專利名稱:一種防止mac地址欺騙攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種防止MAC (Media Access Control,介質(zhì) 訪問控制)地址欺騙攻擊的方法和裝置��。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高����,網(wǎng)絡(luò)配置越來越復(fù)雜,經(jīng)常出現(xiàn)計(jì)算 機(jī)位置變化(如便攜機(jī)或無線網(wǎng)絡(luò))和計(jì)算機(jī)數(shù)量超過可分配的IP地址的情況����。動(dòng)態(tài)主 機(jī)配置協(xié)議DHCP (Dynamic Host Configuration Protocol)就是為滿足這些需求而發(fā)展起 來的,在網(wǎng)絡(luò)規(guī)模較大的情況下�����,通常采用DHCPServer來完成IP地址分配。
DHCP協(xié)議本身不具有安全性��,應(yīng)用DHCP協(xié)議的網(wǎng)絡(luò)環(huán)境中存在被攻擊的風(fēng)險(xiǎn)���。攻 擊者可以利用模擬發(fā)包軟件�����,發(fā)送大量偽造源MAC變化的報(bào)文���。交換機(jī)CAM表很快被攻擊 者發(fā)出的海量MAC擁塞并溢出,無法學(xué)習(xí)新的MAC地址�,報(bào)文將在VLAN內(nèi)所有端口產(chǎn)生廣 播。攻擊者利用VLAN上所有端口的廣播可以進(jìn)行流量監(jiān)聽��,掃描其中有用信息�����,從攻擊者 通過MAC地址攻擊實(shí)現(xiàn)廣播風(fēng)暴的蔓延����,使交換機(jī)以HUB的方式工作,從而達(dá)到DoS的目的 而產(chǎn)生安全隱患�����。攻擊者還可以冒充另一個(gè)合法用戶的MAC地址發(fā)送數(shù)據(jù)報(bào)文,交換設(shè)備 就會(huì)把MAC地址學(xué)習(xí)到惡意用戶的端口上����,從而造成合法用戶MAC地址學(xué)習(xí)遷移,擾亂設(shè)備 的報(bào)文轉(zhuǎn)發(fā)����,使合法用戶無法正常訪問網(wǎng)絡(luò)�。
發(fā)明內(nèi)容
本發(fā)明提供一種防止MAC地址欺騙攻擊的方法和裝置,用以解決現(xiàn)有技術(shù)中DHCP 存在安全隱患���,使得正常用戶存在被攻擊風(fēng)險(xiǎn)的問題��。具體的�,本發(fā)明提供一種防止MAC地址欺騙攻擊的方法��,包括交換設(shè)備在接收到用戶端口側(cè)發(fā)送的非DHCP報(bào)文時(shí)���,基于預(yù)先配置的靜態(tài)MAC地 址表���,檢測(cè)所述非DHCP報(bào)文的合法性�����,當(dāng)所述非DHCP報(bào)文不合法時(shí)����,丟棄該報(bào)文��。所述方法中�����,靜態(tài)MAC地址表中包括已通過DHCP完成IP地址申請(qǐng)的用戶所對(duì)應(yīng) 的MAC地址及與該MAC地址綁定的用戶端口號(hào)�。所述方法中,非DHCP報(bào)文不合法是指所述非DHCP報(bào)文的源MAC地址不在預(yù)先配置的靜態(tài)MAC地址表中��;或者���,所述非 DHCP報(bào)文的源MAC地址在所述靜態(tài)MAC地址表中�����,但非DHCP報(bào)文的接收端口號(hào)與所述靜態(tài) MAC地址表項(xiàng)中用戶端口號(hào)不對(duì)應(yīng)��。所述方法中��,所述交換設(shè)備接收到DHCP服務(wù)器或者匯聚交換機(jī)發(fā)送的非DHCP報(bào) 文時(shí)�,判斷所述非DHCP報(bào)文的源MAC地址是否在所述交換設(shè)備維護(hù)的動(dòng)態(tài)MAC地址表中, 若是����,轉(zhuǎn)發(fā)所述非DHCP報(bào)文;否則��,將所述非DHCP報(bào)文的源MAC地址學(xué)習(xí)到接收該報(bào)文的 端口上�,并轉(zhuǎn)發(fā)所述非DHCP報(bào)文。 所述方法中���,交換設(shè)備在接收到DHCP報(bào)文時(shí),基于所述DHCP報(bào)文的類型進(jìn)行DHCP 用戶信息綁定表的創(chuàng)建��、更新或刪除�����,并完成對(duì)所述DHCP報(bào)文的轉(zhuǎn)發(fā)��。
