基于SDN架構的地址跳變技術研究*

高 誠，陳世康，王 宏，董 青

(西南通信研究所,四川 成都 610041)

基于SDN架構的地址跳變技術研究*

高 誠，陳世康，王 宏，董 青

(西南通信研究所,四川 成都 610041)

網絡嗅探作為網絡攻擊的前奏，對于網絡安全存在較大威脅。為增強網絡本身的抗嗅探竊聽能力，在移動目標防御網絡的地址跳變技術的研究基礎上提出了一種基于傳輸過程的地址跳變方案，主要思想是在SDN網絡架構下，控制器通過為傳輸路由上交換機下發不同流表來實現IP地址的跳變。仿真結果表明，可以以較小的網絡開銷實現跳變機制，并使網絡對于網絡嗅探達到較高的防御能力。

SDN；OpenFlow協議； IP地址跳變；移動目標防御

0 引 言

在當前的網絡中，網絡安全防御所需的花費與惡意攻擊者為攻破網絡的努力嚴重不對等，網絡防御者往往需要為整個系統疊加層層安全技術手段，而攻擊者只需利用某個漏洞即可接管目標。移動目標防御[1](Moving Target Defense)的概念由此誕生，移動目標防御技術摒棄以構建無缺陷防御系統的方式維護網絡安全性，而代之以創造開發出一種多樣的、持續隨時間無規律變化的機制來提升對于網絡攻擊的復雜度和花費，從而限制漏洞的外泄以及攻擊的成功率[2]。

其中，地址跳變技術(IP hopping or IP mutation)是移動目標防御網絡的一項重要內容，地址跳變是指網絡節點擁有隨機變化本身地址或者地址在傳輸過程中不斷變化的能力。由于地址是節點的唯一標識，在傳統的分布式網絡中實現地址跳變會產生以下困難：一是地址隨機變化將使其他與之通信的節點無法及時感知，容易造成會話中斷；二是終端主機地址隨機變化往往需要改變終端主機配置，限制了地址變化的頻率，在實際應用中也存在著可操作性的問題。

近年來，出現一種以OpenFlow[3]技術為代表的軟件定義網絡(SDN,Software Defined Network)網絡架構。OpenFlow技術是斯坦福大學McKeown教授與其學生Casado在可編程網絡的研究中提出的一種網絡技術，起初是為了在校園網進行網絡創新和實驗而設計的實驗平臺[3]。隨后，McKeown等人在此基礎上提出了SDN的概念并得到廣泛認可。2011年，McKeown等研究者組織成立開放式網絡基金會(ONF,Open Networking Foundation)，專門負責相關標準的制定和推廣，包括OpenFlow標準、OpenFlow配置協議和SDN白皮書，大大推進了OpenFlow和SDN的標準化工作,也使其成為全球開放網絡架構和網絡虛擬化領域的研究熱點[4]。

SDN架構的主要思想是是轉發平面(Data Plane)與控制平面(Control Plane)分離，控制平面由一種名為Controller的實體實現網絡的控制管理功能，而轉發平面只負責執行控制平面下發的數據轉發策略。由于SDN架構的集中式管控的特性，可基于數據流進行地址跳變，避免會話中斷；同時可利用控制器控制傳輸路徑上的交換機對匹配的數據流進行數據包地址的改寫，實現地址在傳輸過程中不斷變化的能力。因此在SDN網絡架構下實現地址跳變較為簡便可行。

本文主要研究內容是SDN網絡架構下如何實現網絡地址的隨機化跳變技術，以下在相關研究一節中將會介紹本文研究內容的最新進展，然后會在地址跳變模型一節中介紹本文提出的一種基于傳輸過程的地址跳變模型，最后將會分別在仿真驗證和結語兩節中給出仿真實現的結果和進行分析總結。

