一种攻击定位方法及装置与流程

本申请涉及网络通信技术领域，尤其涉及一种攻击定位方法及装置。

背景技术：

目前大部分局点中，用户设备上线后，网络中可能会存在仿冒的用户设备存在，进而影响该用户设备的正常网络访问。例如，在二层交换机上存在其它仿冒某合法用户设备的MAC(Media Access Control，媒体访问控制)地址的攻击者设备，仿冒MAC地址的行为会引起交换机上的MAC表的出端口发生变化，导致下行流量被转发至攻击者设备，影响该合法用户设备的正常网络访问。

技术实现要素：

本申请提供一种攻击定位方法及装置，以实现MAC地址仿冒攻击的精确定位。

根据本申请实施例的第一方面，提供一种攻击定位方法，应用于接入设备，所述方法包括：

接收目标交换机发送的第一通知消息，所述第一通知消息用于指示目标媒体访问控制MAC地址发生端口迁移的情况满足预设条件，其中，所述第一通知消息中携带有所述目标交换机的标识信息以及所述目标MAC地址；

向管理服务器发送告警消息，所述告警消息中携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

根据本申请实施例的第二方面，提供一种攻击定位方法，应用于目标交换机，其特征在于，所述方法包括：

当检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，该第一通知消息携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述接入设备向管理服务器发送携带有所述目标交换机的标识信息以及所述目标MAC地址的告警消息，由所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

根据本申请实施例的第三方面，提供一种攻击定位装置，应用于接入设备，其特征在于，所述装置包括：

接收单元，用于接收目标交换机发送的第一通知消息，所述第一通知消息用于指示目标媒体访问控制MAC地址发生端口迁移的情况满足预设条件，其中，所述第一通知消息中携带有所述目标交换机的标识信息以及所述目标MAC地址；

发送单元，用于向管理服务器发送告警消息，所述告警消息中携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

根据本申请实施例的第四方面，提供一种攻击定位方法，应用于目标交换机，其特征在于，所述装置包括：检测单元和发送单元，其中：

所述发送单元，用于当所述检测单元检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，该第一通知消息携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述接入设备向管理服务器发送携带有所述目标交换机的标识信息以及所述目标MAC地址的告警消息，由所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

应用本申请实施例，通过在接收到目标交换机发送的用于指示目标MAC地址发生端口迁移的情况满足预设条件的第一通知消息时，将该第一通知消息中携带的目标交换机的标识信息以及目标MAC地址通过告警消息发送给管理服务器，由管理服务器根据该目标交换机的标识信息以及目标MAC地址进行攻击定位，实现了MAC地址仿冒攻击的精确定位。

附图说明

图1是本申请实施例提供的一种攻击定位方法的流程示意图；

图2是本申请实施例提供的一种攻击定位方法的流程示意图；

图3是本申请实施例提供的一种攻击定位装置的结构示意图；

图4是本申请实施例提供的另一种攻击定位装置的结构示意图；

图5是本申请实施例提供的另一种攻击定位装置的结构示意图；

图6是本申请实施例提供的一种攻击定位装置的结构示意图；

图7是本申请实施例提供的另一种攻击定位装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请实施例中的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

请参见图1，为本申请实施例提供的一种攻击定位方法的流程示意图，其中，该攻击定位方法可以应用于接入设备，如图1所示，该攻击定位方法可以包括以下步骤：

步骤101、接收目标交换机发送的第一通知消息，该第一通知消息用于指示目标MAC地址发生端口迁移的情况满足预设条件，其中，第一通知消息中携带有目标交换机的标识信息以及目标MAC地址。

本申请实施例中，目标交换机并不特指某一固定的交换机，而是可以指代组网内任一交换机，如二层交换机或汇聚交换机等；同理，目标MAC(Media Access Control，媒体访问控制)地址也不特指某一固定的MAC地址，而是可以指代目标交换机接入的任一用户终端的MAC地址，本申请后续不再复述。

本申请实施例中，目标交换机向接入设备发送第一通知消息的具体实现可以参见图2所示方法流程中的相关描述，本申请实施例在此不做赘述。

步骤102、向管理服务器发送告警消息，该告警消息中携带有目标交换机的标识信息以及目标MAC地址，以使管理服务器根据目标交换机的标识信息以及目标MAC地址进行攻击定位。

