软件定义网络中源地址验证绑定表安全
发布时间:2021-04-10 04:56
为了提高软件定义网络(SDN)中IPv6源地址验证(SAVI)绑定表的安全性,从地址分配机制(AAM)消息验证、绑定项更新和拒绝服务(DoS)攻击防御三方面对绑定表进行保护.基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告(RA)消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击.实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率.
【文章来源】:浙江大学学报(工学版). 2020,54(08)北大核心EICSCD
【文章页数】:7 页
【部分图文】:
本地链路地址验证流程
当恶意主机发送大量AAM消息的时候,网络和控制器负载都会增大,导致控制器拒绝服务.针对这个问题,目前的解决方案是利用meter表对交换机进行限速,然而实际网络中每个交换机所连主机个数并不相同,恶意大流量AAM消息会耗尽带宽资源导致正常主机无法正常访问网络为了实现限速,同时解决拒绝服务问题,本方案设计端口流表,基于多级流表结构实现对每个主机的限速,解决限速导致的拒绝服务问题.例如,在开放接入端口p1、p2、p3的交换机中,匹配主机端口p1、p2、p3的数据包分别由不同的meter表进行限速,其他数据包由table_miss直接交给控制器处理,无须进行限速.
为了验证绑定表安全防御机制的有效性,实验采用Floodlight作为控制器、基于Mininet和Openvswitch搭建SDN安全攻击模拟平台,并开发脚本程序,部署相关实验,所构建的实验网络拓扑如图3所示.在实验中由交换机s7发送RA消息,当网络采用DHCPv6地址配置方式时,主机H1作为服务器.3.1 AAM消息验证分析
【参考文献】:
期刊论文
[1]互联网自治域间IP源地址验证技术综述[J]. 贾溢豪,任罡,刘莹. 软件学报. 2018(01)
本文编号:3129003
【文章来源】:浙江大学学报(工学版). 2020,54(08)北大核心EICSCD
【文章页数】:7 页
【部分图文】:
本地链路地址验证流程
当恶意主机发送大量AAM消息的时候,网络和控制器负载都会增大,导致控制器拒绝服务.针对这个问题,目前的解决方案是利用meter表对交换机进行限速,然而实际网络中每个交换机所连主机个数并不相同,恶意大流量AAM消息会耗尽带宽资源导致正常主机无法正常访问网络为了实现限速,同时解决拒绝服务问题,本方案设计端口流表,基于多级流表结构实现对每个主机的限速,解决限速导致的拒绝服务问题.例如,在开放接入端口p1、p2、p3的交换机中,匹配主机端口p1、p2、p3的数据包分别由不同的meter表进行限速,其他数据包由table_miss直接交给控制器处理,无须进行限速.
为了验证绑定表安全防御机制的有效性,实验采用Floodlight作为控制器、基于Mininet和Openvswitch搭建SDN安全攻击模拟平台,并开发脚本程序,部署相关实验,所构建的实验网络拓扑如图3所示.在实验中由交换机s7发送RA消息,当网络采用DHCPv6地址配置方式时,主机H1作为服务器.3.1 AAM消息验证分析
【参考文献】:
期刊论文
[1]互联网自治域间IP源地址验证技术综述[J]. 贾溢豪,任罡,刘莹. 软件学报. 2018(01)
本文编号:3129003
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3129003.html
