1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地

址表中。

2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。

3.如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪（flood）。

4.广播帧和组播帧向所有的端口转发。

以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起

有如下的工作场景：

一个4口的switch,端口分别为Port.A、Port.B、Port.C、Port.D对应主机 A,B,C，D，其中D为网关。

当主机A向B发送数据时，A主机按照OSI往下封装数据帧，过程中，会根据IP地址查找到B主机的M

AC地址，填充到数据帧中的目的MAC地址。

发送之前网 卡的MAC层协议控制电路也会先做个判断，如果目的MAC相同于本网卡的MAC，则不

会发送，反之网卡将这份数据发送出去。Port.A接收到数据帧，交换机按照上述的检查过程，在MAC地

址表发现B的MAC地址(数据帧目的MAC)所在端口号为Port.B，而数据

这个寻址过程也可以概括为IP->MAC->PORT,ARP欺骗是欺骗了IP/MAC的应关系，而MAC欺骗则

是欺骗了MAC /PORT的对应关系。比较早的攻击方法是泛洪交换机的MAC地址，这样确实会使交换机

以广播模式工作从而达到嗅探的目的，但是会造成交换机负载过大，网络缓慢和丢包甚至瘫痪，我们不采

用这种方法。

工作环境为上述的4口swith，软件以cncert的httphijack 为例，应用为A主机劫持C主机的数据。以

下是劫持过程(da为目的MAC,sa为源MAC)这样就表明b.mac 对应的是port.a，在一段时间内，交换机会

把发往b.mac 的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包，或者另外一个da=

网关.mac、sa=b.mac的数据包产生前。

由于这种攻击方法具有时间分段特性，所以对方的流量越大，劫持频率也越低，网络越稳定。隐蔽性强，

基于1的特殊性和工作本质，可以在ARP防火墙和双向绑定的环境中工作。

高级的以太网交换机可以采用ip+mac+port 绑定，控制CAM表的自动学习。目前尚无软件可以防护

此类攻击