埃及信息学杂志23(2022)113通过抑制广播流量实现Munther Numan Munthera,Fazirulhisyam Hashima,Nurul Adilah Abdul Baghoffb,Kamal Ali Alezabic,Jun Teng Liewaa马来西亚雪兰莪州马来西亚普特拉大学工程学院计算机和通信系统工程系b马来西亚登嘉楼大学海洋工程学院c马来西亚吉隆坡UCSI大学计算机科学与数字创新研究所(ICSDI)阿提奇莱因福奥文章历史记录:2020年12月24日收到2021年3月22日修订2021年8月11日接受2021年8月28日网上发售保留字:软件定义网络(SDN)以太网可扩展性动态主机配置协议(DHCP)ARP风暴欺骗攻击A B S T R A C T以太网是位于七层开放系统互连(OSI)模型的第二层中的广泛使用的协议之一以太网提供了各种优势,使其能够广泛应用于所有类型的网络拓扑结构,并成为计算机和网络体系结构的重要组成部分。尽管以太网有其特点,但它存在可扩展性问题,即单个广播域中主机数量的增加将显著扩大网络中的广播流量。自软件定义网络(SDN)出现以来,研究人员利用SDN的各种吸引人的特性来抑制广播流量。虽然能够解决以太网的可扩展性问题,但是现有的基于SDN的解决方案缺乏安全机制,这可能使网络暴露于各种基于ARP的攻击。针对这一问题,本文提出了一种安全、无干扰的广播业务抑制机制一般来说,所提出的解决方案利用SDN架构并容纳多级安全算法。多级安全算法由三个阶段组成;每个阶段都包含特定的分析,以识别数据包的状态或行为,并根据其状态做出相应的反应。为了证明所提出的解决方案的效率,几个基于ARP的攻击场景生成和评估使用Mininet仿真器。性能评估表明,该方案的攻击检测真阳性率在第一阶段为57.14%,第二阶段为66.66%,在某些情况下,最后阶段的检测真阳性率可达100%©2022由Elsevier B.V.代表开罗大学计算机与信息学院发布。这是一篇CC BY-NC-ND许可证下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍30多年前,以太网协议的设计目的是为网络用户提供灵活、低成本和用户友好的解决方案[1]。然而,技术的飞速发展和网络中主机数量的不断增加暴露出以太网的脆弱性。可扩展性被认为是以太网中最突出的问题它的发生是由于*通讯作者。电子邮件地址:fazirul@upm.edu.my(法国)Hashim)。开罗大学计算机和信息系负责同行审查。制作和主办:Elsevier网络中的主机数量不断增加,这最终导致主机之间交换的广播流量增加。地址解析协议(ARP)[2]是网络主机用来完成通信过程的众多协议之一它在OSI层模型的数据链路层和网络层之间运行ARP协议是以太网中巨大广播流量的来源,因此它被认为是以太网可扩展性问题的主要原因一些研究试图通过抑制ARP广播流量来解决可扩展性问题。一个值得注意的方法是使用新的软件定义网络(SDN)范式。SDN通过解耦控制和数据平面提供灵活的网络管理,并允许复杂的算法开发[3]。一般来说,现有的解决方案依赖于在SDN控制器内构建ARP代理[4]功能来抑制ARP广播流量。虽然成功地抑制了ARP广播流量,但研究人员忽略了安全方面。在SDN控制器内添加ARP代理功能将https://doi.org/10.1016/j.eij.2021.08.0011110-8665/©2022由Elsevier B. V.出版代表开罗大学计算机和信息学院这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表埃及信息学杂志杂志主页:www.sciencedirect.comMunther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113114这会打开一个攻击者可以利用的严重安全漏洞。特别是此外,最近的研究显示了ARP的安全漏洞,特别是ARP欺骗和ARP风暴[5]。鉴于上述问题,本文提出了一种无故障和安全的机制,能够抑制广播流量,同时保护SDN网络免受基于ARP的攻击。该方案结合了近年来研究的一些基本原理,并附加了一种新的多级安全算法。安全算法由三个安全阶段组成,它们检查传入ARP数据包的行为。