预防MAC地址泛洪攻击的方法及装置，本发明通过黑名单MAC地址表中某端口MAC地址表项中疑似次数总和是否大于设定疑似次数总和阈值，判断端口是否被攻击，若被攻击，缩短MAC地址表中该端口的相关MAC地址表项老化时间，并将相关MAC地址表项标记为可疑。能够判定端口攻击情况，并作出应急措施，缩短可疑MAC地址表项删除时间，释放MAC地址表空间，控制MAC地址泛洪攻击，减少带宽压力；通过黑名单MAC地址表项疑似次数是否大于设定疑似次数阈值，判定MAC地址是否是造成泛洪攻击的因素，若是泛洪攻击因素，则将MAC地址表项状态标记为休眠。在休眠期间，丢弃数据帧，避免MAC地址广播造成泛洪，进而避免MAC地址泛洪攻击。

Description

一种预防MAC地址泛洪攻击的方法及装置

技术领域

本发明属于通信技术领域，具体涉及一种预防MAC地址泛洪攻击的方法及装置。

背景技术

以太网交换机是基于以太网传输数据的交换机，工作于OSI参考模型的第二层，即数据链路层，是一种基于MAC（介质访问控制）地址识别、完成以太网数据帧转发的网络设备。以太网交换机在同一时刻可进行多个端口对之间的数据传输，使每一对相互通信的主机都能进行无冲突数据传输，有效的隔离冲突域，保障各个终端的宽带互不影响。与集线器以广播方式对所有节点发送数据包不同的是，以太网交换机可以直接对目的节点发送数据包。是因为以太网交换机内部有一个MAC地址表，记录了网络中所有MAC地址与该交换机各端口的对应信息。某一数据帧需要转发时，以太网交换机根据该数据帧的目的MAC地址来查找MAC地址表，从而得到该地址对应的端口。如果数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程成为泛洪。

以太网交换机的MAC地址表容量有限，通过MAC地址老化，删除MAC地址表中的MAC表项释放空间。如果攻击者伪造大量的未知MAC地址进行通信，通过以太网交换机不断学习，MAC地址表达到存储MAC地址上限，当正常的主机MAC地址在老化之后，无法再添加到MAC地址表中，导致数据变成了广播，形成MAC泛洪攻击，造成网络带宽资源耗尽，影响以太网交换机的正常使用。

目前为解决MAC地址泛洪攻击问题，常见的预防泛洪攻击的手段为给交换机的每个端口限制终端的数量，当一个端口学习的MAC地址数量超过这个限制的数量，则将超出的MAC地址舍弃。此方法虽然可以预防泛洪攻击，但也存在一定弊端。一是大量终端需要通信时，由于端口限制终端数量，需要更多的交换机来满足通信需求，造成成本增加；二是每个端口限制终端连接数量，并未从根源上遏制端口受到攻击，当端口一旦受到泛洪攻击时，仍然存在带宽资源浪费情况。

因此，亟需提供一种解决上述问题的预防MAC地址泛洪攻击的方法及装置。

发明内容

为解决MAC地址泛洪攻击问题，避免出现限制交换机端口连接终端数量弊端，本发明提出一种预防MAC地址泛洪攻击的方法及装置。

为了实现上述目的，本发明采取的技术方案如下：

一种预防MAC地址泛洪攻击的方法，包括：

以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址；

源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；

判断源MAC地址表项是否在MAC地址表中，当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；

判定端口是否被攻击，当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；

判断目的MAC地址表项是否在MAC地址表中，当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。

作为本方法的进一步改进，当源MAC地址表项在黑名单MAC地址表，且所述源MAC地址表项状态为非休眠状态，即活跃状态时，需进行源地址表项是否在MAC地址表中的判断；

作为本方法的进一步改进，所述休眠，用于表示黑名单MAC地址表中MAC地址表项疑似次数超过设定疑似次数阈值时MAC地址表项的一种状态，当数据帧源MAC地址为所述MAC地址表项中的MAC地址时，丢弃数据帧；

