• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    MACテーブルのオーバーフロー攻撃に対して防御するための方法が複数の操作を含む。ある操作は、MACテーブル内の複数のMACアドレスのそれぞれが、対応する一方向トラフィックまたは双方向トラフィックを有するかどうかを決定するために実行される。その後、対応する双方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第1カテゴリと指定し、対応する一方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第2カテゴリと指定するために操作が実行される。規定のしきい値を超えるMACアドレスの第2カテゴリと指定されたMACアドレスの数に応じて、MACアドレスの第2カテゴリと指定されたMACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定されたMACアドレスのタイムアウト値より少なくなるように操作が実行される。
    公开号:JP2011509619A
    申请号:JP2010541881
    申请日:2009-01-08
    公开日:2011-03-24
    发明作者:スン,ヨン;チヨイ,ビノツド・クマール
    申请人:アルカテル−ルーセント;
    IPC主号:H04L12-28
    专利说明:

    [0001] 本明細書でなされる開示は一般にMAC(メディアアクセス制御)テーブル内の送信元アドレス学習に関し、より詳細にはMACテーブル内の情報の制御を通じてMACテーブルのオーバーフロー攻撃に対する防御を容易にすることに関する。]
    背景技術

    [0002] イーサネット(登録商標)スイッチ(すなわちスイッチ)は、イーサネット(登録商標)フレームからの物理的宛先アドレス(すなわちMACアドレス)によってイーサネット(登録商標)フレームを特定のポートに転送する。これを行うためには、スイッチはどのポートが特定の宛先アドレスにつながるかを覚えなければならない。この情報は送信元学習として知られている手段によってポピュレートされている(すなわち組み込まれている)MACテーブルに格納される。送信元学習は、受信したイーサネット(登録商標)フレームの送信元アドレスを検査することによってイーサネット(登録商標)フレームのMACアドレスを動的に学習するスイッチを含む。このイーサネット(登録商標)フレームについてのMACアドレスがMACテーブル内に存在しない場合、このMACアドレスをMACアドレスが学習されたポートに関連付ける記録が作成される。]
    [0003] それぞれの動的に学習されたエントリは生存時間を有する。このように、それぞれのMACアドレスを指定しているイーサネット(登録商標)フレームが構成可能な期間にスイッチによって受信されない場合、MACテーブル内のそれぞれのエントリはエージアウトしてしまう。この構成可能な期間はタイムアウト値と呼ばれる。MACテーブルが一杯の場合、テーブル内のいくつかのエントリがエージアウトするまでMACアドレスは学習されない。]
    [0004] MACテーブル内の情報を管理することに関連する悪行については、MACテーブルのオーバーフロー攻撃がイーサネット(登録商標)LAN、および、たとえばMPLS(マルチプロトコルラベルスイッチング)を介する仮想プライベートLANサービス(VPLS)などの疑似イーサネット(登録商標)LANサービスにとって主なリスクのうちの1つである。MACテーブルのオーバーフロー攻撃では、攻撃者はイーサネット(登録商標)スイッチのMACテーブルの送信元学習を悪用しようとする。このような悪用は、イーサネット(登録商標)スイッチを多数の無効送信元MACアドレスにさらして(すなわち無効送信元MACアドレスの超過)、MACテーブルをこのような無効送信元MACアドレスで満たすことを含む。そうすることで、不明アドレスへの、またはそこからのトラフィックがイーサネット(登録商標)スイッチの全てのポートで超過してしまい、ネットワーク性能を著しく劣化させて、攻撃者がトラフィックをスヌープできるようにしてしまう。攻撃者が無効送信元MACアドレスの超過を維持すると、最終的に全てのより古い正当なMACエントリがエージアウトし、全ての正当なトラフィックが超過してしまう。都市圏ネットワークまたは広域ネットワーク上にイーサネット(登録商標)が展開される際、性能およびセキュリティの両方の観点からMACアドレス超過に関連する問題はより深刻になっている。]
    [0005] MACアドレス超過に対して防御するための1つの知られている手法は「ポートセキュリティ」と呼ばれる。ポートセキュリティは、イーサネット(登録商標)スイッチの特定のポートについて許容されたMACアドレスをネットワーク管理者が構成(たとえば統計的に構成)できるようにすることによってMACテーブルのオーバーフローを防止する働きをする。構成されたアドレス以外のアドレスから生じたフレームは廃棄される。しかし、それぞれのMACアドレスはイーサネット(登録商標)スイッチ上で手動で構成される必要があるので、適切にスケーラブルではないことがポートセキュリティの欠点である。したがって、ネットワークが十分に大きくなった場合(たとえばキャリアネットワーク)、全部のMACアドレスを手動で構成することはしばしば不可能である。]
    [0006] ポートセキュリティの拡張は「動的ポートセキュリティ」と呼ばれる。動的ポートセキュリティは、管理者がMACアドレス自体をただ構成できるのではなく、それぞれのポートについて許容されたMACアドレスの数を指定できるようにする。構成されたポートについて指定された数のMACアドレスが学習されると、他の送信元MACアドレスは許容されなくなる。このように、動的ポートセキュリティはMACアドレスの手動構成問題を解決する。しかし、動的ポートセキュリティもそれ自体の欠点がないわけではない。たとえば攻撃者があるポートでMAC超過攻撃を仕掛ける場合、MACアドレスの許容制限に到達すると、同じポートに接続された正当なホストに対してサービスの妨害(DoS)攻撃を引き起こすことがある。さらに、動的ポートセキュリティは柔軟性が制限されている。新しいユーザがポートに追加されると、スイッチ上のMACアドレスの許容制限を引き上げてより多くのMACアドレスを収容しなければならない。これらの理由から、動的ポートセキュリティはサービスプロバイダネットワークにとって適切ではない。]
