CN106453367A - 一种基于sdn的防地址扫描攻击的方法及系统 - Google Patents

一种基于sdn的防地址扫描攻击的方法及系统 Download PDF

Info

Publication number
CN106453367A
CN106453367A CN201610955063.1A CN201610955063A CN106453367A CN 106453367 A CN106453367 A CN 106453367A CN 201610955063 A CN201610955063 A CN 201610955063A CN 106453367 A CN106453367 A CN 106453367A
Authority
CN
China
Prior art keywords
address
sdn
message
flow table
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610955063.1A
Other languages
English (en)
Other versions
CN106453367B (zh
Inventor
翟跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yang Dahai
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201610955063.1A priority Critical patent/CN106453367B/zh
Publication of CN106453367A publication Critical patent/CN106453367A/zh
Application granted granted Critical
Publication of CN106453367B publication Critical patent/CN106453367B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Abstract

本发明涉及SDN技术领域,具体为一种基于SDN的防地址扫描攻击的方法及系统,本发明系统包括SDN控制器和SDN交换机,SDN控制器具有未匹配流表报文接收模块、地址扫描报文判断模块、流表下发模块;其中,所述未匹配流表报文接收模块用于接收来自SDN交换机的未匹配流表的报文;所述地址扫描报文判断模块用于判断所述未匹配流表报文接收模块接收的未匹配流表的报文是否为地址扫描攻击报文;所述流表下发模块用于向SDN交换机下发流表,若确定未匹配流表的报文为地址扫描攻击报文则下发流表以防止后续报文进行地址扫描攻击;所述未匹配流表的报文包括源IP信息、目的IP信息,配置方便、高效、准确。