第一阶段检查源IP地址,而第二阶段分析源MAC地址。最后,在第三阶段检查目的IP地址。总的来说,本文旨在通过抑制ARP广播流量来增强网络,并为SDN控制器和所有网络主机提供保护,使其免受基于ARP的攻击。此外,值得强调的是,虽然ARP可以应用于各种网络,为了讨论和仿真,本文重点放在以太网网络。论文的其余部分组织如下。第二节介绍了相关的工作。在第3节中详细讨论了所提出的解决方案。第4节介绍了模拟实验的结果和讨论,然后是结论性意见。2. 相关作品许多研究人员已经处理和改善以太网网络的可扩展性。因此,我们将现有的解决方案分为三种类型的基础上,他们提出的方法。第一种方法,如Etherproxy[6]和FCSEA[7],建议在网络中添加专用设备。原则上,这种新设备负责拦截和分析ARP广播流量并记录有用信息(即,从所分析的业务)在其本地高速缓存表中。然后,新设备进行的分析用于直接回复ARP广播流量,从而减少网络中广播流量的数量。然而,向网络添加新设备可能不是可行的解决方案,并且对于某些网络而言可能被视为麻烦。另 一 方 面 , 第 二 种 方 法 , 如 SEATTLE[8] , MOOSE[9] 和ROOM[10]依赖于一种新的网络架构,用于消除以太网网络中的广播流量一般来说这可以通过利用网络交换机内部的哈希表和分层MAC地址中的信息来实现。然而,新的网络结构是不可转换的,并且与一些现有的协议不兼容。第三种方法是使用SDN架构来抑制以太网网络中的ARP广播流量一般来说,网络信息可以通过OpenFlow交换机监听ARP和DHCP数据包或运行LLDP等发现协议来收集[11]。因此,控制器了解其网络中的所有设备。在基于SDN的解决方案中,我们可以进一步将其分为两种方法。第一种方法是在中央控制器中启用ARP代理功能。例如,在[12]中,所提出的方法旨在允许中央控制器内部的ARP代理功能,并转发所有ARP以及DHCP请求到控制器。控制器将通过ARP代理功能,基于存储在哈希表中的网络信息回复接收到的请求。此外,这种方法启发了后来的作品[13相同的概念,它采用集中式ARP代理来抑制广播流量。同时,第二种方法是基于OpenFlow交换机内部的流规则来处理ARP广播流量。例如,在[16]中,OpenFlow交换机通过适当的端口转发广播流量,而不会在网络内部泛洪。同样,[17]提出了不同拓扑的相同概念,其中应用了树拓扑。在[18]中,OpenFlow交换机将ARP广播流量重定向到专用ARP服务器。同时,在[19]中,已为每个IP应用了流规则的安装;因此,OpenFlow交换机可以转发ARP广播流量。在[20]中应用了一个略有不同的原则,即为最频繁的IP地址安装流量规则。在[21]中提出了另一个概念,其中应用了基于缓存端口的OpenFlow交换机。在此方法中,OpenFlow交换机将频繁IP地址缓存特定时间段。然而,上述方法允许潜在的攻击者与SDN控制器或ARP服务器直接接触此外,没有一个现有的工作可以同时解决与ARP流量相关的可扩展性和安全性问题尽管在[18]对网络的安全性表示关注,但作者没有给出安全方面的解释和细节。鉴于这个问题,我们的论文提出了一个有效的和集成的解决方案,以解决可扩展性和安全性方面。3. 所提出的解决方案所提出的解决方案设想提供可扩展的和安全的以太网网络。为了实现这一愿景,提出的方法,(i)抑制广播流量,以提供可扩展的网络,(ii)利用多级安全算法来解决基于ARP的攻击。如前所述,ARP和DHCP协议依赖于广播流量;因此,建议的方法不允许OpenFlow交换机在网络中泛洪ARP和DHCP数据包。该方法不需要泛洪ARP和DHCP数据包,而是通过ARP代理功能直接回复ARP请求数据包的发送方,并将DHCP数据包转发到DHCP服务器。该方法通过监测ARP和DHCP数据包来建立更新的信息表。所提出的方法依赖于这些表来转发DHCP数据包和发送ARP应答数据包。此外,多级安全算法也依赖于这些表来获得关于分组加密的信息。原则上,攻击者或恶意主机可以利用ARP弱点来攻击SDN控制器或其他主机。特别地,OpenFlow交换机将ARP分组直接转发到SDN控制器。因此,多级安全算法被建议用于保护SDN控制器和网络主机免受基于ARP的攻击。图1示出了所提出的方法的基本图。来自OpenFlow Switch的传入数据包无法到达SDN控制器应用程序和表,除非它通过多级安全检查,以确保信息和网络设备的完整性。