基于SDN架構(gòu)的地址跳變技術(shù)研究*

高 誠，陳世康，王 宏，董 青

(西南通信研究所,四川 成都 610041)

基于SDN架構(gòu)的地址跳變技術(shù)研究*

高 誠，陳世康，王 宏，董 青

(西南通信研究所,四川 成都 610041)

網(wǎng)絡(luò)嗅探作為網(wǎng)絡(luò)攻擊的前奏，對于網(wǎng)絡(luò)安全存在較大威脅。為增強網(wǎng)絡(luò)本身的抗嗅探竊聽能力，在移動目標防御網(wǎng)絡(luò)的地址跳變技術(shù)的研究基礎(chǔ)上提出了一種基于傳輸過程的地址跳變方案，主要思想是在SDN網(wǎng)絡(luò)架構(gòu)下，控制器通過為傳輸路由上交換機下發(fā)不同流表來實現(xiàn)IP地址的跳變。仿真結(jié)果表明，可以以較小的網(wǎng)絡(luò)開銷實現(xiàn)跳變機制，并使網(wǎng)絡(luò)對于網(wǎng)絡(luò)嗅探達到較高的防御能力。

SDN；OpenFlow協(xié)議； IP地址跳變；移動目標防御

0 引 言

在當前的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全防御所需的花費與惡意攻擊者為攻破網(wǎng)絡(luò)的努力嚴重不對等，網(wǎng)絡(luò)防御者往往需要為整個系統(tǒng)疊加層層安全技術(shù)手段，而攻擊者只需利用某個漏洞即可接管目標。移動目標防御[1](Moving Target Defense)的概念由此誕生，移動目標防御技術(shù)摒棄以構(gòu)建無缺陷防御系統(tǒng)的方式維護網(wǎng)絡(luò)安全性，而代之以創(chuàng)造開發(fā)出一種多樣的、持續(xù)隨時間無規(guī)律變化的機制來提升對于網(wǎng)絡(luò)攻擊的復雜度和花費，從而限制漏洞的外泄以及攻擊的成功率[2]。

其中，地址跳變技術(shù)(IP hopping or IP mutation)是移動目標防御網(wǎng)絡(luò)的一項重要內(nèi)容，地址跳變是指網(wǎng)絡(luò)節(jié)點擁有隨機變化本身地址或者地址在傳輸過程中不斷變化的能力。由于地址是節(jié)點的唯一標識，在傳統(tǒng)的分布式網(wǎng)絡(luò)中實現(xiàn)地址跳變會產(chǎn)生以下困難：一是地址隨機變化將使其他與之通信的節(jié)點無法及時感知，容易造成會話中斷；二是終端主機地址隨機變化往往需要改變終端主機配置，限制了地址變化的頻率，在實際應(yīng)用中也存在著可操作性的問題。

近年來，出現(xiàn)一種以O(shè)penFlow[3]技術(shù)為代表的軟件定義網(wǎng)絡(luò)(SDN,Software Defined Network)網(wǎng)絡(luò)架構(gòu)。OpenFlow技術(shù)是斯坦福大學McKeown教授與其學生Casado在可編程網(wǎng)絡(luò)的研究中提出的一種網(wǎng)絡(luò)技術(shù)，起初是為了在校園網(wǎng)進行網(wǎng)絡(luò)創(chuàng)新和實驗而設(shè)計的實驗平臺[3]。隨后，McKeown等人在此基礎(chǔ)上提出了SDN的概念并得到廣泛認可。2011年，McKeown等研究者組織成立開放式網(wǎng)絡(luò)基金會(ONF,Open Networking Foundation)，專門負責相關(guān)標準的制定和推廣，包括OpenFlow標準、OpenFlow配置協(xié)議和SDN白皮書，大大推進了OpenFlow和SDN的標準化工作,也使其成為全球開放網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)虛擬化領(lǐng)域的研究熱點[4]。

