技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種抵御MAC地址欺騙攻擊的方法及設(shè) 備。

背景技術(shù)

目前，二層交換過程中，交換機(jī)對接收的報(bào)文的轉(zhuǎn)發(fā)過程如圖1所示， 包括：獲取報(bào)文中以太網(wǎng)幀的二層信息，即以太網(wǎng)幀的目的MAC地址，并根 據(jù)獲取到的目的MAC地址查找交換機(jī)中存儲的MAC轉(zhuǎn)發(fā)表，即L2FDB，根 據(jù)該MAC轉(zhuǎn)發(fā)表中存儲的與MAC地址相應(yīng)的端口轉(zhuǎn)發(fā)接收的報(bào)文；如果交 換機(jī)在MAC轉(zhuǎn)發(fā)表中查找不到目的MAC地址以及與目的MAC地址相應(yīng)的 端口，則將該報(bào)文通過廣播的方式向所有端口轉(zhuǎn)發(fā)；同時(shí)，該報(bào)文的源MAC 地址將被學(xué)習(xí)到接收該報(bào)文的端口上，即建立該報(bào)文的源MAC地址與接收該 報(bào)文的端口之間的對應(yīng)關(guān)系。當(dāng)后續(xù)交換機(jī)接收到目的地址為上述源MAC地 址的報(bào)文時(shí)，根據(jù)建立的對應(yīng)關(guān)系，通過與源MAC地址相應(yīng)的端口轉(zhuǎn)發(fā)該報(bào) 文。

現(xiàn)有技術(shù)中，交換機(jī)對報(bào)文的轉(zhuǎn)發(fā)過程中，對報(bào)文的合法性有一個(gè)初步 的檢查，例如報(bào)文的源MAC地址為非法MAC地址的檢查，包括源MAC地 址為全0地址、組播MAC地址或者廣播MAC地址的情況；報(bào)文的目的MAC 地址為非法MAC地址的檢查。交換機(jī)通過檢查發(fā)現(xiàn)報(bào)文的源MAC地址或者 目的MAC地址非法時(shí)，丟棄該報(bào)文。如果檢查結(jié)果為MAC地址合法，則交 換機(jī)對該報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，不再進(jìn)行進(jìn)一步的檢查。

由于交換機(jī)對MAC地址合法的報(bào)文沒有進(jìn)行進(jìn)一步的檢查，例如該報(bào)文 是否為攻擊報(bào)文，導(dǎo)致非法用戶可以通過具有合法MAC地址的報(bào)文對其他網(wǎng) 絡(luò)用戶進(jìn)行攻擊。下面以圖2所示對非法用戶的攻擊方式進(jìn)行介紹，其中B 設(shè)備為服務(wù)器，MAC地址為0-0-1，通過交換機(jī)的端口B與交換機(jī)連接，為 交換機(jī)下掛的用戶提供服務(wù)；交換機(jī)中的MAC地址表中存儲的MAC地址與 端口的對應(yīng)關(guān)系為：MAC?0-0-1------端口B；A設(shè)備為一個(gè)非法用戶，發(fā)送的 報(bào)文源MAC地址也是0-0-1，交換機(jī)通過端口A接收該報(bào)文。此時(shí)，如果交 換機(jī)根據(jù)A設(shè)備發(fā)送的報(bào)文重新學(xué)習(xí)MAC地址，將會在MAC轉(zhuǎn)發(fā)表中更新 MAC地址與端口的對應(yīng)關(guān)系，更新結(jié)果為MAC?0-0-1------端口A。這樣將會 導(dǎo)致所有去往B設(shè)備的報(bào)文都被交換機(jī)向A設(shè)備轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)出現(xiàn)異常； 通常，碰到這種情況都會配置靜態(tài)MAC地址，解決MAC地址遷移的問題。

但是，這樣存在兩個(gè)問題：

一是交換機(jī)依然接收非法用戶A發(fā)送的攻擊報(bào)文并轉(zhuǎn)發(fā)該報(bào)文，導(dǎo)致網(wǎng) 絡(luò)內(nèi)的其他用戶遭受攻擊；二是當(dāng)服務(wù)器通過多個(gè)端口接入此交換機(jī)時(shí)，配 置靜態(tài)MAC地址無法實(shí)現(xiàn)，如圖3所示，由于交換機(jī)中的MAC轉(zhuǎn)發(fā)表中存 儲的B設(shè)備的MAC地址對應(yīng)關(guān)系為MAC?0-0-1------PORT(端口)1，或者 MAC?0-0-1------PORT(端口)2，以第一種情況為例，當(dāng)交換機(jī)與B設(shè)備之間 的連接由PORT1切換到PORT2時(shí)，所有正常報(bào)文都無法通過PORT2發(fā)送而 被丟棄。所以，現(xiàn)有技術(shù)中沒有提供一種有效解決非法用戶利用MAC地址進(jìn) 行報(bào)文攻擊的方法。

發(fā)明內(nèi)容

本發(fā)明提供了一種抵御MAC地址欺騙攻擊的方法及設(shè)備，以使網(wǎng)絡(luò)中的 重要設(shè)備避免遭受源MAC地址欺騙攻擊。

本發(fā)明提供一種抵御MAC地址欺騙攻擊的方法，應(yīng)用于根據(jù)MAC地址 進(jìn)行報(bào)文轉(zhuǎn)發(fā)的交換系統(tǒng)中，交換設(shè)備中配置MAC地址與端口組的綁定關(guān) 系，所述端口組中包括與MAC地址相應(yīng)的信任端口和非信任端口，包括：

所述交換設(shè)備獲取接收到的報(bào)文的源MAC地址，并判斷所述源MAC地 址是否配置綁定關(guān)系；

如果所述判斷結(jié)果為是，所述交換設(shè)備進(jìn)一步判斷所述報(bào)文的入端口屬 于與所述源MAC地址相應(yīng)的信任端口或者非信任端口；

當(dāng)所述判斷結(jié)果為信任端口時(shí)，所述交換設(shè)備轉(zhuǎn)發(fā)所述報(bào)文，并根據(jù)所 述報(bào)文學(xué)習(xí)所述源MAC地址；

當(dāng)所述判斷結(jié)果為非信任端口時(shí)，所述交換設(shè)備丟棄所述報(bào)文。

所述判斷所述源MAC地址是否配置綁定關(guān)系具體為：

所述交換設(shè)備在預(yù)先配置的MAC地址綁定列表中查找所述源MAC地 址；如果沒有找到所述源MAC地址，則判斷所述源MAC地址沒有配置綁定 關(guān)系；否則，判斷所述源MAC地址配置有綁定關(guān)系。

所述判斷所述源MAC地址是否配置綁定關(guān)系具體為：