Description

一种基于SDN的防地址扫描攻击的方法及系统
技术领域
本发明涉及SDN技术领域,具体为一种基于SDN的防地址扫描攻击的方法及系统。
背景技术
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。传统防地址扫描要么简单地丢弃防地址扫描的报文,这样会影响正常业务流程的畅通。传统防地址扫描算法是基于本地,整个算法是孤立的,判断目的IP是直连网段只是基于某台交换机,可能会引起误判。
如公开号为CN 101123492的专利公开了一种检测扫描攻击的方法和设备,其解析收到的报文信息,并记录报文信息中的目的端口或者IP地址信息;统计目的端口或者IP地址在预定的时间内被记录的次数;当目的端口或者IP地址被记录的次数达到预定的阈值时判定受到扫描攻击。本发明的设备,包括解析收到的报文信息,并记录目的端口或者IP地址的第一单元,用于统计目的端口或者IP地址在预定的时间内被记录的次数的第二单元,以及用于在目的端口或者IP地址被记录的次数达到预定的阈值时判定受到扫描攻击的第三单元。本发明各个实施例的技术方案在预定的时间内依据端口或者协议攻击的次数有效地检测到扫描攻击,从而降低了误报率以及扫描检测的实现难度,就存在上述的不足。
如公开号为CN101110821的专利公开了一种防止ARP地址欺骗攻击的方法及装置。当ARP表项为可更新状态时,判断所收到的与所述ARP表项具有相同IP地址的ARP报文中的MAC地址,和所述ARP表项中MAC地址是否相同;若不相同,则所收到的所述ARP报文为引起歧义的ARP报文,并发起ARP验证过程;反之,则不进行ARP验证过程,而不需要引入任何的验证过程,从而不会增加任何的验证报文开销。这样就可以在没有发生地址欺骗攻击时,不产生额外的验证报文,从而减少报文交互的过程,节省了网络资源;同时还可以拒绝随时可能发生的欺骗攻击,有效防止采用随机扫描方式进行的地址欺骗攻击,保护实际存在的主机的正常应用,也存在上述的不足。
发明内容
本发明的一个目的是提供一种配置方便、高效、准确的基于SDN的防地址扫描攻击的方法及系统。
本发明的上述技术目的是通过以下技术方案得以实现的:
一种基于SDN的防地址扫描攻击的系统,包括SDN控制器和SDN交换机,SDN控制器具有未匹配流表报文接收模块、地址扫描报文判断模块、流表下发模块;其中,
所述未匹配流表报文接收模块用于接收来自SDN交换机的未匹配流表的报文;
所述地址扫描报文判断模块用于判断所述未匹配流表报文接收模块接收的未匹配流表的报文是否为地址扫描攻击报文;
所述流表下发模块用于向SDN交换机下发流表,若确定未匹配流表的报文为地址扫描攻击报文则下发流表以防止后续报文进行地址扫描攻击;
所述未匹配流表的报文包括源IP信息、目的IP信息。
作为对本发明的优选,SDN控制器还具有交换机端口IP地址获取模块、IP地址表生成模块、直连网段判断模块;其中,
所述交换机端口IP地址获取模块用于从SDN交换机获取交换机端口IP地址;
所述IP地址表生成模块用于通过从SDN交换机获取交换机端口IP地址生成基于SDN网络的IP地址表;
所述直连网段判断模块用于通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果是直连网段,SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文,SDN控制器向入口交换机下发流表以防止后续报文进行地址扫描攻击。
作为对本发明的优选,所述IP地址表包括IP地址、IP地址掩码、交换机id、交换机端口;其中,
所述IP地址用于表明SDN交换机的接口IP地址;
所述IP地址掩码用于表明SDN交换机的接口IP地址掩码;
所述交换机id用于表明SDN交换机的id;
所述交换机端口用于表明SDN交换机的端口。
作为对本发明的优选,所述交换机端口IP地址获取模块获取SDN交换机启动后上报的所有端口的IP地址。
作为对本发明的优选,SDN控制器支持基于SDN的防地址扫描攻击配置任务序列并包括基于SDN的防地址扫描攻击功能打开或关闭。
本发明还公开了一种基于SDN的防地址扫描攻击的方法,其按如下步骤进行:
步骤1,SDN交换机上报SDN控制器未匹配流表的报文;
步骤2,SDN控制器判断所述未匹配流表的报文的是否为地址扫描攻击报文;
步骤3,若步骤2确定未匹配流表的报文为地址扫描攻击报文则SDN控制器下发流表以防止后续报文进行地址扫描攻击,若步骤2确定未匹配流表的报文不是地址扫描攻击报文则SDN控制器下发流表以转发。
作为对本发明的优选,在步骤1之前,SDN交换机启动后上报所有端口的IP地址给SDN控制器并生成基于SDN网络的IP地址表。
作为对本发明的优选,在步骤2的过程中,SDN控制器从SDN交换机接收未匹配流表的报文,提取源IP、目的IP并通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,则未匹配流表的报文不是地址扫描攻击报文,如果是直连网段,则SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,则未匹配流表的报文不是地址扫描攻击报文,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文。
作为对本发明的优选,从SDN交换机到SDN控制器的私有扩展Experimenter报文type值为1。
作为对本发明的优选,私有扩展Experimenter报文由SDN交换机上报给SDN控制器。