SDN架構(gòu)的主要思想是是轉(zhuǎn)發(fā)平面(Data Plane)與控制平面(Control Plane)分離，控制平面由一種名為Controller的實體實現(xiàn)網(wǎng)絡(luò)的控制管理功能，而轉(zhuǎn)發(fā)平面只負責執(zhí)行控制平面下發(fā)的數(shù)據(jù)轉(zhuǎn)發(fā)策略。由于SDN架構(gòu)的集中式管控的特性，可基于數(shù)據(jù)流進行地址跳變，避免會話中斷；同時可利用控制器控制傳輸路徑上的交換機對匹配的數(shù)據(jù)流進行數(shù)據(jù)包地址的改寫，實現(xiàn)地址在傳輸過程中不斷變化的能力。因此在SDN網(wǎng)絡(luò)架構(gòu)下實現(xiàn)地址跳變較為簡便可行。

本文主要研究內(nèi)容是SDN網(wǎng)絡(luò)架構(gòu)下如何實現(xiàn)網(wǎng)絡(luò)地址的隨機化跳變技術(shù)，以下在相關(guān)研究一節(jié)中將會介紹本文研究內(nèi)容的最新進展，然后會在地址跳變模型一節(jié)中介紹本文提出的一種基于傳輸過程的地址跳變模型，最后將會分別在仿真驗證和結(jié)語兩節(jié)中給出仿真實現(xiàn)的結(jié)果和進行分析總結(jié)。

1 相關(guān)研究

在地址跳變技術(shù)研究方面，出現(xiàn)了包括APOD[5]，DyNAT[6]和NASR[7]等在內(nèi)的研究成果，APOD使用基于地址和端口隨機的“跳變隧道”偽裝目標主機，在IP地址跳變過程中需要客戶端與服務(wù)器端的協(xié)作；DyNAT提供一種在數(shù)據(jù)包進入核心網(wǎng)或公共網(wǎng)之前進行IP變化的機制，以避免中間人攻擊；NASR是一種LAN級別的基于DHCP更新的網(wǎng)絡(luò)地址隨機跳變策略，用以防范Hitlist worms攻擊。但是上述技術(shù)均沒有提供一種無需改變終端主機配置即可防范內(nèi)外部偵聽攻擊的IP跳變機制。由此，Ehab Al-Shaer等人提出了一種具有高速變化和難以預測特性的IP地址變化技術(shù)，簡稱RHM(Random Host Mutation)[8]，RHM需要通過增添中心式的實體Moving Target Controller和分布式實體Moving Target Gateway來進行實際地址rIP和虛擬地址vIP的轉(zhuǎn)變。

之后，Ehab Al-Shaer等人在RHM的基礎(chǔ)上結(jié)合新出現(xiàn)的OpenFlow技術(shù)對RHM作了進一步地改進，使用OpenFlow中的NOX Controller實現(xiàn)RHM中Moving Target Controller和Moving TargetGateway的功能，得到OF-RHM(OpenFlow Random Host Mutation)[9]模型，相對于RHM，OF-RHM由于SDN靈活的基礎(chǔ)架構(gòu)可以更為有效以及以更小的處理開銷開發(fā)和管理主機地址隨機跳變功能。

2 地址跳變模型

本文在上節(jié)所述研究成果的啟發(fā)下，提出了一種新的SDN網(wǎng)絡(luò)下基于傳輸過程的地址跳變模型。本模型的主要特征是實現(xiàn)了通信數(shù)據(jù)流所攜帶的源目的IP地址在轉(zhuǎn)發(fā)過程中的發(fā)生跳變的功能，而不必要對源、目的主機固有IP地址進行重新配置。相比于RHM模型和OF-RHM模型，本模型將地址跳變的過程從主機終端遷移到數(shù)據(jù)傳輸?shù)穆窂缴?，在?shù)據(jù)流經(jīng)過每一跳交換機后，包頭的地址均會發(fā)生隨機變化，而在OF-RHM模型中，地址從rIP與vIP之間的變化發(fā)生在第一跳OpenFlow交換機和最后一跳OpenFlow交換機，相比上述兩種模型，本模型可以使得地址的跳變具有更高頻率以及地址更加難以預測的特點，從而使得網(wǎng)絡(luò)的一項屬性----網(wǎng)絡(luò)節(jié)點地址不斷發(fā)生變化，提升了網(wǎng)絡(luò)攻擊的復雜度和花費，降低網(wǎng)絡(luò)被成功攻擊的風險。

