SDN中IP欺騙數據分組網絡溯源方法研究

魏松杰，孫鑫，趙茹東，吳超

?

SDN中IP欺騙數據分組網絡溯源方法研究

魏松杰，孫鑫，趙茹東，吳超

（南京理工大學計算機科學與工程學院，江蘇 南京 210094）

IP數據分組溯源方法是指從目的地址出發，逐跳找到源主機。該方法在軟件定義網絡(SDN, software defined network)框架下，通過控制器向網絡中相關SDN交換機添加探測流表項，并根據目標數據分組觸發的有效溯源Packet-in消息，找到目標數據分組的轉發路徑及源主機。所提方案可以為調試網絡故障提供方便，使網絡管理員可以得到任意一個數據分組的轉發路徑，應對IP地址欺騙等網絡安全問題。實驗證明，該溯源方法能夠及時、準確地找到目標數據分組的轉發路徑，不影響網絡中其他數據流轉發，且無明顯的系統開銷。

SDN；IP地址欺騙；IP溯源；探測流表項

1 引言

近年來，網絡安全日益重要。分布式拒絕服務（DDoS, distributed denial of service）攻擊是攻擊方利用多臺主機構成攻擊平面對受害者實施攻擊。攻擊者通過發送大量數據分組，使受害者忙于處理大量的攻擊數據分組，被迫減速甚至崩潰和關閉，從而使受害者拒絕向合法用戶和計算機提供服務[1]。同時，DDoS還可對網絡設備（包括路由器、交換機等）和網絡鏈路發起攻擊，攻擊者利用巨大的網絡流量，造成路由器與交換機等網絡設備過載，導致網絡功能或正常服務癱瘓，網絡性能大幅度下降。

網絡攻擊等網絡惡意行為常使用IP地址欺騙。惡意主機使用偽造的IP地址不斷給攻擊目標發送大量數據分組，超出目標主機正常處理的能力范圍，使受害者無法直接找到攻擊者，達到隱藏惡意主機在網絡中真實位置的目的[2]。此外，惡意主機使用IP 地址欺騙繞過正常的數據分組請求者認證過程，取得目標系統信任，從而非法獲得機密信息或訪問受限制的網絡服務。因此，如何及時檢測具有偽造IP地址的數據分組，對網絡安全有著重要意義。

SDN[3]是一種轉發控制分離的新型網絡架構，SDN的提出為解決網絡攻擊提供了新的思路。SDN架構實現對網絡集中控制，把轉發規則的制定集中到控制器中。數據的轉發由控制器下發的流表項統一指導，由交換機等網絡轉發設備實現轉發過程，這極大地幫助網絡提供商通過控制器以集中方式動態改變網絡配置，而無需獨立訪問和重新配置分散在整個網絡中的各個設備[4]。SDN 架構有利于網絡功能的革新發展，其可編程與全局特性能夠支持現有模塊解決多種傳統網絡的現存問題[5]。

本文所提方案結合了SDN網絡的優點，提出基于SDN的IP欺騙數據分組網絡溯源方法。本方案完全依賴于SDN交換機的正常數據處理功能，不影響網絡中其他正常數據流的轉發，對交換機無需額外的軟硬件修改，且本方案可以根據欺騙數據分組的實際轉發情況，動態查找欺騙數據分組的轉發路徑，準確率高，系統開銷小。

2 相關工作

IP地址欺騙通過偽造IP協議數據分組組頭中的源地址，使網絡中數據分組轉發節點和接收節點所看到的數據分組源IP地址并不是數據分組的實際發送者在網絡中的真實IP地址。偽造數據分組的源IP地址，既能保證數據分組被網絡正常路由轉發到目標地址節點，又能使數據分組接收者難以定位真實來源。通過網絡中不同節點間的協作，快速回溯欺騙數據分組的路由路徑至真實發送主機或入口交換機，對提高網絡安全水平、防范網絡攻擊威脅、調查取證網絡安全事件等應用具有重要的技術意義。

