在傳統(tǒng)網(wǎng)絡(luò)中,防御者必須不斷增加復(fù)雜性的防御來保護網(wǎng)絡(luò)系統(tǒng)免受攻擊,而攻擊者只需找到一個或多個可利用的漏洞就可以破壞系統(tǒng)。由于網(wǎng)絡(luò)中的數(shù)據(jù)包攜帶信息容易被捕獲分析,攻擊者在執(zhí)行攻擊前更多的是偵查網(wǎng)絡(luò)尋找漏洞,且可能隨時跟蹤信息流,用于全局分析,進而分析網(wǎng)絡(luò)中的脆弱點。這種攻擊成本低,效率高,成為了網(wǎng)絡(luò)威脅。移動目標防御（Moving Target Defense,MTD）成為解決這些安全問題的一種有效技術(shù)。軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN）中的控制器具有對整個網(wǎng)絡(luò)的全局調(diào)控能力,為MTD更好的應(yīng)用與發(fā)展帶來新動能。為此,設(shè)計并實現(xiàn)了一個軟件定義網(wǎng)絡(luò)中基于動態(tài)重構(gòu)的主動防御系統(tǒng):該系統(tǒng)通過網(wǎng)絡(luò)配置突變策略的制定及更新、突變時機與頻率的優(yōu)化,實現(xiàn)數(shù)據(jù)層敏捷的主動防御,同時也保障網(wǎng)絡(luò)服務(wù)的一致性和連續(xù)性。通過修改數(shù)據(jù)包頭部的IP地址以及傳輸路徑,將暴露在網(wǎng)絡(luò)中的IP和傳輸信息隱藏起來,使攻擊者嗅探網(wǎng)絡(luò)時獲取到的是錯誤或不完整的信息,進而不斷重復(fù)攻擊過程中的情報收集階段。當然防御者需向攻擊者呈現(xiàn)不可預(yù)知的變化攻擊面才能使防御持續(xù)有效。通過以一定的頻率不斷變... 

【文章來源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：66 頁

【學(xué)位級別】：碩士

【部分圖文】：

路徑展示圖

openflow:6 false nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28output:3false nw_src=10.0.0.12nw_dst=10.0.0.15nw_tos=28output:2openflow:9 fasle nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28set_field:10.0.0. 1->ip_srcset_field:10.0.0.5->ip_dstoutput:3false nw_src=10.0.0.5nw_dst=10.0.0.1set_field:10.0.0.12->ip_srcset_field:10.0.0.15->ip_dstset_field:7->ip_dscpoutput:2（2）使用 wireshark 分別抓取 openflow:9 交換機和 openflow:4 交換機的數(shù)據(jù)包，抓取的數(shù)據(jù)包信息如 4.2，4.3 所示。

圖 4.3 抓取 a4-eth1 端口的數(shù)據(jù)包信息由圖 4.1 可知，此時數(shù)據(jù)包的傳輸?shù)穆窂綖閇7，3，2，6，9]。按照流表策略，數(shù)據(jù)包會沿著規(guī)劃好的路線轉(zhuǎn)發(fā)，數(shù)據(jù)包會經(jīng)過 openflow:9 交換機，而不會經(jīng)過openflow:4 交換機。利用 wireshark 抓取數(shù)據(jù)包時，會發(fā)現(xiàn)在 openflow:9 交換機對應(yīng)端口中可以捕捉到源 IP 為 10.0.0.15，目的 IP 為 10.0.0.12 的 TCP 數(shù)據(jù)包，以及回復(fù)包。但是在交換機 openflow:4 上，由于數(shù)據(jù)包沒有轉(zhuǎn)發(fā)到該交換機，交換機中只能抓取到 LLDP 數(shù)據(jù)包。圖 4.2，4.3 的測試結(jié)果表明流表下發(fā)的策略生效，不僅修改了數(shù)據(jù)包的 IP，而且數(shù)據(jù)包均是按照規(guī)定路徑的轉(zhuǎn)發(fā)。4.2.2 策略轉(zhuǎn)發(fā)與實施模塊測試1.測試目標策略轉(zhuǎn)換與實施模塊主要是改變了重構(gòu)的時機與頻率，給數(shù)據(jù)包選擇不同的虛擬 IP 和路徑來完成轉(zhuǎn)發(fā)，隱藏真實主機信息，分散數(shù)據(jù)包攜帶的信息不被攻擊者全


本文編號：3223340