本模型的跳變過程簡而言之就是每一跳OpenFlow交換機對于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包根據(jù)匹配的流表項進行更改源目的IP地址的操作后再進行相應(yīng)轉(zhuǎn)發(fā)，同時也保證了數(shù)據(jù)包按照既定路由到達目的節(jié)點。圖1即是本過程的簡單示意(其中r1、r2為實際地址，v1、v2等為虛擬地址)。

圖1 地址跳變示意

我們知道，在OpenFlow協(xié)議中，控制器對于OpenFlow交換機的控制是通過下發(fā)流表實現(xiàn)的，每一臺OpenFlow交換機負責維護一張流表并按照流表完成轉(zhuǎn)發(fā)或丟棄動作[10]。在部署OpenFlow協(xié)議的SDN網(wǎng)絡(luò)中，當一條流的第一個包到達第一臺OpenFlow交換機時，交換機由于沒有匹配的流表，會按照OpenFlow協(xié)議的規(guī)定將包頭信息整合成OpenFlow中定義的PacketIn消息包發(fā)送到Controller，控制器會根據(jù)源目的地址尋找到一條最佳路徑，并依次對路徑上的交換機下發(fā)流表，為這條數(shù)據(jù)流搭起從源到目的的一條通路。

基于傳輸過程的地址跳變技術(shù)的主要思想就是利用SDN網(wǎng)絡(luò)中的控制器為傳輸路由上的OpenFlow交換機下發(fā)不同匹配項、不同執(zhí)行動作的流表來實現(xiàn)IP地址跳變的。

地址跳變具體實現(xiàn)流程如圖2所示，控制器在收到交換機因為到達數(shù)據(jù)流無匹配流表而上報的PacketIn消息后，根據(jù)PacketIn消息獲取數(shù)據(jù)流的包頭等信息并進行一系列的判斷，若是數(shù)據(jù)流的源目的主機不在同一個OpenFlow域內(nèi)或是獲取不到相應(yīng)路由，則將執(zhí)行泛洪操作；若是獲取到傳輸路由，則遍歷路徑上的交換機并進入流表下發(fā)階段。在流表下發(fā)階段，控制器負責維護兩張隨機產(chǎn)生的IP地址表，分別為隨機源IP地址表和隨機目的IP地址，兩張表大小均為n-1(n為路由上交換機的個數(shù))，控制器針對傳輸路由方向上的交換機進行遍歷并判斷所處位置，根據(jù)交換機所處位置，下發(fā)不同的流表。

圖2 地址跳變具體流程

具體下發(fā)流表的規(guī)則如下：

1)若是首交換機，則下發(fā)的流表Match匹配項為匹配原始源、目的IP地址，流表Actions為更改數(shù)據(jù)流的源和目的IP分別為隨機源IP地址表和隨機目的IP地址表的第一項，以及從相應(yīng)端口轉(zhuǎn)發(fā)。

2)若為末交換機，則下發(fā)的流表Match匹配項為匹配隨機源IP地址表和隨機目的IP地址表的第n-1項，流表Actions為更改數(shù)據(jù)流的源和目的IP分別為原始源、目的IP地址，以及從相應(yīng)端口轉(zhuǎn)發(fā)。

3)若為第i跳交換機，則下發(fā)流表Match匹配項為匹配隨機源IP地址表和隨機目的IP地址表的第i-1項，流表Actions為更改數(shù)據(jù)流的源和目的IP分別為隨機源IP地址表和隨機目的IP地址表的第i項。

3 仿真驗證

為驗證本文提出的基于傳輸過程的地址跳變模型，本文采用基于開源SDN控制器Floodlight和在SDN技術(shù)研究中應(yīng)用廣泛的網(wǎng)絡(luò)仿真工具Mininet搭建軟仿真環(huán)境進行模型功能驗證。

