专利名称:一种以太网交换设备中防止mac地址欺骗的方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种以太网交换设备中防止MAC地址#太骗的方法。
背景技术:
以太网交换设备可实现OSI (开放系统互连)模型的第二层(数据链路层)数据的分组(帧)交换。介质访问控制(MAC)地址是以太网地址,每个接入以太网的设备都有其固定的MAC地址。以太网交换设备可维护其MAC地址表,并显示出其上端口与连接到该端口的其它网络设备的MAC地址之间的映射关系,指出数据帧去往目的端口的方向。当以太网交换设备收到一个数据帧时,其在MAC地址表中对该数据帧的目的MAC地址进行查找匹配,当MAC地址表中有匹配项时,以太网交换设备会把该数据帧转发到相应的目的端口。以太网交换设备还将检查上述数据帧的源MAC地址,并在MAC地址表中查找与之相匹配的项,如果没有,交换设备将记录下该源MAC地址和接收该数据帧的端口 ,这个过程被称作MAC地址学习。
MAC地址欺骗攻击是指用户主机A (攻击者)构造用户数据帧,该数据帧的源MAC地址不是其本身地址,而是一个已知设备B的MAC地址。以太网交换设备收到该数据帧,学习MAC地址,将设备B的MAC地址与主机A连接的端口映射,从而使交换设备将发往设备B的数据帧转发给了用户主机A。图1所示为交换机受到MAC地址欺骗攻击的示意图。主机A和主机B分别与交换机的端口 1和端口 2相连,主机A伪装主机B的MAC地址向交换机发送数据帧,由于交换机会通过MAC地址学习将主机B的MAC地址与端口 1的映射关系保存在MAC地址表中,因此服务器会将本应该发送给主机B的数据帧全部转发到了主机A。
为了防止MAC地址欺骗,避免交换设备中MAC地址映射表发生混乱,
3一种有效的办法是实现MAC地址与以太网交换设备端口的绑定。将若干个 MAC地址绑定到一个端口 ,该端口上只允许具有与绑定MAC相同的源MAC 地址的数据帧通过,这就是所谓的绑定白名单。如果在以太网交换设备上实 现上述绑定配置,且在一个端口上不允许具有与绑定MAC相同的源MAC地 址的数据帧通过,则称为绑定黑名单。图2所示为在交换设备中使用绑定白 名单和绑定黑名单后,数据帧进入该设备后的处理流程。交换设备接收到数 据帧后,根据端口是否绑定白名单或绑定黑名单做出判断,符合绑定条件的 数据帧可以进行交换,否则将被丟弃。通过绑定可以使用户无法通过更改 MAC地址来进行恶意攻击。但是,端口绑定黑名单的配置,往往是在攻击出 现后,当交换设备中出现MAC地址欺骗攻击时,网管或设备的防火墙才会 设法找出攻击源端口和纟皮攻击的MAC地址,然后再通过配置攻击端口的绑 定黑名单来阻止攻击。也就是说,只有在经受过至少一次MAC地址欺骗攻 击后,才能在该端口上配置出绑定黑名单,这对网络的实时安全保障是极为 不利的。
发明内容
本发明要解决的技术问题是提供一种以太网交换设备中防止MAC地址 欺骗的方法,以提前预防在后续通信中对该交换设备进行MAC地址欺骗的 行为。
本发明提供了一种以太网交换设备中防止MAC地址欺骗的方法,在该 方法中,
所述交换设备中配置有一全局MAC绑定黑名单,所述黑名单中存有所 述交换设备上所有端口配置的绑定MAC白名单中保存的MAC地址;
当所述交换设备通过其上一端口接收到一数据帧后,根据所述数据帧的 源MAC地址是否在所述端口配置的MAC绑定白名单和所述全局MAC绑定 黑名单中,而对所述数据帧进行相应的处理。
