论文部分内容阅读
源地址欺骗是指通过伪造源IP地址假冒他人身份进行网络通信,常被攻击者用来进行如IP Spoofing、SYN Floods等分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,不仅危害巨大,还可以达到隐藏自身的目的,此类攻击已经成为如今互联网上最大安全威胁之一。对数据包源地址进行真实性验证是防御源地址欺骗最有效的方法。国内外研究者已经提出多种源地址验证方案,然而在当前的网络条件下,进行源地址验证面临许多的困难。软件定义网络(Software-Defined Networking,SDN)是近几年提出的新型网络架构,将控制功能从网络设备中分离出来,向上集成操作系统,灵活的实现不同的网络策略,向下通过南向接口统一管理网络设备。这种网络架构增加了网络的灵活性、可扩展性,成为当前的热点概念,并为探索新的源地址验证实现方式提供了契机,本文便在真实源地址验证体系的基础上提出两种面向SDN的源地址验证方法。文章首先介绍了课题研究背景和现状,通过分析各种源地址验证技术,依据原理不同将其分为三类,并阐述其原理和不足。得益于SDN带来的网络革新和可编程接口提供的开发便利,改进传统MAC、IP绑定方法和域内集中计算路径过滤(Calculating Path Forwarding,CPF)算法,利用可编程控制器对其进行二次开发,实现两种面向SDN的源地址验证方案:方案一将主机源IP地址、MAC地址以及相连的交换机端口PORT绑定起来,生成形如<MAC、IP、PORT>的三元组流表作为过滤准则;方案二利用SDN控制器收集的域内拓扑信息,通过集中路径计算,生成形如<IPsrc、IPdst、in_PORT、out_PORT>的四元组流表作为过滤准则,然后将流表下发至相应交换机进行报文源地址验证。本文利用Mininet仿真平台虚拟网络拓扑开展实验测试,实验结果表明,两种面向SDN的源地址验证方法,均能对源地址欺骗报文快速反应,且具有很好的过滤效果。最后分析论文存在的不足以及对后续工作的展望。