IP溯源的目的是找到發送目標數據分組的真實源主機及目標數據分組實際轉發路徑。IP溯源常用的方法有鏈路測試法、數據分組標記法、日志記錄法等。

表1 各個溯源技術評估

Patel等[6]使用鏈路測試法進行IP溯源，該方法首先由網絡管理員構造一個覆蓋網，當受害者受到攻擊時，向受害者上游路由器注入洪流，加重攻擊鏈路負載。在溯源時，根據受害者接收速率變化判斷攻擊路徑，鏈路測試法需要人工完成很多工作，只能追溯單個攻擊流。文獻[7-8]使用數據分組標記法追蹤目標數據分組。數據分組標記法對分組頭空閑字段重定義，利用數據分組組頭的一些字段，寫入數據分組經過的路徑信息，當帶標記的數據分組到達受害主機且被確定為欺騙數據分組后，就可根據該數據分組中記錄的路徑信息找到源主機。Foroushani等[9]使用日志記錄法進行IP溯源。日志記錄法是由路由器將經過的數據分組信息記錄下來，以備溯源時使用，但這種方法要求系統具有較大的存儲空間。

SDN網絡具有邏輯中心化和控制管理可編程策略，這為解決IP欺騙數據分組的溯源問題提供了新的技術支持和實施平臺。Francois 和Festor[10]在SDN架構下提出通過查看流表項的方法找到源主機，但是由于流表項的匹配精度不確定，找到的主機往往是一個集合，無法準確地定位源主機。夏彬[11]提出了使用Renyi熵的方法判斷一個交換機是否轉發過欺騙數據分組，Cui等[12]提出通過查詢交換機中一些統計數據判斷一個交換機是否在欺騙數據分組的轉發路徑上。這兩種溯源方法都受設置的閾值和實際網絡中數據分組發送情況的影響較大。Agarwal等[13]提出通過給交換機標號并添加流表項的方法從源主機追蹤數據分組的發送路徑。Tammana[14]和Narayan[15]通過添加流表項，修改數據分組組頭某些字段，使該字段記錄路徑信息，這種方法需要額外添加的流表項數目較多，且受數據分組組頭字段長度的限制。各個溯源技術的詳細性能評估，如表1所示。

本文在SDN框架下提出一種通過控制器向網絡中相關的交換機中添加探測流表項的方法，在網絡中追蹤欺騙數據分組的流入端口，找到發送IP欺騙數據分組的源主機。添加的探測流表項具有最高優先級，與溯源的欺騙數據分組特征進行精確匹配，對應的操作為發送Packet-in消息給控制器。當目標欺騙數據分組經過添加了探測流表項的交換機時，會觸發相應的Packet-in消息，控制器根據該消息并利用全局網絡拓撲信息得到上一跳信息。

3 系統設計

3.1 名詞定義

本節定義或明確一些名詞和概念，用以在后續章節中描述提出的溯源方案。

定義1 欺騙數據分組的特征集（簡稱特征集）：特征集由溯源請求者提出。以OpenFlow[16]v1.0為例，特征集是流表項分組頭域元素的集合的子集。

定義2 探測流表項：探測流表項的匹配域是特征集以及入端口（入端口是必備項），在流表中具有最高匹配優先級，探測流表項的動作是發送Packet-in消息給控制器。

定義3 溯源路徑樹：控制器中有一個樹型結構，用以記錄溯源數據分組的轉發路徑。每當查找到一個交換機（主機）時，都將該交換機的DPID（主機的IP）加入到溯源路徑樹中。由樹的根節點到子節點得到溯源路徑。

定義4 有效溯源Packet-in消息：溯源開始后，觸發該消息的數據分組符合溯源請求者提出的特征，控制器之前已向發送該消息的交換機添加過探測流表項，且發送該消息的交換機in_port端口連接的交換機或主機未被溯源過。

定義5 無效溯源Packet-in消息：溯源開始后，觸發該消息的數據分組符合溯源請求者提出的特征，但控制器之前未向發送該消息的交換機添加過探測流表項，或發送該消息的交換機in_port端口連接的交換機或主機已被溯源過。