所述活跃，用于表示表示黑名单MAC地址表中MAC地址表项疑似次数未达到设定疑似次数阈值时MAC地址表项的一种状态；

当源MAC地址表项未在黑名单MAC地址表时，需进行源地址表项是否在MAC地址表中的判断。

作为本方法的进一步改进，MAC地址表在初始状态是一张空表，当源MAC地址表项在MAC地址表中，表明源MAC地址已经被MAC地址表学习。

作为本方法的进一步改进，黑名单MAC地址表中本端口MAC地址表项中疑似次数总和大于或等于设定疑似次数总和阈值时，判断端口被攻击，否则未被攻击；当端口处于被攻击时，MAC地址表中所述端口对应的MAC地址均为可疑对象，将所述端口对应的MAC地址表项状态标记为可疑，缩短老化时间。

作为本方法的进一步改进，目的MAC地址表项在MAC地址表中，无需通过广播方式查找目的MAC地址端口，源MAC地址不是造成泛洪攻击的因素，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；

当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内收到应答响应，将目的MAC地址加入到MAC地址表中，目的MAC地址状态标记为可信，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；

当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内未收到应答响应，源MAC地址可能是造成泛洪攻击的因素之一，将源MAC地址添加至黑名单MAC地址表中，将源MAC地址表项从MAC地址表删除。

作为本方法的进一步改进，将可疑MAC地址添加至黑名单MAC地址表时，若黑名单MAC地址表中无此MAC地址表项，加入该MAC地址，状态标记为活跃，设置MAC地址表项疑似次数为1，否则该MAC疑似次数增加1，如果MAC地址表项疑似次数超过疑似次数阈值，状态标记为休眠。

作为本方法的进一步改进，黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为休眠，该MAC地址表项的老化时间修改为老化时间与休眠时间之和，当休眠结束，从黑名单MAC地址表中删除该MAC地址表项；

黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为活跃，从黑名单MAC地址表中删除该MAC地址表项。

作为本方法的进一步改进，MAC地址表项老化时间小于黑名单MAC地址表项老化时间。

一种预防MAC地址泛洪攻击的装置，包括：

接收模块，用于接收终端发送的数据帧，数据帧中携带源MAC地址和目的MAC地址；

丢弃模块，用于接收模块接收数据帧后，经判断源MAC地址表项在黑名单MAC地址表中，且状态为休眠时丢弃数据帧；

增加模块，用于MAC地址表无源MAC地址，增加源MAC地址表项，或黑名单MAC地址表无可疑MAC地址时，增加黑名单MAC地址表项；

判断模块，用于判断源MAC地址、目的MAC地址是否在MAC地址表中或黑名单地址表中；判断端口是否被攻击；判断在MAC地址表中源MAC地址表项老化时间内，是否得到应答响应；判断黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态是否为休眠；

删除模块，用于黑名单MAC地址项在达到老化时间老化时间或休眠结束后对应表项的删除，用于MAC地址表项在达到老化时间后对应表项的删除；

计数模块，用于黑名单MAC地址表项疑似次数的计数。

作为本装置的进一步改进，还包括：

标记模块，用于增加模块、判断模块、计数模块使用后，MAC地址表项或黑名单MAC地址表项状态的标记；

缩短模块，用于判断模块判断端口被攻击后，MAC地址表项老化时间的缩短；

延长模块，用于判断模块判断黑名单MAC地址表中的MAC地址表项达到老化时间，MAC地址表项的状态为休眠时，MAC地址表项老化时间的延长。

与现有技术相比，本发明所取得的有益效果如下：

本发明通过黑名单MAC地址表中某端口MAC地址表项中疑似次数总和是否大于设定疑似次数总和阈值，判断端口是否被攻击，若被攻击，缩短MAC地址表中该端口的相关MAC地址表项老化时间，并将相关MAC地址表项标记为可疑。能够判定端口攻击情况，并作出应急措施，缩短可疑MAC地址表项删除时间，释放MAC地址表空间，控制MAC地址泛洪攻击，减少带宽压力；