    [0007] MACSec(すなわち、IEEE802.1aeで定義されたMACセキュリティ)と呼ばれる標準は、LANにおけるデータの機密性および完全性を保護するために暗号技法を使用することによってLANセキュリティを提供し、またMAC超過問題も間接的に解決する。しかしMACSecは、DoS攻撃を防止するためにスイッチおよび全てのエンドユーザのサポートを必要とする重量ソリューションである。したがって、MACSecは既存のネットワークでは作動しないことがある。さらにMACSecは、この標準をサポートするために必要なイーサネット(登録商標)のインストールベースをアップグレードするには実用的ではなく、PKI(公開鍵インフラストラクチャ)セキュリティ鍵を帯域外またはオンラインで配信するためにいくつかのメカニズムが設置されなければネットワーク通信を開始できない。MACSec標準をサポートするために重要な鍵管理作業が行われなければならない。その結果、VPLSサービスプロバイダなどの、速度およびサービス可用性により関心を持っている何人かのユーザにとっては、MACテーブルのオーバーフロー攻撃に対する軽量ソリューションの方がより望ましい場合がある。]
    先行技術

    [0008] IEEE802.1ae]
    発明が解決しようとする課題

    [0009] MACテーブルのオーバーフロー攻撃に対して防御するための知られている手法に関連する限界を克服する方法でMACテーブルのオーバーフロー攻撃に対して防御するソリューションが好都合であり、望ましく、また便利であろう。]
    課題を解決するための手段

    [0010] 本発明の実施形態は、MACテーブルのオーバーフロー攻撃に対して防御するための知られている手法に関連する限界を克服する方法で、MACテーブルのオーバーフロー攻撃に対して防御するために構成されている。より詳細には、本発明の実施形態は攻撃者が無効送信元MACアドレスの超過を維持する場合に、MACテーブルのオーバーフロー攻撃がMACテーブル内の正当なMACエントリがエージアウトさせることを防ぐ。このように、本発明の実施形態は全ての正当なトラフィックが、攻撃者からの無効送信元MACアドレスを利用して超過させられるのを防止する。]
    [0011] 従来、スイッチが送信元学習(すなわち動的学習)によってMACテーブルを作成し、このテーブルに基づいてフレームを転送する。これらの動的に学習したエントリのそれぞれは同じタイムアウト値を有する。したがってスイッチが攻撃を受ける場合、より古いエントリが新しいエントリよりもゆっくりとエージアウトすることが学習されると、最終的にそのスイッチのMACテーブルは容量が一杯になる。全てのMACアドレスに同じタイムアウト値を割り振ることとは対照的に、本発明の実施形態によって構成されたスイッチは、正当なMACアドレスに割り振るタイムアウト値より短いタイムアウト値を無効MACアドレスに割り振る。そうすることで、MACテーブルのオーバーフロー攻撃が起きた時に、MACテーブル内の無効エントリがより速くエージアウトして正当なMACアドレスのためのスペースを空けることができ、起こりうるMACテーブルのオーバーフロー攻撃を防止することができる。]
    [0012] 本発明の一実施形態では、MACテーブルのオーバーフロー攻撃に対して防御するための方法は複数の操作を含む。MACテーブル内の複数のMACアドレスのそれぞれが、対応する一方向トラフィックまたは双方向トラフィックを有するかどうかを決定するために操作が実行される。その後、対応する双方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第1カテゴリと指定するために、および対応する一方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第2カテゴリと指定するために操作が実行される。規定のしきい値を超えるMACアドレスの第2カテゴリと指定されたMACアドレスの数に応じて、MACアドレスの第2カテゴリと指定されたMACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定されたMACアドレスのタイムアウト値より少なくなるように操作が実行される。]
    [0013] 本発明の他の実施形態では、イーサネット(登録商標)スイッチはMACテーブル、超過決定メカニズム、およびタイムアウト値調整メカニズムを備える。MACテーブルは内部に複数のMACアドレスエントリを有する。エントリのそれぞれは、それぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定する。それぞれのMACアドレスカテゴリは、一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つである。超過決定メカニズムは、一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のしきい値を超える時を判定するように構成されている。タイムアウト値調整メカニズムは、MACアドレスカテゴリによってタイムアウト値を調整するように構成されている。このような調整は、一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの少なくとも一部のタイムアウト値がデフォルトのタイムアウト値より少なくなるようにすることを含む。]