所述方法中�����,靜態(tài)MAC地址表的配置方式包括所述交換設(shè)備在接收到DHCP報(bào)文且所述DHCP報(bào)文的類型為ACK報(bào)文時(shí),基于所述ACK消息更新已創(chuàng)建的DHCP用戶信息綁定表�����,并將更新后的DHCP用戶信息綁定表中的 用戶MAC地址和用戶端口號(hào)配置到所述靜態(tài)MAC地址表中��。進(jìn)一步的��,所述交換設(shè)備在接收到的所述DHCP報(bào)文的類型為Release或Decline 報(bào)文時(shí)����,或者在所述DHCP用戶信息綁定表中某一表項(xiàng)租期到期時(shí),刪除所述靜態(tài)MAC地址 表中對(duì)應(yīng)用戶的MAC地址信息���。本發(fā)明還提供一種交換設(shè)備��,包括報(bào)文接收模塊��,用于在接收到用戶端口側(cè)發(fā)送的非DHCP報(bào)文時(shí)�,觸發(fā)非DHCP報(bào)文 轉(zhuǎn)發(fā)/過濾模塊��;非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊���,用于基于預(yù)先配置的靜態(tài)MAC地址表�����,檢測(cè)所述非 DHCP報(bào)文的合法性�,當(dāng)所述所述非DHCP報(bào)文不合法時(shí),丟棄所述非DHCP報(bào)文��。本發(fā)明提供的交換設(shè)備��,進(jìn)一步具有以下特點(diǎn)所述非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊中靜態(tài)MAC地址表包括已通過DHCP完成IP地 址申請(qǐng)的用戶所對(duì)應(yīng)的MAC地址及與該MAC地址綁定的用戶端口號(hào)��。所述非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊中非DHCP報(bào)文不合法是指所述非DHCP報(bào)文的源MAC地址不在預(yù)先配置的靜態(tài)MAC地址表中���;或者����,所述非 DHCP報(bào)文的源MAC地址在所述靜態(tài)MAC地址表中�,但非DHCP報(bào)文的接收端口號(hào)與所述靜態(tài) MAC地址表項(xiàng)中用戶端口號(hào)不對(duì)應(yīng)����。所述交換設(shè)備還包括DHCP報(bào)文偵聽模塊;所述報(bào)文接收模塊�����,還用于在接收到DHCP報(bào)文時(shí),觸發(fā)所述DHCP報(bào)文偵聽模塊DHCP報(bào)文偵聽模塊���,用于基于所述DHCP報(bào)文的類型進(jìn)行DHCP用戶信息綁定表的 創(chuàng)建����、更新或刪除����,并完成對(duì)所述DHCP報(bào)文的轉(zhuǎn)發(fā)。進(jìn)一步的���,所述DHCP報(bào)文偵聽模塊在所述DHCP報(bào)文的類型為ACK報(bào)文時(shí)�����,基于所 述ACK消息更新已創(chuàng)建的DHCP用戶信息綁定表���,并將更新后的DHCP用戶信息綁定表中的 用戶MAC地址和用戶端口號(hào)配置到所述靜態(tài)MAC地址表中。所述DHCP報(bào)文偵聽模塊在接收到的所述DHCP報(bào)文的類型為Release或Decline 報(bào)文時(shí)�,或者在所述DHCP用戶信息綁定表中某一表項(xiàng)租期到期時(shí),刪除所述靜態(tài)MAC地址 表中對(duì)應(yīng)用戶的MAC地址信息��。與現(xiàn)有技術(shù)相比,本發(fā)明有益效果如下本發(fā)明提供的方法����,根據(jù)靜態(tài)MAC地址表,對(duì)來自用戶端口側(cè)的報(bào)文進(jìn)行源MAC地 址過濾����,丟棄掉報(bào)文源MAC地址不在靜態(tài)MAC地址表中的報(bào)文,從而防止了接入設(shè)備的MAC 地址欺騙����,并且有效的避免了交換設(shè)備上的MAC地址協(xié)議發(fā)生遷移,造成數(shù)據(jù)轉(zhuǎn)發(fā)紊亂�,使 用戶遭受Dos攻擊的情況。