通过黑名单MAC地址表项疑似次数是否大于设定疑似次数阈值，判定MAC地址是否是造成泛洪攻击的因素，若是泛洪攻击因素，则将MAC地址表项状态标记为休眠。在休眠期间，丢弃数据帧，避免MAC地址广播造成泛洪，进而避免MAC地址泛洪攻击。

附图说明

附图1是预防MAC地址泛洪攻击方法的流程图；

附图2是预防MAC地址泛洪攻击装置的原理图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本申请及其应用或使用的任何限制。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在本申请的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本申请保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。

为了便于描述，在这里可以使用空间相对术语，如“在……之上”、“在……上方”、“在……上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而，示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位)，并且对这里所使用的空间相对描述作出相应解释。

此外，需要说明的是，使用“第一”、“第二”等词语来限定零部件，仅仅是为了便于对相应零部件进行区别，如没有另行声明，上述词语并没有特殊含义，因此不能理解为对本申请保护范围的限制。

本发明实施例提供的预防MAC地址泛洪攻击的方法,如图1所示,具体包括以下步骤：

S101：以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址，执行步骤S102；

S102：源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；

在本发明实施例中，预设疑似次数阈值为20，疑似次数总和阈值为140，MAC地址表项老化时间为6秒，黑名单MAC地址表项老化时间按为3分钟，休眠时间为15分钟。黑名单MAC地址表有MAC地址、端口号、疑似次数、状态组成，可以参照下表1所示。

表1

MAC地址	端口号	疑似次数	状态
				MAC1	1	21	休眠
MAC2	1	23	休眠
				MAC3	2	8	活跃

表1中，MAC1地址表项和MAC2表项疑似数分别为21和23，超过了预设疑似次数阈值20，MAC地址表项状态为休眠，在休眠期间，即15分钟时间内，丢弃MAC1和MAC2终端发送的数据帧。MAC3状态为活跃，执行步骤S103，若MAC地址不在黑名单MAC地址表中，执行步骤S103。

S103：判断源MAC地址表项是否在MAC地址表中。当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；

在本发明实施例中，MAC地址表有MAC地址、端口号、状态组成，以参照下表2所示。

表2

MAC地址	端口号	状态
			MAC4	1	可信
MAC5	3	可信

表2中，若数据帧中源MAC地址为MAC6，未在MAC地址表中，增加MAC地址表项，MAC地址未MAC6，端口号为接收该数据帧的端口号，假设为7，状态标记为可信，执行步骤S104，若源MAC地址在MAC地址表中，执行步骤S104。

S104：判定端口是否被攻击。当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；

黑名单MAC地址表中某端口MAC地址表项中疑似次数总和是否大于设定阈值，判断端口是否被攻击。假设表1中端口号为1的黑名单MAC地址表项的疑似次数总和大于140，则判定该端口被攻击。当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，假设老化时间缩短至1/3，重新标记MAC地址表项状态为可疑；即表1中端口号为1的黑名单MAC地址项状态标记为可疑，老化时间缩短至2秒，执行步骤S105，假设端口未被攻击，执行步骤S105。

S105:判断目的MAC地址表项是否在MAC地址表中。当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。

当目的MAC地址在MAC地址表，源MAC地址表项状态为可疑时，重新标记源MAC地址表项状态为可信，设定源MAC地址表项老化时间为6秒；

当目的MAC地址不在MAC地址表中进行广播时，在源MAC地址表项老化时间6秒内得到应答响应，目的MAC地址加入到MAC地址表中，状态标记为可信，若源MAC地址表项状态为可疑，重新标记状态为可信，设定源MAC地址表项老化时间为6秒；