    [0014] 本発明の他の実施形態では、データ記憶装置は内部に格納されたプロセッサ実行可能命令のセットを有する。プロセッサ実行可能命令のセットは、MACテーブルのオーバーフロー攻撃に対して防御するように構成された様々な命令を含む。この目的を達成するために、MACテーブルに複数のMACアドレスエントリをポピュレートするために命令が提供される。1つ1つのエントリがそれぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定し、それぞれのMACアドレスカテゴリは一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つである。一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のしきい値を超える時を判定するために命令が提供される。規定のしきい値を超える一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数に応じて、MACアドレスカテゴリによってタイムアウト値の少なくとも一部を調整するために命令が提供される。]
    [0015] このように、本発明の実施形態がMACテーブルのオーバーフロー攻撃に対して防御するための従来の手法に関するいくつかの諸利点を提供する方法で、MACテーブルのオーバーフロー攻撃に対する防御を容易にすることを当業者は理解するであろう。このような実施形態の1つの利点は、軽量、簡単、単純な方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによって複雑な計算が必要とされず、またスイッチが引き続き従来のブリッジのように働くことである。他の利点は、このような実施形態は柔軟でスケーラブルな方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによってMACアドレスまたは複数のMACアドレスが構成される必要がなく、また新しいユーザが追加されてもスイッチ上の構成変更が必要とされないことである。本発明の他の利点は、このような実施形態は回復力がある方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによって攻撃が起こった時にスイッチが引き続き他のポートまたは攻撃が発生したポートから/への正当なユーザトラフィックさえも許可することであり、これはVPLS(たとえば、サービスプロバイダからのエミュレートローカルエリアネットワーク(E−LAN)サービス)にとって特に重要かつ便利である。さらに他の利点は、このような実施形態は、MACSecとは異なり既存のスイッチおよび/またはエンドユーザ装置に大規模な変更が行われなくてよい方法でMACテーブルのオーバーフロー攻撃に対して防御することである。]
    [0016] 本発明のこれらおよびその他の目的、実施形態、諸利点および/または特徴は、以下の明細書、関連する図面、および添付の特許請求の範囲をさらに見直すことによって容易に明らかになるであろう。]
    図面の簡単な説明

    [0017] 本発明の実施形態による、MACテーブルのオーバーフロー攻撃に対して防御するための方法を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。
    本発明の実施形態による、MACテーブルの様々なポピュレートされる状態を示す図である。]
    実施例

    [0018] 一般的に正当なトラフィックは双方向なので、MACアドレスは適当なタイムウインドウ内でスイッチによって送信元および宛先の両方として見なされうる。逆に、一般的にMACテーブルのオーバーフロー攻撃は一方向である。送信元としてスプーフィングされたMACアドレスを有するフレームがMACテーブルをオーバーフローさせようという意図で送信され、スイッチはそれらのスプーフィングされたアドレスへのいかなる応答トラフィックも見えない。MACテーブルのオーバーフロー攻撃に対して防御するために本発明の実施形態が使用するのは、これらの一方向および双方向トラフィックの考察である。]
    [0019] ここで本発明の実施形態の特定の記述を参照すると、スイッチ上のMACアドレスが送信元および宛先アドレスの両方として見なされた場合、「検証済み」(すなわち検証済みMACアドレス)と呼ばれる。MACアドレスが、送信元アドレスとしてのみ見なされ宛先アドレスとはまだ見なされない場合、「未検証」(すなわち未検証MACアドレス)と呼ばれる。このように、検証済みMACアドレスと通信している機械は検証済み機械であり、未検証MACアドレスと通信している機械は未検証機械である。]
    [0020] 初めに(たとえば本発明によるシステムの初期設定時に)、検証済みMACアドレスと未検証MACアドレスの両方にデフォルトタイムアウト値が割り振られる。本発明のいくつかの実装形態では、検証済みおよび未検証MACアドレスは、現実世界の状況において送信元および宛先アドレスに関して非対称を示すトラフィックの割合が小さいので、共通のデフォルトタイムアウト値が割り振られる。本発明の他の実装形態では、検証済みおよび未検証MACアドレスは事実上異なる(たとえば比較的少量によって)、または実質的に異なる(たとえば比較的大量によって)それぞれのデフォルトタイムアウト値を割り振られる。したがって、MACテーブルのオーバーフロー攻撃が起こらない場合、スイッチは正確にまたは本質的に従来の(すなわち従来技術の)スイッチのように働く。]
