• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    軟件定義網(wǎng)絡(luò)探測(cè)技術(shù)綜述

    2018-10-17 01:42:44李俊強(qiáng)胡訊沛張?chǎng)蝿?/span>虞紅芳
    關(guān)鍵詞:流表表項(xiàng)IP地址

    李俊強(qiáng),陳 悅,韓 晗,王 晨,胡訊沛,張?chǎng)蝿偅菁t芳

    (1.電子科技大學(xué) 信息與通信工程學(xué)院, 成都 611731;2.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心, 北京 100000)

    軟件定義網(wǎng)絡(luò)(software defined networking,SDN)是針對(duì)傳統(tǒng)網(wǎng)絡(luò)的缺陷而提出的一種新型網(wǎng)絡(luò)架構(gòu)。2009年,美國(guó)MIT主辦的《技術(shù)評(píng)論》網(wǎng)站將SDN技術(shù)評(píng)選為年度十大前沿技術(shù)之一[1]。自此,SDN技術(shù)開(kāi)始被學(xué)術(shù)界和工業(yè)界廣泛關(guān)注,得到了迅速發(fā)展。SDN最大的特點(diǎn)就是將控制平面和數(shù)據(jù)平面分離,讓2個(gè)平面具有松耦合度,同時(shí)可以通過(guò)軟件編程來(lái)對(duì)網(wǎng)絡(luò)資源進(jìn)行集中控制。

    由于控制平面和數(shù)據(jù)平面的分離以及網(wǎng)絡(luò)配置具有的定制化、精細(xì)化等特點(diǎn),使得SDN具有跟傳統(tǒng)網(wǎng)絡(luò)不一樣的時(shí)間特征和行為特征。傳統(tǒng)網(wǎng)絡(luò)下的探測(cè)技術(shù)并不能直接移植到SDN網(wǎng)絡(luò),需要開(kāi)展面向SDN網(wǎng)絡(luò)的新探測(cè)技術(shù)。本文主要介紹的是基于SDN網(wǎng)絡(luò)的探測(cè),這對(duì)深入理解SDN網(wǎng)絡(luò)架構(gòu)、提升SDN網(wǎng)絡(luò)性能以及增強(qiáng)SDN安全性能有重要作用。

    具體來(lái)講,在SDN中,網(wǎng)絡(luò)策略(如訪問(wèn)控制列表、防火墻規(guī)則),網(wǎng)絡(luò)應(yīng)用(如負(fù)載均衡),新型的防御機(jī)制(如移動(dòng)目標(biāo)防御)均可以通過(guò)SDN交換機(jī)上的流表來(lái)實(shí)現(xiàn)。對(duì)于攻擊者而言,如果能探測(cè)出網(wǎng)絡(luò)中節(jié)點(diǎn)之間的流表規(guī)則,就可以制定出有針對(duì)性的攻擊策略,進(jìn)而對(duì)網(wǎng)絡(luò)實(shí)施進(jìn)一步的攻擊。同樣,對(duì)于防御者來(lái)說(shuō),需要做的也是通過(guò)SDN探測(cè)來(lái)發(fā)現(xiàn)自身存在的安全隱患和漏洞,從而在遭受攻擊之前提前進(jìn)行防范,以此達(dá)到防御威脅的目的。

    需要注意的是,與網(wǎng)絡(luò)探測(cè)很相似的一個(gè)概念是網(wǎng)絡(luò)測(cè)量,但它們之間有一定的差別。網(wǎng)絡(luò)探測(cè)的原理是指通過(guò)探測(cè)主機(jī)主動(dòng)發(fā)送探測(cè)包來(lái)探測(cè)出網(wǎng)絡(luò)的內(nèi)部信息,類(lèi)似于網(wǎng)絡(luò)測(cè)量中的主動(dòng)測(cè)量。而且,在進(jìn)行網(wǎng)絡(luò)探測(cè)前,探測(cè)方是不知道網(wǎng)絡(luò)內(nèi)部情況的,把探測(cè)的網(wǎng)絡(luò)當(dāng)做一個(gè)“黑盒”來(lái)處理。因此,探測(cè)的環(huán)境是站在攻擊者或者說(shuō)“黑客”的角度來(lái)進(jìn)行的,探測(cè)者無(wú)法直接對(duì)探測(cè)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行操作。如果想獲取這個(gè)網(wǎng)絡(luò)的信息,只能根據(jù)網(wǎng)絡(luò)的理論知識(shí)找到相應(yīng)的漏洞從而進(jìn)行探測(cè)。

    目前針對(duì)SDN的探測(cè)才剛剛起步,相關(guān)的論文、資料還比較少。通過(guò)對(duì)現(xiàn)有的資料進(jìn)行整理,從3個(gè)方面對(duì)現(xiàn)在的SDN探測(cè)技術(shù)進(jìn)行綜述,分別是:SDN網(wǎng)絡(luò)類(lèi)型探測(cè)、SDN流表規(guī)則探測(cè)、SDN流表容量探測(cè)。

    1 SDN簡(jiǎn)介

    1.1 SDN架構(gòu)

    SDN架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)架構(gòu)最大的不同就是控制平面與轉(zhuǎn)發(fā)平面分離,讓其具有低耦合度。而在傳統(tǒng)網(wǎng)絡(luò)下,無(wú)論是2層交換設(shè)備交換機(jī),還是3層交換設(shè)備路由器,都同時(shí)具有轉(zhuǎn)發(fā)平面和控制平面。因此,可以說(shuō)SDN架構(gòu)是一種大的創(chuàng)新。

    ONF(open networking foundation,開(kāi)發(fā)網(wǎng)絡(luò)基金會(huì))從用戶(hù)角度出發(fā)定義的SDN架構(gòu)如圖1所示。該SDN架構(gòu)分為3層:應(yīng)用層、控制層和基礎(chǔ)設(shè)施層。除了這3個(gè)層次之外,還包括連接它們之間通信的接口:北向接口和南向接口。北向接口是指連接控制層與應(yīng)用層之間的接口,南向接口是指連接控制層與基礎(chǔ)設(shè)施層的接口。其中,北向和南向是相對(duì)于控制器而言的,這也能夠說(shuō)明SDN架構(gòu)的核心就是控制器。值得一提的是,目前北向接口還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn),而南向接口已經(jīng)有了統(tǒng)一的標(biāo)準(zhǔn)協(xié)議OpenFlow。