3.1. 信息采集方法通常,为了响应广播业务,SDN控制器尝试从网络设备获得必要的信息。因此,构造了两个哈希表,即Switch-info和Host-info表。方法步骤如图2所示,其中SDN控制器向所有OpenFlow交换机发送两个OpenFlow消息。第一条消息是OpenFlow发现状态请求Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113115多层安全级分组入APP数据库数据包-输分组入数据包输出DB-访问Fig. 1. 所提出的方法的基本图。消息,而第二消息是OpenFlow流模式消息。通过第一消息,SDN控制器收集OpenFlow交换机的状态信息。而通过第二消息,SDN控制器请求OpenFlow交换机将ARP和DHCP分组直接转发到SDN控制器,而不在网络中泛洪它们。每当OpenFlow交换机从SDN控制器接收到消息时,它首先向SDN控制器发送应答消息,称为OpenFlow状态应答消息。接下来,OpenFlow交换机启用流规则以将ARP和DHCP分组直接转发到SDN控制器。因此,当主机发送ARP和DHCP分组中的任何一个分组时,这些分组被转发到SDN控制器。因此,通过这些过程,SDN控制器可以收集网络的信息并构建哈希表。此外,为了确保哈希表的准确性,该方法监视DHCP释放包并监听OF端口状态消息。一旦接收到其中一个消息,主机就会从哈希表中删除,因为这些消息表明主机已经离开网络。3.2. 无洪泛广播业务方法SDN控制器基于哈希表直接响应广播业务。原则上,当主机发送ARP或DHCP在广播业务中,OpenFlow交换机根据SDN指令将该业务转发到SDN控制器因此,SDN控制器分析接收到的广播分组以知道如何应答它们。之后,SDN控制器使用ARP Proxy APP和哈希表直接响应ARP广播流量。随后,SDN控制器将DHCP广播业务转发到DHCP服务器。图3示出了SDN网络中的无线广播业务方法。3.3. 基于ARP协议的攻击检测与缓解算法基于ARP的攻击检测和缓解算法是一种多阶段的安全算法,它结合了三个检查来检测和缓解基于ARP的攻击。原则上,基于ARP的攻击(ARP风暴或ARP欺骗)可以同时或单独发生。攻击者试图更改ARP数据包信息,以生成一种基于ARP的攻击。基于ARP的攻击检测和缓解算法由三个阶段组成,如图4所示。第一阶段检查源MAC地址,而源IP地址分析发生在第二阶段。最后,第三阶段检查传入ARP数据包的目的IP地址。主机A主机BOpenFlow交换机SDN控制器格式为fo_Table添加了in主机输入信息nfo_Table添加到Host_Ie转发广播y至控制器添加流规则ARP和DHCP数据包定向信息交换机信息收集和建立Ta图二. SDN控制和OpenFlow交换机之间交换的消息。Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113116图三. 无洪泛广播通信方法。见图4。 多级安全算法。该算法在每个阶段将ARP报文信息与信息采集方法建立的哈希表进行比较分析多级安全算法如图所示。 五、3.3.1. ARP风暴检测和缓解ARP风暴攻击的原理是发送大量的ARP请求数据包来淹没网络。由于ARP请求的广播性质,攻击者仅使用ARP请求ARP风暴攻击的所有可能条件如表1所示。如表1所示,攻击者可以以多种格式发送ARP请求包。场景1至6示出了发送伪造的请求分组的情况,该请求分组在源地址字段(IP地址或MAC地址)中包含错误信息。 可以在检测算法的第一或第二阶段中检测这些情况。场景7被认为是更复杂的,攻击者发送了一个带有错误目的地址的ARP请求。因此,很难区分接收到的请求(即,可能是由于某种原因在目的地地址中犯了错误的常规主机)。因此,检测算法的第三阶段依赖于阈值来检测攻击者(场景No. 7)。检测ARP风暴攻击的可能性在表2中阐明。根据表2,可以导出以下公式,其表示当传入分组将通过所有级到达SDN控制器时的正确状态。F¼A^B^C其中,A是源MAC地址,B是源IP地址,C是目标IP。同时,缓解部分试图保护SDN控制器和主机免受ARP风暴攻击的影响。为了实现这一点,创建了两个哈希表,即ARP攻击者和潜在攻击者。然后,攻击者和可疑主机的信息(即,IP地址、MAC地址、端口。