基于SDN全局流视图的中间人攻击与网络回环研究
发布时间:2020-04-06 14:29
【摘要】:软件定义网络(Software Defined Networking,SDN)作为一种新兴的网络技术,正逐步成为网络变革的有力推动。其所具备的集中管控和开放接口等特性带来很多新的机遇,但同时也出现了许多问题和挑战。其中,安全问题作为SDN的核心问题之一,将成为SDN技术发展所需面对和解决的首要问题。本文主要研究了 SDN网络安全中的中间人攻击和网络回环问题,这两类安全问题不仅常见于传统网络中,也是SDN网络中亟需解决的安全问题。中间人攻击的攻击类型和方式多种多样,在SDN网络中也具备强大的生命力,一旦攻击者攻击成功,将会窃取用户隐私,造成严重的危害。而网络回环问题一旦发生于SDN网络之中,将会使网络用户无法正常通信,严重时会造成网络瘫痪。而目前,这两类安全问题在SDN网络中并没有得到很好的解决。例如,业界对SDN网络中的中间人攻击研究工作,多数局限于某一类中间人攻击,无法针对不同类型的中间人攻击进行全面防范。在防护和响应机制上,大多也是沿用传统网络中的安全解决方案,未利用SDN自己特性和优势。此外,业界对于SDN网络中的网络回环研究更是少之又少。基于此,本论文主要研究如何利用SDN自身特性来解决其自身网络安全问题,并主要针对SDN网络中的中间人攻击和网络回环等进行研究。首先,本文通过学习并研究当下的中间人攻击以及网络回环的检测和防护机制,分析其中存在的问题和局限性,提出SDN网络下的中间人攻击和网络回环检测与防护机制设计需求和思路。然后,通过利用SDN网络自身特性以及其全局流视图能力,设计了基于网络流拓扑和连接特征的中间人攻击和网络回环检测机制。并分别设计实验,在实际攻击场景下验证了该检测机制的正确性和高效性。此外,通过利用SDN的可编程化和开放接口等特性,本文设计并实现了SDN网络下的中间人攻击和网络回环的防护机制,并开发和集成于实验室系统中。通过设计和搭建SDN网络中的中间人攻击和网络回环场景,进行实际的检测和防护,验证了防护机制的正确性。
【图文】:
2.1.1逦SDN邋简介逡逑SDN是一种新兴的基于软件的网络架构及技术,ONF提出的SDN典型架构逡逑分为三层[3()],如图2-1所示,其SDN网络的最上层为应用层,用于处理不同的逡逑业务逻辑和应用;中间控制层主要负责处理数据平面资源以及维护网络状态信息逡逑等;底层的基础设施层主要负责数据处理、转发和状态收集。此外,位于基础设逡逑施层与中间控制层之间的南向接口(如OpenFlow南向接口协议),以及控制层逡逑和应用层之间的北向接口也是SDN网络架构中的两个重要组成部分。逡逑应用层逦逦逡逑n.:逦y逦;;j逡逑:'4邋4.逦:逡逑^北向接口邋I逡逑控制层逡逑-南向接□逦];;k逡逑基础设施层逡逑图2-1邋SDN架构图逡逑SDN网络具备集中管控能力,而对底层链路的感知是由SDN控制器通过逡逑LLDP(Link邋Layer邋Discovery邋Protocol,链路层发现协议)来实现的。LLDP协议提逡逑供了一种标准的链路发现方式,可以将本端设备的主要能力、管理地址等信息组逡逑织成不同的邋TLV(Type/Length/Value,,类型/长度/值)封装在邋LLDPDU(Link邋Layer逡逑Discovery邋Protocol邋Date邋Unit,链路层发现协议数据单元)中。然后将LLDPU转发逡逑到自己直连的邻居交换机上
