左雪鑫

摘要：由于SDN交換機(jī)的流表容量非常有限，所以就存在比較嚴(yán)重的流表溢出脆弱問(wèn)題，所以這就需要根據(jù)這一問(wèn)題提出相應(yīng)的防御措施，以保證網(wǎng)絡(luò)的安全性?；诖?，本文將在傳統(tǒng)聚合算法的基礎(chǔ)上提出了裝箱優(yōu)化算法，達(dá)到7控制交換機(jī)流表項(xiàng)數(shù)量的目的，實(shí)現(xiàn)7有效防御，以供參考借鑒。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò) 流表溢出 防御方法

引言

在互聯(lián)網(wǎng)不斷發(fā)展之下，原先的IP網(wǎng)絡(luò)結(jié)構(gòu)體系與TCP網(wǎng)絡(luò)架構(gòu)體系也都開(kāi)始暴露出來(lái)越來(lái)越多的問(wèn)題，比如說(shuō)網(wǎng)絡(luò)安全問(wèn)題、擴(kuò)展性受限、管理復(fù)雜等等。為了有效解決這些問(wèn)題，各種新型網(wǎng)絡(luò)技術(shù)漸漸發(fā)展起來(lái)。其中軟件定義網(wǎng)絡(luò)作為一種顛覆網(wǎng)絡(luò)技術(shù)的創(chuàng)新形式將會(huì)是未來(lái)網(wǎng)絡(luò)發(fā)展的重要方向。它的發(fā)展會(huì)將網(wǎng)絡(luò)之中數(shù)據(jù)轉(zhuǎn)發(fā)和控制之間存在的耦合關(guān)系解除掉，進(jìn)而形成一種運(yùn)用、轉(zhuǎn)發(fā)與控制相互分離的一種架構(gòu)，并通過(guò)相應(yīng)的標(biāo)準(zhǔn)化接口帶來(lái)了編程接口，使整體網(wǎng)絡(luò)管理更加便捷。但是其交換機(jī)發(fā)展卻存在相應(yīng)的性能問(wèn)題，比如流表容量不足，如果有人對(duì)其交換機(jī)進(jìn)行使用大量偽造的數(shù)據(jù)包進(jìn)行攻擊的話(huà)，就會(huì)導(dǎo)致整個(gè)交換機(jī)出現(xiàn)流表溢出的問(wèn)題，最終產(chǎn)生非常嚴(yán)重的后果。對(duì)此，這就需要對(duì)其脆弱性和相應(yīng)的防御措施進(jìn)行分析，以維護(hù)其交換機(jī)的安全性。

一、脆弱性

（一）原因

當(dāng)下商用的軟件定義網(wǎng)絡(luò)其交換機(jī)之中的流表基本都是使用TCAM緩存所制，它的成本極高，就導(dǎo)致交換機(jī)之中的流表容量十分有限。比如，NEC公司的某交換機(jī)其流表容量才只能達(dá)到750條，就算是思科公司的某交換機(jī)其流表容量也才能夠達(dá)到2000條。一般該設(shè)備在處理網(wǎng)絡(luò)通信的時(shí)候都非常繁忙，其網(wǎng)絡(luò)流速一般會(huì)達(dá)到每秒5 X103到10 X103條這明顯大于其流表的基本容量不但如此，負(fù)載均衡以及防火墻等網(wǎng)絡(luò)所需要使用到的該項(xiàng)容量也要比當(dāng)下開(kāi)發(fā)的交換機(jī)流表容量大得多，所以能夠發(fā)現(xiàn)該項(xiàng)流量是不能滿(mǎn)足基本需求的。

在進(jìn)行網(wǎng)絡(luò)運(yùn)行的時(shí)候，這種交換機(jī)一般都要依照每條流的特點(diǎn)給流表之中寫(xiě)入相應(yīng)的規(guī)則。如果網(wǎng)絡(luò)流量非常大的時(shí)候，這種機(jī)制就會(huì)導(dǎo)致流表完全被占用，進(jìn)而如果有新型網(wǎng)絡(luò)流到來(lái)的話(huà)，如果其網(wǎng)絡(luò)流在整個(gè)流表之中并沒(méi)有相應(yīng)的規(guī)則可以處理，依照相關(guān)協(xié)議，該項(xiàng)交換機(jī)就應(yīng)該要和控制器實(shí)施頻繁的交互，把網(wǎng)絡(luò)流信息控制住并給控制器發(fā)送過(guò)去，然后再由控制器下發(fā)新型的流表項(xiàng)。這時(shí)候控制器和交換機(jī)就會(huì)因?yàn)楸舜酥g的頻繁交流使整體網(wǎng)絡(luò)的性能降低.情況嚴(yán)重的話(huà)還有可能會(huì)導(dǎo)致整個(gè)交換機(jī)所控制在數(shù)據(jù)平面當(dāng)中的網(wǎng)絡(luò)完全失控。