不,还有开关。ID)分别添加到这些表中。这些表的记录将根据预定义的时间段被擦除,即, ARP攻击者为30分钟,潜在攻击者为1分钟因此,所提出的方法将包含所有主机因此,所提出的方法检查接收到的ARP数据包的以太网源地址和目的IP地址。一般来说,如果任何字段有伪造信息,所提出的方法将检查以太网源地址与两个哈希表(ARP攻击者和潜在的攻击者)。如果在潜在攻击者的表中找到以太网源地址,则但是,如果尝试次数超过潜在阈值 , 则 以 太 网 源 地 址 将 被 添 加 到ARP 攻 击 者 表 中 。 此 外 , 创 建OpenFlow流模式消息以发送到OpenFlow交换机。对于其他情况,该算法将以太网源地址添加到潜在攻击者Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113117将OF消息发送到OF交换机以丢弃诸如期间开始分组入接收ARP数据包是的主机信息Src-IP输入是的ARP Src-MACSrc-MAC =是的主机信息Dst-IP输入没有没有没有没有是的端地址塞福尔目标MAC至Src-IP发送目标MAC地址基于ARP的攻击检测与缓解图五.多级安全算法流程图。表1ARP风暴包攻击的可能场景。号案件源MAC地址源IP地址目标目的地IP目标目的地MAC/地位情况说明1000–ARP数据包的源MAC、源IP和目标IP信息不正确。恶意数据包23000110––ARP数据包的源MAC地址和源IP地址信息不正确ARP数据包中恶意数据包恶意数据包4011–源MAC地址和目的IP地址。ARP数据包中的信息不正确数据包的源地址和目的地址不正确。恶意数据包5100–源MAC地址ARP数据包中的信息不正确数据包的源MAC地址不正确。恶意数据包6101–源IP地址和目的IP地址ARP数据包中的信息不正确错误的源IP地址和目的地址的数据包。恶意数据包7110–源IP地址ARP数据包中的信息不正确数据包的源IP地址不正确。可能是合法的或恶意的数据包,因此发送方8111–目的IP地址正常ARP请求被认为是潜在的攻击者。合法ARP请求* 此字段留空,因为它将携带目的主机的MAC地址信息。表2检测ARP风暴数据包的可能性。号案件源MAC地址源IP地址目标目的IP目标目的地MAC地位1 0 0 02 0 0 130104 0 1 1错误的MAC地址。51 0 06% 1% 0% 17110错误的目的地MAC地址。81 1 11. 图6示出了基于ARP的攻击检测和缓解算法。3.3.2. ARP欺骗检测和缓解提出了ARP欺骗检测和缓解方法,为SDN网络提供全面的ARP保护欺骗攻击。但是,攻击者可能会向攻击主机或SDN控制器发送带有伪造信息的ARP因此,应用了两个检查阶段;这两个阶段都取决于ARP数据包信息与哈希表的比较。所提出的阶段是ARP风暴检测算法的一部分。如前所述,第一阶段检查Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113118号尝试+1个开始分组从接收阶段接收自第1或2没有ARP攻击者Src.MAC in没有潜在攻击者Src-MAC输入是的尝试次数>螺纹连接的是的是的没有没有端是的的ARP攻击者添加Src.MAC流量一段切换到删除,例如发送OF消息到OF攻击者向潜在添加Src.MAC+1个号尝试见图6。基于ARP的攻击检测和缓解。源MAC,而源IP将在第二阶段进行检查。相反,目的IP代表受害者通常,攻击者可以使用Etter- cap和Dsniff等计算机工具使用伪造的信息来改变数据包信息。因此,任何含有不正确信息的ARP数据包都基于以上所述,检测ARP欺骗攻击的可能性如表3所示。同样,基于表3,可以导出以下公式:F¼A ^B2其中,A是源MAC地址,B是源IP地址。另一方面,图6中示出了缓解部分,其中发送方信息被添加到ARP攻击者表。此外,SDN控制器向OpenFlow交换机发送流规则,以在特定时间段内丢弃攻击者的ARP流量3.4. 建议解决方案在本节中,我们将讨论用于建议解决方案的所有相关参数。3.4.1. 阈值阈值用作标识通过生成ARP风暴攻击来淹没网络的任何恶意尝试的指标。原则上,主机通常发送不同速率的ARP分组取决于其操作和网络拓扑。根据[22],对于由100台主机组成的网络,每分钟发送200个ARP数据包被认为是常规速率。