3.2 溯源機制

本文通過添加探測流表項的方法找到欺騙數據分組的轉發路徑及源主機。圖1是本溯源算法的具體流程圖。溯源過程如下。

1) 溯源請求者給出特征集和溯源起點交換機的DPID，控制器將溯源起點交換機DPID作為根節點加入溯源路徑樹中。溯源起點交換機為當前交換機。

圖1 溯源流程

2) 控制器向當前交換機中添加條探測流表項(為當前交換機的端口數目-1。除了數據分組經過的下一跳端口外，其余每個端口都對應一條探測流表項)，監聽有效溯源Packet-in消息。

3) 若控制器接收到有效溯源 Packet-in消息，控制器根據全局網絡拓撲結構信息及 in_port 值得知數據分組經過的上一跳節點信息，將上一跳節點信息加入溯源路徑樹中。若上一跳節點是交換機，則將上一跳交換機記為當前交換機。控制器將該數據分組Packet-out至下一跳節點。

4) 控制器刪除發送有效溯源Packet-in消息的交換機中對應的探測流表項。

5) 重復2)～4)，當查找到的交換機in_port端口連接的是主機時，一條路徑的溯源結束。

6) 控制器長時間沒有收到有效溯源Packet-in消息，計時器超時，溯源結束。

3.3 溯源過程示例

本節以圖2中所示SDN網絡拓撲結構為例，對本文提出的通過添加探測流表項溯源IP數據分組的方法進行示范說明。

在拓撲網絡中，主機1使用虛假的IP地址向主機4發送數據分組，在查找該數據分組的轉發路徑時，溯源請求者4需告知控制器溯源起點交換機的DPID（交換機4的DPID）及數據分組的特征集，從主機4開始溯源。溯源請求者給出的特征集是：源IP地址、目的IP地址、數據分組的類型以及目的端口號。

圖2 算法實現過程示例

控制器構造的探測流表項如下。

1) 匹配域：數據分組入端口及與特征集對應的2～4層網絡控制信息。

2) 優先級：65 535（最高優先級）。

3) 動作：將數據分組封裝為Packet-in消息并轉發給控制器。

在溯源過程中，將欺騙分組經過的交換機標記為目標節點，將目標節點加入到溯源路徑樹上，遍歷溯源路徑樹得到目標節點匹配到的欺騙數據分組數量，由此得到欺騙分組來自溯源目標的概率。

控制器向交換機4添加3條探測流表項（如圖2中①所示，添加的3條探測流表項分別對應于4的端口1、端口2和端口3），當欺騙數據分組經過4時，會觸發有效溯源Packet-in消息（如圖2中②所示）。控制器根據全局網絡拓撲信息及該Packet-in消息中in_port值得知4的上一跳記為′。圖2中4是起點交換機，欺騙分組經過的概率為1，′為交換機3和2，欺騙分組經過的概率與溯源路徑樹上匹配到的欺騙數據分組的數目有關，沒有欺騙數據分組經過交換機5，則5的概率為0。然后控制器將對應端口的探測流表項的動作修改為轉發給下一跳（如圖2中③所示），并將觸發該消息的數據分組Packet-out至4的端口4（如圖2中④所示）。接下來，控制器向′添加探測流表項，當欺騙數據分組經過′時會觸發有效溯源Packet-in消息，控制器得知的上一跳是，同樣根據溯源路徑樹中對應節點經過的欺騙數據分組數目得到路由器概率。控制器將對應端口的探測流表項的動作修改為轉發到下一跳并將觸發該消息的數據分組Packet-out至相應端口。接下來控制器會向添加探測流表項，當欺騙數據分組經過時會觸發有效溯源Packet-in消息，控制器根據全局網絡拓撲信息及該Packet-in消息中in_port值得知的上一跳是主機1，一條路徑的溯源結束。

3.4 流表項管理

本文提出的IP溯源方法中，轉發和溯源均使用了控制器獲取全局網絡拓撲結構的功能。控制器利用拓撲發現協議獲取全局網絡拓撲信息，將全局網絡拓撲信息保存在一個圖結構中，并利用路徑計算方法計算數據分組的轉發路徑。當數據分組觸發Packet-in消息時，若正常轉發該數據分組，控制器會利用全局網絡拓撲信息計算該數據分組經過的路徑，并向該路徑上所有交換機下發轉發該數據分組的流表項。

