【摘要】：軟件定義網(wǎng)絡(Software Defined Networking,SDN)作為一種新興的網(wǎng)絡技術,正逐步成為網(wǎng)絡變革的有力推動。其所具備的集中管控和開放接口等特性帶來很多新的機遇,但同時也出現(xiàn)了許多問題和挑戰(zhàn)。其中,安全問題作為SDN的核心問題之一,將成為SDN技術發(fā)展所需面對和解決的首要問題。本文主要研究了 SDN網(wǎng)絡安全中的中間人攻擊和網(wǎng)絡回環(huán)問題,這兩類安全問題不僅常見于傳統(tǒng)網(wǎng)絡中,也是SDN網(wǎng)絡中亟需解決的安全問題。中間人攻擊的攻擊類型和方式多種多樣,在SDN網(wǎng)絡中也具備強大的生命力,一旦攻擊者攻擊成功,將會竊取用戶隱私,造成嚴重的危害。而網(wǎng)絡回環(huán)問題一旦發(fā)生于SDN網(wǎng)絡之中,將會使網(wǎng)絡用戶無法正常通信,嚴重時會造成網(wǎng)絡癱瘓。而目前,這兩類安全問題在SDN網(wǎng)絡中并沒有得到很好的解決。例如,業(yè)界對SDN網(wǎng)絡中的中間人攻擊研究工作,多數(shù)局限于某一類中間人攻擊,無法針對不同類型的中間人攻擊進行全面防范。在防護和響應機制上,大多也是沿用傳統(tǒng)網(wǎng)絡中的安全解決方案,未利用SDN自己特性和優(yōu)勢。此外,業(yè)界對于SDN網(wǎng)絡中的網(wǎng)絡回環(huán)研究更是少之又少�；诖�,本論文主要研究如何利用SDN自身特性來解決其自身網(wǎng)絡安全問題,并主要針對SDN網(wǎng)絡中的中間人攻擊和網(wǎng)絡回環(huán)等進行研究。首先,本文通過學習并研究當下的中間人攻擊以及網(wǎng)絡回環(huán)的檢測和防護機制,分析其中存在的問題和局限性,提出SDN網(wǎng)絡下的中間人攻擊和網(wǎng)絡回環(huán)檢測與防護機制設計需求和思路。然后,通過利用SDN網(wǎng)絡自身特性以及其全局流視圖能力,設計了基于網(wǎng)絡流拓撲和連接特征的中間人攻擊和網(wǎng)絡回環(huán)檢測機制。并分別設計實驗,在實際攻擊場景下驗證了該檢測機制的正確性和高效性。此外,通過利用SDN的可編程化和開放接口等特性,本文設計并實現(xiàn)了SDN網(wǎng)絡下的中間人攻擊和網(wǎng)絡回環(huán)的防護機制,并開發(fā)和集成于實驗室系統(tǒng)中。通過設計和搭建SDN網(wǎng)絡中的中間人攻擊和網(wǎng)絡回環(huán)場景,進行實際的檢測和防護,驗證了防護機制的正確性。
【圖文】：