（二）后果

如果出現(xiàn)上述情況，這時(shí)候攻擊人員就能夠在產(chǎn)生隨機(jī)地址與偽造源地址的網(wǎng)絡(luò)流表之中加大各種流表項(xiàng)，進(jìn)而使流表出現(xiàn)溢出的現(xiàn)象。這時(shí)候就會(huì)導(dǎo)致整個(gè)交換機(jī)之中數(shù)據(jù)包的轉(zhuǎn)發(fā)特性出現(xiàn)下降情況，并出現(xiàn)流表溢出攻擊。根據(jù)這一嚴(yán)重缺陷，就可以輕易達(dá)到攻擊交換機(jī)拒絕服務(wù)的目的。除此之外，使用網(wǎng)絡(luò)流量生成、注入等路徑，還可以有效推斷出來(lái)交換機(jī)的流表容量以及在網(wǎng)絡(luò)當(dāng)中的實(shí)時(shí)的流量特點(diǎn)，從而泄露網(wǎng)絡(luò)信息。

二、防御措施

根據(jù)上述脆弱性問(wèn)題，具體的防御方式可以通過(guò)在裝箱優(yōu)化基礎(chǔ)上的路由規(guī)則聚合算法來(lái)實(shí)現(xiàn)。這一算法是在基數(shù)樹(shù)的路由聚合算法基礎(chǔ)上發(fā)展起來(lái)的，并且應(yīng)用到了裝箱優(yōu)化的方式，使得整個(gè)流表項(xiàng)的聚合效率被顯著提升。在使用該算法之后能夠?qū)⒐?jié)約交換機(jī)之中的容量消耗，解決其脆弱性的問(wèn)題，讓攻擊人員的難度得以有效加大，實(shí)現(xiàn)了基本的防御目的。

（一）在基數(shù)樹(shù)基礎(chǔ)上

在IP網(wǎng)絡(luò)的不斷發(fā)展之下，其路由規(guī)則數(shù)量也在不斷增長(zhǎng)，在互聯(lián)網(wǎng)之中其FIB路由規(guī)則已經(jīng)達(dá)到了數(shù)十萬(wàn)條，這一發(fā)展給網(wǎng)絡(luò)擴(kuò)展性的發(fā)展帶來(lái)了重大問(wèn)題。為了有效降低交換機(jī)之中有關(guān)FIB的空間損耗.促進(jìn)網(wǎng)絡(luò)的擴(kuò)展性，就需要加大對(duì)流量表項(xiàng)聚合問(wèn)題的研究。

這一基本算法是非常經(jīng)典的一種算法，其中基數(shù)樹(shù)本身是二叉樹(shù)，具體組成部分包含有匹配前綴和下跳網(wǎng)絡(luò)地址。流表項(xiàng)在構(gòu)建基數(shù)樹(shù)的時(shí)候會(huì)先把前者轉(zhuǎn)變成為二進(jìn)制的字符串，接下來(lái)再對(duì)其實(shí)施遍歷，倘若其某位是l的話(huà)，那么還應(yīng)該要將右節(jié)點(diǎn)插入進(jìn)去，一直不斷進(jìn)行重復(fù)一直到其字符串的遍歷工作完成。這一算法經(jīng)常運(yùn)用到的聚合方式包含有兄弟、父子、引入額外路由空間的非兄弟等節(jié)點(diǎn)聚合，但是在該算法之中，如果沒(méi)有在聚合完成之后優(yōu)化其路由規(guī)則的轉(zhuǎn)發(fā)地質(zhì)，那么就可能會(huì)降低聚合效率，進(jìn)而使防御效果降低。

（二）在裝箱優(yōu)化基礎(chǔ)上

在這類(lèi)網(wǎng)絡(luò)之中，管理者能夠在控制器當(dāng)中的路由規(guī)則管理算法的作用下，實(shí)施調(diào)整其路由規(guī)則的轉(zhuǎn)發(fā)地址，進(jìn)而使整體的聚合效率得以提升，所以在這樣的思路基礎(chǔ)上，在裝箱優(yōu)化之上其算法基本包含有三個(gè)基本程序。

首先，將流表項(xiàng)的規(guī)則組劃分出來(lái)。通過(guò)上述算法聚合之后所獲得的流表項(xiàng)節(jié)點(diǎn)，將其目的地址之中歸屬于同一網(wǎng)絡(luò)應(yīng)用并未其匹配前綴無(wú)法聚合的各個(gè)節(jié)點(diǎn)劃歸成一個(gè)規(guī)則組，最后獲得包括有不同數(shù)量節(jié)點(diǎn)的若干個(gè)流表項(xiàng)規(guī)則組。

其次，將上述規(guī)則組的轉(zhuǎn)發(fā)地址進(jìn)行調(diào)整。具體把其流表項(xiàng)轉(zhuǎn)發(fā)目標(biāo)的網(wǎng)絡(luò)設(shè)備當(dāng)做是箱體，把這一設(shè)備的流量負(fù)載和處理性能作為整個(gè)箱體的容積限制，根據(jù)路由規(guī)則組之中所涵蓋的節(jié)點(diǎn)數(shù)，把每一個(gè)流表項(xiàng)規(guī)則組當(dāng)做是規(guī)格各異的物體，就能夠?qū)⑵浔舜酥g的問(wèn)題轉(zhuǎn)變成為裝箱優(yōu)化問(wèn)題，然后再在這一基礎(chǔ)上進(jìn)行求解，最后獲得調(diào)整之后的轉(zhuǎn)發(fā)地址。