流表項指導數據分組轉發。傳統網絡中路由表項是路由器運行路由協議自動構建的，而SDN交換機中的流表項由控制器下發，且SDN交換機中的流表項可更精確地匹配，進行更復雜的數據分組處理動作。如圖3所示，流表項由匹配域、優先級、計數器、指令集、超時計時器、緩存等字段構成。

匹配域優先級計數器指令集超時計時器Cookie

本文主要使用了流表項的匹配域、優先級和指令集3個字段。匹配域包括1到4層的網絡信息，與符合條件的數據分組匹配。優先級值的范圍是[0, 65 535]，數據分組優先與優先級高的流表項匹配。指令集中包含一組指令，當匹配到該流表項時，按一定順序執行這些指令。本文只使用一級流表結構，即所有流表項均位于流表0中。用于處理正常數據分組轉發的流表項（不包括table-miss流表項）中，匹配域為以太網協議類型和目的IP地址，優先級為1，指令集動作是轉發到交換機某一端口。

本文中，控制器對探測流表項的下發和修改都是通過OpenFlow協議中Flow-mod消息實現的。通過Flow-mod消息，控制器能夠指定下發給網絡交換機的流表項的匹配域、優先級、生存時間等，也可以修改某一個交換機中特定的流表項。

3.5 多徑處理

本文溯源得到的數據分組的轉發路徑會構成一個樹型結構（若溯源只得到一條路徑，則溯源產生的路徑構成一條直線）。為了能夠處理多條路徑的情況，控制器中保存了用于記錄多條路徑的樹型數據結構，當前得到的節點是溯源路徑樹中節點的子節點。

在多徑處理中，對有效溯源Packet-in消息的判斷，保證了溯源得到的節點父子關系的準確性。

在溯源過程中，控制器向交換機添加探測流表項條數為其端口數目-1，對應于交換機不同的端口。在同一個交換機中，數據分組觸發的每一個有效溯源Packet-in消息對應一個溯源路徑樹的分支。若有多個主機發送目標數據分組，數據分組會在路徑匯合的交換機中與多個探測流表項匹配，從而觸發多個有效溯源Packet-in消息。

3.6 目標可能性計算

根據溯源路徑樹上每個節點的有效溯源Packet-in消息與上一跳的節點信息，可以統計出到達當前節點的欺騙分組中屬于上一節點的概率。基于這個統計數據，本文使用貝葉斯網絡模型計算溯源起點的欺騙分組來自每個溯源目標的概率，即貝葉斯網絡中目標節點的先驗概率。控制器將對應端口的探測流表項的動作修改為轉發給下一跳，在回溯到溯源終點后，遍歷溯源路徑樹得到相應節點匹配到的欺騙數據分組數量。

圖4 貝葉斯網絡模型

貝葉斯網絡是一個有向無環圖，它的節點表示隨機變量，兩個節點間的箭頭包含一個條件概率值，該值表示節點的依賴關系。通過溯源路徑樹可以直接構造貝葉斯網絡拓撲圖，當前節點來自上一節點的有效溯源Packet-in消息概率為條件概率值。

如圖4所示，1是溯源起點，2是溯源目標，1、2、3、4、5、6是交換機，根據貝葉斯聯合概率分配函數

可以得到

4 實驗與分析

4.1 特征集設定

圖5所示為實驗網絡拓撲。實驗中主機1、3、5、7的IP地址分別為10.0.0.1、10.0.1.3、10.0.2.5、10.0.3.7，交換機1～8的DPID分別為1～8。在實驗過程中，1、3、5都向7發送數據分組，其中，主機1冒用主機3的IP地址向7發送數據分組，數據分組轉發路徑為1—1—2—3—4—7—7，同時，主機3、5也向h7發送數據分組，數據分組的轉發路徑分別為：3—5—4—7—7，5—6—8—7—7，如圖5所示。

