一種基于sdn構架下的ip地址跳變安全通信方法
【技術領域】
[0001] 本發(fā)明設及網絡安全領域�,尤其設及一種基于SDN構架下的IP地址跳變安全通信 方法���。
【背景技術】
[0002] 目前����,隨著計算機網絡的發(fā)展和普及�����,網絡信息安全逐漸引起人們的重視,網絡 攻防對抗已成為當前研究的熱點�����。傳統(tǒng)的基于靜態(tài)IP的網絡通信使得服務器或某些重要 主機暴露在攻擊者面前��,使得攻擊者能夠準確快速地識別和攻擊目標��。IP跳變是MTD中的 一類技術�����,其通過增加主機IP地址的動態(tài)性和隨機性使攻擊者難W在攻擊的準備階段鎖 定攻擊目標��,限制攻擊者發(fā)現漏桐����,隱藏網絡內部資產���。
[0003] 在傳統(tǒng)網絡中��,實現IP跳變的開銷很高�,往往需要在通信雙方的終端部署軟 硬件����,且需要在分布式的環(huán)境中進行同步���。實現高效的IP跳變需要可塑造的且高度 可控的網絡。新興的軟件定義網絡為實現IP跳變帶來了新的方法�。軟件定義網絡 (software-definednetwork,簡稱SDN)將網絡的控制平面與轉發(fā)平面(也稱數據平面) 解禪,對網絡集中控制�����。SDN是一種靈活的架構�����,其能夠對網絡直接可編程且對底層設備進 行抽象����,運使得SDN擁有強大的網絡管理和控制能力,是實現IP跳變良好選擇���。
[0004] 在傳統(tǒng)網絡的架構下���,化ab等人提出了隨機主機跳變RMH方案���,該方案周期性給 主機分配虛擬IP,將該虛擬IP用于路由�,并在網絡的邊緣將跳變IP自動翻譯為真實的IP 地址。Matthew等人提出MT抓�����,其利用地址空間巨大的IPv6實現了魯棒的IP跳變策略�。該 方法采用隧道技術將數據包封裝,反復變換隧道發(fā)送者和接收者的源目的IP地址���,使攻擊 者難W確定通信主機的位置和身份���,難W監(jiān)聽到完整的通信流量。Sifalakis等人提出一種 基于網絡地址跳變的網絡通信數據保護機制����,其將一個流分散為多個端到端的連接,對兩 個節(jié)點間的通信進行隱藏�。Antonatos等人提出基于DHCP更新的網絡地址空間隨機化方 案NASR,其改造了終端操作系統(tǒng)�,利用IP跳變抵抗基于攻擊列表的蠕蟲����,該方案的IP地址 跳變速度有限�。W上方案均需要在終端安裝軟件���、更改終端操作系統(tǒng)或者部署硬件設備�����,運 使得上述方案部署代價高��,難W實際應用�����。在SDN網絡架構下�����,Jafarian等人提出了對終 端透明的IP跳變方法0F-RMH���。該方法利用了SDN對數據平面的集中控制和可編程的特性, 由控制器實現真實IP和虛擬IP的映射����,并在化enflow交換機上做真實IP與虛擬IP的轉 換����。但由于該方法透明地修改網絡中數據包的IP地址�����,導致該方法不支持多通道協議���,且 該方法僅抵抗攻擊��,但不對攻擊者采取進一步的措施�����。
【發(fā)明內容】
陽〇化]本發(fā)明的目的是提供一種基于SDN構架下的IP地址跳變安全通信方法�,能夠為IPH網絡內的主機動態(tài)分配跳變IP���,透明地實現一次一變地訪問主機IP�����,有效抵抗基于掃 描的攻擊和DDoS攻擊�����,能夠支持多通道協議且增加了攻擊難度�����。 陽006] 本發(fā)明采用下述技術方案:
[0007] 一種基于SDN構架下的IP地址跳變安全通信方法����,其特征在于�����,依次包括W下步 驟: 陽00引 A:主機化Sti向DNS服務器發(fā)出域名解析請求�,請求主機化St2的IP地址;
[0009] 其中����,主機化Stz為處于IPH網絡內部的主機,主機化St1擁有主機化St2的域名 和DNS服務器的IP地址����;
[0010] B:DNS服務器應答主機化Sti發(fā)出的域名解析請求,并將域名解析應答發(fā)送至控 制器�����,控制器隨機選擇一個虛擬IP地址h2,然后將域名解析應答中主機化Stz的真實IP地 址。替換為虛擬IP地址h2,并為虛擬IP地址hz打開窗口期��;
[0011] C:控制器將包含主機化Stz的虛擬IP地址h2的域名解析應答轉發(fā)給主機化St1;
[0012] D:主機化Sti通過域名解析應答得到主機化St2的虛擬IP地址h2,然后W主機 化Sti的真實IP地址ri做為源地址�,主機化St2的虛擬IP地址h2做為目的地址向主機化St2 發(fā)送數據包;由于此時源交換機Switchi還沒有相應的流規(guī)則可W路由數據包��,因此源交換 機Switchi將該數據包發(fā)送給控制器��;源交換機Switch1是指主機化St1發(fā)送的數據包進入 IPH網絡時的第一個交換機�;
[0013] E:控制器檢查作為目的地址的主機化Stz的虛擬IP地址h2是否在窗口期內,如果 在窗口期內�,則控制器隨機選擇一個虛擬IP地址hi,生成流規(guī)則將主機化Sti的真實IP地 址ri替換為虛擬IP地址h1,并向路徑上所有的交換機下發(fā)流規(guī)則�;如果否,則丟棄該數據 包�;
[0014] F:源交換機Switchi利用接收到的流規(guī)則,對主機Host1發(fā)送給主機Host2的數據 包的源地址進行修改�,將源地址即主機化Sti的真實IP地址r1替換為虛擬IP地址h1并進 行轉發(fā);