本申请实施例中，当接入设备接收到目标交换机发送的第一通知消息时，接入设备可以认为可能发生了MAC地址仿冒攻击，此时，接入设备可以向管理服务器发送携带目标MAC地址以及目标交换机的标识信息的告警消息；管理服务器接收到接入设备发送的告警消息之后，可以获取该告警消息中携带的目标交换机的标识信息以及目标MAC地址，并根据获取到的目标交换机的标识信息以及目标MAC地址对攻击进行定位。

例如，管理服务器可以输出告警日志，以提示用户(如管理员)目标交换机上发生了MAC地址仿冒攻击，用户根据该告警日志中记录的目标交换机的标识信息以及目标MAC地址可以准确地定位哪一个交换机发生了MAC地址仿冒攻击，并确定哪一个MAC地址被仿冒了。

进一步地，在本申请其中一个实施例中，接收目标交换机发送的第一通知消息之后，还可以包括：

在预设时长内对目标MAC地址进行静默处理。

在该实施例中，为了限制攻击者设备对网络的访问，避免攻击者设备的不法行为对合法用户造成不利影响，当接入设备接收到目标交换机发送的第一通知消息时，接入设备除了可以向管理服务器发送上述告警消息之外，还可以在预设时长内(可以根据实际场景设定，如10分钟、30分钟等)对目标MAC地址进行静默处理，即拒绝转发源MAC地址为该目标MAC地址的报文。

可见，在图1所示的方法流程中，通过接入设备在接收到目标交换机发送的第一通知消息时，向管理服务器发送携带目标交换机的标识信息以及目标MAC地址的告警消息，由管理服务器根据目标交换机的标识信息以及目标MAC地址进行攻击定位，实现了MAC地址仿冒攻击的精确定位。

请参见图2，为本申请提供的一种攻击定位方法的流程示意图，其中，该攻击定位方法可以应用于目标交换机，如图2所示，该定位攻击方法可以包括以下步骤：

步骤201、当检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，该第一通知消息携带有目标交换机的标识信息以及目标MAC地址，以使接入设备向管理服务器发送携带有该目标交换机的标识信息以及目标MAC地址的告警消息，由管理服务器根据该目标交换机的标识信息以及目标MAC地址进行攻击定位。

本申请实施例中，当用户终端通过目标交换机接入网络时，目标交换机上会生成对应的MAC表项，该MAC表项中可以记录该用户终端的MAC地址以及目标交换机上与该用户终端连接的端口。当目标交换机从另一个端口学习到该用户终端的MAC地址时，此时，目标交换机会认为发生了MAC地址迁移，目标交换机可以更新该MAC表中的端口信息。

考虑到正常情况下，用户终端的MAC地址进行端口迁移的次数或频率都不会太高，因此，当目标交换机检测到某用户终端的MAC地址迁移的次数或频率过高时，目标交换机可以认为发生了MAC地址仿冒攻击。

相应地，在本申请其中一个实施例中，目标MAC地址发生端口迁移的情况满足预设条件，可以包括：

目标MAC地址发生端口迁移的次数超过预设次数阈值；或/和，目标MAC地址发生端口迁移的频率超过预设频率阈值。

在该实施例中，当目标交换机检测到目标MAC地址发生端口迁移时，目标交换机可以统计目标MAC地址发生端口迁移的次数或/和频率，并判断目标MAC地址发生端口迁移的次数超过预设次数阈值(可以根据实际场景设定)，或/和，目标MAC地址发生端口迁移的频率是否超过预设频率阈值(可以根据实际场景设定)。

当目标交换机检测到目标MAC地址发生端口迁移的次数超过预设次数阈值，或/和，目标MAC地址发生端口迁移的频率超过预设频率阈值时，目标交换机可以认为目标MAC地址发生了MAC地址仿冒攻击。

本申请实施例中，当目标交换机确定目标MAC地址发生了MAC地址仿冒攻击时，目标交换机可以向接入设备发送第一通知消息，该第一通知消息中可以携带目标交换机的标识信息以及目标MAC地址，以通知接入设备目标交换机上的目标MAC地址发生了MAC地址仿冒攻击。