逦#逡逑图2-2链路发现过程逡逑如图2-2所示,在获取底层的链路连接状况时,SDN控制器向其管辖范围内逡逑的所有交换机发送packet-out消息,该消息包含了邋LLDP数据包。当SDN交换逡逑机收到该数据包后,会将该消息通过自身端口转发给与之直接相连的所有设备。逡逑当其所连接的交换机收到该LLDP数据包后,该交换机会对自身流表项进行查找,逡逑若存在对应的流表项,则根据流表项规则完成数据包的转发,但由于此时是第一逡逑次收到该LLDP数据包,所以不存在匹配的流表项。此时交换机会生成packet-in逡逑消息并送给控制器。当控制器在收到由交换机发来的packet-in消息后,会分析逡逑该消息,并将其所记录的链路信息进行保存。而SDN控制器所管控的其他交换逡逑机也通过上述流程上发packet-in消息到SDN控制器。最终
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.0
本文编号:2616634
【图文】:
2.1.1逦SDN邋简介逡逑SDN是一种新兴的基于软件的网络架构及技术,ONF提出的SDN典型架构逡逑分为三层[3()],如图2-1所示,其SDN网络的最上层为应用层,用于处理不同的逡逑业务逻辑和应用;中间控制层主要负责处理数据平面资源以及维护网络状态信息逡逑等;底层的基础设施层主要负责数据处理、转发和状态收集。此外,位于基础设逡逑施层与中间控制层之间的南向接口(如OpenFlow南向接口协议),以及控制层逡逑和应用层之间的北向接口也是SDN网络架构中的两个重要组成部分。逡逑应用层逦逦逡逑n.:逦y逦;;j逡逑:'4邋4.逦:逡逑^北向接口邋I逡逑控制层逡逑-南向接□逦];;k逡逑基础设施层逡逑图2-1邋SDN架构图逡逑SDN网络具备集中管控能力,而对底层链路的感知是由SDN控制器通过逡逑LLDP(Link邋Layer邋Discovery邋Protocol,链路层发现协议)来实现的。LLDP协议提逡逑供了一种标准的链路发现方式,可以将本端设备的主要能力、管理地址等信息组逡逑织成不同的邋TLV(Type/Length/Value,,类型/长度/值)封装在邋LLDPDU(Link邋Layer逡逑Discovery邋Protocol邋Date邋Unit,链路层发现协议数据单元)中。然后将LLDPU转发逡逑到自己直连的邻居交换机上
逦#逡逑图2-2链路发现过程逡逑如图2-2所示,在获取底层的链路连接状况时,SDN控制器向其管辖范围内逡逑的所有交换机发送packet-out消息,该消息包含了邋LLDP数据包。当SDN交换逡逑机收到该数据包后,会将该消息通过自身端口转发给与之直接相连的所有设备。逡逑当其所连接的交换机收到该LLDP数据包后,该交换机会对自身流表项进行查找,逡逑若存在对应的流表项,则根据流表项规则完成数据包的转发,但由于此时是第一逡逑次收到该LLDP数据包,所以不存在匹配的流表项。此时交换机会生成packet-in逡逑消息并送给控制器。当控制器在收到由交换机发来的packet-in消息后,会分析逡逑该消息,并将其所记录的链路信息进行保存。而SDN控制器所管控的其他交换逡逑机也通过上述流程上发packet-in消息到SDN控制器。最终
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.0
【参考文献】
相关期刊论文 前4条
1 徐国天;;基于ICMP重定向的“中间人”攻击研究[J];信息网络安全;2012年02期
2 王俊人;李大双;;解决路由消息循环的一种新方法[J];信息安全与通信保密;2011年09期
3 李丹;汪斌强;刘强;马海龙;;基于Locator/ID分离体系结构的域间多径路由无环问题分析[J];计算机科学;2011年01期
4 蒋义,吴建平;网络路由环路检测算法研究[J];计算机与网络;2002年15期
相关硕士学位论文 前1条
1 阳碧云;基于链路状态快速感知的环路避免技术研究与仿真实现[D];北京邮电大学;2011年
本文编号:2616634
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2616634.html