然而,一些Cisco设备通过动态ARP检查(DAI)将设备接口分为两组,即可信接口(TI)和不可信接口(UI)。默认情况下,不受信任接口的传入ARP数据包速率为每秒15个数据包(pps)。如果传入的ARP数据包速率超过15 pps,接口将自动关闭[23]。因此,我们提出的方法将允许主机在一分钟内发送36个带有错误信息的ARP数据包,然后才被视为恶意主机。该数目是基于分析ARP协议的使用的过程来确定的。其中该协议被用在几个领域中并且与网络内的其它协议一起使用。例如,ARP协议与ARP协议一起使用[24],其中每个ARP echo消息为未知目的地生成三个ARP请求数据包。普通用户或网络管理员可以使用PING命令[25]来检查网络设备PING命令将发送4个ARP回送消息,这将创建12个ARP请求数据包。因此,我们发现用户在一分钟内发送超过36条包含虚假信息的消息是不合理的。基于以上所述,以下公式表示场景7中的阈值条件,其中Pi是ARP在第i个时隙中到达的包含错误目的地址的分组,TH是阈值,n是最大时隙号。表3检测ARP欺骗数据包的可能性号案件源MAC地址源IP地址目标目的地IP/目标目的地MAC地位10 020 1310数据包包含不正确的源IP地址。411-正常ARP数据包。* 此字段留空,因为它将携带受害主机的IP地址信息。此字段留空,因为它将携带受害主机的MAC地址信息。Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113119XnðPi Þ ¼THð3Þ1/43.4.2. 块周期设置阻塞期定义了忽略来自潜在攻击者或恶意主机的ARP数据包的时间。一般而言,拟议办法采取的行动概述如下。首先,将攻击者的信息添加到哈希表中(ARP攻击者或潜在攻击者)。其次,将特定的周期添加到OpenFlow泛洪模式消息中并发送到OpenFlow交换机。最后,OpenFlow交换机基于SDN控制器指令在特定时间段内丢弃类似的流量。然而,ARP哈希表的内容根据信息类型在不同的时期被擦除。一般来说,ARP攻击者表中的攻击者信息将在30分钟后被擦除,而潜在攻击者的信息将在1分钟后被删除。这是因为不可能永远阻止网络主机;例如,商业解决方案(即,Cisco交换机)允许网络管理员将阻塞时间定义为0.5到1092.25分钟[23]。尽管如此,所提出的方法中的阻塞时间段根据攻击者尝试的次数而增加。该协议允许OpenFlow交换机忽略来自攻击者的相同传入数据包。因此,所提出的方法假设两个不同的时期,其中一个用于欺骗攻击者,另一个用于风暴攻击者。时间因素是根据思科交换机默认时间配置选择的,其中如果发生任何问题,思科交换机接口将自动关闭300s[26]。因此,所提出的方法将阻止攻击者300 s的每次攻击尝试。表4描述了在所提出的方法中用于阻止基于ARP的攻击3.4.3. ARP风暴率本质上,在ARP风暴攻击期间,攻击者发送大量ARP数据包。如前所述,与发送的ARP数据包数量相比,攻击者并不因此,我们模拟了两种情况来创建ARP风暴攻击(将在下一节中讨论)。攻击者根据场景发送一定数量的ARP数据包。然而,没有具体的值可以定义ARP风暴攻击[27]。因此,不同的ARP速率被设置用于从攻击者发送3.5. 仿真方法学具有表5中描述的规范的Linux Ubuntu操作系统用于运行Mininet仿真器以执行SDN网络实验。原则上,Mininet为创建OpenFlow协议支持 的 虚 拟 主 机 和 交 换 机 提 供 了 一 个 虚 拟 测 试 平 台 。 相 应 地 ,OpenVswitch(OVS)提供与Mininet虚拟主机和SDN控制器连接的虚拟交换机。此外,用于捕获和分析SDN控制器、OpenFlow交换机和主机之间的数据流量的网络流量分析表4封锁期。表5操作系统的规范。操作系统Linux Ubuntu 14: 04 LTS处理器Intel Corei5 - 2320CPU 3: 00 GHzRAM 4: 00 GB转储。Linux中的Top命令行工具用于捕获由建议的解决方案生成的CPU消耗。此外,Ryu SDN控制器被选为所提出的解决方案的集中式控制器最后,Scapy是一个支持大量协议的Python库因此,Scapy用于生成具有多种场景的基于ARP的攻击3.5.1. 