【摘要】：軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN)作為一種新興的網(wǎng)絡(luò)技術(shù),正逐步成為網(wǎng)絡(luò)變革的有力推動(dòng)。其所具備的集中管控和開放接口等特性帶來(lái)很多新的機(jī)遇,但同時(shí)也出現(xiàn)了許多問題和挑戰(zhàn)。其中,安全問題作為SDN的核心問題之一,將成為SDN技術(shù)發(fā)展所需面對(duì)和解決的首要問題。本文主要研究了 SDN網(wǎng)絡(luò)安全中的中間人攻擊和網(wǎng)絡(luò)回環(huán)問題,這兩類安全問題不僅常見于傳統(tǒng)網(wǎng)絡(luò)中,也是SDN網(wǎng)絡(luò)中亟需解決的安全問題。中間人攻擊的攻擊類型和方式多種多樣,在SDN網(wǎng)絡(luò)中也具備強(qiáng)大的生命力,一旦攻擊者攻擊成功,將會(huì)竊取用戶隱私,造成嚴(yán)重的危害。而網(wǎng)絡(luò)回環(huán)問題一旦發(fā)生于SDN網(wǎng)絡(luò)之中,將會(huì)使網(wǎng)絡(luò)用戶無(wú)法正常通信,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。而目前,這兩類安全問題在SDN網(wǎng)絡(luò)中并沒有得到很好的解決。例如,業(yè)界對(duì)SDN網(wǎng)絡(luò)中的中間人攻擊研究工作,多數(shù)局限于某一類中間人攻擊,無(wú)法針對(duì)不同類型的中間人攻擊進(jìn)行全面防范。在防護(hù)和響應(yīng)機(jī)制上,大多也是沿用傳統(tǒng)網(wǎng)絡(luò)中的安全解決方案,未利用SDN自己特性和優(yōu)勢(shì)。此外,業(yè)界對(duì)于SDN網(wǎng)絡(luò)中的網(wǎng)絡(luò)回環(huán)研究更是少之又少�；诖�,本論文主要研究如何利用SDN自身特性來(lái)解決其自身網(wǎng)絡(luò)安全問題,并主要針對(duì)SDN網(wǎng)絡(luò)中的中間人攻擊和網(wǎng)絡(luò)回環(huán)等進(jìn)行研究。首先,本文通過學(xué)習(xí)并研究當(dāng)下的中間人攻擊以及網(wǎng)絡(luò)回環(huán)的檢測(cè)和防護(hù)機(jī)制,分析其中存在的問題和局限性,提出SDN網(wǎng)絡(luò)下的中間人攻擊和網(wǎng)絡(luò)回環(huán)檢測(cè)與防護(hù)機(jī)制設(shè)計(jì)需求和思路。然后,通過利用SDN網(wǎng)絡(luò)自身特性以及其全局流視圖能力,設(shè)計(jì)了基于網(wǎng)絡(luò)流拓?fù)浜瓦B接特征的中間人攻擊和網(wǎng)絡(luò)回環(huán)檢測(cè)機(jī)制。并分別設(shè)計(jì)實(shí)驗(yàn),在實(shí)際攻擊場(chǎng)景下驗(yàn)證了該檢測(cè)機(jī)制的正確性和高效性。此外,通過利用SDN的可編程化和開放接口等特性,本文設(shè)計(jì)并實(shí)現(xiàn)了SDN網(wǎng)絡(luò)下的中間人攻擊和網(wǎng)絡(luò)回環(huán)的防護(hù)機(jī)制,并開發(fā)和集成于實(shí)驗(yàn)室系統(tǒng)中。通過設(shè)計(jì)和搭建SDN網(wǎng)絡(luò)中的中間人攻擊和網(wǎng)絡(luò)回環(huán)場(chǎng)景,進(jìn)行實(shí)際的檢測(cè)和防護(hù),驗(yàn)證了防護(hù)機(jī)制的正確性。
【圖文】：

