软件定义网络拓扑保护方法研究

摘要

软件定义网络通过解耦网络控制和数据转发功能，实现了集中式网络管理和流量调度。网络拓扑发现是软件定义网络集中式管理的基础，在多租户的云数据中心网络中，接入终端和交换机等网络单元逐渐虚拟化，云平台内部潜在的恶意节点容易通过漏洞利用、身份伪造等手段控制接入终端和交换机等资源，进而发动网络拓扑污染攻击，瘫痪整个网络。 针对软件定义网络拓扑发现机制存在的安全问题，设计并实现基于控制器的网络拓扑保护方法。方法由数据收集模块、数据分析模块、攻击检测和防御三个模块组成。数据收集模块主动收集Packet-in、端口统计响应等多种类型消息，并提取链路层发现协议（Link Layer Discovery Protocol，LLDP）报文和主机流表项请求报文信息；数据分析模块基于提取的数据构造整个网络的端口信息表，基于Packet_in消息确定网络主机是否存活，通过端口信息表和网络主机状态对LLDP数据报文进行分类，进而明确不同类型网络拓扑污染攻击的数据报文特征和检测方法；攻击检测和防御模块根据不同类型的LLDP报文分别设计特征检测、流量分析攻击检测算法，实时检测主机LLDP伪造/重放和交换机LLDP伪造/重放四种拓扑污染攻击，通过控制器及时下发网络拓扑保护安全策略，实时阻断攻击。 为验证拓扑发现机制的漏洞和拓扑保护方法的有效性，基于Floodlight和Mininet搭建实验平台，重现LLDP报文伪造和重放攻击，并基于开发的应用实施SDN拓扑污染攻击检测和防御。实验结果表明：网络中的恶意设备能够利用拓扑发现机制的漏洞发动攻击，伪造链路甚至瘫痪整个网络；方法能够在10秒内检测出恶意设备发动的网络拓扑污染攻击，并且对正常的交换机和控制器通讯没有影响，但在网络规模增大，链路数量较多的情况下正常链路探测的额外开销会显著增加。

目录

第一个书签之前