网络拓扑图 7说明了我们分析中使用的网络拓扑。我们考虑一个树形网络拓扑结构,其中SDN中央控制器连接到与几个网络主机相关联的OpenFlow交换机。树形拓扑由固定深度等于2和不同扇出组成。扇出表示两个重要的概念;第一,在最后一级中的OpenFlow交换机的数量。其次,与树底部的每个OpenFlow交换机相关联的主机数量在所提出的解决方案中,树形拓扑的扇出根据场景和应用案例而变化通常,SDN控制器经由北向接口与所提出的解决方案连接此外,网络主机通过虚拟链路与OpenFlow交换机连接。最后,利用Python编程语言编写了网络拓扑图,并通过Mininet仿真程序实现。3.5.2. 模拟场景为了评估所提出的解决方案的效率,考虑了几种情况,如表6所示。然而,一些场景可以进一步分为两个子情况(即,(a)情况和(b)情况)。这些情景和各个子案例的详细情况如下:场景1(即ARP代理):该场景显示了所提出的方法在抑制广播流量方面的作用。虽然树型拓扑的扇出从5增加到25,并利用固定的ARP请求速率,但它减少了SDN网络中产生的网络流量。场景2(即ARP风暴检测):该场景示出了所提出的在SDN网络中检测ARP风暴攻击的可行性。它利用固定扇出与不同的ARP请求速率。并对两种不同的ARP风暴攻击方法进行了两次仿真原则上,攻击者在每种情况下都会发送伪造的ARP请求数据包。攻击者在第一种情况下伪造源地址,而在第二种情况下伪造场景3(即ARP欺骗检测):第三场景描述了在SDN网络中检测ARP欺骗攻击的所提出的可接近性。它利用固定扇出与不同的ARP请求速率。并对两种不同的ARP欺骗攻击方法进行了两次仿真。原则上欺骗的尝试时间段病例(秒)风暴情况的时间段攻击者在每种情况下发送伪造的ARP请求分组。在第一种情况下,攻击者伪造了源MAC地址,第一次尝试第二次尝试300600180600伪造了第二起案件的源IP地址情景4(即CPU测量):此方案测量三次尝试900900由于所提出的方法,CPU消耗量。是第三次尝试900900模拟两次以测量潜在情况下的CPU消耗。在第一种情况下,树形拓扑Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113120该方法SDN控制器OpenFlow交换机FFFF主机-1主机-2主机-F主机-1主机-2主机-F主机-1主机-2主机-F见图7。 网络拓扑。表6每种情况下适用的案例。场景方案名称情况拓扑类型扇出ARP请求已发送病例总结1ARP代理(一)树5–251普通ARP代理案例ARP风暴检测(一)树10500–2500(a)ARP风暴攻击2(b)第(1)款树10500–2500ARP风暴攻击(ARP StormAttack)ARP欺骗检测(一)树101–5(a)ARP欺骗攻击3(b)第(1)款树101–5ARP欺骗攻击(ARP spoofingattack)4CPU测量(一)(b)第(1)款树树5–251010050–700(a)CPU措施(b)CPU措施25个固定ARP请求速率。然而,在第二种情况下,使用固定扇出的树形拓扑和不同的ARP请求速率。4. 结果和讨论本节介绍我们的模拟场景的结果。在这里,我们分析和讨论所提出的解决方案的可扩展性和安全性能。然后,我们将结果与各自领域的现有工作进行比较。4.1. 广播流量效应下的SDN网络如前所述,传统的SDN控制器无法处理大量的广播流量。原则上,来自OpenFlow交换机的SDN控制器请求将泛洪广播分组。因此,单个广播分组在网络中重复并生成大量网络业务。第一个实验通过将单个广播业务发送到具有从5增加到25的扇出的SDN网络树拓扑来说明这一点。此外,在SDN网络中重复相同的实验,其启用具有在(场景1)中解释的规范的ARP代理特征。实验结果在图8中呈现,图8示出了网络域中增加的网络主机的影响以及由于单个广播分组而在数据和控制平面中生成的网络流量的数量。此外,它还说明了ARP代理的作用,以减少网络流量,由于一个单一的广播数据包。单个广播业务在数据平面中生成37到677个数据包,在控制平面中生成12到53个数据包。Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113121从5增加到25。另一方面,当在SDN控制器上启用ARP代理特征时,由于单个广播分组,在数据和控制平面两者中仅生成两个分组。