    基礎(chǔ)設(shè)施層位于SDN架構(gòu)的最底層,它是由不同的網(wǎng)絡(luò)設(shè)備組成的。這里的網(wǎng)絡(luò)設(shè)備主要是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)功能的設(shè)備,比如交換機(jī)或者路由器。但在SDN網(wǎng)絡(luò)中,這些設(shè)備統(tǒng)稱(chēng)為SDN交換機(jī)。與傳統(tǒng)網(wǎng)絡(luò)不同的是,這些交換設(shè)備只有數(shù)據(jù)轉(zhuǎn)發(fā)功能,并沒(méi)有控制功能?;A(chǔ)設(shè)施層之上的是控制層,它可以提供整個(gè)網(wǎng)絡(luò)的全局視圖。由于處于整個(gè)架構(gòu)的中間,它既要負(fù)責(zé)為應(yīng)用層提供服務(wù)接口,也需要處理基礎(chǔ)設(shè)施層的數(shù)據(jù)轉(zhuǎn)發(fā)工作。應(yīng)用層位于最上層,其包括各自不同功能的SDN應(yīng)用,例如:安全服務(wù)、網(wǎng)絡(luò)管理和策略實(shí)現(xiàn)。

    ONF提出的SDN架構(gòu)以及OpenFlow標(biāo)準(zhǔn),目前得到了廣泛的應(yīng)用和支持,極大地促進(jìn)了SDN的發(fā)展。

    圖1 基于OpenFlow的SDN架構(gòu)

    1.2 OpenFlow協(xié)議

    OpenFlow的概念最早是由斯坦福大學(xué)的Nick McKeown教授等于2008年4月提出。OpenFlow將控制邏輯從網(wǎng)絡(luò)設(shè)備盒子中分離出來(lái),供研究者對(duì)其進(jìn)行任意的編程從而實(shí)現(xiàn)其創(chuàng)新的網(wǎng)絡(luò)拓?fù)洹f(xié)議,而無(wú)需改動(dòng)網(wǎng)絡(luò)設(shè)備本身。OpenFlow的提出得到各界的廣泛關(guān)注,目前成為SDN南向接口協(xié)議的主流標(biāo)準(zhǔn)之一。

    2009年12月31日,OpenFlow v1.0正式發(fā)布。作為協(xié)議的第1個(gè)規(guī)范標(biāo)準(zhǔn),OpenFlow v1.0中的很多思想都非常重要,是OpenFlow后續(xù)版本的重要基礎(chǔ)。

    OpenFlow v1.0中有3個(gè)核心組成部分:流表、安全通道和OpenFlow協(xié)議。其整體架構(gòu)如圖2所示。流表負(fù)責(zé)數(shù)據(jù)包的高速查詢(xún)和轉(zhuǎn)發(fā),相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)表;安全通道提供一個(gè)安全的數(shù)據(jù)傳輸通道,方便OpenFlow交換機(jī)與控制器進(jìn)行安全可靠的通信;OpenFlow協(xié)議是控制器與OpenFlow交換機(jī)進(jìn)行通信的標(biāo)準(zhǔn),它在安全通道進(jìn)行傳輸,其定義的通信消息類(lèi)型有3種:Asynchronous、Controller-to-switch、Symmetric。其中,Asynchronous消息由OpenFlow交換機(jī)發(fā)起,用來(lái)將網(wǎng)絡(luò)事件或交換機(jī)狀態(tài)變化更新到控制器;Controller-to-switch消息由控制器發(fā)起,用來(lái)管理或獲取OpenFlow交換機(jī)的狀態(tài);Symmetric消息可由交換機(jī)或者控制器發(fā)起?;谶@3種消息類(lèi)型,控制器與交換機(jī)之間的通信便可以有序進(jìn)行。

    圖2 OpenFlow的整體架構(gòu)

    OpenFlow協(xié)議作為一種重要的南向接口協(xié)議,它的作用就是讓網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)功能與控制功能進(jìn)行分離。為了實(shí)現(xiàn)這一目標(biāo),OpenFlow使用了流表這個(gè)結(jié)構(gòu)。在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中,數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層其各自的轉(zhuǎn)發(fā)依據(jù)分別為MAC地址表和IP地址路由表。而在OpenFlow中,流表將傳統(tǒng)網(wǎng)絡(luò)中的所有轉(zhuǎn)發(fā)表進(jìn)行了整合。因此,其支持的協(xié)議字段更加豐富。

    流表的結(jié)構(gòu)如圖3所示。流表由3部分組成:包頭域、計(jì)數(shù)器、動(dòng)作。包頭域相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)包頭,負(fù)責(zé)記錄源、目的主機(jī)的IP地址、MAC地址等等信息。計(jì)數(shù)器用于統(tǒng)計(jì)匹配數(shù)據(jù)包個(gè)數(shù),方便流量流量監(jiān)管;動(dòng)作的作用是告知匹配到數(shù)據(jù)包后應(yīng)該進(jìn)行的動(dòng)作,分為必備動(dòng)作和可選動(dòng)作。必備動(dòng)作是指所有OpenFlow交換機(jī)默認(rèn)支持的,可選動(dòng)作是指部分交換機(jī)支持的動(dòng)作。必備動(dòng)作有兩種:轉(zhuǎn)發(fā)和丟棄;可選動(dòng)作有3種:轉(zhuǎn)發(fā)、排隊(duì)和修改域。

    包頭域計(jì)數(shù)器動(dòng)作

    圖3 流表的結(jié)構(gòu)