本发明基于SDN架构,判断目的IP是直连网段基于整个SDN网络,可以在SDN网络的入口交换机,防范地址扫描攻击,能做到高效且准确。
附图说明
图1是传统的防地址扫描示意图;
图2是本发明实施例2的基于SDN的防地址扫描攻击算法总流程图;
图3是本发明实施例2的SDN交换机上报示意图;
图4是本发明实施例2的SDN控制器处理示意图;
图5是本发明实施例2的私有的Experimenter报文格式示意图;
图6是本发明实施例2的模拟测试环境的示意图。
具体实施方式
以下具体实施例仅仅是对本发明的解释,其并不是对本发明的限制,本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本发明的权利要求范围内都受到专利法的保护。
实施例1
本实施例一种基于SDN的防地址扫描攻击的系统,包括SDN控制器和SDN交换机(S0、S1、S2、S3),SDN控制器具有未匹配流表报文接收模块、地址扫描报文判断模块、流表下发模块;其中,
所述未匹配流表报文接收模块用于接收来自SDN交换机的未匹配流表的报文;
所述地址扫描报文判断模块用于判断所述未匹配流表报文接收模块接收的未匹配流表的报文是否为地址扫描攻击报文;
所述流表下发模块用于向SDN交换机下发流表,若确定未匹配流表的报文为地址扫描攻击报文则下发流表以防止后续报文进行地址扫描攻击;
所述未匹配流表的报文包括源IP信息、目的IP信息。
SDN交换机上报未匹配流表的报文至SDN控制器,SDN控制器通过未匹配流表报文接收模块接收,并再通过地址扫描报文判断模块进行是否为地址扫描攻击报文的判断,最后经过判断由SDN控制器下发流表是否要防止后续报文进行地址扫描攻击。
为了具体有效实现地址扫描报文的高效准确判断,SDN控制器还具有交换机端口IP地址获取模块、IP地址表生成模块、直连网段判断模块;其中,
所述交换机端口IP地址获取模块用于从SDN交换机获取交换机端口IP地址;
所述IP地址表生成模块用于通过从SDN交换机获取交换机端口IP地址生成基于SDN网络的IP地址表;
所述直连网段判断模块用于通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果是直连网段,SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文,SDN控制器向入口交换机下发流表以防止后续报文进行地址扫描攻击。
SDN控制器应支持基于SDN的防地址扫描攻击配置任务序列,应包括:基于SDN的防地址扫描攻击功能打开或关闭。
配置项 含义
基于SDN的防地址扫描攻击功能 打开或关闭基于SDN的防地址扫描攻击功能
所述IP地址表包括IP地址、IP地址掩码、交换机id、交换机端口;其中:
所述IP地址用于表明SDN交换机的接口IP地址;
所述IP地址掩码用于表明SDN交换机的接口IP地址掩码;
所述交换机id用于表明SDN交换机的id;
所述交换机端口用于表明SDN交换机的端口。
基于SDN网络的IP的地址表格式如下表所示:
配置项 含义
IP地址 此字段表明SDN交换机的接口IP地址
IP地址掩码 此字段表明SDN交换机的接口IP地址掩码
交换机id 此字段表明SDN交换机的id,交换机系统MAC地址表明交换机id
交换机端口 此字段表明SDN交换机的端口
所述交换机端口IP地址获取模块获取SDN交换机启动后上报的所有端口的IP地址。
SDN当交换机启动,端口IP地址发生变化,都需要上报给SDN控制器。
整个系统可以进行下述作业,SDN交换机上报未匹配流表的报文,SDN控制器判断是否是地址扫描攻击报文(目的IP是属于整个SDN网络的直连网段并且不回应ARP请求报文),最后SDN控制器下发流表实现防止地址扫描攻击,基于SDN架构,判断目的IP是直连网段基于整个SDN网络,可以在SDN网络的入口交换机,防范地址扫描攻击,做到高效和准确。
SDN网络的相关简单介绍,软件定义网络(Software Defined Network, SDN),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。传统IT架构中的网络,根据业务需求部署上线以后,如果业务需求发生变动,重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情。在互联网/移动互联网瞬息万变的业务环境下,网络的高稳定与高性能还不足以满足业务需求,灵活性和敏捷性反而更为关键。SDN所做的事是将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异。而控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能;SDN控制器是软件定义网络(SDN)中的应用程序,负责流量控制以确保智能网络。SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。事实上,SDN控制器是作为网络的一种操作系统(OS)。控制器不控制网络硬件而是作为软件运行,这样有利于网络自动化管理。基于软件的网络控制使得集成业务申请和网络更容易。IBM的可编程网络控制器运行在Linux上。IBM的SDN控制器管理和配置OpenFlow 1.0网络,通过在网络控制器的顶部提供一个虚拟层。IBM的控制器允许第三方软件开发人员编写自己的应用程序。一些供应商提出了专有的SDN控制器。所以,一个供应商的控制器不会总运行在另一个供应商的控制器上。其它网络供应商包括惠普(HP)、思科、VMWare和瞻博网络,正在积极参与到SDN中。