圖5 實驗網絡拓撲

各主機發送數據分組的字段情況如表2所示，本文進行了兩組實驗，如表3所示，兩組實驗中溯源請求者7分別給出了兩組不同的特征集，表中“—”表示沒有給出該項內容，需要控制器找到符合該特征集的數據分組的轉發路徑。

表2 各主機發送數據分組情況

表3 兩組實驗中的特征集

圖6和圖7分別是使用表3第一組特征集和第二組特征集進行實驗得出的結果。在實驗中，各主機發送分組的分組間間隔均為1 s。由于第一組的特征集無法區分開1和3發出的數據分組，因此控制器找到兩條路徑。第二組可以區分開欺騙數據分組和其他類數據分組，因此可以精確找到欺騙數據分組的轉發路徑。由此可知，溯源請求者給出的特征集匹配精度越高，本方案越能精確地找到被溯源數據分組的轉發路徑。

圖6 第一組實驗溯源結果

圖7 第二組實驗溯源結果

4.2 結合貝葉斯網絡模型的溯源

圖8為實驗網絡拓撲表示欺騙分組的分布，該網絡拓撲可以實現任意兩臺交換機的多條路徑連接，方便貝葉斯網絡模型下目標節點先驗概率的計算。

在網絡拓撲中，1到8的DPID分別為1～8，為了考慮復雜情況下的分組發送情況，實驗中增加背景流量，使用D-ITG作為背景流量發起工具。D-ITG可以發送不同協議、不同大小、不同速率的數據分組。實驗過程如下。

1) 主機1到11中任兩臺主機相互進行分組發送，其中主機1使用虛假的IP地址發送數據分組，1、2、5的發送分組速率分別是30 packet/s、5 packet/s、3 packet/s，其余主機發送分組速率為5 packet/s，各主機所發送的分組大小不同。

圖8 實驗網絡拓撲

2) 在網絡中選取主機作為溯源起點，本次選取7進行實驗，欺騙主機1向7發送欺騙數據分組的轉發路徑有3條，分別是1—1—2—5—4—7—7、1—1—2—3—4—7—7、1—1—6—8—7—7，同時，主機2到6向主機7正常發送分組。

3) 對于網絡多變的特性，欺騙數據分組的轉發路徑可能有多條，每條路徑上的路由器轉發的欺騙分組數量也不同。在交換機的組表項內設置select類型，在組表項中設置多個行動桶，每個行動桶中指定面向物理端口的Output行動，數據分組通過行動桶處理，在各行動桶中設置不同權重作為各桶的使用頻率。在交換機1中，端口1～2與端口1～6的行動桶權重比為7:3, 在交換機2中，端口1～2與端口1～6的行動桶權重比為4:1。

控制器中的溯源路徑樹記錄數據分組的轉發路徑，通過溯源路徑樹構造貝葉斯網絡拓撲圖，使用貝葉斯網絡模型計算溯源起點的欺騙分組中來自每個溯源目標的概率，實驗結果如圖9所示。

在江蘇省南通全市范圍內選擇耕翻秸稈還田、耕翻無秸稈還田、淺旋秸稈還田、淺旋無秸稈還田、免耕秸稈還田共5種耕作方式的小麥田塊，每種耕作方式至少5塊田，每塊田的面積不低于 1 333 m2。

為了在復雜情況下進行溯源準確性的研究，本實驗拓撲具有任意兩個主機之間存在多條可達路徑的特點。實驗中多臺主機向溯源起點發送數據分組，控制器向交換機下發探測流表項，并把目標節點加入到溯源路徑樹上。

控制器根據特征集從溯源起點逐跳找到對應的目標主機。對于有欺騙分組經過的交換機，控制器計算不同路徑發送過來的欺騙分組的數量，統計出不同路徑上欺騙分組的概率。根據實驗結果，從溯源起始點7開始，標記到達當前節點的欺騙分組中屬于上一節點的概率，實驗結果與理論值接近。