当目的MAC地址不在MAC地址表中进行广播时，在源MAC地址表项老化时间6秒内未得到应答响应，将源MAC地址表项从MAC地址表中删除，若黑名单MAC地址表中无此MAC地址表项，加入该MAC地址，状态设为活跃，设置MAC地址疑似次数为1，否则该MAC疑似次数增1，如果MAC地址疑似次数超过20，状态标记为休眠，且休眠15分钟。在黑名单MAC地址表项达到老化时间3分钟时，若该MAC地址表项的状态为休眠，黑名单MAC地址表项达到老化时间延长至18分钟，休眠结束后删除该黑名单MAC地址表项。在黑名单MAC地址表项达到老化时间3分钟时，若该MAC地址表项的状态为活跃，则直接删除该黑名单MAC地址表项。

本发明实施例提供的预防MAC地址泛洪攻击的装置,如图2所示,具体包括以下模块：

接收模块，用于接收终端发送的数据帧，数据帧中携带源MAC地址和目的MAC地址；

丢弃模块，用于接收模块接收数据帧后，经判断源MAC地址表项在黑名单MAC地址表中，且状态为休眠时丢弃数据帧；

增加模块，用于MAC地址表无源MAC地址，增加源MAC地址表项，或黑名单MAC地址表无可疑MAC地址时，增加黑名单MAC地址表项；

判断模块，用于判断源MAC地址、目的MAC地址是否在MAC地址表中或黑名单地址表中；判断端口是否被攻击；判断在MAC地址表中源MAC地址表项老化时间内，是否得到应答响应；判断黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态是否为休眠；

删除模块，用于黑名单MAC地址项在达到老化时间老化时间或休眠结束后对应表项的删除，用于MAC地址表项在达到老化时间后对应表项的删除；

计数模块，用于黑名单MAC地址表项疑似次数的计数。

作为本装置的进一步改进，还包括：

标记模块，用于增加模块、判断模块、计数模块使用后，MAC地址表项或黑名单MAC地址表项状态的标记；

缩短模块，用于判断模块判断端口被攻击后，MAC地址表项老化时间的缩短；

延长模块，用于判断模块判断黑名单MAC地址表中的MAC地址表项达到老化时间，MAC地址表项的状态为休眠时，MAC地址表项老化时间的延长。

以上所述实例表达了本发明的优选实施例，描述内容较为详细和具体，但并不仅仅局限于本发明；特别指出的是，对于本领域的研究人员或技术人员来讲，在不脱离本发明的结构之内，系统内部的局部改进和子系统之间的改动、变换等，均属于本发明的保护范围之内。

Claims (10)

1.一种预防MAC地址泛洪攻击的方法，其特征在于，包括：以太网交换机通过任一端口接收终端发送的数据帧，获取源MAC地址和目的MAC地址；源MAC地址表项在黑名单MAC地址表中，且源MAC地址表项处于休眠状态，丢弃数据帧；判断源MAC地址表项是否在MAC地址表中，当未在MAC地址表中，将源MAC地址添加到MAC地址表，标记MAC地址表项状态为可信；判定端口是否被攻击，当端口被攻击时，缩短MAC地址表中该端口的相关MAC地址老化时间，重新标记MAC地址表项状态为可疑；判断目的MAC地址表项是否在MAC地址表中，当目的MAC地址表项不在MAC地址表时，进行广播，无应答时将源MAC地址加入到黑名单MAC地址表中，修改疑似次数及状态，将源MAC地址表项从MAC地址表删除。

2.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，当源MAC地址表项在黑名单MAC地址表，且所述源MAC地址表项状态为非休眠状态，即活跃状态时，需进行源地址表项是否在MAC地址表中的判断；

所述休眠，用于表示黑名单MAC地址表中MAC地址表项疑似次数超过设定疑似次数阈值时MAC地址表项的一种状态，当数据帧源MAC地址为所述MAC地址表项中的MAC地址时，丢弃数据帧；

