發(fā)布時間：2021-04-10 04:56

　　為了提高軟件定義網(wǎng)絡(luò)（SDN）中IPv6源地址驗(yàn)證（SAVI）綁定表的安全性,從地址分配機(jī)制（AAM）消息驗(yàn)證、綁定項(xiàng)更新和拒絕服務(wù)（DoS）攻擊防御三方面對綁定表進(jìn)行保護(hù).基于SDN控制器構(gòu)建AAM消息驗(yàn)證表,記錄交換機(jī)端口、MAC地址、主機(jī)IP地址等信息;建立DHCPv6和SLAAC這2種地址配置報文的驗(yàn)證模型,下發(fā)流表監(jiān)聽路由器通告（RA）消息,獲取DHCPv6 request/reply報文和NS/NA報文,基于AAM消息驗(yàn)證表驗(yàn)證報文中的地址信息;針對網(wǎng)絡(luò)的動態(tài)變化建立綁定信息監(jiān)聽和更新機(jī)制,監(jiān)聽主機(jī)離線或者主機(jī)IP失效事件,及時更新綁定信息,保證綁定表和實(shí)際網(wǎng)絡(luò)信息的一致性;基于OpenFlow多級流表建立交換機(jī)端口限速表,防止拒絕服務(wù)攻擊.實(shí)驗(yàn)結(jié)果表明,本方案能夠有效防御多種針對綁定表的偽造AAM報文攻擊,及時更新綁定表信息,提高AAM消息的處理效率. 

【文章來源】：浙江大學(xué)學(xué)報(工學(xué)版). 2020,54(08)北大核心EICSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

本地鏈路地址驗(yàn)證流程

當(dāng)惡意主機(jī)發(fā)送大量AAM消息的時候，網(wǎng)絡(luò)和控制器負(fù)載都會增大，導(dǎo)致控制器拒絕服務(wù).針對這個問題，目前的解決方案是利用meter表對交換機(jī)進(jìn)行限速，然而實(shí)際網(wǎng)絡(luò)中每個交換機(jī)所連主機(jī)個數(shù)并不相同，惡意大流量AAM消息會耗盡帶寬資源導(dǎo)致正常主機(jī)無法正常訪問網(wǎng)絡(luò)為了實(shí)現(xiàn)限速，同時解決拒絕服務(wù)問題，本方案設(shè)計端口流表，基于多級流表結(jié)構(gòu)實(shí)現(xiàn)對每個主機(jī)的限速，解決限速導(dǎo)致的拒絕服務(wù)問題.例如，在開放接入端口p1、p2、p3的交換機(jī)中，匹配主機(jī)端口p1、p2、p3的數(shù)據(jù)包分別由不同的meter表進(jìn)行限速，其他數(shù)據(jù)包由table＿miss直接交給控制器處理，無須進(jìn)行限速.

為了驗(yàn)證綁定表安全防御機(jī)制的有效性，實(shí)驗(yàn)采用Floodlight作為控制器、基于Mininet和Openvswitch搭建SDN安全攻擊模擬平臺，并開發(fā)腳本程序，部署相關(guān)實(shí)驗(yàn)，所構(gòu)建的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D3所示.在實(shí)驗(yàn)中由交換機(jī)s7發(fā)送RA消息，當(dāng)網(wǎng)絡(luò)采用DHCPv6地址配置方式時，主機(jī)H1作為服務(wù)器.3.1 AAM消息驗(yàn)證分析

【參考文獻(xiàn)】：
期刊論文
[1]互聯(lián)網(wǎng)自治域間IP源地址驗(yàn)證技術(shù)綜述[J]. 賈溢豪,任罡,劉瑩.  軟件學(xué)報. 2018(01)



本文編號：3129003