进一步地,上述方法还可具有以下特征当所述端口接收到所述数据帧 后,具体包括以下步骤判断所述端口是否配置有所述MAC绑定白名单,如已配置,则判断所 述MAC绑定白名单中是否包含所述数据帧的源MAC地址,如包含则执行步 骤c,否则丢弃所述数据帧后结束;如没有绑定,则执行步骤b;
判断所述交换设备上是否启用所述全局MAC绑定黑名单,如已启用, 则判断所述全局MAC绑定黑名单中是否包含所述数据帧的源MAC地址,如 包含则丢弃所述数据帧后结束,否则执行步骤c;
所述交换设备对所述数据帧进行二层交换。
进一步地,上述方法还可具有以下特征步骤b中,如果所述交换设备 上没有启用所述全局MAC绑定黑名单,则执行步骤c。
进一步地,上述方法还可具有以下特征用户对所述全局MAC绑定黑 名单中的MAC地址进行添加和删除。
与现有技术中使用的通过在各端口配置MAC绑定白名单和MAC绑定黑 名单功能来防止MAC地址欺骗的技术相比较,本发明是对现有技术的改进, 其弥补了现有技术需要在MAC地址欺骗攻击发生后,才能找出相应端口, 并配置绑定黑名单进行防护的技术缺陷。本发明实现简单,能有效对MAC 地址欺骗进行提前预防,避免了同一台交换设备上连接用户之间发生的MAC 地址欺骗攻击事件,从而可以简单、有效的实现对MAC地址欺骗的防护。
图]为现有技术中交换设备收到MAC地址欺骗攻击的示意图2为现有技术中釆用MAC地址绑定技术的交换设备中数据帧的处理 流程图3为本发明实施例中采用全局MAC绑定黑名单功能的交换设备中数 据帧的处理流程图。
具体实施例方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。本发明提供了 一种将交换设备每一端口的MAC绑定白名单中的MAC地 址配置到设备全局MAC绑定黑名单中,使设备其它端口连接的用户都不能
设备进行MAC地址欺骗攻击的方法。
在交换设备的端口启用MAC绑定白名单功能后,只有报文源MAC地址 与该端口上绑定白名单中MAC地址相同的数据帧才能通过该端口。为了防 止交换设备其它端口上连接的用户利用上述端口绑定白名单中的MAC地址 进行伪装MAC地址欺骗攻击,可以在交换设备上启用 一张全局MAC绑定黑 名单,该黑名单中存有交换设备上所有端口的绑定MAC白名单中保存的 MAC地址。除此之外,全局MAC绑定黑名单中的MAC地址也可以由网络 管理员通过一人机交互界面进行手动添加和删除。
在交换设备启用端口 MAC绑定白名单功能和全局MAC绑定黑名单功能 后,数据帧进入交换设备某一端口的处理步骤如图3所示
A、 判断该端口是否配置有MAC绑定白名单,如已配置,则判断该白名 单中是否包含该数据帧的源MAC地址,如包含则执行步骤C,否则丟弃该数 据帧后结束;如没有配置,则执行步骤B;
B、 判断交换设备上是否启用全局MAC绑定黑名单,如已启用,则判断 该全局MAC绑定黑名单中是否包含该数据帧的源MAC地址,如包含则丢弃 该数据帧后结束,否则执行步骤C;如果交换设备上没有启用全局MAC绑定 黑名单,则执行步骤C;
C、 交换设备按二层交换原理进行数据帧的交换。 下面用本发明的一应用实例进一步加以说明。
DSLAM是一种典型的宽带接入设备,该设备采用以太网交换方式进行 数据分组交换,属于以太网交换设备。下面以DSLAM中对端口 MAC绑定 白名单和设备全局MAC绑定黑名单功能的具体应用为实施例,对本发明进 行进一步说明。
在该应用实例中,DSLAM已启用全局MAC绑定黑名单功能,其上端口 1连接有MAC地址为0000.AAAA.AAAA的用户主机A,端口 2连接有MAC地址为OOOO.BBBB.BBBB的用户主才几B,端口 1已启用MAC绑定白名单功 能且用户主机A的MAC地址已保存在该白名单中,端口2没启用MAC绑定 白名单功能。该方法包括以下步骤