实施例2
本实施例一种基于SDN的防地址扫描攻击的方法,按如下步骤进行:
步骤1,SDN交换机上报SDN控制器未匹配流表的报文;
步骤2,SDN控制器判断所述未匹配流表的报文的是否为地址扫描攻击报文;
步骤3,若步骤2确定未匹配流表的报文为地址扫描攻击报文则SDN控制器下发流表以防止后续报文进行地址扫描攻击,若步骤2确定未匹配流表的报文不是地址扫描攻击报文则SDN控制器下发流表以转发。
上述方法是基于SDN的防地址扫描攻击算法,其总流程图如图2所示,而在步骤1之前,SDN交换机需要上报端口的IP地址和掩码给SDN控制器,下面在进一步具体的实现方案中也会提及。
在步骤1之前,SDN交换机启动后上报所有端口的IP地址给SDN控制器并生成基于SDN网络的IP地址表。SDN当交换机启动,端口IP地址发生变化,都需要上报给SDN控制器。如图3所示。当然,上报端口的IP地址的同时可以上报端口的IP掩码。
在步骤2的过程中,SDN控制器从SDN交换机接收未匹配流表的报文,提取源IP、目的IP并通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,则未匹配流表的报文不是地址扫描攻击报文,如果是直连网段,则SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,则未匹配流表的报文不是地址扫描攻击报文,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文。
在步骤3中,若步骤2确定未匹配流表的报文不是地址扫描攻击报文则SDN控制器下发流表以转发,是通过SDN控制器根据目的IP,计算转发路径,下发流表,若步骤2确定未匹配流表的报文为地址扫描攻击报文则SDN控制器下发流表以防止后续报文进行地址扫描攻击。
上述为SDN控制器处理的过程,其示意图如图4所示。
SDN控制器应支持基于SDN的防地址扫描攻击配置任务序列,应包括:基于SDN的防地址扫描攻击功能打开或关闭。
配置项 含义
基于SDN的防地址扫描攻击功能 打开或关闭基于SDN的防地址扫描攻击功能
所述IP地址表包括IP地址、IP地址掩码、交换机id、交换机端口;其中:
所述IP地址用于表明SDN交换机的接口IP地址;
所述IP地址掩码用于表明SDN交换机的接口IP地址掩码;
所述交换机id用于表明SDN交换机的id;
所述交换机端口用于表明SDN交换机的端口。
基于SDN网络的IP的地址表格式如下表所示:
配置项 含义
IP地址 此字段表明SDN交换机的接口IP地址
IP地址掩码 此字段表明SDN交换机的接口IP地址掩码
交换机id 此字段表明SDN交换机的id,交换机系统MAC地址表明交换机id
交换机端口 此字段表明SDN交换机的端口
从SDN交换机到控制器的私有扩展Experimenter报文的格式如图5所示。Experimenter值为255需要向ONF组织申请。Experimenter type值为1表明是从SDN交换机方向到控制器。私有扩展Experimenter报文由SDN交换机上报给控制器。包括:端口的IP地址和端口的掩码。
下面,做一个具体的模拟测试,搭建如图6所示的测试环境。
其中包括SDN交换机(S0、S1、S2、S3)、SDN控制器、客户端A、客户端B、服务器。
S0、S1作为入口交换机,SDN交换机S3作为出口交换机,客户端A送出目的IP为10.100.1.2的报文至SDN交换机S0,客户端B送出目的IP为10.100.1.1的报文至SDN交换机S1。
具体过程:SDN交换机(S0、S1、S2、S3)启动后上报所有端口的IP地址、IP掩码给SDN控制器,SDN控制器生成基于SDN网络的IP地址表;
针对客户端A,SDN交换机S0上报来自客户端A的未匹配流表的目的IP为10.100.1.2的报文给SDN控制器,然后SDN控制器查询IP地址表,判断是否是直连网段,经过判断,其为直连网段;
SDN控制器向转发路径的出口交换机S3发送ARP请求,判断是否有回应,经过判断,没有回应,确认该报文为地址扫描攻击报文,SDN控制器向入口交换机S0下发流表,防止地址扫描攻击报文,因此,客户端A送往10.100.1.2的IP报文被S0丢弃。
针对客户端B,SDN交换机S1上报来自客户端B的未匹配流表的目的IP为10.100.1.1的报文给SDN控制器,然后SDN控制器查询IP地址表,判断是否是直连网段,经过判断,其为直连网段;
SDN控制器向转发路径的出口交换机S3发送ARP请求,判断是否有回应,经过判断,有回应,判断该报文并非地址扫描攻击报文,SDN控制器根据目的IP,计算转发路径,下发流表并转发,客户端B经过路径S1-S3,最终送达服务器,因为10.100.1.1是可达的。
当然,在上述直连网段的判断过程时,如果客户端发来的是非直连网段的,则SDN控制器可直接根据目的IP,计算转发路径,下发流表并转发。
本发明的方法能够防范地址扫描攻击,克服了传统防地址扫描算法是基于本地、整个算法是孤立的、判断目的IP是直连网段只是基于某台交换机而可能会引起误判的问题,SDN控制器对流表的控制,即SDN控制器配置流表,简单、无需人为干预,基于SDN架构的,判断目的IP是直连网段基于整个SDN网络,可以在SDN网络的入口交换机,防范地址扫描攻击,达到高效且准确的目标。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (10)

