软件定义网络中的ARP攻击解决方法研究

摘要

随着人们生产生活对网络服务的依赖性增加，网络业务类型日渐丰富，流量与规模急剧增长，传统的分布式网络架构显得过于复杂和臃肿，难以管理与扩展开发。为解决这些问题，Nick McKeown等人提出SDN这一新型网络架构。SDN以其集中式控制和可编程性等优势得到学术界与商业界的极大肯定，有关SDN的科研成果和商业应用层出不穷。然而，SDN技术在推动网络发展的同时，也显露出诸多安全问题。由于SDN改变的只是上层网络架构，接入主机之间仍然遵循TCP/IP协议规则进行通信，传统的ARP攻击依然能够发生。并且SDN网络中的ARP攻击可以欺骗控制器建立错误的网络拓扑，从而造成更加严重的攻击影响。传统网络中的ARP攻击解决方案都是由目的主机对收到的ARP数据包做信息校验，但在SDN网络中，控制器将先于目的主机接收到ARP数据包。因此，传统网络中的ARP攻击解决方案并不适用于SDN网络。SDN中已有的攻击检测方法都不是针对ARP攻击设计的，因而不能准确地识别ARP攻击。
　　本研究提出了一种SDN网络的ARP攻击解决方案。方案要求主机接入网络之前先与控制器共享一条哈希链，控制器在主机申请IP地址阶段，为主机建立配置信息表项，记录主机的 MAC、IP地址和初始接入位置。处理 ARP数据包时，控制器可以根据配置信息表中的信息、与主机共享的哈希链信息甚至借助DHCP服务器，来检测ARP数据包中源主机的MAC-IP映射关系和MAC地址的真实性,从而准确检测出每一个欺骗性ARP数据包，保证SDN网络不受ARP攻击影响。主要包括：⑴提出了一种适用于SDN网络的ARP攻击解决方案。该方案可作为控制器上的一个网络应用，使得控制器在处理ARP数据包时，能够检测ARP数据包中源主机的MAC-IP映射，以及MAC地址的真实性，从而识别并丢弃欺骗性ARP数据包。⑵借助Mininet仿真平台搭建SDN网络，验证了方案的有效性和时间性能。在一个较小规模的SDN网络中，通过对比在相同的攻击条件下，运行本文方案前后的网络状态，验证了本文方案能够有效检测每一种ARP攻击。在几种较大规模的SDN网络中，分别测试了运行方案前后的10轮ARP交互时间。数据表明本文方案没有影响主机间的正常通信，并且由于运行本文方案避免了大量的ARP广播通信，从而减少了主机间的ARP交互时间。

目录

声明

插图索引

表格索引

符号对照表

缩略语对照表

第一章 绪论

1.1 研究内容及意义

1.2 国内外研究现状

1.3 论文组织结构

第二章 SDN/OpenFlow的相关技术介绍

2.1 SDN架构

2.2 OpenFlow协议

2.3 SDN/OpenFlow架构产生的影响

2.4 SDN网络中的ARP攻击

2.5 本章小结

第三章 SDN网络的ARP攻击解决方案

3.1 方案的设计思想

3.2 所提方案

3.3 方案分析

3.4 本章小结

第四章 方案测试与数据分析

4.1 测试环境介绍

4.2 方案的有效性测试

4.3 方案的性能分析

4.4 本章小结

第五章 总结与展望

5.1 论文工作总结

5.2 未来工作展望

参考文献

致谢

作者简介