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹��,顯而易見地����,下面描述中的附圖僅僅是 本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�。圖1為接入網(wǎng)絡(luò)基本結(jié)構(gòu)圖;圖2為本發(fā)明提供的防止MAC地址欺騙攻擊的方法流程圖�;圖3為本發(fā)明提供的防止MAC地址欺騙攻擊的裝置結(jié)構(gòu)圖;圖4為本發(fā)明中DHCP偵聽模塊進(jìn)行DHCP報(bào)文的處理流程圖����;圖5為本發(fā)明中非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊對(duì)非DHCP報(bào)文的處理流程圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完 整地描述���,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例�����。基于 本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。為了解決現(xiàn)有技術(shù)中存在的問題,本發(fā)明提供了一種防止MAC地址欺騙攻擊的方 法和裝置����。在進(jìn)行方法闡述前,首先對(duì)所述方法應(yīng)用的接入網(wǎng)絡(luò)進(jìn)行簡(jiǎn)單說明�,如圖1所示, 為接入網(wǎng)絡(luò)的基本結(jié)構(gòu)圖�����。具體的�,該接入網(wǎng)絡(luò)包括用戶終端、交換設(shè)備和DHCP服務(wù)器�。其中,用戶終端���,一般是PC��,作為DHCP Client通過DHCP協(xié)議獲取IP地址及其他
配置信息�����;交換設(shè)備�����,根據(jù)MAC地址進(jìn)行報(bào)文轉(zhuǎn)發(fā)����;DHCP服務(wù)器��,處理用戶終端的DHCP請(qǐng)求���,分配給DHCP Client包括IP���,網(wǎng)關(guān),DNS
等配直^[曰息ο本發(fā)明所述方法為了解決現(xiàn)有技術(shù)中存在的問題�����,將上述交換設(shè)備接用戶終端的 端口設(shè)置為非信任端口 �����;將連接合法DHCP服務(wù)器的端口或者連接匯聚交換機(jī)的上行端口 設(shè)置為信任端口。對(duì)于不信任端口���,關(guān)閉MAC地址學(xué)習(xí)����,并對(duì)除DHCP外的報(bào)文進(jìn)行源MAC 地址檢查���;對(duì)于信任端口�,進(jìn)行動(dòng)態(tài)MAC地址學(xué)習(xí)���,不進(jìn)行源MAC地址檢查��?;谏鲜龅脑硇员硎?,下面給出本發(fā)明提供的防止MAC地址欺騙攻擊方法的具 體實(shí)現(xiàn)過程,如圖2所示�,包括以下步驟步驟S201、交換設(shè)備接收用戶端口側(cè)(即非信任端口)發(fā)送的非DHCP報(bào)文��。步驟S202���、基于預(yù)先配置的靜態(tài)MAC地址表檢測(cè)所述非DHCP報(bào)文的合法性��,若合 法�,執(zhí)行步驟S203 ;否則��,執(zhí)行步驟S204�。其中��,靜態(tài)MAC地址表中包括已通過DHCP完成IP地址申請(qǐng)的用戶所對(duì)應(yīng)的MAC 地址及與該MAC地址綁定的用戶端口號(hào)�。步驟S203、查找所述非DHCP報(bào)文的目的MAC地址�,若查找到,根據(jù)目的MAC地址�����, 完成報(bào)文轉(zhuǎn)發(fā)���;若未查找到���,通過廣播的方式完成報(bào)文轉(zhuǎn)發(fā)。步驟S204����、丟棄所述非DHCP報(bào)文���。本發(fā)明提供的方法,有效的防止了接入設(shè)備的MAC地址欺騙�,并且有效的避免了 交換設(shè)備上的MAC地址協(xié)議發(fā)生遷移,造成數(shù)據(jù)轉(zhuǎn)發(fā)紊亂��,使用戶遭受Dos攻擊的情況���。為了更清楚的表述本發(fā)明��,下面結(jié)合交換設(shè)備的具體結(jié)構(gòu)����,對(duì)本發(fā)明所述方法進(jìn) 行描述�,使其能夠更好地說明本發(fā)明提供方法的具體實(shí)現(xiàn)過程。