当用户主机A向DSLAM发送数据帧,该数据帧的源MAC地址为 0000.AAAA.AAAA;端口 1收到后,判断其源地址与其上MAC绑定白名单 中的MAC地址相同,所以转发该数据帧,同时DSLAM通过MAC地址学习 在MAC地址表中建立MAC地址0000.AAAA.AAAA与端口 1的映射关系。
当用户主机B发送数据帧向DSLAM发送数据帧,该数据帧的源MAC 地址不是其本身的MAC地址0000.BBBB.BBBB,而是伪装成主机A的MAC 地址OOOO.AAAA.AAAA;端口 2收到后,由于该端口上没有启用MAC绑定 白名单功能,所以直接在全局MAC绑定黑名单中查找是否存在该MAC地址 0000.AAAA.AAAA。由于该DSLAM已启用全局MAC绑定黑名单功能,因 此该黑名单中存有端口 1绑定的白名单中所有的MAC地址,即MAC地址 OOOO.AAAA.AAAA在该黑名单中,因此DSLAM会丟弃该数据帧,即有效地 阻止了 MAC地址欺骗攻击。
由于避免了 MAC地址欺骗攻击,因此当DSLAM上的其它连接上联汇 聚设备的端口收到目的MAC地址为0000.AAAA.AAAA的数据帧时,其会将 该数据帧转发给端口 1连接的用户主机A。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种以太网交换设备中防止MAC地址欺骗的方法,其特征在于,所述交换设备中配置有一全局MAC绑定黑名单,所述黑名单中存有所述交换设备上所有端口配置的绑定MAC白名单中保存的MAC地址;当所述交换设备通过其上一端口接收到一数据帧后,根据所述数据帧的源MAC地址是否在所述端口配置的MAC绑定白名单和所述全局MAC绑定黑名单中,而对所述数据帧进行相应的处理。
2、 如权利要求1所述的方法,其特征在于,当所述端口接收到所述数据 帧后,具体包括以下步骤a、 判断所述端口是否配置有所述MAC绑定白名单,如已配置,则判断 所述MAC绑定白名单中是否包含所述数据帧的源MAC地址,如包含则执行 步骤c,否则丢弃所述数据帧后结束;如没有绑定,则执行步骤b;b、 判断所述交换设备上是否启用所述全局MAC绑定黑名单,如已启用, 则判断所述全局MAC绑定黑名单中是否包含所述数据帧的源MAC地址,如 包含则丢弃所述数据帧后结束,否则执行步骤c;c、 所述交换设备对所述数据帧进行二层交换。
3、 如权利要求2所述的方法,其特征在于,步骤b中,如果所述交换设备上没有启用所述全局MAC绑定黑名单, 则执行步骤c。
4、 如权利要求l所述的方法,其特征在于,用户对所述全局MAC绑定黑名单中的MAC地址进行添加和删除。
全文摘要
一种以太网交换设备中防止MAC地址欺骗的方法,在该方法中,交换设备中配置有一全局MAC绑定黑名单,该黑名单中存有交换设备上所有端口配置的绑定MAC白名单中保存的MAC地址;当交换设备通过其上一端口接收到一数据帧后,根据该数据帧的源MAC地址是否在该端口配置的MAC绑定白名单和全局MAC绑定黑名单中,而对所述数据帧进行相应的处理。本发明弥补了现有技术需要在MAC地址欺骗攻击发生后,才能找出相应端口,并配置绑定黑名单进行防护的技术缺陷,简单、有效的实现对MAC地址欺骗的防护。
文档编号H04L29/06GK101599889SQ20081011062
公开日2009年12月9日 申请日期2008年6月6日 优先权日2008年6月6日
发明者熊文杰, 王硕祎 申请人:中兴通讯股份有限公司