1.一种基于SDN的防地址扫描攻击的系统,其特征在于:包括SDN控制器和SDN交换机,SDN控制器具有未匹配流表报文接收模块、地址扫描报文判断模块、流表下发模块;其中,
所述未匹配流表报文接收模块用于接收来自SDN交换机的未匹配流表的报文;
所述地址扫描报文判断模块用于判断所述未匹配流表报文接收模块接收的未匹配流表的报文是否为地址扫描攻击报文;
所述流表下发模块用于向SDN交换机下发流表,若确定未匹配流表的报文为地址扫描攻击报文则下发流表以防止后续报文进行地址扫描攻击;
所述未匹配流表的报文包括源IP信息、目的IP信息。
2.根据权利要求1所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:SDN控制器还具有交换机端口IP地址获取模块、IP地址表生成模块、直连网段判断模块;其中,
所述交换机端口IP地址获取模块用于从SDN交换机获取交换机端口IP地址;
所述IP地址表生成模块用于通过从SDN交换机获取交换机端口IP地址生成基于SDN网络的IP地址表;
所述直连网段判断模块用于通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果是直连网段,SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文,SDN控制器向入口交换机下发流表以防止后续报文进行地址扫描攻击。
3.根据权利要求2所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:所述IP地址表包括IP地址、IP地址掩码、交换机id、交换机端口;其中,
所述IP地址用于表明SDN交换机的接口IP地址;
所述IP地址掩码用于表明SDN交换机的接口IP地址掩码;
所述交换机id用于表明SDN交换机的id;
所述交换机端口用于表明SDN交换机的端口。
4.根据权利要求3所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:所述交换机端口IP地址获取模块获取SDN交换机启动后上报的所有端口的IP地址。
5.根据权利要求1所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:SDN控制器支持基于SDN的防地址扫描攻击配置任务序列并包括基于SDN的防地址扫描攻击功能打开或关闭。
6.一种基于SDN的防地址扫描攻击的方法,其特征在于:按如下步骤进行:
步骤1,SDN交换机上报SDN控制器未匹配流表的报文;
步骤2,SDN控制器判断所述未匹配流表的报文的是否为地址扫描攻击报文;
步骤3,若步骤2确定未匹配流表的报文为地址扫描攻击报文则SDN控制器下发流表以防止后续报文进行地址扫描攻击,若步骤2确定未匹配流表的报文不是地址扫描攻击报文则SDN控制器下发流表以转发。
7.根据权利要求6所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:在步骤1之前,SDN交换机启动后上报所有端口的IP地址给SDN控制器并生成基于SDN网络的IP地址表。
8.根据权利要求7所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:在步骤2的过程中,SDN控制器从SDN交换机接收未匹配流表的报文,提取源IP、目的IP并通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,则未匹配流表的报文不是地址扫描攻击报文,如果是直连网段,则SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,则未匹配流表的报文不是地址扫描攻击报文,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文。
9.根据权利要求6所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:从SDN交换机到SDN控制器的私有扩展Experimenter报文type值为1。
10.根据权利要求9所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:私有扩展Experimenter报文由SDN交换机上报给SDN控制器。
CN201610955063.1A 2016-10-27 2016-10-27 一种基于sdn的防地址扫描攻击的方法及系统 Active CN106453367B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610955063.1A CN106453367B (zh) 2016-10-27 2016-10-27 一种基于sdn的防地址扫描攻击的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610955063.1A CN106453367B (zh) 2016-10-27 2016-10-27 一种基于sdn的防地址扫描攻击的方法及系统