    1.3 SDN探測(cè)的挑戰(zhàn)

    隨著SDN的迅速發(fā)展,它的安全問(wèn)題受到了越來(lái)越多的研究者關(guān)注。而SDN探測(cè)是研究SDN安全問(wèn)題中不可或缺的一部分。一般來(lái)說(shuō),要想發(fā)動(dòng)一次成功的攻擊,先決條件就是探測(cè)出目標(biāo)網(wǎng)絡(luò)的相關(guān)信息,因此SDN探測(cè)的重要性是不言而喻的。

    由于SDN中控制平面與數(shù)據(jù)平面分離的特性,使得SDN具有跟傳統(tǒng)網(wǎng)絡(luò)不一樣的時(shí)間特征和行為特征。傳統(tǒng)網(wǎng)絡(luò)下的探測(cè)技術(shù)并不能直接移植到SDN網(wǎng)絡(luò),需要開(kāi)展面向SDN網(wǎng)絡(luò)的新探測(cè)技術(shù)??偟膩?lái)說(shuō),在SDN環(huán)境下進(jìn)行探測(cè)存在如下的許多挑戰(zhàn):

    1) 如何提高探測(cè)的精度,例如在探測(cè)路徑上可能存在多臺(tái)交換機(jī),如何確定探測(cè)信息的實(shí)際擁有者。

    2) 如何降低探測(cè)的開(kāi)銷(xiāo),使用較小的探測(cè)代價(jià)獲得對(duì)多個(gè)匹配字段的較精確的探測(cè)結(jié)果。

    3) 如何減少不穩(wěn)定因素,如多次探測(cè)可能會(huì)改變流表內(nèi)容等情況,因時(shí)延抖動(dòng)、網(wǎng)絡(luò)擁塞等偶然因素可能影響探測(cè)和分析結(jié)果。

    2 SDN網(wǎng)絡(luò)類(lèi)型探測(cè)

    在軟件定義網(wǎng)絡(luò)中,SDN網(wǎng)絡(luò)類(lèi)型探測(cè)是指探測(cè)所屬網(wǎng)絡(luò)是否為SDN網(wǎng)絡(luò)。許多的研究者都提出了自己的探測(cè)方法。

    2.1 SDN Scanner方法

    Shin S等[2]首次提出了一種基于時(shí)間的指紋識(shí)別方法,以確定目標(biāo)網(wǎng)絡(luò)是否為SDN。由于在SDN中,控制平面與數(shù)據(jù)平面分離,因此當(dāng)數(shù)據(jù)平面收到不知道如何處理的數(shù)據(jù)包時(shí),數(shù)據(jù)平面通常會(huì)向控制平面進(jìn)行相應(yīng)的請(qǐng)求以獲得相應(yīng)的處理方法。利用這個(gè)關(guān)鍵屬性便可以確定目的網(wǎng)絡(luò)是否使用SDN/OpenFlow交換機(jī),最終判斷出網(wǎng)絡(luò)類(lèi)型。

    為了證明這種攻擊的可行性,筆者設(shè)計(jì)了一種名為SDN Scanner的SDN網(wǎng)絡(luò)類(lèi)型探測(cè)工具進(jìn)行驗(yàn)證。該工具的總體探測(cè)思路是:通過(guò)構(gòu)造不同的數(shù)據(jù)包,將其發(fā)送到網(wǎng)絡(luò)當(dāng)中,如果該數(shù)據(jù)包是交換機(jī)中沒(méi)有出現(xiàn)的類(lèi)型,交換機(jī)無(wú)法對(duì)其匹配,便會(huì)將其發(fā)送給控制器;反之,如果出現(xiàn)過(guò),則交換機(jī)可以直接轉(zhuǎn)發(fā)。假設(shè)前一個(gè)過(guò)程經(jīng)過(guò)的時(shí)間為T(mén)1、后一個(gè)過(guò)程為T(mén)2,那么可以通過(guò)收集T1和T2的值,然后對(duì)T1和T2的值進(jìn)行區(qū)分進(jìn)而判斷該網(wǎng)絡(luò)是否為SDN網(wǎng)絡(luò)。SDN Scanner的具體工作流程如圖4所示,其探測(cè)步驟如下:

    1) 首先,SDN Scanner構(gòu)造具有不同頭部的數(shù)據(jù)包。每一次將2個(gè)(或更多)特定的數(shù)據(jù)包發(fā)送到目標(biāo)網(wǎng)絡(luò)。

    2) 其次,收集每個(gè)數(shù)據(jù)包的響應(yīng)時(shí)間。SDN Scanner判定第1個(gè)數(shù)據(jù)包的響應(yīng)時(shí)間T1,第2個(gè)數(shù)據(jù)包的響應(yīng)時(shí)間為T(mén)2。

    3) 然后,SDN Scanner將此次循環(huán)更新,重新構(gòu)造具有不同頭部的數(shù)據(jù)包,重復(fù)前兩步的過(guò)程。

    4) 最后,當(dāng)循環(huán)的次數(shù)到達(dá)指定值時(shí),退出掃描。

    圖4 SDN Scanner探測(cè)流程

    2.2 指紋探測(cè)法

    在Shin S等第1次提出SDN網(wǎng)絡(luò)類(lèi)型探測(cè)可行性的基礎(chǔ)上,不久Bifulco R等[3]在真實(shí)的網(wǎng)絡(luò)測(cè)試平臺(tái)上實(shí)施了指紋攻擊。通過(guò)利用2個(gè)特征的信息,即RTT值和交換分組的分組對(duì)分散度,可以非常精確地判斷出SDN交換機(jī)是否與SDN控制器進(jìn)行了交互,從而以極大的概率成功對(duì)SDN網(wǎng)絡(luò)進(jìn)行指紋攻擊。