    [0021] MAC超過が起こると(すなわちMACテーブルのオーバーフロー攻撃)、スイッチは特定のポートについて未検証MACアドレスの著しい増加を見ることになる。構成可能なペナルティしきい値1まで数が増えると、その特定のポートについての未検証アドレスのタイムアウト値が第1の構成可能な量(たとえば割合、増分など)だけ減らされるので、スプーフィングされたMACアドレス(複数可)は迅速にエージアウトし、不明な正当なMACアドレス(複数可)が引き続き学習されうる。同じ特定のポートについての未検証MACアドレスの数が増え続けて第2ペナルティしきい値2を超えると、その特定のポートについての未検証アドレスのタイムアウト値が第2の構成可能な量だけ再び減らされるので、未検証MACアドレス(複数可)はさらに迅速にタイムアウトする。反対に、MACテーブルのオーバーフロー攻撃が停止するか、未検証MACアドレスの数がどちらのペナルティしきい値も下回るまで減るほど緩やかになると、特定のポート上で学習された未検証MACアドレスについてのタイムアウト値が、最近のペナルティしきい値が超えられる前に使用された値まで復元されることになる。したがって、この実装形態ではタイムアウト値はポートベースで調整される。あるいは本発明の簡易化した実装形態では、全てのポートについての未検証MACアドレスの総数を監視でき、未検証MACアドレスについてのタイムアウト値をポートベースとは対照的にシステムワイドベースで調整できる。ペナルティしきい値の数およびそれらの値が様々なシステムパラメータ(たとえばスイッチのMACテーブルのサイズ)に基づいて構成可能でありうることが本明細書で開示される。]
    [0022] MACテーブルのオーバーフロー攻撃が制御不能になり、したがってポート上で受信される未検証MACアドレスの数が構成可能な廃棄しきい値まで増え続けると、攻撃不可能にするためにスイッチはそのポートからの不明MACアドレスからのトラフィックを廃棄することになる。しかし、検証済み(すなわち知られたMACアドレス)からのトラフィックは通常通り処理される。このように、スイッチはそれぞれのMACアドレスの状況を追尾してタイムアウト値または廃棄するトラフィックを未検証MACアドレスの数に基づいて調整する知能を追加した従来のスイッチのように操作する。]
    [0023] 図1は、本発明の実施形態によるMACテーブルのオーバーフロー攻撃に対して防御するためのデータフロー方法100を示している。操作102はイーサネット(登録商標)スイッチのポート上でフレームを受信するために実行される。フレームを受信することに応答して、フレームのコンテンツに関連付けられているMAC情報を評価するために操作104が実行される。フレームの送信元MACアドレスがスイッチのMACテーブル内になく、MACテーブルが一杯ではなく、および廃棄しきい値が超えられている場合、パケットを廃棄するための操作106が実行される。フレームの送信元MACアドレスがMACテーブル内になく、MACテーブルが一杯ではなく、廃棄しきい値が超えられておらず、およびペナルティしきい値が超えられている場合、MACアドレス(すなわち未検証MACアドレス)のタイムアウト値を減らすために操作108が実行され、送信元MACアドレスをMACテーブルに未検証として追加するために実行される操作110、およびMACエントリについてのタイムアウトカウンタを開始するために実行される操作112が続く。あるいは、フレームの送信元MACアドレスがMACテーブル内にあるか、フレームの送信元MACアドレスがMACテーブル内にないがMACテーブルが一杯の場合、そのフレームについての宛先MACアドレスがMACテーブルにない場合はスイッチの全てのポートへのフレームを超過させるために操作114が実行される。フレームのMACアドレスがMACテーブル内になく、MACテーブルが一杯ではなく、廃棄しきい値が超えられておらず、およびペナルティしきい値が超えられていない場合、方法はMACテーブルに送信元MACアドレスを追加するための操作110に続く。] 図1
    [0024] フレームの送信元MACアドレスがMACテーブル内にあるか、フレームの送信元MACアドレスがMACテーブル内にないがMACテーブルが一杯の場合、宛先MACアドレスがMACテーブル内にあり、送信元および宛先MACアドレスが共通のポート上になく、および宛先MACアドレスが未検証の場合は、宛先MACアドレスの状況を未検証から検証済みへ変更するために操作116が実行される。その後、ポートについてのタイムアウトカウンタをリセットするために操作118が実行され、フレームを宛先MACアドレスに転送するために操作120が実行される。宛先MACアドレスが検証済みの場合、MACアドレスの状況を未検証から検証済みに変更するための116の操作が省略されて、方法はタイムアウトカウンタをリセットするための操作118に続く。送信元および宛先MACアドレスが共通ポート上にある場合、方法はパケットを廃棄するための操作106に続く。]
    [0025] 送信元MACアドレスを未検証としてMACテーブルに追加するための操作110を実行することに関連してタイマを開始するための操作112を再び参照すると、その後、宛先MACアドレスがMACテーブル内にあり、送信元および宛先MACアドレスは共通のポート上になく、および宛先MACアドレスが未検証の場合は、方法はMACアドレスの状況を未検証から検証済みに変更するための操作116に続く。宛先MACアドレスが検証済みの場合、MACアドレスの状況を未検証から検証済みに変更するための116の操作が省略されて、方法はタイムアウトカウンタをリセットするための操作118に続く。送信元および宛先MACアドレスが共通ポート上にある場合、方法はパケットを廃棄するための操作106に続く。]
    [0026] 実施例−MACテーブルのオーバーフロー攻撃に対して防御するように構成されたシステム
    ネットワークは、それぞれスイッチ(すなわちSwitch)のポートp1、p2、およびp3に接続されたMACアドレスMAC1、MAC2、およびMAC3を有する3つのホストマシンを含む。3つのホストマシンはそれぞれMAC1、MAC2、およびMAC3と呼ばれる。MAC1とスイッチとの間にハブ(すなわちHUB)が接続されている。スイッチが起動するとスイッチのMACテーブルが消去される。]