1 相關研究

在地址跳變技術研究方面，出現了包括APOD[5]，DyNAT[6]和NASR[7]等在內的研究成果，APOD使用基于地址和端口隨機的“跳變隧道”偽裝目標主機，在IP地址跳變過程中需要客戶端與服務器端的協作；DyNAT提供一種在數據包進入核心網或公共網之前進行IP變化的機制，以避免中間人攻擊；NASR是一種LAN級別的基于DHCP更新的網絡地址隨機跳變策略，用以防范Hitlist worms攻擊。但是上述技術均沒有提供一種無需改變終端主機配置即可防范內外部偵聽攻擊的IP跳變機制。由此，Ehab Al-Shaer等人提出了一種具有高速變化和難以預測特性的IP地址變化技術，簡稱RHM(Random Host Mutation)[8]，RHM需要通過增添中心式的實體Moving Target Controller和分布式實體Moving Target Gateway來進行實際地址rIP和虛擬地址vIP的轉變。

之后，Ehab Al-Shaer等人在RHM的基礎上結合新出現的OpenFlow技術對RHM作了進一步地改進，使用OpenFlow中的NOX Controller實現RHM中Moving Target Controller和Moving TargetGateway的功能，得到OF-RHM(OpenFlow Random Host Mutation)[9]模型，相對于RHM，OF-RHM由于SDN靈活的基礎架構可以更為有效以及以更小的處理開銷開發和管理主機地址隨機跳變功能。

2 地址跳變模型

本文在上節所述研究成果的啟發下，提出了一種新的SDN網絡下基于傳輸過程的地址跳變模型。本模型的主要特征是實現了通信數據流所攜帶的源目的IP地址在轉發過程中的發生跳變的功能，而不必要對源、目的主機固有IP地址進行重新配置。相比于RHM模型和OF-RHM模型，本模型將地址跳變的過程從主機終端遷移到數據傳輸的路徑上，在數據流經過每一跳交換機后，包頭的地址均會發生隨機變化，而在OF-RHM模型中，地址從rIP與vIP之間的變化發生在第一跳OpenFlow交換機和最后一跳OpenFlow交換機，相比上述兩種模型，本模型可以使得地址的跳變具有更高頻率以及地址更加難以預測的特點，從而使得網絡的一項屬性----網絡節點地址不斷發生變化，提升了網絡攻擊的復雜度和花費，降低網絡被成功攻擊的風險。

本模型的跳變過程簡而言之就是每一跳OpenFlow交換機對于需要轉發的數據包根據匹配的流表項進行更改源目的IP地址的操作后再進行相應轉發，同時也保證了數據包按照既定路由到達目的節點。圖1即是本過程的簡單示意(其中r1、r2為實際地址，v1、v2等為虛擬地址)。

圖1 地址跳變示意

我們知道，在OpenFlow協議中，控制器對于OpenFlow交換機的控制是通過下發流表實現的，每一臺OpenFlow交換機負責維護一張流表并按照流表完成轉發或丟棄動作[10]。在部署OpenFlow協議的SDN網絡中，當一條流的第一個包到達第一臺OpenFlow交換機時，交換機由于沒有匹配的流表，會按照OpenFlow協議的規定將包頭信息整合成OpenFlow中定義的PacketIn消息包發送到Controller，控制器會根據源目的地址尋找到一條最佳路徑，并依次對路徑上的交換機下發流表，為這條數據流搭起從源到目的的一條通路。

基于傳輸過程的地址跳變技術的主要思想就是利用SDN網絡中的控制器為傳輸路由上的OpenFlow交換機下發不同匹配項、不同執行動作的流表來實現IP地址跳變的。

地址跳變具體實現流程如圖2所示，控制器在收到交換機因為到達數據流無匹配流表而上報的PacketIn消息后，根據PacketIn消息獲取數據流的包頭等信息并進行一系列的判斷，若是數據流的源目的主機不在同一個OpenFlow域內或是獲取不到相應路由，則將執行泛洪操作；若是獲取到傳輸路由，則遍歷路徑上的交換機并進入流表下發階段。在流表下發階段，控制器負責維護兩張隨機產生的IP地址表，分別為隨機源IP地址表和隨機目的IP地址，兩張表大小均為n-1(n為路由上交換機的個數)，控制器針對傳輸路由方向上的交換機進行遍歷并判斷所處位置，根據交換機所處位置，下發不同的流表。