    筆者使用的實(shí)驗(yàn)平臺(tái)如圖5所示。整個(gè)測(cè)試平臺(tái)由3個(gè)NEC PF5240[4]OpenFlow交換機(jī)組成,它們通過(guò)100 Mbit/s數(shù)據(jù)通道連接到數(shù)據(jù)平面。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常由3層交換機(jī)組成:接入層、匯聚層和核心層[5]。每個(gè)數(shù)據(jù)包經(jīng)過(guò)數(shù)據(jù)中心時(shí),通常由每一層中的至多1個(gè)交換機(jī)處理,即每個(gè)數(shù)據(jù)包在數(shù)據(jù)中心的網(wǎng)絡(luò)中遍歷(最多)3個(gè)躍點(diǎn)。因此,這3個(gè)交換機(jī)便可以大致模擬在實(shí)際數(shù)據(jù)中心數(shù)據(jù)包的處理過(guò)程。測(cè)試平臺(tái)的交換機(jī)與Floodlight v0.9控制器連接,該控制器在具有6核Intel Xeon L5640 2.26 GHz CPU和24 GB RAM的計(jì)算機(jī)上運(yùn)行。傳統(tǒng)以太網(wǎng)交換機(jī)橋接OpenFlow交換機(jī),然后和控制器進(jìn)行連接。為了模擬控制信道上的實(shí)際網(wǎng)絡(luò)負(fù)載,Bifulco R等將交換機(jī)的控制接口限制為100 Mbit/s。接著,通過(guò)在AMD Athlon雙核處理器3800+機(jī)器上運(yùn)行的防火墻,使用100 Mbit/s鏈路將SDN網(wǎng)絡(luò)連接到Internet。最后,搭建了遍布全球的20個(gè)遠(yuǎn)程客戶(hù)端,使得整個(gè)系統(tǒng)更具有真實(shí)性。

    圖5 實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)

    通過(guò)部署,Bifulco R等收集到了很多真實(shí)的SDN數(shù)據(jù)信息。結(jié)果表明:通過(guò)利用來(lái)自交換分組的分組對(duì)分散度的信息,對(duì)SDN網(wǎng)絡(luò)的指紋攻擊能極大的概率成功。例如,攻擊者可以正確識(shí)別探測(cè)包是否在3個(gè)交換機(jī)上觸發(fā)規(guī)則安裝,準(zhǔn)確度為98.54%。而且,這種指紋探測(cè)精度僅受到路徑上需要配置的SDN交換機(jī)數(shù)量的輕微影響。因此,盡管搭建的環(huán)境只有3個(gè)OpenFlow交換機(jī),結(jié)果仍具有代表性。

    2.3 細(xì)粒度指紋探測(cè)法

    Minjian Zhang等[6]提出了一種細(xì)粒度指紋探測(cè)方法,并沒(méi)有采用先前的兩種粗粒度的方案,具體地說(shuō),并不是簡(jiǎn)單地通過(guò)構(gòu)造數(shù)據(jù)包然后研究網(wǎng)絡(luò)中是否觸發(fā)與控制器的交互來(lái)判斷網(wǎng)絡(luò)類(lèi)型,而是通過(guò)確定SDN中流規(guī)則的匹配域來(lái)進(jìn)行判斷。首先根據(jù)SDN的基本特征,提出了獲取匹配字段信息的方法,并在模擬和物理環(huán)境中進(jìn)行了實(shí)驗(yàn)。

    Minjian Zhang等假設(shè)在同一個(gè)SDN網(wǎng)絡(luò)中有2個(gè)主機(jī),一個(gè)主機(jī)作為發(fā)送者向另一個(gè)主機(jī)發(fā)送數(shù)據(jù)包。

    1) 接收方接收到數(shù)據(jù)包的情況

    ① 交換機(jī)已經(jīng)安裝了相應(yīng)的流規(guī)則,因此,報(bào)文成功匹配規(guī)則,交換機(jī)直接轉(zhuǎn)發(fā)該報(bào)文。

    ② 交換機(jī)未找到匹配項(xiàng),因此它會(huì)將此數(shù)據(jù)包發(fā)送給控制器。控制器分析該數(shù)據(jù)包并在交換機(jī)上安裝相應(yīng)的規(guī)則來(lái)處理此流表。

    ③ 交換機(jī)未找到相應(yīng)的流規(guī)則,同樣交換機(jī)會(huì)與控制器進(jìn)行交互??刂破髦甘窘粨Q機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包,而不是下發(fā)相應(yīng)的流表。

    在情況②和情況③中,數(shù)據(jù)包從發(fā)送方到接收方的時(shí)間明顯長(zhǎng)于情況①,因?yàn)樵撨^(guò)程觸發(fā)了控制器和交換機(jī)之間的交互。

    ① 如果流表中沒(méi)有相應(yīng)的規(guī)則,交換機(jī)將要求控制器決定處理該數(shù)據(jù)包。如果控制器未向交換機(jī)提供轉(zhuǎn)發(fā)指令或流規(guī)則,則數(shù)據(jù)包將丟失。

    ② 交換機(jī)根據(jù)相應(yīng)的規(guī)則丟棄數(shù)據(jù)包。

    ③ 由于網(wǎng)絡(luò)擁塞或其他偶然原因,數(shù)據(jù)包丟失。

    筆者在上述分析的基礎(chǔ)上設(shè)計(jì)了指紋探測(cè)匹配字段的方案。假設(shè)發(fā)送者和接收者在同一網(wǎng)絡(luò)(LAN)上并且能夠正常地相互通信,忽略偶然情況(2-c)。對(duì)于給定的頭字段,以特定的時(shí)間間隔發(fā)送具有相同頭部值的多個(gè)數(shù)據(jù)包。

    在接收方接收到所有數(shù)據(jù)包的情況下,通過(guò)分析發(fā)送到接收之間的時(shí)間長(zhǎng)短來(lái)確定該報(bào)頭字段是否是匹配字段。通過(guò)不同時(shí)間之間的差異可以區(qū)分出1)中①~③三種情況,便可以推斷出交換機(jī)對(duì)同一數(shù)據(jù)流的報(bào)文采取了不同的動(dòng)作。所以這個(gè)頭部字段是匹配字段。