    [0027] 図2および表1(すなわちスイッチMACテーブル)を参照すると、MAC1がフレームをMAC2に送信し、ポートp1上のスイッチによって受信される。スイッチはそのMACテーブルを検査してMAC1が見つからなかったので、MAC1の送信元MACアドレスのためのエントリをMACテーブル内に作成して、MAC1をポートp1に関連付け、MAC1のMACアドレスの状況を未検証と設定する。次いで、このMACテーブルエントリについてのタイムアウトカウンタが開始される。スイッチによって、ユーザ(たとえばシステム管理者)が未検証および検証済みMACアドレスの両方についてのデフォルトタイムアウト値を指定できるようになる。この例では、検証済みおよび未検証MACアドレスの両方についてのタイムアウト値が300秒に設定される。] 図2
    [0028] 次に、MAC1についての宛先MACアドレスがMACテーブルと突き合わせて検査される。MAC2が見つからない(すなわち、MACテーブル内にMAC2についてのエントリがない)ので、図3に示されるようにスイッチは全てのポートにフレームを超過させる。] 図3
    [0029] したがって、MAC2とMAC3の両方がこのフレームを受信することになる。宛先がMAC3のアドレスではないので、MAC3はこのフレームを廃棄する。MAC2はこのフレームを受信後、MAC1に応答する。このように送信元としてMAC2を、および宛先としてMAC1を有するフレームがポートP2上のスイッチによって見られる。図4および表2を参照すると、スイッチがMAC2の送信元アドレスを検査するがMACテーブル内に見つけられないので、スイッチはポートP2をMAC2に関連付けるためにエントリを作成して、この送信元アドレスの状況を未検証と設定し(すなわちMAC2のMACアドレスはそれによって関連付けられた一方向トラフィックだけを有するので)、次いでこのMACテーブルエントリについてのタイムアウトカウンタを開始する。] 図4
    [0030] その後、宛先MACアドレスが検査される。ここでMACテーブル内にMAC1が見つかり、未検証である状況を有すると決定される。したがって、MAC1のMACアドレスは双方向トラフィックをサポートし、スイッチがMAC1の状況を検証済みに変更し、MAC1についてのタイムアウトカウンタをリセットし、次いでフレームをMAC1に転送する。]
    [0031] 実証目的のテーブルはMAC1およびMAC2アドレスがポピュレートされてから経過した時間を考慮しておらず、したがって「残りのタイムアウト」について現実的な値を有さない点に留意されたい。]
    [0032] 図5および表3を参照すると、MAC1が別のフレームをMAC2に送信すると、スイッチはMAC2の状況を検証済みにアップデートして、MAC2についてのタイムアウトカウンタをリセットし、全てのポートを超過させずにそのフレームをP2に直接送信することになる。] 図5
    [0033] 図6および表4を参照すると、攻撃者がスイッチのポートP1に接続されているハブに接続して多数の無効送信元アドレス(たとえばMAC−a、MAC−bなど)を有するフレームをスイッチに送信すると、それらの無効MACアドレスはスプーフィングされて帰りのトラフィックが見られないので、スイッチはこれらの無効MACアドレスをポートP1と関連付けて、状況を未検証と設定するためにエントリを作成することになる。この段階では、スイッチは未検証MACからのトラフィックが正当かどうかわからないので、無効MACアドレスについてのデフォルトタイムアウトが引き続き使用される。一般的に、攻撃トラフィックはMACテーブル内では見つけられないスプーフィングされた宛先MACアドレスを使用することになるので、スイッチによって全てのポートにトラフィックが超過される。] 図6
    [0034] 表5を参照すると、攻撃がまだ続いているので多数の未検証MACアドレスがMACテーブルに追加されることになる。この数が第1構成可能しきい値(たとえば、ペナルティしきい値1)に到達すると、たとえばMACテーブルスペースの20%が1つのポート上で学習された未検証MACアドレスによって占められ、スイッチが攻撃を受けている可能性が高いので、スイッチはP1上で学習された未検証MACアドレスのタイムアウト値を50%(すなわち構成可能な値)減らすことになる。次に、P1からの全ての新しく学習された未検証MACアドレスが150秒のタイムアウト値を有することになり、正当なMACアドレスのためにスペースを空けるために迅速にエージアウトできるようになる。未検証MACアドレスの数が第2構成可能しきい値(たとえばペナルティしきい値)まで増加し続けると、対応する未検証MACアドレスのタイムアウトをさらに迅速にするためにタイムアウト値はさらに50%減らされる。攻撃が停止するか緩やかになると、より古い無効未検証MACアドレスがエージアウトするので未検証MACアドレスの数は減るはずである。その数がどちらのペナルティしきい値よりも少ない場合、ポート上で学習された未検証MACアドレスについてのタイムアウト値はペナルティしきい値が超えられる前に使用された値に復元される。ペナルティしきい値の数およびそれらの値は構成可能であり、MACテーブルの大きさに基づくべきである。]
    [0035] 図7を参照すると、攻撃が激しくなると、最終的に高い割合(たとえば、廃棄しきい値)のMACテーブルが、P1上で学習された未検証MACアドレス(すなわちXと表される)で一杯になる。スイッチは攻撃が進行中であることを確信することになり、攻撃不可能にするためにポートP1上で受信した不明アドレスからの全てのトラフィックを廃棄できる。しかし、知られているMACアドレスからのトラフィック、この例ではMAC1は、引き続き正当なユーザ通信(たとえば、Vと表される検証済みのMACアドレス)を可能にすることが許容される。] 図7