２．１．１邐ＳＤＮ邋簡介逡逑ＳＤＮ是一種新興的基于軟件的網(wǎng)絡架構(gòu)及技術，ＯＮＦ提出的ＳＤＮ典型架構(gòu)逡逑分為三層［３（）］，如圖２－１所示，其ＳＤＮ網(wǎng)絡的最上層為應用層，用于處理不同的逡逑業(yè)務邏輯和應用；中間控制層主要負責處理數(shù)據(jù)平面資源以及維護網(wǎng)絡狀態(tài)信息逡逑等；底層的基礎設施層主要負責數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集。此外，位于基礎設逡逑施層與中間控制層之間的南向接口（如ＯｐｅｎＦｌｏｗ南向接口協(xié)議），以及控制層逡逑和應用層之間的北向接口也是ＳＤＮ網(wǎng)絡架構(gòu)中的兩個重要組成部分。逡逑應用層邐邐逡逑ｎ．：邐ｙ邐；；ｊ逡逑：＇４邋４．邐：逡逑＾北向接口邋Ｉ逡逑控制層逡逑－南向接□邐］；；ｋ逡逑基礎設施層逡逑圖２－１邋ＳＤＮ架構(gòu)圖逡逑ＳＤＮ網(wǎng)絡具備集中管控能力，而對底層鏈路的感知是由ＳＤＮ控制器通過逡逑ＬＬＤＰ（Ｌｉｎｋ邋Ｌａｙｅｒ邋Ｄｉｓｃｏｖｅｒｙ邋Ｐｒｏｔｏｃｏｌ，鏈路層發(fā)現(xiàn)協(xié)議）來實現(xiàn)的。ＬＬＤＰ協(xié)議提逡逑供了一種標準的鏈路發(fā)現(xiàn)方式，可以將本端設備的主要能力、管理地址等信息組逡逑織成不同的邋ＴＬＶ（Ｔｙｐｅ／Ｌｅｎｇｔｈ／Ｖａｌｕｅ，，類型／長度／值）封裝在邋ＬＬＤＰＤＵ（Ｌｉｎｋ邋Ｌａｙｅｒ逡逑Ｄｉｓｃｏｖｅｒｙ邋Ｐｒｏｔｏｃｏｌ邋Ｄａｔｅ邋Ｕｎｉｔ，鏈路層發(fā)現(xiàn)協(xié)議數(shù)據(jù)單元）中。然后將ＬＬＤＰＵ轉(zhuǎn)發(fā)逡逑到自己直連的鄰居交換機上

邐＃逡逑圖２－２鏈路發(fā)現(xiàn)過程逡逑如圖２－２所示，在獲取底層的鏈路連接狀況時，ＳＤＮ控制器向其管轄范圍內(nèi)逡逑的所有交換機發(fā)送ｐａｃｋｅｔ－ｏｕｔ消息，該消息包含了邋ＬＬＤＰ數(shù)據(jù)包。當ＳＤＮ交換逡逑機收到該數(shù)據(jù)包后，會將該消息通過自身端口轉(zhuǎn)發(fā)給與之直接相連的所有設備。逡逑當其所連接的交換機收到該ＬＬＤＰ數(shù)據(jù)包后，該交換機會對自身流表項進行查找，逡逑若存在對應的流表項，則根據(jù)流表項規(guī)則完成數(shù)據(jù)包的轉(zhuǎn)發(fā)，但由于此時是第一逡逑次收到該ＬＬＤＰ數(shù)據(jù)包，所以不存在匹配的流表項。此時交換機會生成ｐａｃｋｅｔ－ｉｎ逡逑消息并送給控制器。當控制器在收到由交換機發(fā)來的ｐａｃｋｅｔ－ｉｎ消息后，會分析逡逑該消息，并將其所記錄的鏈路信息進行保存。而ＳＤＮ控制器所管控的其他交換逡逑機也通過上述流程上發(fā)ｐａｃｋｅｔ－ｉｎ消息到ＳＤＮ控制器。最終
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP393.0

【參考文獻】

相關期刊論文 前4條

1 徐國天;;基于ICMP重定向的“中間人”攻擊研究[J];信息網(wǎng)絡安全;2012年02期

2 王俊人;李大雙;;解決路由消息循環(huán)的一種新方法[J];信息安全與通信保密;2011年09期

3 李丹;汪斌強;劉強;馬海龍;;基于Locator/ID分離體系結(jié)構(gòu)的域間多徑路由無環(huán)問題分析[J];計算機科學;2011年01期

4 蔣義,吳建平;網(wǎng)絡路由環(huán)路檢測算法研究[J];計算機與網(wǎng)絡;2002年15期

相關碩士學位論文 前1條

1 陽碧云;基于鏈路狀態(tài)快速感知的環(huán)路避免技術研究與仿真實現(xiàn)[D];北京郵電大學;2011年

本文編號：2616634