软件定义网络流表溢出脆弱性分析及防御方法.docx

?

?

软件定义网络流表溢出脆弱性分析及防御方法

?

?

左雪鑫

摘要：由于SDN交换机的流表容量非常有限，所以就存在比较严重的流表溢出脆弱问题，所以这就需要根据这一问题提出相应的防御措施，以保证网络的安全性。基于此，本文将在传统聚合算法的基础上提出了装箱优化算法，达到7控制交换机流表项数量的目的，实现7有效防御，以供参考借鉴。

关键词：软件定义网络流表溢出防御方法

引言

在互联网不断发展之下，原先的IP网络结构体系与TCP网络架构体系也都开始暴露出来越来越多的问题，比如说网络安全问题、扩展性受限、管理复杂等等。为了有效解决这些问题，各种新型网络技术渐渐发展起来。其中软件定义网络作为一种颠覆网络技术的创新形式将会是未来网络发展的重要方向。它的发展会将网络之中数据转发和控制之间存在的耦合关系解除掉，进而形成一种运用、转发与控制相互分离的一种架构，并通过相应的标准化接口带来了编程接口，使整体网络管理更加便捷。但是其交换机发展却存在相应的性能问题，比如流表容量不足，如果有人对其交换机进行使用大量伪造的数据包进行攻击的话，就会导致整个交换机出现流表溢出的问题，最终产生非常严重的后果。对此，这就需要对其脆弱性和相应的防御措施进行分析，以维护其交换机的安全性。

一、脆弱性

（一）原因

当下商用的软件定义网络其交换机之中的流表基本都是使用TCAM缓存所制，它的成本极高，就导致交换机之中的流表容量十分有限。比如，NEC公司的某交换机其流表容量才只能达到750条，就算是思科公司的某交换机其流表容量也才能够达到2000条。一般该设备在处理网络通信的时候都非常繁忙，其网络流速一般会达到每秒5X103到10X103条这明显大于其流表的基本容量不但如此，负载均衡以及防火墙等网络所需要使用到的该项容量也要比当下开发的交换机流表容量大得多，所以能够发现该项流量是不能满足基本需求的。

在进行网络运行的时候，这种交换机一般都要依照每条流的特点给流表之中写入相应的规则。如果网络流量非常大的时候，这种机制就会导致流表完全被占用，进而如果有新型网络流到来的话，如果其网络流在整个流表之中并没有相应的规则可以处理，依照相关协议，该项交换机就应该要和控制器实施频繁的交互，把网络流信息控制住并给控制器发送过去，然后再由控制器下发新型的流表项。这时候控制器和交换机就会因为彼此之间的频繁交流使整体网络的性能降低.情况严重的话还有可能会导致整个交换机所控制在数据平面当中的网络完全失控。

（二）后果

如果出现上述情况，这时候攻击人员就能够在产生随机地址与伪造源地址的网络流表之中加大各种流表项，进而使流表出现溢出的现象。这时候就会导致整个交换机之中数据包的转发特性出现下降情况，并出现流表溢出攻击。根据这一严重缺陷，就可以轻易达到攻击交换机拒绝服务的目的。除此之外，使用网络流量生成、注入等路径，还可以有效推断出来交换机的流表容量以及在网络当中的实时的流量特点，从而泄露网络信息。

二、防御措施

根据上述脆弱性问题，具体的防御方式可以通过在装箱优化基础上的路由规则聚合算法来实现。这一算法是在基数树的路由聚合算法基础上发展起来的，并且应用到了装箱优化的方式，使得整个流表項的聚合效率被显著提升。在使用该算法之后能够将节约交换机之中的容量消耗，解决其脆弱性的问题，让攻击人员的难度得以有效加大，实现了基本的防御目的。

（一）在基数树基础上

在IP网络的不断发展之下，其路由规则数量也在不断增长，在互联网之中其FIB路由规则已经达到了数十万条，这一发展给网络扩展性的发展带来了重大问题。为了有效降低交换机之中有关FIB的空间损耗.促进网络的扩展性，就需要加大对流量表项聚合问题的研究。

这一基本算法是非常经典的一种算法，其中基数树本身是二叉树，具体组成部分包含有匹配前缀和下跳网络地址。流表项在构建基数树的时候会先把前者转变成为二进制的字符串，接下来再对其实施遍历，倘若其某位是l的话，那么还应该要将右节点插入进去，一直不断进行重复一直到其字符串的遍历工作完成。这一算法经常运用到的聚合方式包含有兄弟、父子、引入额外路由空间的非兄弟等节点聚合，但是在该算法之中，如果没有在聚合完成之后优化其路由规则的转发地质，那么就可能会降低聚合效率，进而使防御效果降低。

（二）在装箱优化基础上

在这类网络之中，管理者能够在控制器当中的路由规则管理算法的作用下，实施调整其路由规则的转发地址，进而使整体的聚合效率得以提升，所以在这样的思路基础上，在装箱优化之上其算法基本包含有三个基本程序。

首先，将流表项的规则组划分出来。通过上述算法聚合之后所获得的流表项节点，将其目的地址之中归属于同一网络应用并未其匹配前缀无法聚合的各个节点划归成一个规则组，最后获得包括有不同数量节点的若干个流表项规则组。

其次，将上述规则组的转