如圖3所示��,為交換設(shè)備的結(jié)構(gòu)框圖�����,具體的����,該交換設(shè)備包括報(bào)文接收模塊 310���,非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊320、MAC地址表模塊330��、DHCP報(bào)文偵聽模塊340 ����;其中報(bào)文接收模塊310 接收信任端口和非信任端口發(fā)送的報(bào)文,根據(jù)DHCP協(xié)議報(bào)文 的特征�,從接收到的報(bào)文中�����,提取出DHCP報(bào)文�����,將DHCP報(bào)文送及其對(duì)應(yīng)的用戶端口信息傳 遞給DHCP偵聽模塊340 �;將非DHCP報(bào)文及其對(duì)應(yīng)的用戶端口信息傳遞給非DHCP報(bào)文轉(zhuǎn)發(fā) /過濾模塊320。
非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊320 接收到非DHCP報(bào)文時(shí)���,檢測(cè)報(bào)文的用戶端口信 息����,如果用戶端口信息是非信任端口,基于MAC地址表模塊330中的靜態(tài)MAC地址表項(xiàng)���,對(duì) 所述非DHCP報(bào)文的源MAC地址進(jìn)行合法性檢查�,當(dāng)非DHCP報(bào)文不合法時(shí)���,丟棄該非DHCP 報(bào)文�;否則��,獲取所述非DHCP報(bào)文的目的MAC地址�����,并根據(jù)獲取到的目的MAC地址查找交換 設(shè)備中存儲(chǔ)的MAC轉(zhuǎn)發(fā)表����,根據(jù)該MAC轉(zhuǎn)發(fā)表中存儲(chǔ)的與MAC地址相應(yīng)的端口轉(zhuǎn)發(fā)接收的 報(bào)文;然而��,若在MAC轉(zhuǎn)發(fā)表中查找不到目的MAC地址����,則將該報(bào)文通過廣播的方式向除接 收端口外的所有端口轉(zhuǎn)發(fā)��。其中����,非DHCP報(bào)文不合法是指非DHCP報(bào)文的源MAC地址��,在MAC地址表模塊330 中的靜態(tài)MAC地址表項(xiàng)中不存在��,或者非DHCP報(bào)文的源MAC地址在所述靜態(tài)MAC地址表中��, 但該非DHCP報(bào)文的接收端口與靜態(tài)MAC地址表項(xiàng)中記錄的用戶端口號(hào)不對(duì)應(yīng)�。另一種情況,如果用戶端口信息為信任端口����,判斷非DHCP報(bào)文的源MAC地址是否 在MAC地址表模塊330中的動(dòng)態(tài)MAC地址表中����,若是,根據(jù)該報(bào)文目的MAC地址及交換設(shè)備 中存儲(chǔ)的MAC轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)該報(bào)文���;否則�,將所述非DHCP報(bào)文的源MAC地址學(xué)習(xí)到接收該報(bào) 文的端口上���,并根據(jù)該報(bào)文目的MAC地址及交換設(shè)備中存儲(chǔ)的MAC轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)該報(bào)文�����。需要說明的是���,上述報(bào)文轉(zhuǎn)發(fā)過程中����,若在交換設(shè)備的MAC轉(zhuǎn)發(fā)表中查找不到目 的MAC地址�,則將該報(bào)文通過廣播的方式向除接收端口外的所有端口轉(zhuǎn)發(fā)。MAC地址表模塊330 該模塊是非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊320報(bào)文轉(zhuǎn)發(fā)和過濾 的依據(jù)��;該MAC地址表中包括靜態(tài)MAC地址表和動(dòng)態(tài)MAC地址表�,動(dòng)態(tài)MAC地址是非DHCP 報(bào)文轉(zhuǎn)發(fā)/過濾模塊320從信任端口學(xué)習(xí)到的;靜態(tài)MAC地址表是DHCP偵聽模塊根據(jù)DHCP 用戶信息綁定表配置的�����。