    在所有數(shù)據(jù)包都無(wú)法到達(dá)接收方的情況下,便可以推斷出交換機(jī)對(duì)給定字段中具有不同值的不同流采取了不同的操作。所以,該頭部字段是匹配字段,因?yàn)樵诎l(fā)送這組測(cè)試數(shù)據(jù)之前,這對(duì)主機(jī)是可以相互通信的。

    2.4 方案對(duì)比

    Shin S等[2]的研究暗示了指紋識(shí)別SDN網(wǎng)絡(luò)的可行性。然而,他們的研究并不是基于真實(shí)的網(wǎng)絡(luò)世界進(jìn)行評(píng)估的,也沒(méi)有提供任何量化指紋探測(cè)精確度的指標(biāo)。就連作者自己也在論文當(dāng)中提到:“我們提供了這種攻擊的第一次可行性研究,并希望激發(fā)SDN安全領(lǐng)域的進(jìn)一步研究?!?/p>

    在Shin S等[2]的方案下,Bifulco R等在現(xiàn)實(shí)世界的測(cè)試平臺(tái)上實(shí)施了這種探測(cè),而且精度也達(dá)到了98%。但是,他們的方法需要在每個(gè)測(cè)試流程之前清除交換機(jī)中的流表,這在真正的實(shí)踐中,攻擊者往往很難做到。而且他們的工作也沒(méi)有考慮到流規(guī)則失效、優(yōu)先級(jí)不同的處理情況。所以他們的工作往往是一種驗(yàn)證。

    鹽脅迫會(huì)抑制植物的生長(zhǎng)發(fā)育。當(dāng)土壤含鹽量過(guò)高時(shí),會(huì)嚴(yán)重影響冰葉日中花的生理生化反應(yīng),造成其減產(chǎn),甚至導(dǎo)致植株死亡。

    Minjian Zhang等[6]的研究又更進(jìn)了一步,實(shí)現(xiàn)了一種細(xì)粒度指紋攻擊方法。通過(guò)對(duì)流表的匹配字段進(jìn)行探測(cè)來(lái)確定某網(wǎng)絡(luò)是否為SDN網(wǎng)絡(luò)。但是其方法也有一定的局限性,作者僅僅使用了1個(gè)或2個(gè)OpenFlow交換機(jī)進(jìn)行實(shí)驗(yàn)。但是真實(shí)的網(wǎng)絡(luò)中拓?fù)浣Y(jié)構(gòu)并不是這么簡(jiǎn)單,因此真正應(yīng)用到現(xiàn)實(shí)網(wǎng)絡(luò)中還需要進(jìn)一步的工作。

    3 SDN流表規(guī)則探測(cè)

    SDN網(wǎng)絡(luò)中,流規(guī)則是最關(guān)鍵的部分,它確保網(wǎng)絡(luò)單元在任何網(wǎng)絡(luò)入口以適當(dāng)細(xì)粒度控制流量和部署策略,網(wǎng)絡(luò)策略的實(shí)現(xiàn)細(xì)節(jié)同樣會(huì)在流規(guī)則中體現(xiàn)。因此,若能探測(cè)并推斷網(wǎng)絡(luò)中節(jié)點(diǎn)間的流規(guī)則,就可制定出有針對(duì)性的攻擊策略。

    3.1 INSPIRE方法

    針對(duì)流表規(guī)則探測(cè),Po-Ching Lin等[7]提出一種“INSPIRE”(INferring SDN by probIng and rule extraction)方法來(lái)發(fā)現(xiàn)SDN的流規(guī)則,這種方法的設(shè)計(jì)思路來(lái)源于防火墻規(guī)則探測(cè)[8-9]。

    INSPIRE方法包括4個(gè)步驟:

    1) 時(shí)延值的獲取。獲取方式是通過(guò)探測(cè)主機(jī)主動(dòng)發(fā)送一個(gè)探測(cè)包給目的主機(jī)。其中,探測(cè)包的源IP地址是虛假的,但是與目的IP地址共存于同一個(gè)子網(wǎng)中。同時(shí)探測(cè)包的有效載荷中需要包含一個(gè)發(fā)送的時(shí)間戳,這樣時(shí)間差就等于接收的時(shí)間減去有效載荷中的發(fā)送時(shí)間。而流表的下發(fā)方式有兩種:主動(dòng)與被動(dòng)兩種模式。主動(dòng)式的數(shù)據(jù)包的處理時(shí)間將會(huì)比被動(dòng)式的更短,因?yàn)樵谥鲃?dòng)模式下控制器已經(jīng)提前下發(fā)了對(duì)應(yīng)流表。通過(guò)這個(gè)時(shí)間差可以幫助推斷一條流規(guī)則是否存儲(chǔ)在交換機(jī)流表中。

    2) 構(gòu)建探測(cè)包。探測(cè)包的構(gòu)造方法來(lái)源于傳統(tǒng)網(wǎng)絡(luò)中防火墻規(guī)則探測(cè)的構(gòu)造數(shù)據(jù)包的方法,作用是通過(guò)構(gòu)造少量的探測(cè)包就能達(dá)到較高的探測(cè)精度。文中,作者選擇使用線掃描法。這種方法能在一個(gè)大的區(qū)塊中快速發(fā)現(xiàn)規(guī)則,將會(huì)產(chǎn)生比分裂合并法更多的探測(cè)包,減少了數(shù)據(jù)集中的因網(wǎng)絡(luò)擁塞而產(chǎn)生的異常值。

    3) 聚類(lèi)和分類(lèi)。在探測(cè)過(guò)程完成后,INSPIRE將會(huì)對(duì)探測(cè)包進(jìn)行分類(lèi)。對(duì)于捕獲到的報(bào)文,分為主動(dòng)式和被動(dòng)式兩類(lèi),基于接收時(shí)間和發(fā)送時(shí)間的差值即時(shí)延值來(lái)進(jìn)行K-Means聚類(lèi)。如果該探測(cè)路徑上有n個(gè)交換機(jī),后者將會(huì)被劃分為n個(gè)子類(lèi)。每個(gè)交換機(jī)都會(huì)觸發(fā)Packet-in,所以總時(shí)延取決于多少個(gè)交換機(jī)會(huì)與控制機(jī)進(jìn)行交互。

