為了提高軟件定義網(wǎng)絡（SDN）中IPv6源地址驗證（SAVI）綁定表的安全性,從地址分配機制（AAM）消息驗證、綁定項更新和拒絕服務（DoS）攻擊防御三方面對綁定表進行保護.基于SDN控制器構建AAM消息驗證表,記錄交換機端口、MAC地址、主機IP地址等信息;建立DHCPv6和SLAAC這2種地址配置報文的驗證模型,下發(fā)流表監(jiān)聽路由器通告（RA）消息,獲取DHCPv6 request/reply報文和NS/NA報文,基于AAM消息驗證表驗證報文中的地址信息;針對網(wǎng)絡的動態(tài)變化建立綁定信息監(jiān)聽和更新機制,監(jiān)聽主機離線或者主機IP失效事件,及時更新綁定信息,保證綁定表和實際網(wǎng)絡信息的一致性;基于OpenFlow多級流表建立交換機端口限速表,防止拒絕服務攻擊.實驗結果表明,本方案能夠有效防御多種針對綁定表的偽造AAM報文攻擊,及時更新綁定表信息,提高AAM消息的處理效率. 

【文章來源】：浙江大學學報(工學版). 2020,54(08)北大核心EICSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

本地鏈路地址驗證流程

當惡意主機發(fā)送大量AAM消息的時候，網(wǎng)絡和控制器負載都會增大，導致控制器拒絕服務.針對這個問題，目前的解決方案是利用meter表對交換機進行限速，然而實際網(wǎng)絡中每個交換機所連主機個數(shù)并不相同，惡意大流量AAM消息會耗盡帶寬資源導致正常主機無法正常訪問網(wǎng)絡為了實現(xiàn)限速，同時解決拒絕服務問題，本方案設計端口流表，基于多級流表結構實現(xiàn)對每個主機的限速，解決限速導致的拒絕服務問題.例如，在開放接入端口p1、p2、p3的交換機中，匹配主機端口p1、p2、p3的數(shù)據(jù)包分別由不同的meter表進行限速，其他數(shù)據(jù)包由table＿miss直接交給控制器處理，無須進行限速.

為了驗證綁定表安全防御機制的有效性，實驗采用Floodlight作為控制器、基于Mininet和Openvswitch搭建SDN安全攻擊模擬平臺，并開發(fā)腳本程序，部署相關實驗，所構建的實驗網(wǎng)絡拓撲如圖3所示.在實驗中由交換機s7發(fā)送RA消息，當網(wǎng)絡采用DHCPv6地址配置方式時，主機H1作為服務器.3.1 AAM消息驗證分析

【參考文獻】：
期刊論文
[1]互聯(lián)網(wǎng)自治域間IP源地址驗證技術綜述[J]. 賈溢豪,任罡,劉瑩.  軟件學報. 2018(01)



本文編號：3129003