其中，目标交换机的标识信息可以包括但不限于目标交换机的桥MAC地址或者目标交换机的系统名称等。

进一步地，为了实现更加精确地攻击定位，目标交换机检测到目标MAC地址发生端口迁移的情况满足预设条件时，还可以记录MAC地址发生端口迁移时迁移前和迁移后的端口信息，并将该端口信息携带在上述第一通知消息中发送给接入设备，由接入设备携带在告警消息中发送给管理服务器，以便管理服务器能根据该端口信息更加精确地对攻击进行定位。

在本申请其中一个实施例中，当检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，可以包括：

与接入设备建立通信连接，并当检测到目标MAC地址发生端口迁移的情况满足预设条件时，通过该通信连接向接入设备发送第一通知消息。

在该实施例中，目标接入设备可以在检测到目标MAC地址发生端口迁移的情况满足预设条件之前与接入设备建立通信连接，即目标接入设备可以事先建立与接入设备之间的通信连接，并通过定时或周期性发送更新报文保持与接入设备之间的通信连接；然后再当检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息。

例如，目标交换机可以在组网部署完成之后，通过指定接口向接入设备发送通信连接建立请求，以建立目标交换机与接入设备之间的通信连接。

在该实施例中，目标交换机与接入设备建立通信连接之后，可以定时或周期性地通过该通信连接向接入设备发送更新报文，以保持该通信连接的可用性。当目标交换机检测到目标MAC地址发生端口迁移的情况满足预设条件时，目标交换机可以直接通过该通信连接向接入设备发送第一通知消息，以保证目标交换机能及时通知接入设备发生了MAC地址仿冒攻击。

在本申请其中一个实施例中，当检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，可以包括：

当检测到目标MAC地址发生端口迁移的情况满足预设条件时，与接入设备建立通信连接，并通过该通信连接向接入设备发送第一通知消息。

在该实施例中，目标交换机可以在检测到目标MAC地址发生端口迁移的情况满足预设条件的情况下，再与接入设备建立通信连接，并通过该通信连接向接入设备发送第一通知消息，并在该通信连接之后的预设时间内，若目标交换机未检测到其它MAC地址仿冒攻击，则目标交换机可以对该通信连接进行老化。也即在该实施例中，目标交换机可以按需与接入设备之间建立通信连接，从而，可以避免闲置的通信连接对系统资源的占用，提高系统资源利用率。

本申请实施例中，当目标交换机需要与接入设备建立通信连接时，目标交换机可以通过指定接口广播通信连接建立请求，该通信连接建立请求仅有接入设备才会响应；接入设备接收到该通信连接建立请求之后，可以向目标交换机返回应答报文；当目标交换机接收到接入设备返回的应答报文之后，可以根据该应答报文确定接入设备的地址信息，并根据该地址信息与接入设备建立通信连接。

举例来说，以目标交换机与接入设备建立的通信连接为MAC-Transit(传输)协议连接为例，其连接建立过程可以如下：

1、目标交换机广播MACT-RQ(MAC Transit Request，MAC传输请求)报文，该MACT-RQ报文中可以携带目标交换机的标识信息，如桥MAC地址；

2、接入设备接收到MACT-RQ报文时，记录目标交换机的标识信息，并单播回复MACT-RP(MAC Transit Reply，MAC传输应答)报文；

3、目标交换机向接入设备单播发送MACT-CN(MAC Transit Connect，MAC传输连接)报文，两端连接邻居关系。

其中，在该实施例中，目标交换机与接入设备建立MAC Transit协议连接之后，目标交换机可以周期性地通过该MAC Transit协议连接发送MACT-Update(更新)报文的方式对该MAC Transit协议连接的可用性进行维护。当目标交换机检测到目标MAC地址发生端口迁移的情况满足预设条件时，目标交换机可以通过该MAC Transit协议连接向接入设备发送第一通知消息。

在本申请其中一种实施方式中，该第一通知消息可以为携带有目标交换机的标识信息以及目标MAC地址的MAC-Update报文，在该情况下，当接入设备接收到MAC-Update报文时，接入设备可以对该MAC-Update报文进行解析，若发现该MAC-Update报文中携带有目标交换机的标识信息以及目标MAC地址等信息，则确定发生了MAC地址仿冒攻击，从而，接入设备可以按照图1所示方法流程进行处理；若该MAC-Update报文中未携带有目标交换机的标识信息以及目标MAC地址等信息，则接入设备仅需要刷新MAC Transit协议连接。