圖9 實驗結果

4.3 溯源準確性

為了更直接地運用貝葉斯理論，整理圖9實驗結果如表4所示。

表4 實驗結果

結合表4與貝葉斯聯合概率分配函數，在3條溯源路徑的終端，1的概率為78.6%，2的概率為13.3%，5的概率為8.1%，則1是欺騙主機的可能性為78.6%，相應地，本次實驗的溯源準確性為78.6%。當目標欺騙數據分組經過添加了探測流表項的交換機時，會觸發相應的Packet-in消息，控制器根據該消息并利用全局網絡拓撲信息得到上一跳信息，當欺騙數據分組的特征集符合該網絡的主機發送分組內容時，本文的IP欺騙數據分組網絡溯源方法認為該主機有一定的可能性是IP欺騙者，且可能性與該主機的發送分組情況有關。為了能更好地反映發送分組速率與溯源準確性的關系，只改變1發送分組的速率，通過實驗得到各個溯源目標的概率，獲得溯源準確性，如表5所示。

表5 速率與溯源準確性

可以得到，使用虛假IP地址的主機1發送分組速率增大時，溯源準確性對應增加。本文所提的IP溯源方法適用于在網絡攻擊中找到發送目標數據分組的真實源主機及目標數據分組實際轉發路徑。

通過以上實驗可以看出，本文的IP欺騙數據分組網絡溯源能夠快速找到欺騙數據分組的轉發路徑，定位欺騙數據分組的真實源地址，并在貝葉斯網絡模型下計算目標節點的概率。本文的溯源方法能夠在網絡繁忙、流量復雜的情況下快速地進行溯源并計算目標節點的概率，提供可靠的網絡溯源結果。

4.4 網絡攻擊對溯源影響

為了測試網絡攻擊對溯源的影響，本文使用TFN2K工具。DDoS攻擊工具TFN2K可以發起UDP flood攻擊、TCP/SYN flood攻擊、ICMP/PING flood攻擊、ICMP/SMURF flood攻擊。實驗網絡拓撲如圖8所示，主機2、3、5作為攻擊者向7發起UDP/TCP/ICMP混合flood DDoS攻擊。1假冒4的IP地址向主機7發送欺騙分組，欺騙分組轉發路徑為1—1—2—3—4—7—7，發送分組間隔為10 ms，7作為溯源請求者進行溯源，溯源特征集為：7的IP地址，1虛假IP地址（即4的IP地址），數據分組類型以及目的端口號。

實驗在3種不同情況下進行測試，分別是網絡沒有攻擊時、網絡有攻擊、網絡有攻擊且攻擊者3冒用4的IP地址向7發起攻擊，其中，第三種情況下攻擊路徑被溯源，攻擊對溯源路徑造成干擾。實驗溯源結果如圖10所示。

由實驗結果可以得到，未被攻擊時溯源時間最短，溯源效率最高；當網絡有攻擊時，攻擊影響交換機，溯源效率受到一定影響，溯源時間增加；當攻擊者冒用4的IP 地址向7發送分組時，可根據溯源特征集溯源到攻擊路徑。結果表明，網絡有攻擊時溯源仍能進行，但是溯源時間增加。

圖10 網絡攻擊對溯源影響

4.5 溯源效率

本節實驗分別測試了控制器處理有效溯源Packet-in消息和無效溯源Packet-in消息所用時間。獲得控制器處理有效溯源Packet-in消息用時的方法是在溯源算法PacketInHandler函數處理有效溯源Packet-in消息的代碼段中，分別獲得進入該代碼段的時間和離開該代碼段的時間，即可得到控制器處理該有效溯源Packet-in消息所用時間。本實驗用獲得的50次控制器處理有效溯源Packet-in消息所用時間的平均值作為控制器處理有效溯源Packet-in消息所用時間。獲取控制器處理無效溯源Packet-in消息所用時間的方法與之類似。

實驗得到控制器處理有效溯源Packet-in消息所用時間為1.61 ms，控制器處理無效溯源Packet-in消息所用時間為0.64 ms。控制器處理處理有效溯源Packet-in消息和無效溯源Packet-in消息所用時間都較小，即在溯源過程中，給控制器增加的額外系統開銷較小。