从该图中可以明显看出,具有ARP代理功能的SDN控制器能够减少由于数据平面和控制平面中的单个广播分组而产生的流量,并最终解决可扩展性问题。通常,单个广播分组可以在控制平面和数据平面两者中生成一定量的网络业务,如图9中所观察到的。广播数据包将重复(主机-1)和(交换机-1),直到到达数据平面中的目的地。 因此,我们可以推导出以下等式,以在数据平面(DP)中由于单个广播业务而生成网络业务。DP/DP双绞线交换机-1芯4芯在控制平面中,单个广播分组将在每个OpenFlow交换机处生成两个分组。第一分组将询问SDN控制器关于应用于接收到的广播分组的动作,并且其第二分组是Packet_OUT,其从SDN控制器发送到OpenFlow交换机,并且其包含如图11中出现的用于接收到的分组的SDN动作。因此,控制平面(CP)中生成的网络流量可以通过以下方式测量CP¼编号:OpenFlow交换机ω2 <$5另一方面,当在SDN控制器上启用ARP代理特征时,生成的网络流量的量显著减少,如图12所示。在数据平面中,只有两个分组,一个用于请求,另一个用于应答。同时,Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113122见图8。 由于单个广播数据包而生成的网络流量。图第九章Wireshark在广播流量效应下为生成的流量SDN网络捕获流量图10. Wireshark在广播流量影响下捕获OpenFlow Packet IN的流量Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113123见图11。Wireshark在广播流量影响下捕获OpenFlow数据包输出的流量。图12个。Wireshark通过ARP代理功能捕获SDN网络中生成的流量在控制平面中,在OpenFlow交换机和SDN控制器之间也有两个生成的分组(OF Packet_IN和OF Pack-et_OUT),如图1A和1B所示。13和14。因此,生成网络流量始终可以表示:DP¼2× 6 × 10CP¼274.2. 基于ARP攻击如前一节所示,具有ARP代理功能的SDN控制器是解决以太网可扩展性问题的可行方法。然而,这种方法为网络打开了新的安全漏洞,这源于ARP的固有限制。使SDN控制器适应ARP代理功能的基本思想是直接重定向ARP广播数据包SDN控制器不幸的是,攻击者可以利用此漏洞发送无效的ARP数据包来攻击SDN控制器(即,成为攻击目标)。因此,已经执行了两个实验(场景2和3),以证明攻击者基于此漏洞渗透网络的能力。我们提出的解决方案设想通过检测和减轻基于ARP的攻击(即,ARP风暴和欺骗)通过多级安全算法。4.3. 多级安全算法在ARP代理可以响应任何请求之前,传入的ARP数据包将通过所有阶段(参见第3.3小节)。因此,基于每个单 独阶段的真阳性率(TPR)和假阳性率(FPR)来评估检测的安全性能。TPR表示正确检测,而错误检测表示FPR。TPR和FPR是指-Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113124¼ ð Þ¼ ð Þ图13岁Wireshark通过ARP代理功能捕获OpenFlow数据包IN的流量图14个。Wireshark通过ARP代理功能捕获OpenFlow数据包输出的流量使用下面的公式确定,其中它们应用于表1和2:TPRTP8TPFFN其中TP是真阳性的数量,FN是假阴性的数量。FPRFP9FP-100其中FP表示假阳性的数量,TN是真阴性的数量。令人难以置信的是,所有阶段的FPR结果都等于零,而TPR结果根据攻击类型而变化首先,ARP风暴情景的TPR结果在所有阶段分别达到66.66%、66.66%和66.66%(参见图1)。 15(a))。与此同时,TPRARP欺骗场景的结果在第一、第二和第三级上分别达到66.66%、100%和100%(参见图10)。 15(b))。最后,基于ARP的攻击场景(两种攻击同时发生)的TPR结果图 15(c))。4.4. 与现有工程的在本节中,我们将建议的解决方案结果与现有的工作FSDM[12]进行比较。原则上,FSDM采用了与SDN网络的APR代理,以最小化广播流量。因此,FSDM解决了以太网可扩展性问题。 图图16示出了方案No.的结果。