值得说明的是，在本申请实施例中，由于交换机通过广播报文的方式请求与接入设备建立上述通信连接，因此，当组网中存在多个接入设备时，各接入设备可以分别应答接收到的通信连接请求，从而，交换机可以根据接收到的应答报文，分别与各接入设备建立通信连接，其具体实现与交换机与单个接入设备建立通信连接的实现相类似，本申请实施例在此不再赘述。

通过以上描述可以看出，在本申请实施例提供的技术方案中，通过在接收到目标交换机发送的用于指示目标MAC地址发生端口迁移的情况满足预设条件的第一通知消息时，将该第一通知消息中携带的目标交换机的标识信息以及目标MAC地址通过告警消息发送给管理服务器，由管理服务器根据该目标交换机的标识信息以及目标MAC地址进行攻击定位，实现了MAC地址仿冒攻击的精确定位。

请参见图3，为本申请实施例提供的一种攻击定位装置的结构示意图，其中，该攻击定位装置可以应用于上述方法实施例中的接入设备，如图3所示，该攻击定位装置可以包括：

接收单元310，用于接收目标交换机发送的第一通知消息，所述第一通知消息用于指示目标媒体访问控制MAC地址发生端口迁移的情况满足预设条件，其中，所述第一通知消息中携带有所述目标交换机的标识信息以及所述目标MAC地址；

发送单元320，用于向管理服务器发送告警消息，所述告警消息中携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

请一并参见图4，为本申请实施例提供的另一种攻击定位装置的结构示意图，如图4所示，在图3所示攻击定位装置的基础上，图4所示的攻击定位装置还包括：

静默单元330，用于当所述接收单元310接收到目标交换机上报的第一通知消息时，在预设时长内对所述目标MAC地址进行静默处理。

请一并参见图5，为本申请实施例提供的另一种攻击定位装置的结构示意图，如图5所示，在图3所示攻击定位装置的基础上，图5所示的攻击定位装置还包括：

建立单元340，用于与所述目标交换机建立目标通信连接；

所述接收单元310，具体用于接收所述目标交换机通过所述目标通信连接发送的第一通知消息。

请参见图6，为本申请实施例提供的一种攻击定位装置的结构示意图，其中，该攻击定位装置可以应用于上述方法实施例中的目标交换机，如图6所示，该攻击定位装置可以包括：检测单元610和发送单元620，其中：

所述发送单元620，用于当所述检测单元610检测到目标MAC地址发生端口迁移的情况满足预设条件时，向接入设备发送第一通知消息，该第一通知消息携带有所述目标交换机的标识信息以及所述目标MAC地址，以使所述接入设备向管理服务器发送携带有所述目标交换机的标识信息以及所述目标MAC地址的告警消息，由所述管理服务器根据所述目标交换机的标识信息以及所述目标MAC地址进行攻击定位。

请一并参见图7，为本申请实施例提供的另一种攻击定位装置的结构示意图，如图7所示，在图6所示攻击定位装置的基础上，图7所示的攻击定位装置还包括：建立单元630；其中：

所述建立单元630，用于与接入设备建立通信连接；

所述发送单元620，具体用于当所述检测单元检测到目标MAC地址发生端口迁移的情况满足预设条件时，通过所述通信连接向所述接入设备发送第一通知消息；

或，

所述建立单元630，用于当所述检测单元610检测到目标MAC地址发生端口迁移的情况满足预设条件时，与接入设备建立通信连接；

所述发送单元620，具体用于当所述建立单元与接入设备建立通信连接之后，通过所述通信连接向所述接入设备发送第一通知消息。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

由上述实施例可见，通过在接收到目标交换机发送的用于指示目标MAC地址发生端口迁移的情况满足预设条件的第一通知消息时，将该第一通知消息中携带的目标交换机的标识信息以及目标MAC地址通过告警消息发送给管理服务器，由管理服务器根据该目标交换机的标识信息以及目标MAC地址进行攻击定位，实现了MAC地址仿冒攻击的精确定位。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。