[发明专利]一种防MAC泛洪攻击的方法及装置

说明书

本申请提供一种防MAC泛洪攻击的方法及装置，所述方法应用于网管服务器，所述方法包括：接收到所述网关设备上传的MAC地址；所述MAC地址包括所述网关设备的MAC地址，以及所述网关设备所在网段的终端设备的MAC地址；然后基于所述网关设备上传的MAC地址创建MAC地址集，并向各接入交换机下发所述MAC地址集，以使得各接入交换机基于所述MAC地址集生成防MAC泛洪攻击的MAC地址白名单。本申请有效地防护了MAC泛洪攻击，并且避免了正常的报文被泛洪处理，导致目标局域网的通信效率下降的问题。

技术领域

本申请涉及安全防护领域，特别涉及一种防MAC泛洪攻击的方法及装置。

背景技术

当交换机接收到报文，无法在本地查找到对应于该报文的源MAC的MAC表项时，可以通过保存该报文的源MAC与接收该报文的端口的映射关系，来学习对应于该报文的源MAC的MAC表项。

MAC泛洪攻击正是基于上述交换机学习MAC表项的机制产生的。在典型的MAC泛洪攻击中，攻击者通过局域网中与交换机连接的主机向交换机发送大量具有伪造出的无效源MAC的报文，导致交换机内存或芯片资源学习到大量对应于无效MAC地址的MAC表项，从而在后续没有足够的交换机内存或芯片资源来存放有效的MAC地址与端口的映射关系。

当交换机内存或芯片资源被完全占用时，交换机在后续无法学习新的MAC表项，MAC泛洪攻击成功，此时，交换机进入失效开放(fail open)模式。交换机进入失效开放模式后，在后续接收到报文时，会将后续接收到的报文广播至除接收该报文的端口以外的所有端口。在这种情况下，正常的报文都会被泛洪处理，降低了交换机的工作效率。此外，攻击者可以进一步通过嗅探工具，对在局域网内广播的报文进行捕获，从而得到机密信息或者各类业务敏感信息。

在现有技术中，通过限制交换机学习对应于各端口的MAC地址的数量来防范MAC泛洪攻击。当交换机的任一端口遭受到MAC泛洪攻击时，交换机会学习对应于该端口的MAC表项，当学习到的MAC表项达到预设的数量上限后，交换机不再学习对应于该端口的新的MAC表项。在这种情况下，若交换机的任一端口遭受MAC泛洪攻击，交换机内存或芯片资源不会被无效的MAC表项占满，交换机从其它未受MAC泛洪攻击的端口接收到报文后，仍可以正常学习新的MAC表项，以及在查找到对应的表项后单播该报文。

然而，现有技术中，当交换机的任一端口遭受到MAC泛洪攻击，且交换机学习到的对应于该端口的MAC表项达到预设的数量上限后，由于无法学习到对应于该端口的新的MAC表项，交换机在后续接收到正常的报文时，如果该报文的目的MAC与上述遭受攻击的端口相对应，由于交换机不再学习对应于该端口的MAC表项，因此，交换机无法查找到对应于该报文的目的MAC的MAC表项，会泛洪该报文。

可见，现有技术在防护MAC泛洪攻击时，会导致正常的报文被泛洪处理，降低了局域网的通信效率。

发明内容

有鉴于此，本申请提供一种防MAC泛洪攻击的方法及装置，用于解决现有技术在防护MAC泛洪攻击时，会导致正常的报文被泛洪处理，降低局域网的通信效率的问题。

具体地，本申请是通过如下技术方案实现的：

一种防MAC泛洪攻击的方法，应用于网管服务器，所述网管服务器与目标局域网中的网关设备对接；所述目标局域网还包括若干个接入交换机以及若干个终端设备，包括：

接收到所述网关设备上传的MAC地址；所述MAC地址包括所述网关设备的MAC地址，以及所述网关设备所在网段的终端设备的MAC地址；

基于所述网关设备上传的MAC地址创建MAC地址集；

向各接入交换机下发所述MAC地址集，以使得各接入交换机基于所述MAC地址集生成防MAC泛洪攻击的MAC地址白名单。