[0015] G:目的交換機Switchz收到該數據包后�����,將目的地址即主機化St2的虛擬IP地址 1?替換為主機化St2的真實IP地址r2并進行轉發(fā)��;目的交換機Switch2是指主機化St1發(fā) 送的數據包離開IPH網絡時經過的最后一個交換機; 陽016]H:主機化Stz接收到數據包后����,W主機化St2的真實IP地址r2做為源地址,主機 化Sti的虛擬IP地址h1做為目的地址發(fā)送應答數據包����;
[0017]I:目的交換機Switchz利用控制器下發(fā)的流規(guī)則對主機化St2發(fā)送給主機化St1 的應答數據包的源地址進行修改���,將源地址即主機化St2的真實IP地址r2替換為主機 化Stz的虛擬IP地址h2并進行轉發(fā)���; 陽0化]J:源交換機Switchi收到應答數據包后,將目的地址即主機Host1的虛擬IP地址hi替換為主機化St1的真實IP地址r1后轉發(fā)給主機化St1��,主機化Sti正常收到應答數據 包��。
[0019] 所述的步驟B中����,控制器將域名請求應答中的TTL值寫入最小可行值,W保證主機 化Sti再次訪問主機化St2時需要重新進行域名解析����。
[0020] 所述的步驟B中��,在控制器為虛擬IP地址h2打開窗口期的過程中����,控制器首先根 據內網IP地址列表判斷主機化Sti是IPH網絡外部的主機或是IPH網絡內部的主機�;
[0021] 當主機化Sti是IPH網絡外部的主機時,控制器為虛擬IP地址h2打開外部窗口期 W�。。,����,然后將域名解析應答中主機化Stz的真實IP地址r2替換為虛擬IP地址h2; 陽02引當主機化Sti是IPH網絡內部的主機時,控制器為虛擬IP地址h2開放內部窗口期 Wm���,最后將域名解析應答中主機化St2的真實IP地址r2替換為虛擬IP地址h2�。
[0023] 所述的步驟B中��,當主機化Sti是IPH網絡外部的主機時���,域名解析請求數據包中 不包含源主機IP地址即主機化Sti的真實IP地址ri�����,控制器將源主機IP地址和通配符W及 超期時間綁定在一起得到窗口期S元組Weut= {dst_hIP, *,expiration_time}�����,其中dst_ hIP是指目的主機的跳變IP地址即虛擬IP地址����,dst_hIP=hz,expiration_time是指窗 口期過期時間��;外部窗口期W�。。,僅接受目的IP為dst_hIP即主機化St2的虛擬IP地址h2���、 源主機IP地址為外網IP的任意數據包。
[0024] 所述的步驟B中��,當主機化Sti是IPH網絡內部的主機時���,控制器將為化St2隨機 分配的虛擬IP地址h2和主機化St1的源IP地址即真實IP地址r1W及窗口期過期時間綁 定在一起得到窗口期S元組Win= {dst_hIP,s;rc_;rIP,expiration_time}�,其中dst_hIP= 1?,s;rc_;rIP=Tl,expiration_time為窗口期過期時間���;夕F部窗口期Win僅接受源主機IP地 址為ri�����,目的IP為dst_hIP即主機化Stz的虛擬IP地址h2的數據包�。外部窗口期W1。中包 含源主機IP地址是為了對連接發(fā)起者所在位置進行驗證���。 陽0巧]控制器利用ALG網關對協議數據包載荷部分進行IP地址變換和對ACK及SEQ的 矯正����。
[0026] 控制器利用蜜罐對掃描流量和DDoS流量進行捕獲���;蜜罐由蜜罐控制部分和蜜罐 執(zhí)行部分組成�,蜜罐執(zhí)行部分分為安全通道模塊��、交互模塊和信息收集模塊�����,安全通道模 塊負責與控制器進行通信����,交互模塊負責與攻擊者通信,信息收集模塊負責收集攻擊者信 息����;
[0027] 若在某段時間內��,某一源IP訪問的非活躍IP超過闊值����,則判斷源主機正在掃描網 絡����,此時控制器通過蜜罐控制部分向蜜罐發(fā)送命令,通告攻擊者源地址W及應對策略���;控制 器向交換機下發(fā)流規(guī)則���,掃描流量發(fā)送給蜜罐,并確保蜜罐能與攻擊者進行通信����;隨后����,蜜 罐與攻擊者進行通信,蜜罐收集信息并上報給控制器�,為控制器做進一步決策提供所需信 息; 陽0測若在主機化Stz虛擬IP地址h2的窗口期內�,訪問該虛擬IP地址h2的源地址數量 超過闊值����,則判斷運些流量為DDoS流量�,并將訪問該虛擬IP地址1?的流量路由到蜜罐。
[0029] 本發(fā)明能夠在SDN架構下實現IP跳變通信��,IPH通過監(jiān)控主機訪問狀態(tài)�����,隨機選擇 跳變IP分配給主機并對交換機下發(fā)流規(guī)則��,交換機完成主機真實IP到跳變IP的轉換����,實 現IP跳變。跳變對終端主機透明���,且主機的IP地址在每次訪問時都發(fā)生改變�����,實現IP地 址一次一變的主機訪問����,能夠有效抵抗基于掃描的攻擊和DDoS攻擊,還能夠支持多通道協 議W增加外部網絡攻擊難度����。
【附圖說明】
[0030] 圖1為本發(fā)明的流程示意圖;
[0031] 圖2為ALG網關對協議數據包載荷部分進行IP地址變換和對ACK及SEQ的矯正 的流程示意圖����; 陽03引圖3為OF-RHM方案外部的掃描結果示意圖