DHCP報(bào)文偵聽模塊340 在接收到DHCP報(bào)文時(shí)����,基于所述DHCP報(bào)文的類型進(jìn)行 DHCP用戶信息綁定表的創(chuàng)建、更新或刪除����,并完成對(duì)所述DHCP報(bào)文的轉(zhuǎn)發(fā)�。優(yōu)選的����,該DHCP 報(bào)文偵聽模塊還會(huì)基于創(chuàng)建的DHCP用戶信息綁定表對(duì)MAC地址表模塊330中的靜態(tài)MAC 地址表進(jìn)行配置。具體的����,該DHCP報(bào)文偵聽模塊340包括DHCP報(bào)文解析模塊341、DHCP用戶信息 綁定表模塊342和DHCP報(bào)文轉(zhuǎn)發(fā)模塊343��。DHCP報(bào)文解析模塊341 用于對(duì)接收到的DHCP報(bào)文進(jìn)行解析���,獲取用戶配置信息����, 用來進(jìn)行DHCP用戶信息綁定表的創(chuàng)建和維護(hù)����。其中���,配置信息包括IP地址�����、MAC地址���、用 戶端口信息和租期�����。DHCP用戶信息綁定表模塊342 根據(jù)DHCP報(bào)文解析模塊341獲取的用戶配置信 息��,生成��、維護(hù)或更新綁定表���,綁定表包括IP地址,租期�,用戶端口,MAC地址���。綁定表中的 每個(gè)表項(xiàng)都有一個(gè)根據(jù)租期進(jìn)行老化的定時(shí)器����,超過這個(gè)周期時(shí)進(jìn)行表項(xiàng)老化刪除��。下面結(jié)合DHCP報(bào)文的類型對(duì)DHCP用戶信息綁定表的創(chuàng)建、維護(hù)和更新過程進(jìn)行說明�����,并結(jié)合獲取的DHCP用戶信息綁定表對(duì)靜態(tài)MAC地址表的配置過程進(jìn)行說明����,具體包 括如果接收到的DHCP報(bào)文為請(qǐng)求報(bào)文Discover,則基于報(bào)文的配置信息建立DHCP 用戶信息綁定表�����,填入用戶MAC地址�,用戶端口,租期設(shè)置為60秒��,這時(shí)沒有用戶IP����,IP設(shè) 置為0。如果接收到的DHCP報(bào)文為請(qǐng)求報(bào)文Request�����,查看是否存在相應(yīng)的DHCP用戶信息 綁定表����,不存在則創(chuàng)建DHCP用戶信息綁定表,否則�����,維護(hù)當(dāng)前存在的DHCP用戶信息綁定表�����。如果接收到的DHCP報(bào)文為響應(yīng)報(bào)文ACK���,從報(bào)文中獲取分配的IP地址和租期等 信息�,更新綁定表�,將分配給用戶的IP地址設(shè)置到對(duì)應(yīng)的DHCP用戶信息綁定表項(xiàng)中,把租 期設(shè)置為報(bào)文中的租期���;并將綁定表中的用戶MAC和用戶端口設(shè)置到靜態(tài)MAC地址表中���,使 MAC地址和用戶端口綁定。如果接收到的DHCP報(bào)文為Release或Decline����,刪除該用戶的DH CP用戶信息綁定 表項(xiàng)�����,同時(shí)刪除靜態(tài)MAC地址表中的該用戶MAC地址信息����,解除用戶MAC地址和用戶端口的 綁定關(guān)系�����。如果DHCP用戶信息綁定表中某表項(xiàng)的租期到了����,則刪除對(duì)應(yīng)用戶綁定表,同時(shí)刪 除靜態(tài)MAC地址表中的該用戶MAC地址信息����,解除用戶MAC地址和用戶端口的關(guān)聯(lián)。DHCP報(bào)文轉(zhuǎn)發(fā)模塊343 為增加DHCP協(xié)議應(yīng)用的安全性���,同時(shí)減少二層網(wǎng)絡(luò)的廣 播報(bào)文發(fā)送�����,節(jié)省網(wǎng)絡(luò)帶寬資源����,DHCP報(bào)文轉(zhuǎn)發(fā)是根據(jù)已創(chuàng)建的DHCP用戶信息綁定表轉(zhuǎn)發(fā) 的�����;具體的���,對(duì)于DHCP請(qǐng)求報(bào)文���,根據(jù)接口屬性,只向信任端口轉(zhuǎn)發(fā)�����;對(duì)于DHCP響應(yīng)報(bào)文��, 根據(jù)從報(bào)文中獲取到的用戶主機(jī)MAC地址����,查詢DHCP用戶信息綁定表,向DHCP用戶信息綁 定表中的用戶端口轉(zhuǎn)發(fā)DHCP報(bào)文����。