圖2 地址跳變具體流程

具體下發流表的規則如下：

1)若是首交換機，則下發的流表Match匹配項為匹配原始源、目的IP地址，流表Actions為更改數據流的源和目的IP分別為隨機源IP地址表和隨機目的IP地址表的第一項，以及從相應端口轉發。

2)若為末交換機，則下發的流表Match匹配項為匹配隨機源IP地址表和隨機目的IP地址表的第n-1項，流表Actions為更改數據流的源和目的IP分別為原始源、目的IP地址，以及從相應端口轉發。

3)若為第i跳交換機，則下發流表Match匹配項為匹配隨機源IP地址表和隨機目的IP地址表的第i-1項，流表Actions為更改數據流的源和目的IP分別為隨機源IP地址表和隨機目的IP地址表的第i項。

3 仿真驗證

為驗證本文提出的基于傳輸過程的地址跳變模型，本文采用基于開源SDN控制器Floodlight和在SDN技術研究中應用廣泛的網絡仿真工具Mininet搭建軟仿真環境進行模型功能驗證。

本文采用如圖3所示的簡單線性網絡拓撲進行仿真。實驗開始，在Mininet的控制臺輸入命令：h1 ping h4(h1與h4的IP地址分別為10.0.0.1和10.0.0.4)，使得圖中的Host1向Host4發送ICMP協議請求包，該過程進行之前Host1會首先發送ARP廣播包詢問Host4的MAC地址，由于是廣播包各交換機會對其執行廣播操作，當Host4接收到后并向Host1發送ARP響應時，由于此時不是廣播包，因此交換機會產生地址跳變的動作。Host1得到ARP響應后，發送ICMP協議請求包，此時通過網絡抓包工具wireshark對控制器端口進行抓包，發現有4條OpenFlow協議的流表下發過程(Flow Mod)，表1為控制器下發的流表部分信息統計。

圖3 仿真拓撲

表1 控制器下發流表部分信息統計

從表1中可以看出，每臺交換機的流表操作就是先匹配上一跳交換機轉發后的隨機源、目的IP地址(第一跳switch1匹配原始源、目的IP地址10.0.0.1和10.0.0.4)，然后執行更改源、目的IP地址為新的隨機IP(最后一跳switch4執行將源、目的IP更改為原始IP地址10.0.0.1和10.0.0.4)并從指定端口轉發的操作Actions。如此之后，在首末交換機之間傳輸的數據包的源、目的IP地址均為隨機IP，從而實現隱蔽IP地址的目的，保障了數據流的安全性。

為探究基于傳輸過程的IP地址跳變的網絡開銷，本文對不同路由跳數(route hops)的路由的平均傳輸時延進行了實驗并記錄，同時也記錄了非IP地址跳變的正常傳輸過程的平均傳輸時延，結果如圖4所示。顯而易見，在相同的跳數條件下，IP地址跳變的時延較正常傳輸過程的時延有一定的提升，大小在10-6s的數量級(在不同的網絡環境和硬件條件下測量結果可能有所不同)。

圖4 IP地址跳變與正常轉發的時延對比

4 結 語

本文在移動目標防御中的地址跳變技術現有成果的研究基礎上，創造性地提出了在SDN網絡架構下實現的一種基于傳輸過程的IP地址跳變機制。這種基于流的地址跳變機制可使數據流在傳輸過程中不斷改變所攜帶的源、目的IP地址為隨機IP地址，對于針對源、目的IP地址的主機進行監聽的惡意活動有較強的防御能力。通過仿真測試，發現這種機制對于網絡開銷的提升比較微小，所以對于在搭建網絡安全性要求較高的網絡時可以實施這種防御機制，以增強網絡的安全性能。