所述活跃，用于表示黑名单MAC地址表中MAC地址表项疑似次数未达到设定疑似次数阈值时MAC地址表项的一种状态；

当源MAC地址表项未在黑名单MAC地址表时，需进行源地址表项是否在MAC地址表中的判断。

3.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，MAC地址表在初始状态是一张空表，当源MAC地址表项在MAC地址表中，表明源MAC地址已经被MAC地址表学习。

4.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，黑名单MAC地址表中本端口MAC地址表项中疑似次数总和大于或等于设定疑似次数总和阈值时，判断端口被攻击，否则未被攻击；当端口处于被攻击时，MAC地址表中所述端口对应的MAC地址均为可疑对象，将所述端口对应的MAC地址表项状态标记为可疑，缩短老化时间。

5.根据权利要求1所述的一种预防MAC地址泛洪攻击的方法，其特征在于，目的MAC地址表项在MAC地址表中，无需通过广播方式查找目的MAC地址端口，源MAC地址不是造成泛洪攻击的因素，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；

当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内收到应答响应，将目的MAC地址加入到MAC地址表中，目的MAC地址状态标记为可信，若源MAC地址表项状态为可疑，重新标记状态为可信，重新设定源MAC地址表项老化时间为可信状态下的MAC地址表项老化时间；

当通过广播方式查找目的MAC地址时，在源MAC地址表项老化时间内未收到应答响应，源MAC地址可能是造成泛洪攻击的因素之一，将源MAC地址添加至黑名单MAC地址表中，将源MAC地址表项从MAC地址表删除。

6.根据权利要求1或5所述的一种预防MAC地址泛洪攻击的方法，其特征在于，将可疑MAC地址添加至黑名单MAC地址表时，若黑名单MAC地址表中无此MAC地址表项，加入该MAC地址，状态标记为活跃，设置MAC地址表项疑似次数为1，否则该MAC疑似次数增加1，如果MAC地址表项疑似次数超过疑似次数阈值，状态标记为休眠。

7.根据权利要求6所述的一种预防MAC地址泛洪攻击的方法，其特征在于，黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为休眠，该MAC地址表项的老化时间修改为老化时间与休眠时间之和，当休眠结束，从黑名单MAC地址表中删除该MAC地址表项；

黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态为活跃，从黑名单MAC地址表中删除该MAC地址表项。

8.根据权利要求5或7所述的一种预防MAC地址泛洪攻击的方法，其特征在于，MAC地址表项老化时间小于黑名单MAC地址表项老化时间。

9.一种预防MAC地址泛洪攻击的装置，其特征在于，包括：

接收模块，用于接收终端发送的数据帧，数据帧中携带源MAC地址和目的MAC地址；

丢弃模块，用于接收模块接收数据帧后，经判断源MAC地址表项在黑名单MAC地址表中，且状态为休眠时丢弃数据帧；

增加模块，用于MAC地址表无源MAC地址，增加源MAC地址表项，或黑名单MAC地址表无可疑MAC地址时，增加黑名单MAC地址表项；

判断模块，用于判断源MAC地址、目的MAC地址是否在MAC地址表中或黑名单地址表中；判断端口是否被攻击；判断在MAC地址表中源MAC地址表项老化时间内，是否得到应答响应；判断黑名单MAC地址表中的MAC地址表项达到老化时间时，MAC地址表项的状态是否为休眠；

删除模块，用于黑名单MAC地址项在达到老化时间老化时间或休眠结束后对应表项的删除，用于MAC地址表项在达到老化时间后对应表项的删除；

计数模块，用于黑名单MAC地址表项疑似次数的计数。

10.根据权利要求9所述的一种预防MAC地址泛洪攻击的装置，其特征在于，还包括：

标记模块，用于增加模块、判断模块、计数模块使用后，MAC地址表项或黑名单MAC地址表项状态的标记；

缩短模块，用于判断模块判断端口被攻击后，MAC地址表项老化时间的缩短；

延长模块，用于判断模块判断黑名单MAC地址表中的MAC地址表项达到老化时间，MAC地址表项的状态为休眠时，MAC地址表项老化时间的延长。