２．１．１邐ＳＤＮ邋簡(jiǎn)介逡逑ＳＤＮ是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)，ＯＮＦ提出的ＳＤＮ典型架構(gòu)逡逑分為三層［３（）］，如圖２－１所示，其ＳＤＮ網(wǎng)絡(luò)的最上層為應(yīng)用層，用于處理不同的逡逑業(yè)務(wù)邏輯和應(yīng)用；中間控制層主要負(fù)責(zé)處理數(shù)據(jù)平面資源以及維護(hù)網(wǎng)絡(luò)狀態(tài)信息逡逑等；底層的基礎(chǔ)設(shè)施層主要負(fù)責(zé)數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集。此外，位于基礎(chǔ)設(shè)逡逑施層與中間控制層之間的南向接口（如ＯｐｅｎＦｌｏｗ南向接口協(xié)議），以及控制層逡逑和應(yīng)用層之間的北向接口也是ＳＤＮ網(wǎng)絡(luò)架構(gòu)中的兩個(gè)重要組成部分。逡逑應(yīng)用層邐邐逡逑ｎ．：邐ｙ邐；；ｊ逡逑：＇４邋４．邐：逡逑＾北向接口邋Ｉ逡逑控制層逡逑－南向接□邐］；；ｋ逡逑基礎(chǔ)設(shè)施層逡逑圖２－１邋ＳＤＮ架構(gòu)圖逡逑ＳＤＮ網(wǎng)絡(luò)具備集中管控能力，而對(duì)底層鏈路的感知是由ＳＤＮ控制器通過逡逑ＬＬＤＰ（Ｌｉｎｋ邋Ｌａｙｅｒ邋Ｄｉｓｃｏｖｅｒｙ邋Ｐｒｏｔｏｃｏｌ，鏈路層發(fā)現(xiàn)協(xié)議）來(lái)實(shí)現(xiàn)的。ＬＬＤＰ協(xié)議提逡逑供了一種標(biāo)準(zhǔn)的鏈路發(fā)現(xiàn)方式，可以將本端設(shè)備的主要能力、管理地址等信息組逡逑織成不同的邋ＴＬＶ（Ｔｙｐｅ／Ｌｅｎｇｔｈ／Ｖａｌｕｅ，，類型／長(zhǎng)度／值）封裝在邋ＬＬＤＰＤＵ（Ｌｉｎｋ邋Ｌａｙｅｒ逡逑Ｄｉｓｃｏｖｅｒｙ邋Ｐｒｏｔｏｃｏｌ邋Ｄａｔｅ邋Ｕｎｉｔ，鏈路層發(fā)現(xiàn)協(xié)議數(shù)據(jù)單元）中。然后將ＬＬＤＰＵ轉(zhuǎn)發(fā)逡逑到自己直連的鄰居交換機(jī)上

邐＃逡逑圖２－２鏈路發(fā)現(xiàn)過程逡逑如圖２－２所示，在獲取底層的鏈路連接狀況時(shí)，ＳＤＮ控制器向其管轄范圍內(nèi)逡逑的所有交換機(jī)發(fā)送ｐａｃｋｅｔ－ｏｕｔ消息，該消息包含了邋ＬＬＤＰ數(shù)據(jù)包。當(dāng)ＳＤＮ交換逡逑機(jī)收到該數(shù)據(jù)包后，會(huì)將該消息通過自身端口轉(zhuǎn)發(fā)給與之直接相連的所有設(shè)備。逡逑當(dāng)其所連接的交換機(jī)收到該ＬＬＤＰ數(shù)據(jù)包后，該交換機(jī)會(huì)對(duì)自身流表項(xiàng)進(jìn)行查找，逡逑若存在對(duì)應(yīng)的流表項(xiàng)，則根據(jù)流表項(xiàng)規(guī)則完成數(shù)據(jù)包的轉(zhuǎn)發(fā)，但由于此時(shí)是第一逡逑次收到該ＬＬＤＰ數(shù)據(jù)包，所以不存在匹配的流表項(xiàng)。此時(shí)交換機(jī)會(huì)生成ｐａｃｋｅｔ－ｉｎ逡逑消息并送給控制器。當(dāng)控制器在收到由交換機(jī)發(fā)來(lái)的ｐａｃｋｅｔ－ｉｎ消息后，會(huì)分析逡逑該消息，并將其所記錄的鏈路信息進(jìn)行保存。而ＳＤＮ控制器所管控的其他交換逡逑機(jī)也通過上述流程上發(fā)ｐａｃｋｅｔ－ｉｎ消息到ＳＤＮ控制器。最終
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.0

【參考文獻(xiàn)】

相關(guān)期刊論文 前4條

1 徐國(guó)天;;基于ICMP重定向的“中間人”攻擊研究[J];信息網(wǎng)絡(luò)安全;2012年02期

2 王俊人;李大雙;;解決路由消息循環(huán)的一種新方法[J];信息安全與通信保密;2011年09期

3 李丹;汪斌強(qiáng);劉強(qiáng);馬海龍;;基于Locator/ID分離體系結(jié)構(gòu)的域間多徑路由無(wú)環(huán)問題分析[J];計(jì)算機(jī)科學(xué);2011年01期

4 蔣義,吳建平;網(wǎng)絡(luò)路由環(huán)路檢測(cè)算法研究[J];計(jì)算機(jī)與網(wǎng)絡(luò);2002年15期

相關(guān)碩士學(xué)位論文 前1條

1 陽(yáng)碧云;基于鏈路狀態(tài)快速感知的環(huán)路避免技術(shù)研究與仿真實(shí)現(xiàn)[D];北京郵電大學(xué);2011年

本文編號(hào)：2616634