本文采用如圖3所示的簡單線性網(wǎng)絡(luò)拓撲進行仿真。實驗開始，在Mininet的控制臺輸入命令：h1 ping h4(h1與h4的IP地址分別為10.0.0.1和10.0.0.4)，使得圖中的Host1向Host4發(fā)送ICMP協(xié)議請求包，該過程進行之前Host1會首先發(fā)送ARP廣播包詢問Host4的MAC地址，由于是廣播包各交換機會對其執(zhí)行廣播操作，當Host4接收到后并向Host1發(fā)送ARP響應(yīng)時，由于此時不是廣播包，因此交換機會產(chǎn)生地址跳變的動作。Host1得到ARP響應(yīng)后，發(fā)送ICMP協(xié)議請求包，此時通過網(wǎng)絡(luò)抓包工具wireshark對控制器端口進行抓包，發(fā)現(xiàn)有4條OpenFlow協(xié)議的流表下發(fā)過程(Flow Mod)，表1為控制器下發(fā)的流表部分信息統(tǒng)計。

圖3 仿真拓撲

表1 控制器下發(fā)流表部分信息統(tǒng)計

從表1中可以看出，每臺交換機的流表操作就是先匹配上一跳交換機轉(zhuǎn)發(fā)后的隨機源、目的IP地址(第一跳switch1匹配原始源、目的IP地址10.0.0.1和10.0.0.4)，然后執(zhí)行更改源、目的IP地址為新的隨機IP(最后一跳switch4執(zhí)行將源、目的IP更改為原始IP地址10.0.0.1和10.0.0.4)并從指定端口轉(zhuǎn)發(fā)的操作Actions。如此之后，在首末交換機之間傳輸?shù)臄?shù)據(jù)包的源、目的IP地址均為隨機IP，從而實現(xiàn)隱蔽IP地址的目的，保障了數(shù)據(jù)流的安全性。

為探究基于傳輸過程的IP地址跳變的網(wǎng)絡(luò)開銷，本文對不同路由跳數(shù)(route hops)的路由的平均傳輸時延進行了實驗并記錄，同時也記錄了非IP地址跳變的正常傳輸過程的平均傳輸時延，結(jié)果如圖4所示。顯而易見，在相同的跳數(shù)條件下，IP地址跳變的時延較正常傳輸過程的時延有一定的提升，大小在10-6s的數(shù)量級(在不同的網(wǎng)絡(luò)環(huán)境和硬件條件下測量結(jié)果可能有所不同)。

圖4 IP地址跳變與正常轉(zhuǎn)發(fā)的時延對比

4 結(jié) 語

本文在移動目標防御中的地址跳變技術(shù)現(xiàn)有成果的研究基礎(chǔ)上，創(chuàng)造性地提出了在SDN網(wǎng)絡(luò)架構(gòu)下實現(xiàn)的一種基于傳輸過程的IP地址跳變機制。這種基于流的地址跳變機制可使數(shù)據(jù)流在傳輸過程中不斷改變所攜帶的源、目的IP地址為隨機IP地址，對于針對源、目的IP地址的主機進行監(jiān)聽的惡意活動有較強的防御能力。通過仿真測試，發(fā)現(xiàn)這種機制對于網(wǎng)絡(luò)開銷的提升比較微小，所以對于在搭建網(wǎng)絡(luò)安全性要求較高的網(wǎng)絡(luò)時可以實施這種防御機制，以增強網(wǎng)絡(luò)的安全性能。

同時，本文提出的地址跳變機制是針對網(wǎng)絡(luò)層IP地址的一種跳變機制，推廣開來，可以同時對數(shù)據(jù)鏈路層的MAC地址以及傳輸層的TCP/IP端口進行同時跳變，使得在網(wǎng)絡(luò)各層看來，傳輸過程中的數(shù)據(jù)流完全隱匿在鏈路上，可全方位增強網(wǎng)絡(luò)的抗竊聽能力。在實現(xiàn)方面，OpenFlow協(xié)議的流表項匹配項同時包含對于源、目的MAC地址，源、目的TCP/IP端口的匹配；OpenFlow的執(zhí)行動作相對應(yīng)的包含對于源、目的MAC地址，源、目的TCP/IP端口的修改，可類比本文方案實現(xiàn)MAC地址跳變和端口跳變。