同時，本文提出的地址跳變機制是針對網絡層IP地址的一種跳變機制，推廣開來，可以同時對數據鏈路層的MAC地址以及傳輸層的TCP/IP端口進行同時跳變，使得在網絡各層看來，傳輸過程中的數據流完全隱匿在鏈路上，可全方位增強網絡的抗竊聽能力。在實現方面，OpenFlow協議的流表項匹配項同時包含對于源、目的MAC地址，源、目的TCP/IP端口的匹配；OpenFlow的執行動作相對應的包含對于源、目的MAC地址，源、目的TCP/IP端口的修改，可類比本文方案實現MAC地址跳變和端口跳變。

[1] 張曉玉，李振邦.移動目標防御技術綜述[J].通信技術，2013，46(06)：111-113. ZHANG Xiao-yu,LI Zheng-bang.Overview on Moving Target Defense Technology[J].Communications Technology,2013，46(06)：111-113.

[2] NITRD CSIA IWG Cybersecurity Game-Change Research & Development Recommendations[R].U.S:NITRD,2010.

[3] McKeown N, Anderson T,Balakrishnan H,et al. Open Flow: Enabling Innovation in Campus Networks[C]. SIGCOMM Comput. Commun. Rev.38(2), 69-74 (2008).

[4] 左青云,陳鳴,趙廣松等.基于OpenFlow的SDN技術研究[J].軟件學報,2013,24(05):1078-1097. Zuo QY, Chen M, Zhao GS, et al. OpenFlow-based SDN technologies[J]. Journal of Software, 2013,24(5):1078-1097.

[5] Atighetchi M, Pal P, Webber F,et al. Adaptive Use of Network-centric Mechanisms in Cyber-defense[J]. In ISORC ’03, Page 183. IEEE Computer Society, 2003.

[6] Kewley D, Fink R, Lowry J, et al. Dynamic Approaches to Thwart Adversary Intelligence Gathering[C]. In DARPA Information Survivability Conference Exposition II, 2001. DISCEX ’01. Proceedings,Volume 1, Pages 176-185 vol.1, 2001.

[7] Antonatos S, Akritidis P, Markatos E P, et al. Defending Against Hitlist Worms Using Network Address Space Randomization[J].Comput. Netw., 51(12):3471-3490, 2007.

[8] Ehab Al-Shaer,Qi Duan. Random Host IP Mutation for Moving Target Defense[R].Technical Report UNCC-CYBERDNA-0728,CyberDNA Lab,University of North Carolina at Charlotte, Charlotte,NC, July 2011.

[9] JAFAR H J,EHAB A, DUAN Q. Openflow Random Host Mutation: Transparent Moving Target Defense Using Software Defined Networking[J]. HotSDN,2012(12):127-132.

[10] Open Networking Foundation. OpenFlow Switch Specification Version 1.1.0[S]. Feb. 28, 2011.

IP Mutation Technology based on SDN Network

GAO Cheng, CHEN Shi-kang, WANG Hong, DONG Qing

(Southwest Communications Institute, Chengdu Sichuan 610041,China)

As the prelude of network attack , network sniffering is a big threat to the network security. Based on the research achievement of moving target defence, a mechanism or strategy of IP address mutation in transmitting process is proposed,thus to enhance immunity of the network to sniffering. The main idea of this mechanism is that under the frame of SDN network,the controller by using OpenFlow protocol, writes different flow-tables to switch on the route and realizes IP mutation. Simulation results indicate that the IP mutation may be achieved at a comparatively low network overhead while a better network defense capability to the network sniffer for the network obtained.

SDN；OpenFlow protocol； IP mutation；moving target defense

date:2014-10-08；Revised date：2015-02-21

TN911

A

1002-0802(2015)04-0430-05

高 誠(1992—)，男，碩士研究生，主要研究方向為網絡安全；

陳世康(1970—)，男，研究員，主要研究方向為寬帶通信網絡；

王 宏(1978—)，男，博士，高級工程師，主要研究方向為網絡架構與技術體制；

董 青(1988—)，男，碩士，助理工程師，主要研究方向為通信網絡技術。

10.3969/j.issn.1002-0802.2015.04.010

2014-10-08；

2015-02-21