基于OpenFlow交换机端口混淆的移动目标防御机制

摘要

软件定义网络中数据平面节点非法接入会导致拒绝服务攻击或实施中间人攻击进行信息的窃取和篡改.为防范OpenFlow伪交换机对网络服务造成危害,提出了一种利用网络中数据报文的包头信息,动态混淆OpenFlow交换机端口的移动目标防御机制.交换机根据控制器流规则的下发次数进行动态端口混淆,并且根据端口生存时间以当前处理的数据报文包头中的端口和IP地址等信息作为下一轮端口混淆的种子信息,保证混淆端口具有充分的随机性,有效提高网络的动态性.还提出了利用控制器和交换机间的通信消息flow_mod实现控制器与交换机之间的端口混淆同步,不仅保证双方数据转发端口的一致性,而且省却了双方在同步方面的开销.经过仿真实验验证,伪交换机无法正确解析出包含混淆端口号的流表项,从而有效阻止伪交换机发动网络攻击.