    [0036] 次にデータ処理装置で処理可能な命令を参照すると、本明細書で行われた開示から、本明細書で開示されたMACテーブルのオーバーフロー攻撃防御機能を実行するように構成された方法、処理および/または操作は、このような機能を実行するように構成された、命令をその上に有するコンピュータ可読のメディアによって有形に実装されることが理解できるであろう。ある特定の実施形態では、上記で開示された方法100、本明細書で提示した実施例、その両方または両方からの一部の組合せを実行するために命令は有形に実装される。命令は1つまたは複数のデータ処理装置によって、メモリ装置(たとえばRAM、ROM、仮想メモリ、ハードドライブメモリなど)から、データ処理システムのドライブユニットによって読取り可能な装置(たとえばディスケット、コンパクトディスク、テープカートリッジなど)から、またはその両方からアクセス可能でよい。したがって、本発明によるコンピュータ可読メディアの実施形態は、コンパクトディスク、ハードドライブ、RAM、または本発明によるMACテーブルのオーバーフロー攻撃防御機能を実行するように構成されたコンピュータプログラム(すなわち命令)のイメージをとる他のタイプの記憶装置を含む。]
    [0037] 前述の詳細な説明では、本明細書の一部を形成する、および本発明が実行されうる特定の実施形態を例示によって示す添付の図面を参照した。これらの実施形態およびその特定の変形形態を、当業者が本発明の実施形態を実行できるように十分に詳細に説明してきた。このような発明の開示の趣旨および範囲から逸脱することなく、他の適切な実施形態が利用されてよく、また論理的、機械的、化学的および電気的変更が行われてよいことが理解されるべきである。不要な詳細を省くために、この説明では当業者に知られているある種の情報を省略する。したがって前述の詳細な説明は本明細書で説明した特定の形式に限定することを意図せず、逆にこのような代替案、変更形態、および同等物を添付の特許請求の範囲の趣旨および範囲内に合理的に含まれうるものとして含むことを意図する。]
    权利要求:

    請求項1
    MACテーブルのオーバーフロー攻撃に対して防御するための方法であって、MACテーブル内の複数のMACアドレスのそれぞれが対応する一方向トラフィックまたは双方向トラフィックを有するかどうかを決定するステップと、対応する双方向トラフィックを有するそれぞれのMACアドレスを、MACアドレスの第1カテゴリと指定するステップと対応する一方向トラフィックを有するそれぞれのMACアドレスを、MACアドレスの第2カテゴリと指定するステップと、規定のしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて、MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定された前記MACアドレスのタイムアウト値よりも少なくなるようにするステップとを含む、方法。
    請求項2
    前記決定するステップ、前記指定するステップ、および前記少なくなるようにするステップが全てポートベースで実行される、請求項1に記載の方法。
    請求項3
    前記MACアドレスの全てのタイムアウト値が、初めに共通のデフォルトタイムアウト値に設定され、MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定された前記MACアドレスのタイムアウト値より少なくなるようにするステップが、MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、それぞれの規定のペナルティしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に関連して減らされた値に設定するステップを含む、請求項1に記載の方法。
    請求項4
    それぞれの規定の廃棄しきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて、MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部に関連付けられるトラフィックを廃棄するステップをさらに含む、請求項3に記載の方法。
    請求項5
    タイムアウト値を減らされた値に設定するステップが、MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、第1の規定のしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に関連して第1の減らされた値に設定するステップと、MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、第1の規定のしきい値よりも大きい第2の規定のしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に関連して第2の減らされた値に設定するステップとを含む、請求項3に記載の方法。
    請求項6
    複数のMACアドレスエントリを内部に有するMACテーブルであって、前記エントリのそれぞれがそれぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定し、それぞれのMACアドレスカテゴリが一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つであるMACテーブルと、前記一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のしきい値を超える時を判定するように構成された超過決定メカニズムと、MACアドレスカテゴリによって前記タイムアウト値を調整するように構成されたタイムアウト値調整メカニズムであって、前記調整するステップが前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの少なくとも一部のタイムアウト値がデフォルトタイムアウト値より少なくなるようにするステップを含むタイムアウト値調整メカニズムとを備える、イーサネット(登録商標)スイッチ。
    請求項7
    前記決定するステップおよび前記調整するステップがポートベースで実行される、請求項10に記載のスイッチ。
    請求項8