[1] 張曉玉，李振邦.移動目標防御技術(shù)綜述[J].通信技術(shù)，2013，46(06)：111-113. ZHANG Xiao-yu,LI Zheng-bang.Overview on Moving Target Defense Technology[J].Communications Technology,2013，46(06)：111-113.

[2] NITRD CSIA IWG Cybersecurity Game-Change Research & Development Recommendations[R].U.S:NITRD,2010.

[3] McKeown N, Anderson T,Balakrishnan H,et al. Open Flow: Enabling Innovation in Campus Networks[C]. SIGCOMM Comput. Commun. Rev.38(2), 69-74 (2008).

[4] 左青云,陳鳴,趙廣松等.基于OpenFlow的SDN技術(shù)研究[J].軟件學報,2013,24(05):1078-1097. Zuo QY, Chen M, Zhao GS, et al. OpenFlow-based SDN technologies[J]. Journal of Software, 2013,24(5):1078-1097.

[5] Atighetchi M, Pal P, Webber F,et al. Adaptive Use of Network-centric Mechanisms in Cyber-defense[J]. In ISORC ’03, Page 183. IEEE Computer Society, 2003.

[6] Kewley D, Fink R, Lowry J, et al. Dynamic Approaches to Thwart Adversary Intelligence Gathering[C]. In DARPA Information Survivability Conference Exposition II, 2001. DISCEX ’01. Proceedings,Volume 1, Pages 176-185 vol.1, 2001.

[7] Antonatos S, Akritidis P, Markatos E P, et al. Defending Against Hitlist Worms Using Network Address Space Randomization[J].Comput. Netw., 51(12):3471-3490, 2007.

[8] Ehab Al-Shaer,Qi Duan. Random Host IP Mutation for Moving Target Defense[R].Technical Report UNCC-CYBERDNA-0728,CyberDNA Lab,University of North Carolina at Charlotte, Charlotte,NC, July 2011.

[9] JAFAR H J,EHAB A, DUAN Q. Openflow Random Host Mutation: Transparent Moving Target Defense Using Software Defined Networking[J]. HotSDN,2012(12):127-132.

[10] Open Networking Foundation. OpenFlow Switch Specification Version 1.1.0[S]. Feb. 28, 2011.

IP Mutation Technology based on SDN Network

GAO Cheng, CHEN Shi-kang, WANG Hong, DONG Qing

(Southwest Communications Institute, Chengdu Sichuan 610041,China)

As the prelude of network attack , network sniffering is a big threat to the network security. Based on the research achievement of moving target defence, a mechanism or strategy of IP address mutation in transmitting process is proposed,thus to enhance immunity of the network to sniffering. The main idea of this mechanism is that under the frame of SDN network,the controller by using OpenFlow protocol, writes different flow-tables to switch on the route and realizes IP mutation. Simulation results indicate that the IP mutation may be achieved at a comparatively low network overhead while a better network defense capability to the network sniffer for the network obtained.

SDN；OpenFlow protocol； IP mutation；moving target defense

date:2014-10-08；Revised date：2015-02-21

TN911

A

1002-0802(2015)04-0430-05

高 誠(1992—)，男，碩士研究生，主要研究方向為網(wǎng)絡(luò)安全；

陳世康(1970—)，男，研究員，主要研究方向為寬帶通信網(wǎng)絡(luò)；

王 宏(1978—)，男，博士，高級工程師，主要研究方向為網(wǎng)絡(luò)架構(gòu)與技術(shù)體制；

董 青(1988—)，男，碩士，助理工程師，主要研究方向為通信網(wǎng)絡(luò)技術(shù)。

10.3969/j.issn.1002-0802.2015.04.010

2014-10-08；

2015-02-21