Publications (2)

Publication Number Publication Date
CN106453367A true CN106453367A (zh) 2017-02-22
CN106453367B CN106453367B (zh) 2020-01-24

Family

ID=58179322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610955063.1A Active CN106453367B (zh) 2016-10-27 2016-10-27 一种基于sdn的防地址扫描攻击的方法及系统

Country Status (1)

Country Link
CN (1) CN106453367B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011825A (zh) * 2017-11-10 2018-05-08 深圳市泰信通信息技术有限公司 一种基于软件定义网络的多网络设备互联现实方法及系统
CN109495352A (zh) * 2018-12-27 2019-03-19 新华三技术有限公司 一种传输路径的确定方法和装置
CN117254978A (zh) * 2023-11-16 2023-12-19 苏州元脑智能科技有限公司 一种异常扫描行为的处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150021282A (ko) * 2013-08-20 2015-03-02 한국전자통신연구원 제어 네트워크에서의 스캐닝 공격 탐지 장치
CN104468624A (zh) * 2014-12-22 2015-03-25 上海斐讯数据通信技术有限公司 Sdn控制器、路由/交换设备及网络防御方法
CN104901890A (zh) * 2015-06-24 2015-09-09 上海斐讯数据通信技术有限公司 一种sdn的路由生成、匹配方法和系统
CN105827628A (zh) * 2016-04-29 2016-08-03 上海斐讯数据通信技术有限公司 一种基于软件定义网络的防源地址欺骗的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150021282A (ko) * 2013-08-20 2015-03-02 한국전자통신연구원 제어 네트워크에서의 스캐닝 공격 탐지 장치
CN104468624A (zh) * 2014-12-22 2015-03-25 上海斐讯数据通信技术有限公司 Sdn控制器、路由/交换设备及网络防御方法
CN104901890A (zh) * 2015-06-24 2015-09-09 上海斐讯数据通信技术有限公司 一种sdn的路由生成、匹配方法和系统
CN105827628A (zh) * 2016-04-29 2016-08-03 上海斐讯数据通信技术有限公司 一种基于软件定义网络的防源地址欺骗的方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011825A (zh) * 2017-11-10 2018-05-08 深圳市泰信通信息技术有限公司 一种基于软件定义网络的多网络设备互联现实方法及系统
CN108011825B (zh) * 2017-11-10 2020-07-28 深圳市泰信通信息技术有限公司 一种基于软件定义网络的多网络设备互联现实方法及系统
CN109495352A (zh) * 2018-12-27 2019-03-19 新华三技术有限公司 一种传输路径的确定方法和装置
CN117254978A (zh) * 2023-11-16 2023-12-19 苏州元脑智能科技有限公司 一种异常扫描行为的处理方法及装置
CN117254978B (zh) * 2023-11-16 2024-02-09 苏州元脑智能科技有限公司 一种异常扫描行为的处理方法及装置

Also Published As

Publication number Publication date
CN106453367B (zh) 2020-01-24

Similar Documents

Publication Publication Date Title
CN106506274B (zh) 一种可动态扩展的高效单包溯源方法
CN106878166B (zh) 路由通告方法及装置
EP3188409B1 (en) Oam mechanisms for evpn active-active services
CN108449314B (zh) 一种流量牵引方法和装置
CN106712988B (zh) 一种虚拟网络管理方法及装置
CN103441932B (zh) 一种主机路由表项生成方法及设备
US20170331641A1 (en) Deployment Of Virtual Extensible Local Area Network
CN104852840B (zh) 一种控制虚拟机之间互访的方法及装置
CN111654402B (zh) 网络拓扑创建方法、装置、设备及存储介质
JP2013509808A (ja) 高性能、低電力データセンター相互接続構造のためのシステム及び方法
JP6633775B2 (ja) パケット伝送
CN104184708A (zh) Evi网络中抑制mac地址攻击的方法及边缘设备ed
CN108259304B (zh) 一种转发表项同步方法及装置
CN104580107B (zh) 恶意攻击检测方法及控制器
CN104038570B (zh) 一种数据处理方法及装置
CN108234223A (zh) 一种数据中心综合管理系统的安全服务设计方法
CN106453367A (zh) 一种基于sdn的防地址扫描攻击的方法及系统
US20220263859A1 (en) Method and apparatus for defending against cyber attacks, receiving device and computer storage medium
CN108540386B (zh) 一种防止业务流中断方法及装置
JP2006261827A (ja) ネットワーク機器、その管理装置、そのネットワーク接続方法およびそのネットワーク接続管理方法
CN107465621A (zh) 一种路由器发现方法、sdn控制器、路由器和网络系统
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
CN108322454B (zh) 一种网络安全检测方法及装置
Borokhovich et al. The show must go on: Fundamental data plane connectivity services for dependable SDNs
CN108768845B (zh) 一种多归属主机路由同步方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201125

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201218

Address after: 8319 Yanshan Road, Bengbu City, Anhui Province

Patentee after: Bengbu Lichao Information Technology Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210316

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: 8319 Yanshan Road, Bengbu City, Anhui Province

Patentee before: Bengbu Lichao Information Technology Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230404

Address after: 570100 collective household of qunshang community, No. 582 qunshang village, Meilan District, Haikou City, Hainan Province

Patentee after: Yang Dahai

Address before: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee before: Huzhou YingLie Intellectual Property Operation Co.,Ltd.