    超過決定メカニズムが、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が第1の規定のペナルティしきい値を超える時、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が第2の規定のペナルティしきい値を超える時、および、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が規定の廃棄しきい値を超える時を判定するように構成され、タイムアウト値調整メカニズムが、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリ内のタイムアウト値を、第1の規定のペナルティしきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じてデフォルトタイムアウト値に対して第1の減らされた値に設定し、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリ内のタイムアウト値を、第2の規定のペナルティしきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて前記デフォルトタイムアウト値に対して第2の減らされた値に設定し、廃棄しきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの少なくとも一部に関連付けられるトラフィックを廃棄するように構成される、請求項10に記載のスイッチ。
    請求項9
    超過決定メカニズムが、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数が現在減らされたタイムアウト値に対応するしきい値を下回る時を判定するように構成され、タイムアウト値調整メカニズムが前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリのタイムアウト値を、現在減らされたタイムアウト値に対応するしきい値から後退する前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて現在減らされたタイムアウト値ほど減らされないタイムアウト値に設定するように構成される、請求項12に記載のスイッチ。
    請求項10
    前記決定するステップおよび前記調整するステップがポートベースで実行される、請求項12に記載のスイッチ。
    类似技术:
    公开号 | 公开日 | 专利标题
    JP6335363B2|2018-05-30|仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供
    US9654494B2|2017-05-16|Detecting and marking client devices
    US9413718B1|2016-08-09|Load balancing among a cluster of firewall security devices
    US9100242B2|2015-08-04|System and method for maintaining captive portal user authentication
    US9369434B2|2016-06-14|Whitelist-based network switch
    US9137154B2|2015-09-15|Management of routing tables shared by logical switch partitions in a distributed network switch
    US8984618B2|2015-03-17|System for managing virtual private network and method thereof
    US9219638B2|2015-12-22|Apparatus and method for applying network policy at a network device
    US8839409B2|2014-09-16|Tunneled security groups
    US8949459B1|2015-02-03|Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers
    US8832820B2|2014-09-09|Isolation and security hardening among workloads in a multi-tenant networked environment
    US8898665B2|2014-11-25|System, method and computer program product for inviting other virtual machine to access a memory space allocated to a virtual machine
    US20150200808A1|2015-07-16|Method and system for virtual machine aware policy management
    US9110703B2|2015-08-18|Virtual machine packet processing
    US20160119234A1|2016-04-28|Content filtering for information centric networks
    US8533780B2|2013-09-10|Dynamic content-based routing
    US20150326533A1|2015-11-12|Load balancing among a cluster of firewall security devices
    US8250647B2|2012-08-21|Method and apparatus for automatic filter generation and maintenance