下面通過圖4對(duì)DHCP偵聽模塊進(jìn)行DHCP報(bào)文的處理流程進(jìn)行進(jìn)一步說明�,如圖 4所示�,該過程包括以下步驟步驟S401、DHCP偵聽模塊接收到從報(bào)文接收模塊傳遞過來的DHCP報(bào)文�。步驟S402、解析DHCP報(bào)文���,獲取用戶配置信息����。步驟S403�、判斷DHCP報(bào)文的類型是請(qǐng)求報(bào)文還是響應(yīng)報(bào)文,若為請(qǐng)求報(bào)文���,執(zhí)行 步驟S404 ����;若為響應(yīng)報(bào)文�,執(zhí)行步驟S408。步驟S404���、判斷是否是Discover或Request報(bào)文�,若是,執(zhí)行步驟S405 ����;若不是, 則請(qǐng)求報(bào)文為Release或Decline報(bào)文�,執(zhí)行步驟S406。步驟S405���、對(duì)于Discover或Request報(bào)文,查看是否存在相應(yīng)的DHCP用戶信息綁 定表�,不存在則創(chuàng)建DHCP用戶信息綁定表,并向信任端口轉(zhuǎn)發(fā)報(bào)文�����。步驟S406���、對(duì)于Release或Decline報(bào)文�,刪除對(duì)應(yīng)用戶的DHCP用戶信息綁定表 項(xiàng)���、刪除靜態(tài)MAC地址表中的用戶MAC地址����,解除和用戶端口的綁定關(guān)系。步驟S407���、向信任端口轉(zhuǎn)發(fā)報(bào)文�。步驟S408�、對(duì)于響應(yīng)報(bào)文,判斷報(bào)文接收端口是否是信任端口����,若是非信任端口, 執(zhí)行步驟S409 �;若是信任端口,執(zhí)行步驟S410�。步驟S409、丟棄報(bào)文����。步驟S410、在響應(yīng)報(bào)文是ACK報(bào)文時(shí)����,從報(bào)文中獲取相關(guān)信息,更新DHCP用戶信息 綁定表(即更新表項(xiàng)中的IP地址和租期信息)�,將更新后的DHCP用戶信息綁定表中的用戶MAC地址和用戶端口設(shè)置到靜態(tài)MAC地址表中,使MAC地址和用戶端口綁定���;同時(shí)���,根據(jù) 更新后的DHCP用戶信息綁定表中的用戶MAC地址和用戶端口轉(zhuǎn)發(fā)該ACK報(bào)文���;在響應(yīng)報(bào)文是Offer報(bào)文時(shí),根據(jù)DHCP用戶信息綁定表中的用戶MAC和用戶接入 端口轉(zhuǎn)發(fā)該Offer報(bào)文���;在響應(yīng)報(bào)文是Nak報(bào)文時(shí)����,根據(jù)DHCP用戶信息綁定表中的用戶MAC和用戶接入端口轉(zhuǎn)發(fā)該Nak報(bào)文�,并刪除該用戶對(duì)應(yīng)的DHCP用戶信息綁定表項(xiàng)�����、刪除靜態(tài)MAC地址表中 的用戶MAC地址��,解除和用戶端口的綁定關(guān)系�。如圖5所示,為非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊對(duì)報(bào)文的處理流程�,包括以下步驟步驟S501、接收非DHCP報(bào)文�。步驟S502���、判斷接收到的非DHCP報(bào)文端口是信任端口還是非信任端口,若是信任 端口����,執(zhí)行步驟S506 ;若是非信任端口�����,執(zhí)行步驟S503�。步驟S503、對(duì)于來自非信任端口的報(bào)文��,基于靜態(tài)MAC地址表,檢測(cè)非DHCP報(bào)文是 否合法,若是�����,執(zhí)行步驟S505 ;否則�,執(zhí)行步驟S504。步驟S504����、丟棄該非DHCP報(bào)文���。步驟S505、進(jìn)行報(bào)文轉(zhuǎn)發(fā)�����。步驟S506��、對(duì)于來自信任端口的報(bào)文���,檢測(cè)報(bào)文的源MAC是否在交換設(shè)備的MAC轉(zhuǎn) 發(fā)表中�,若在��,執(zhí)行步驟S508 �;否則,執(zhí)行步驟S507�。