最后，依照上述獲得的轉(zhuǎn)發(fā)地址，讓其指向到調(diào)整之后的目標(biāo)設(shè)備，再應(yīng)用在基數(shù)樹(shù)基礎(chǔ)上的算法實(shí)施二次聚合，以此讓轉(zhuǎn)發(fā)地址改變之后所產(chǎn)生的新型流表項(xiàng)規(guī)則組當(dāng)中的流表項(xiàng)數(shù)量得以降低。

這一需要重點(diǎn)關(guān)注的是，這一方式是非常經(jīng)典的一種組合優(yōu)化問(wèn)題，也就是在多項(xiàng)式時(shí)間之中不能獲得最優(yōu)解，所以這一問(wèn)題的求解基本都是運(yùn)用近似啟發(fā)式的算法這樣一來(lái)就能夠最快獲得解。其算法一般包含有最佳適應(yīng)、下次適應(yīng)、降序最佳等等。就拿降序最佳來(lái)求解，其具體過(guò)程為：先對(duì)所有路由規(guī)則之中所涵蓋的轉(zhuǎn)發(fā)總流量進(jìn)行統(tǒng)計(jì)，再運(yùn)用這一算法求解其裝箱問(wèn)題，并對(duì)所有規(guī)則組轉(zhuǎn)發(fā)的總流量實(shí)施降序排序，將剩下的設(shè)備進(jìn)行檢查，最終尋找到一個(gè)可以承載當(dāng)下流量以及之后剩余資源最少的設(shè)備，再有效調(diào)整這些流量的下跳網(wǎng)絡(luò)地址指向到這一設(shè)備，不然就將流量引入到一個(gè)資源沒(méi)有被占用的新型設(shè)備之中，最后再依照求解的結(jié)果調(diào)整所有路由規(guī)則組之中的所有節(jié)點(diǎn)的下跳網(wǎng)絡(luò)地址。

（三）防御方式

依照上述算法，其具體防御步驟有四項(xiàng)：第一，對(duì)交換機(jī)流表占用狀況實(shí)施實(shí)時(shí)監(jiān)測(cè)，如果超過(guò)了既定值，還應(yīng)該要將路由聚合啟動(dòng)開(kāi);第二，在該交換機(jī)之中，把流表項(xiàng)構(gòu)建成為基數(shù)樹(shù)，再運(yùn)用起算法對(duì)路由規(guī)則實(shí)施第一次聚合;第三，把聚合完成后的流表項(xiàng)根據(jù)前綴與后綴，劃歸流表項(xiàng)規(guī)則組，再使用裝箱優(yōu)化的算法計(jì)算調(diào)整其規(guī)則組和轉(zhuǎn)發(fā)目標(biāo)設(shè)備之間的相應(yīng)轉(zhuǎn)發(fā)關(guān)系，以此進(jìn)行二次聚合;第四，依照最終的結(jié)果下發(fā)更新相應(yīng)的路由規(guī)則。

三、結(jié)束語(yǔ)

上述主要對(duì)其流表溢出的相關(guān)脆弱性問(wèn)題和后果進(jìn)行了分析，并給出了相應(yīng)的防御思路?？偟膩?lái)說(shuō)，在其防御方式之中，應(yīng)用的裝箱優(yōu)化算法主要應(yīng)用了這軟件定義網(wǎng)絡(luò)的基本特點(diǎn)，使在傳統(tǒng)算法的基礎(chǔ)上，運(yùn)用裝箱優(yōu)化實(shí)現(xiàn)了再次聚合流表。如果網(wǎng)絡(luò)使用數(shù)量比較多，或者是拓?fù)浔容^復(fù)雜的話(huà)，上述方式可能在實(shí)踐應(yīng)用的時(shí)候會(huì)比較難，所以往后還應(yīng)該要繼續(xù)研究更加寬松的聚合方式，得到更加便利的防御方式。

參考文獻(xiàn)

[1]宛考，羅雪峰，江勇，etal.軟件定義網(wǎng)絡(luò)系統(tǒng)中面向流的調(diào)度算法[J].計(jì)算機(jī)學(xué)報(bào)，2016，39（6）：1208—1223.

[2]李新明，李藝，劉東.軟件脆弱性影響分析模型[J].計(jì)算機(jī)工程，20LO，36（17）：63—65.

[3]趙鵬，基于SDN'的動(dòng)態(tài)網(wǎng)絡(luò)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，20L7.

[4]唐菀.SDN數(shù)據(jù)中心網(wǎng)絡(luò)基于流表項(xiàng)轉(zhuǎn)換的流表調(diào)度優(yōu)化[J].中南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），20—7，36（3）：111-ll7.