圖11和圖12都是在特征集能區分開被溯源數據分組和其他類數據分組時進行實驗得出的結果。

如圖11所示，相比于跳數較多的情況，跳數在前兩跳時，分組間間隔1 ms時的時延接近于分組間間隔5 ms的時延。原因主要是分組間間隔較小，從欺騙數據分組觸發Packet-in消息到控制器修改探測流表項這段時間，欺騙數據分組會觸發較多Packet-in消息，這些消息都是無效溯源Packet-in消息，控制器耗費部分時間用于處理這些無效消息。跳數較少時，分組間間隔為1 ms時額外增大的時延占主要部分，因此小于3跳時發送分組間隔為1 ms的時延接近于發送分組間隔為5 ms的時延；而高于3跳，兩者時延與跳數呈線性相關，不再接近。

圖11 時延測試

圖12 溯源過程中產生的Packet-in消息數量測試

圖12是在欺騙數據分組從源主機到目的主機中間分別經過了5跳、15跳、25跳交換機的網絡拓撲中實驗得出的結果。從圖12可以看出，分組速率較小時，欺騙數據分組觸發的Packet-in消息逐漸接近于欺騙數據分組經過的交換機數目。

4.6 溯源性能

為了評估本文溯源算法對控制器的CPU使用率的影響，分別在不使用溯源算法、使用溯源算法以及使用CherryPick溯源算法3種情況下測試控制器的CPU使用情況。實驗開始后通過加快發送分組速率，增加網絡流量，觀察控制器CPU使用率的增長情況，如圖13所示。

從圖13中可以看出，在發送分組速率增加的情況下，不使用溯源算法控制器的CPU使用率基本維持不變；使用本文溯源算法溯源時，控制器的CPU使用率有所增加，但增加速度十分緩慢；相比之下使用CherryPick溯源算法CPU使用率大幅增加，需要消耗較多CPU資源。

圖13 溯源過程控制器CPU使用率

5 結束語

本文介紹了傳統網絡和SDN網絡中常用的IP數據分組溯源方法，提出了SDN中通過控制器向網絡中相關的交換機添加探測流表項的IP數據分組溯源方法，以找到發送IP欺騙數據分組的真實主機或入口交換機。實驗結果證明，該方法能準確地找到源主機及數據分組轉發路徑，系統開銷小，不依賴于特定設備或網絡拓撲結構，且不影響網絡中其他正常數據流的轉發。本文所提算法中特征值通過人工對數據分組的分析提取而獲得，還沒有實現對特征值的自動獲取，下一步需研究自動化提取數據分組的特征集，而且，發送分組速率太大時，會觸發較多Packet-in消息，需要進一步研究限制Packet-in消息速率的方案。

[1] METI N, NARAYAN D G, BALIGAR V P. Detection of distributed denial of service attacks using machine learning algorithms in software defined networks[C]//International Conference on Advances in Computing, Communications and Informatics (ICACCI). 2017: 1366-1371.

[2] 閻冬. IP網絡溯源方法及協作模式相關技術研究[D]. 北京：北京郵電大學,2012.

YAN D. Research on IP traceback techniques and collaboration pat terns[D]. Beijing: Beijing University of Posts and Telecommunications, 2012.

[3] FEAMSTER N, REXFORD J, ZEGURA E. The road to SDN: an intellectual history of programmable networks[J]. Acm Sigcomm Computer Communication Review, 2014, 44(2):87-98.

[4] SIEBER C, OBERMAIR A, KELLERER W. Online learning and adaptation of network hypervisor performance models[C]//IFIP/IEEE Symposium on Integrated Network and Service Management (IM). 2017: 1204-1212.

[5] 王濤, 陳鴻昶, 程國振. 軟件定義網絡及安全防御技術研究[J]. 通信學報, 2017, 38(11):133-160.

WANG T, CHEN H C, CHENG G Z. Research on software-defined network and the security defense technology[J]. Journal on Communications, 2017, 38(11):133-160.

[6] PATEL B, MENARIA S. Survey of traceback methods[J]. Journal of Engineering Computers & Applied Sciences, 2015, 4(1):22-26.