    4) 流規(guī)則的推測(cè)。INSPIRE使用Apriori算法來(lái)推斷出流規(guī)則。該算法是一種挖掘關(guān)聯(lián)規(guī)則的頻繁項(xiàng)集算法,它的主要任務(wù)就是設(shè)法發(fā)現(xiàn)事物之間的內(nèi)在聯(lián)系。該算法統(tǒng)計(jì)頭部字段的出現(xiàn)頻率的同時(shí)搜尋高頻度出現(xiàn)的頭部字段的組合來(lái)當(dāng)做流規(guī)則的一部分。該算法在字段組合的出現(xiàn)概率低于預(yù)先設(shè)定的值或者沒(méi)有更多的字段可以組合時(shí),就會(huì)退出。

    3.2 SDNMap方法

    對(duì)于OpenFlow流表具體字段的探測(cè)上,Stefan Achleitner等[10]提出了一種方法,并基于此方法設(shè)計(jì)了一個(gè)開(kāi)源的工具SDNMap。下面介紹其中部分字段的探測(cè)方法。

    3.2.1 MAC地址的探測(cè)

    SDNMap會(huì)先產(chǎn)生一個(gè)探測(cè)包,使用TCP報(bào)文或者ICMP報(bào)文,其中源MAC地址頭部是虛假的。

    在目的主機(jī)接收到探測(cè)報(bào)文后,會(huì)先尋找源IP地址對(duì)應(yīng)的MAC地址,如果查詢(xún)到,則在其本地緩存中生成帶有MAC目標(biāo)地址的探測(cè)答復(fù)消息,并發(fā)送回源主機(jī)。反之,便會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文來(lái)解析收到的源IP地址。如果收到回復(fù),目的主機(jī)會(huì)更新其本地ARP緩存中的條目,并將探測(cè)應(yīng)答包發(fā)送回源主機(jī)。

    在收到探測(cè)應(yīng)答或ARP請(qǐng)求數(shù)據(jù)包后,掃描器就可以推測(cè)出MAC源地址字段并未用于將探測(cè)數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī)。如幾次沒(méi)收到,則重復(fù)該過(guò)程。如多次沒(méi)有收到,則推出源MAC地址被用作將數(shù)據(jù)包傳送到目標(biāo)主機(jī)的匹配標(biāo)準(zhǔn)。

    如圖6中的消息3、4和5所示,首先向目標(biāo)主機(jī)發(fā)送應(yīng)答消息,該消息將其探測(cè)主機(jī)的IP地址的高速緩存條目更新為虛構(gòu)的MAC地址。之后,發(fā)送一個(gè)正確的探測(cè)請(qǐng)求數(shù)據(jù)包到目的地。到達(dá)后,目的主機(jī)會(huì)查找與接收到的IP源地址對(duì)應(yīng)的MAC地址。目的主機(jī)會(huì)將探測(cè)回復(fù)消息發(fā)送給請(qǐng)求者。如果在SDNMap主機(jī)處接收到探測(cè)回復(fù)數(shù)據(jù)包,得出結(jié)論:在傳輸規(guī)則匹配過(guò)程中,目的MAC地址未被用作傳送數(shù)據(jù)包的標(biāo)準(zhǔn)。如在定義的超時(shí)時(shí)限后沒(méi)有收到回復(fù)數(shù)據(jù)包,SDNMap會(huì)斷定流規(guī)則使用了正確的MAC目的地址標(biāo)準(zhǔn)來(lái)傳輸數(shù)據(jù)包。

    3.2.2 IP地址的探測(cè)

    IP地址的探測(cè)過(guò)程如圖7所示。首先探測(cè)主機(jī)會(huì)發(fā)送一個(gè)探測(cè)報(bào)文,其中IP源地址是虛假的。收到探測(cè)報(bào)文后,目的主機(jī)無(wú)法查找到該IP地址對(duì)應(yīng)的MAC地址,于是發(fā)送一個(gè)ARP請(qǐng)求報(bào)文給探測(cè)主機(jī)。若幾次未收到ARP請(qǐng)求數(shù)據(jù)包,則重復(fù)該過(guò)程。若仍沒(méi)有收到,則得出結(jié)論:流規(guī)則將匹配特定IP源地址的數(shù)據(jù)包,具有虛假I(mǎi)P源地址的數(shù)據(jù)包將不會(huì)傳送到目的地主機(jī)。

    圖6 探測(cè)MAC地址的步驟

    圖7 探測(cè)IP地址的步驟

    在接收到上述過(guò)程中的ARP請(qǐng)求報(bào)文后,SDNMap將發(fā)送一個(gè)ARP應(yīng)答消息,告訴目的主機(jī)該虛假I(mǎi)P地址對(duì)應(yīng)的MAC地址。這時(shí)會(huì)觸發(fā)目的主機(jī)生成一個(gè)回復(fù)數(shù)據(jù)包,該數(shù)據(jù)包信息包括探測(cè)主機(jī)虛假的IP地址和目的主機(jī)的IP地址,這樣就能夠出探測(cè)出目的主機(jī)的IP地址。

    如果接收到1個(gè)探測(cè)回復(fù)數(shù)據(jù)包,則它會(huì)得出結(jié)論:IP目的地址不被用作流規(guī)則匹配域的一部分。如果在多次嘗試后沒(méi)有收到回復(fù)數(shù)據(jù)包,SDNMap會(huì)得出結(jié)論,匹配過(guò)程需要正確的IP目的地址,控制器會(huì)依據(jù)該字段執(zhí)行“轉(zhuǎn)發(fā)” “丟棄”還是其他動(dòng)作。

    3.2.3 協(xié)議和端口的探測(cè)