    US8566612B2|2013-10-22|System and method for a secure I/O interface
    US7100201B2|2006-08-29|Undetectable firewall
    US8886827B2|2014-11-11|Flow cache mechanism for performing packet flow lookups in a network device
    US7379423B1|2008-05-27|Filtering subscriber traffic to prevent denial-of-service attacks
    US8301882B2|2012-10-30|Method and apparatus for ingress filtering using security group information
    US7814311B2|2010-10-12|Role aware network security enforcement
    US7590733B2|2009-09-15|Dynamic address assignment for access control on DHCP networks
    同族专利:
    公开号 | 公开日
    EP2260628A2|2010-12-15|
    CN101911648A|2010-12-08|
    AT524009T|2011-09-15|
    CN101911648B|2013-10-16|
    EP2260628B1|2011-09-07|
    WO2009093224A3|2009-12-17|
    US20090182854A1|2009-07-16|
    WO2009093224A2|2009-07-30|
    KR20100095626A|2010-08-31|
    US8180874B2|2012-05-15|
    KR101171545B1|2012-08-06|
    JP5111618B2|2013-01-09|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2012-01-26| A977| Report on retrieval|Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120126 |
    2012-02-08| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120207 |
    2012-05-02| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120501 |
    2012-05-11| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120510 |
    2012-08-03| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120802 |
    2012-09-03| TRDD| Decision of grant or rejection written|
    2012-09-12| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120911 |
    2012-09-13| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 |
    2012-10-18| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121009 |
    2012-10-19| R150| Certificate of patent or registration of utility model|Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    2012-10-19| FPAY| Renewal fee payment (event date is renewal date of database)|Free format text: PAYMENT UNTIL: 20151019 Year of fee payment: 3 |
    2015-10-20| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2016-10-18| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2017-10-17| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2018-10-19| LAPS| Cancellation because of no payment of annual fees|
    2019-04-25| S531| Written request for registration of change of domicile|Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
    2019-04-25| S111| Request for change of ownership or part of ownership|Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
    2019-06-26| R371| Transfer withdrawn|Free format text: JAPANESE INTERMEDIATE CODE: R371 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]