[7] 黃瓊, 熊文柱, 陽小龍, 等. 分層次的無狀態單分組IP溯源技術[J]. 通信學報, 2011, 32(3):150-157.

HUANG Q, XIONG W Z, YANG X L, et al. Hierarchical stateless sin-gle-packet IP traceback technique[J]. Journal on Communications, 2011, 32(3):150-157.

[8] YAN D, WANG Y, SU S, et al. A precise and practical IP traceback technique based on packet marking and logging[J]. Journal of In-formation Science & Engineering, 2012, 28(3):453-470.

[9] FOROUSHANI V A, ZINCIR-HEYWOOD A N. Deterministic and authenticated flow marking for IP traceback[J]. 2013 IEEE 27th International Conference on Advanced Information Networking and Applications (AINA), 2013, 30(1): 397-404.

[10] FRANCOIS J, FESTOR O. Anomaly traceback using software defined networking[C]// IEEE International Workshop on Information Forensics and Security. IEEE, 2014.

[11] 夏彬. 基于軟件定義網絡的WLAN中DDoS攻擊檢測和防護[D]. 上海: 上海交通大學, 2015.

XIA B. Research on the detection and defence of DDoS attack in SDN-based WLAN[D]. Shanghai: Shanghai Jiaotong University, 2015.

[12] CUI Y, YAN L, LI S, et al. SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks[J]. Journal of Network and Computer Applications, 2016, 68: 65-79.

[13] AGARWAL K, ROZNER E, DIXON C, et al. SDN traceroute: tracing SDN forwarding without changing network behavior[C]// The Workshop on Hot Topics in Software Defined NETWORKING. 2014: 145-150.

[14] TAMMANA P, AGARWAL R, LEE M. CherryPick: tracing packet trajectory in software-defined datacenter networks[C]// ACM SIGCOMM Symposium on Software Defined NETWORKING Research. 2015:1-7.

[15] NARAYANA S, REXFORD J, WALKER D. Compiling path queries in soft-ware-defined networks[C]// The Workshop on Hot Topics in Software Defined NETWORKING.. 2014:181-186.

[16] NICK M K,ANDERSON T, BALAKRISHNAN H, et al. OpenFlow: enabling innovation in campus networks[J]. Acm Sigcomm Computer Communication Review, 2008, 38(2):69-74.

Tracing IP-spoofed packets in software defined network

WEI Songjie, SUN Xin, ZHAO Rudong, WU Chao

School of Computer Science and Engineering, Nanjing University of Science and Technology, Nanjing 210094, China

IP packets back tracing is to find the source host hop by hop from the destination. The method found the forwarding path of target packets and source host by adding probe entry into flow tables on SDN switches and analyzing the effective back tracing Packet-in messages sent by related switches. The proposed scheme can provide convenience for debugging network problems , so that the network administrator can obtain the forwarding paths of any data packets. Furthermore, it can help to solve the problem of IP spoofing. Experimental results prove that the traceability method can find the forwarding paths of target packets in a timely and accurate manner without affecting other traffic or significant system overhead.

SDN, IP address spoofing, IP trace back, flow table probe entry

TP393

A

10.11959/j.issn.1000?436x.2018243

魏松杰（1977?），男，江蘇南京人，博士，南京理工大學副教授、碩士生導師，主要研究方向為信息安全、無線網絡與移動計算、物聯網區塊鏈等。

孫鑫（1993?），女，河南周口人，南京理工大學碩士生，主要研究方向為軟件定義網絡、異常檢測等。

趙茹東（1992?），男，山東棗莊人，南京理工大學碩士生，主要研究方向為軟件定義網絡、網絡流量分析等。

吳超（1994?），男，江蘇揚州人，南京理工大學碩士生，主要研究方向為計算機網絡、流量混淆等。

2018?03?29；

2018?08?28

國家自然科學基金資助項目（No.61472189）；賽爾網絡下一代互聯網技術創新項目（No.NGII20160105, No.NGII20170119）

The National Natural Science Foundation of China (No.61472189), CERNET Innovation Project (No.NGII20160105, No.NGII20170119)