    SDNMap根據(jù)不同協(xié)議的特點(diǎn)來(lái)對(duì)各種協(xié)議類(lèi)型的報(bào)文是否會(huì)被轉(zhuǎn)發(fā)進(jìn)行判別。確定ARP報(bào)文是否會(huì)被轉(zhuǎn)發(fā),通過(guò)發(fā)送一個(gè)ARP請(qǐng)求的數(shù)據(jù)包來(lái)判斷。確定ICMP報(bào)文是否會(huì)被轉(zhuǎn)發(fā),通過(guò)發(fā)送一個(gè)ICMP請(qǐng)求報(bào)文,看是否收到ICMP應(yīng)答報(bào)文來(lái)進(jìn)行判斷。探測(cè)TCP,UDP數(shù)據(jù)包和其端口的做法是:探測(cè)方發(fā)送一個(gè)UDP數(shù)據(jù)包至目的主機(jī)的指定端口,如果隨后收到ICMP端口不可達(dá)的錯(cuò)誤消息,就表明該數(shù)據(jù)包是UDP報(bào)文但是該端口是關(guān)閉的;否則,表明該端口是開(kāi)放的。

    3.3 方案對(duì)比

    INSPIRE方法的缺點(diǎn)是探測(cè)的信息不夠全面,能夠探測(cè)出的流表字段較少。而且,局限性較大,因?yàn)樗羌俣ㄌ綔y(cè)主機(jī)和目的主機(jī)的權(quán)限都能獲取到。這在實(shí)際探測(cè)或者攻擊環(huán)境中很難做到。該方案的優(yōu)點(diǎn)是推理的準(zhǔn)確性很高,原作者經(jīng)過(guò)仿真測(cè)試,結(jié)果表明準(zhǔn)確率高達(dá)98.41%。

    SDNMap方法的優(yōu)點(diǎn)是可以推測(cè)出流規(guī)則具體的字段,比如MAC地址、IP地址等,而且相比于INSPIRE方法,它并不需要同時(shí)獲取探測(cè)主機(jī)和目的主機(jī)的權(quán)限,只需要能夠獲取到探測(cè)主機(jī)權(quán)限即可,而且精度也非常高。但是其也存在一定的缺點(diǎn):首先,SDNMap探測(cè)開(kāi)銷(xiāo)一般較大,是通過(guò)暴力方式構(gòu)造探測(cè)包,這樣導(dǎo)致整個(gè)工具包使用效率較低;其次,SDNMap探測(cè)的信息不夠全面和精細(xì),探測(cè)流表的字段數(shù)也較少;最后,該方法無(wú)法保證探測(cè)包響應(yīng)能夠順利到達(dá)源主機(jī),具有一定的局限性。

    4 流表容量探測(cè)

    SDN/OpenFlow交換機(jī)的流表容量是一個(gè)容易被忽略的網(wǎng)絡(luò)參數(shù),然而流表容量在SDN網(wǎng)絡(luò)安全問(wèn)題中也是重要的一環(huán)。流表容量問(wèn)題已在許多以前的工作中提出過(guò)[11-13],他們都指出了交換機(jī)流表內(nèi)存的限制以及潛在的可擴(kuò)展性和安全性問(wèn)題。

    由于硬件和軟件的限制,SDN網(wǎng)絡(luò)的OpenFlow交換機(jī)一般都具有流表容量的限制。具體而言,大多數(shù)商用SDN/OpenFlow交換機(jī)的流表容量有限,從數(shù)百到數(shù)千[14]。當(dāng)流表中的流表項(xiàng)數(shù)目達(dá)到上限,交換機(jī)和控制器之間就會(huì)進(jìn)行交互,對(duì)流表進(jìn)行相應(yīng)操作來(lái)維持SDN網(wǎng)絡(luò)交換機(jī)的正常工作,而這個(gè)事件也可以被用戶(hù)捕捉到,通過(guò)觀察該事件,用戶(hù)可以推斷交換機(jī)的流表容量和流表使用情況。J.Leng等[15]提出了一種針對(duì)SDN/OpenFlow網(wǎng)絡(luò)的推理攻擊模型,這是SDN領(lǐng)域的首次針對(duì)流表容量的探測(cè)。

    4.1 探測(cè)模型

    在傳統(tǒng)網(wǎng)絡(luò)中,交換機(jī)和路由器是自治的,這意味著可以在本地維護(hù)其路由表而無(wú)需與外部設(shè)備交互。但由于SDN/OpenFlow的分離性質(zhì),維護(hù)交換機(jī)流表需要交換機(jī)和控制器之間的頻繁交互,使攻擊者可以利用感知的性能變化來(lái)推斷SDN網(wǎng)絡(luò)的內(nèi)部狀態(tài)。

    SDN交換機(jī)上的流表匹配過(guò)程如下:① 首先查找流表以搜索與數(shù)據(jù)包匹配的流表項(xiàng),若存在直接執(zhí)行該流表項(xiàng)的動(dòng)作;② 若不存在相匹配的流表項(xiàng),則與控制器交互,下發(fā)新流表;③ 在插入新流表之前,首先檢查流表狀態(tài)是否有足夠的空間。當(dāng)流表已滿(mǎn),就需要控制器和交換機(jī)之間的額外交互來(lái)移除某些現(xiàn)有的流條目以為新生成的流表項(xiàng)騰出空間。這3種情況中,當(dāng)流表中存在匹配時(shí),處理時(shí)間最短; 當(dāng)流表中沒(méi)有匹配且流表未滿(mǎn)時(shí),由于交互下發(fā)新流表規(guī)則,處理時(shí)間會(huì)更長(zhǎng); 當(dāng)流表中沒(méi)有匹配且流表滿(mǎn)時(shí),處理時(shí)間最長(zhǎng),因?yàn)楸仨氼~外再執(zhí)行流表替換操作。因此,作為直接受處理時(shí)間影響的網(wǎng)絡(luò)參數(shù),探測(cè)包的RTT可以用作流表狀態(tài)和流表項(xiàng)狀態(tài)的指示符。