1,其中FSDM和我们提出的解决方案分别减少数据平面和控制平面中的广播流量的能力值得强调的是可扩展性性能-Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113125图15个。 一种多级安全算法的TPR图16.由于单个广播数据包而生成的网络流量。多级安全和FSDM的比较。曼斯。虽然FSDM实现了与我们提出的解决方案相似的性能,但它没有提供任何针对基于ARP的攻击的安全机制。接下来,我们测量和评估CPU消耗量(即,(4)提出的解决办法。这个场景包括两个案例,每个案例重复十次以确保结果的有效性,如图17所示。从图17(a)和(b)这两个子图中可以看出,与FSDM相比,所提出的解决方案所施加的CPU消耗量略高这主要是由于在所提出的解决方案中实施了多级安全算法来检查所有接收到的ARP数据包。与我们提出的解决方案不同,FSDMMunther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113126图十七岁所提出的多级安全性与FSDM。图18.成功ARP风暴攻击的可能性。图19. ARP欺骗攻击成功的可能性。没有应用任何安全机制,因此,它很容易受到基于ARP的攻击,如图11和12所示。18和19(设想2和3)。5. 结论本文重点讨论了以太网在使用SDN时的可扩展性和安全性问题。重点是ARP针对SDN的广播特性和两种主要的基于ARP的攻击(ARP风暴和ARP欺骗),提出了一种多级安全算法,用于控制攻击检测和攻击缓解过程,同时保持基于SDN的以太网网络的可扩展性。该算法利用SDN架构的特点,如集中建立哈希表。它还引入了负责解决可伸缩性问题的ARP代理,特别是直接回复ARP请求数据包。几个攻击场景已实现使用Mininet模拟器,TOR证明所提出的算法的性能评估。结果表明,该方案可以检测和缓解基于ARP的攻击,并提供可扩展性的以太网网络。竞争利益作者声明,他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作。引用[1] Metcalfe RM , Boggs DR. Ethernet : Distributed Packet Switching forLocalComputer Networks. Commun ACM1976;19(7):395-404.[2] 普卢默特区。以太网地址解析协议。RFC 826 1982.[3] AbdelAzim NM,Fahmy SF,Sobh MA,Eldin AMB.基于混合熵的软件定义网络dos攻击检测系统:一种建议的信任机制。埃及Inf J..Munther Numan Munther,F.Hashim,Nurul Adilah Abdul Baghoff等.埃及信息学杂志23(2022)113127[4] Carl-Mitchell S,Quarterman JS.用arp协议实现透明子网网关,1987年。p. R F C1027。[5] SongMS,Lee JD,Jeong Y-S,Jeong H-Y,Park JH. 泛在环境下基于路由跟踪的arp欺骗攻击检测方案。SciWorld J 2014;2014:1-8.[6] Elanegy K,Cox AL. Etherproxy:Scaling ethernet by suppressing broadcast traffic.In:IEEE INFOCOM 2009. IEEE; 2009年。p. 1584-92年[7] Asadujjaman A,Moni SS,Alam MS. Fcsea:一种无冗余的电信级可扩展以太网架构。2016第九届国际电气与计算机工程会议(ICECE)IEEE; 2016. p. 427- 30[8] 放大图片作者:Kim C,Caesar M,RexfordJ. 西雅图的无洪:一个适用于大型企业的可扩展以太网架构。见:ACM SIGCOMM计算机通信评论,第38卷。ACM; 2008年。p. 3-14..[9] Scott M,Moore A,Crowcroft J.使用moose解决以太网的可扩展性。In:Proc.DCCAVES研讨会; 2009..[10] 钱丙,林世胜。具有以太网兼容性的可扩展和弹性第
我的内容管理
展开