步驟S507�����、對(duì)報(bào)文的源MAC地址進(jìn)行動(dòng)態(tài)MAC地址學(xué)習(xí)�����,然后執(zhí)行步驟S508。步驟S508�、進(jìn)行報(bào)文轉(zhuǎn)發(fā)。本發(fā)明提供的方法和裝置��,基于配置的靜態(tài)MAC地址表���,對(duì)來自用戶端口側(cè)的非 DHCP報(bào)文進(jìn)行過濾�����,通過對(duì)報(bào)文的源MAC地址這一合法性檢查����,使得只有通過DHCP申請(qǐng)IP 地址的用戶才能訪問網(wǎng)絡(luò)�����,從而防止了接入設(shè)備的MAC地址欺騙�,并且有效的避免了交換 設(shè)備上的MAC地址協(xié)議發(fā)生遷移,造成數(shù)據(jù)轉(zhuǎn)發(fā)紊亂�����,使用戶遭受Dos攻擊的情況。顯然��,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)�����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�。
權(quán)利要求
一種防止介質(zhì)訪問控制MAC地址欺騙攻擊的方法,其特征在于��,包括交換設(shè)備在接收到用戶端口側(cè)發(fā)送的非動(dòng)態(tài)主機(jī)配置協(xié)議DHCP報(bào)文時(shí)��,基于預(yù)先配置的靜態(tài)MAC地址表���,檢測(cè)所述非DHCP報(bào)文的合法性���,當(dāng)所述非DHCP報(bào)文不合法時(shí),丟棄該報(bào)文�����。
2.如權(quán)利要求1所述的方法��,其特征在于���,所述靜態(tài)MAC地址表中包括已通過DHCP完 成IP地址申請(qǐng)的用戶所對(duì)應(yīng)的MAC地址及與該MAC地址綁定的用戶端口號(hào)���。
3.如權(quán)利要求2所述的方法,其特征在于���,所述非DHCP報(bào)文不合法是指所述非DHCP報(bào)文的源MAC地址不在預(yù)先配置的靜態(tài)MAC地址表中���;或者,所述非DHCP 報(bào)文的源MAC地址在所述靜態(tài)MAC地址表中����,但非DHCP報(bào)文的接收端口號(hào)與所述靜態(tài)MAC 地址表項(xiàng)中用戶端口號(hào)不對(duì)應(yīng)。
4.如權(quán)利要求1或2或3所述的方法�����,其特征在于����,所述交換設(shè)備接收到DHCP服務(wù)器 或者匯聚交換機(jī)發(fā)送的非DHCP報(bào)文時(shí),判斷所述非DHCP報(bào)文的源MAC地址是否在所述交 換設(shè)備維護(hù)的動(dòng)態(tài)MAC地址表中,若是��,轉(zhuǎn)發(fā)所述非DHCP報(bào)文�����;否則�,將所述非DHCP報(bào)文的 源MAC地址學(xué)習(xí)到接收該報(bào)文的端口上,并轉(zhuǎn)發(fā)所述非DHCP報(bào)文����。
5.如權(quán)利要求1所述的方法,其特征在于�����,所述交換設(shè)備在接收到DHCP報(bào)文時(shí)���,基于所 述DHCP報(bào)文的類型進(jìn)行DHCP用戶信息綁定表的創(chuàng)建����、更新或刪除��,并完成對(duì)所述DHCP報(bào) 文的轉(zhuǎn)發(fā)�����。
6.如權(quán)利要求5所述的方法���,其特征在于��,所述靜態(tài)MAC地址表的配置方式包括所述交換設(shè)備在接收到DHCP報(bào)文且所述DHCP報(bào)文的類型為ACK報(bào)文時(shí)���,基于所述ACK 消息更新已創(chuàng)建的DHCP用戶信息綁定表,并將更新后的DHCP用戶信息綁定表中的用戶MAC 地址和用戶端口號(hào)配置到所述靜態(tài)MAC地址表中����。
7.如權(quán)利要求5所述的方法,其特征在于��,所述交換設(shè)備在接收到的所述DHCP報(bào)文的 類型為Release或Decline報(bào)文時(shí)����,或者在所述DHCP用戶信息綁定表中某一表項(xiàng)租期到期 時(shí),刪除所述靜態(tài)MAC地址表中對(duì)應(yīng)用戶的MAC地址信息�����。
8.一種交換設(shè)備�,其特征在于��,包括報(bào)文接收模塊����,用于在接收到用戶端口側(cè)發(fā)送的非DHCP報(bào)文時(shí)���,觸發(fā)非DHCP報(bào)文轉(zhuǎn)發(fā) /過濾模塊�����;非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊�,用于基于預(yù)先配置的靜態(tài)MAC地址表��,檢測(cè)所述非DHCP 報(bào)文的合法性�����,當(dāng)所述所述非DHCP報(bào)文不合法時(shí)�����,丟棄所述非DHCP報(bào)文��。
9.如權(quán)利要求8所述的交換設(shè)備�,其特征在于��,所述非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊中靜 態(tài)MAC地址表包括已通過DHCP完成IP地址申請(qǐng)的用戶所對(duì)應(yīng)的MAC地址及與該MAC地 址綁定的用戶端口號(hào)�。
10.如權(quán)利要求9所述的交換設(shè)備����,其特征在于�,所述非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊中非 DHCP報(bào)文不合法是指所述非DHCP報(bào)文的源MAC地址不在預(yù)先配置的靜態(tài)MAC地址表中;或者����,所述非DHCP 報(bào)文的源MAC地址在所述靜態(tài)MAC地址表中,但非DHCP報(bào)文的接收端口與所述靜態(tài)MAC地 址表項(xiàng)中用戶端口號(hào)不對(duì)應(yīng)���。
11.如權(quán)利要求8所述的交換設(shè)備��,其特征在于�����,還包括DHCP報(bào)文偵聽模塊���;所述報(bào)文接收模塊,還用于在接收到DHCP報(bào)文時(shí)��,觸發(fā)所述DHCP報(bào)文偵聽模塊DHCP報(bào)文偵聽模塊,用于基于所述DHCP報(bào)文的類型進(jìn)行DHCP用戶信息綁定表的創(chuàng)建��、 更新或刪除��,并完成對(duì)所述DHCP報(bào)文的轉(zhuǎn)發(fā)���。
12.如權(quán)利要求11所述的交換設(shè)備�����,其特征在于����,所述DHCP報(bào)文偵聽模塊在所述DHCP報(bào)文的類型為ACK報(bào)文時(shí)���,基于所述ACK消息更 新已創(chuàng)建的DHCP用戶信息綁定表��,并將更新后的DHCP用戶信息綁定表中的用戶MAC地址 和用戶端口號(hào)配置到所述靜態(tài)MAC地址表中����。
13.如權(quán)利要求11所述的交換設(shè)備��,其特征在于�����,所述DHCP報(bào)文偵聽模塊在接收到的 所述DHCP報(bào)文的類型為Release或Decline報(bào)文時(shí),或者在所述DHCP用戶信息綁定表中 某一表項(xiàng)租期到期時(shí)�,刪除所述靜態(tài)MAC地址表中對(duì)應(yīng)用戶的MAC地址信息。
全文摘要
本發(fā)明公開了一種防止MAC地址欺騙攻擊的方法和裝置�����,所述方法包括交換設(shè)備在接收到用戶端口側(cè)發(fā)送的非動(dòng)態(tài)主機(jī)配置協(xié)議DHCP報(bào)文時(shí)����,基于預(yù)先配置的靜態(tài)MAC地址表��,檢測(cè)所述非DHCP報(bào)文的合法性�����,當(dāng)所述非DHCP報(bào)文不合法時(shí)���,丟棄該報(bào)文��。所述裝置包括報(bào)文接收模塊和非DHCP報(bào)文轉(zhuǎn)發(fā)/過濾模塊���。本發(fā)明提供的方法防止了接入設(shè)備的MAC地址欺騙�,并且有效的避免了交換設(shè)備上的MAC地址協(xié)議發(fā)生遷移�,造成數(shù)據(jù)轉(zhuǎn)發(fā)紊亂,使用戶遭受Dos攻擊的情況��。
文檔編號(hào)H04L29/12GK101834870SQ20101017116
公開日2010年9月15日 申請(qǐng)日期2010年5月13日 優(yōu)先權(quán)日2010年5月13日
發(fā)明者劉華勇 申請(qǐng)人:中興通訊股份有限公司