    首先需要確定RTT的閾值,如圖8所示。圖中的2個(gè)子圖表示2個(gè)協(xié)作線程,x軸表示數(shù)據(jù)包,y軸表示每個(gè)探測(cè)包的RTT。首先,在上層線程中,生成一個(gè)包含特定源目IP,源目MAC的數(shù)據(jù)包,稱(chēng)之為Pkt1。將Pkt1發(fā)送到目標(biāo)OpenFlow交換機(jī)并將相應(yīng)的RTT記錄為T(mén)2。由于Pkt1是一個(gè)新的數(shù)據(jù)包,OpenFlow交換機(jī)中沒(méi)有相應(yīng)的流表項(xiàng)。在時(shí)間跨度TS1之后,再次將Pkt1發(fā)送到目標(biāo)OpenFlow交換機(jī)并將相應(yīng)的RTT記錄為T(mén)1。如果正確選擇TS1(流表沒(méi)有因超時(shí)而被刪除),則剛下發(fā)的與Pkt1匹配的流表項(xiàng)應(yīng)該仍然存在于OpenFlow交換機(jī)中。接著,在下層線程中,不斷地生成Pkt2、Pkt3…Pktn數(shù)據(jù)包,每個(gè)數(shù)據(jù)包都有不同的源目IP、MAC組合,并以TS2的時(shí)間間隔發(fā)送到目標(biāo)OpenFlow交換機(jī)。剛開(kāi)始OpenFlow交換機(jī)中流表還有存儲(chǔ)空間,因此記錄的RTT將與T2或T1大致相同。繼續(xù)生成和發(fā)送數(shù)據(jù)包,直到觀察到RTT的突然增加,這表明流表已滿(mǎn)。然后在上線程中,再次發(fā)送Pkt1并將RTT記錄為T(mén)3。為了提高精度,可以重復(fù)這個(gè)過(guò)程,并使用T1、T2和T3的平均值作為最終結(jié)果。

    圖8 不同流表狀態(tài)的RTT測(cè)量

    得到RTT的閾值后,通過(guò)向交換機(jī)發(fā)送探測(cè)數(shù)據(jù)包,就可以依據(jù)T1、T2和T3這3個(gè)檢測(cè)標(biāo)志與得到的RTT進(jìn)行比較,進(jìn)而分析流表狀態(tài):當(dāng)測(cè)量的RTT在T1附近時(shí),可以推斷流表中有相應(yīng)的流表項(xiàng); 當(dāng)測(cè)量的RTT在T2左右時(shí),可以推斷流表中沒(méi)有相應(yīng)的流表項(xiàng),流表不滿(mǎn); 當(dāng)測(cè)量的RTT在T3附近時(shí),可以推斷出流表中沒(méi)有相應(yīng)的流條目,流表已滿(mǎn)。

    4.2 推測(cè)算法

    推斷流表容量的關(guān)鍵就在于流表變滿(mǎn)時(shí)進(jìn)行的流表替換操作,流表替換算法決定了SDN網(wǎng)絡(luò)的內(nèi)部狀態(tài)轉(zhuǎn)換,因此它是推理模型的重要組成部分。流表類(lèi)似操作系統(tǒng)和Web代理服務(wù)器中的“緩存”,所以作者使用的流表替換算法是一些常見(jiàn)的緩存替代算法的變體,比如FIFO[16],LRU[17]。

    4.2.1 FIFO推測(cè)算法

    FIFO算法的推測(cè)過(guò)程如下:通過(guò)生成并發(fā)送大量的探測(cè)數(shù)據(jù)包,每個(gè)探測(cè)包源目IP、MAC都不同,新插入的匹配流表項(xiàng)將其他用戶(hù)的流表項(xiàng)推出流表。結(jié)合記錄的插入流表項(xiàng)數(shù)目,就可以推斷流表容量和流表使用情況。流表狀態(tài)轉(zhuǎn)換的過(guò)程如圖9所示。

    圖9 FIFO推斷原則

    圖9中:A表示流表在實(shí)驗(yàn)開(kāi)始之前,OpenFlow交換機(jī)中其他用戶(hù)的流表項(xiàng)數(shù)目;B表示開(kāi)始發(fā)送生成的數(shù)據(jù)包,新的流表項(xiàng)被插入流表;灰色矩形表示新插入的流表項(xiàng),新插入的流表項(xiàng)不斷將其他用戶(hù)的流表項(xiàng)推到FIFO隊(duì)列的前面,在實(shí)驗(yàn)中,應(yīng)當(dāng)記錄生成的數(shù)據(jù)包,包括它們的屬性和序列號(hào);C表示流表已經(jīng)變滿(mǎn),此時(shí),新下發(fā)的流表和其他用戶(hù)的流表項(xiàng)相加,剛好填滿(mǎn)整個(gè)流表;D表示檢測(cè)到插入的1個(gè)流表項(xiàng)已被刪除,這意味著現(xiàn)在流表中都是剛剛下發(fā)的流表項(xiàng),沒(méi)有來(lái)自其他用戶(hù)的任何流表項(xiàng)。在時(shí)間點(diǎn)C和D分別記錄發(fā)送的探測(cè)包數(shù)量:m和n,則流表容量C=n。A時(shí)刻即剛開(kāi)始流表中的流表項(xiàng)數(shù)目為n-m,則流表使用率為(n-m)/n。

    推測(cè)算法的主要誤差來(lái)自其他用戶(hù)在插入過(guò)程中插入的流表項(xiàng)。作者的假設(shè)是:流表項(xiàng)插入速度足夠快,以便在實(shí)驗(yàn)期間,新插入的流表項(xiàng)全部來(lái)自作者的操作。但這只是理想模型,不是事實(shí)。忽略其他用戶(hù)插入的可能的流表項(xiàng)將會(huì)使作者推測(cè)的流表容量略小于實(shí)際值。

    4.2.2 LRU推測(cè)算法

    LRU算法的實(shí)驗(yàn)原理與FIFO算法的實(shí)驗(yàn)原理有一些共同點(diǎn),因?yàn)樵谶@兩種情況下都可以使用某些操作保持流表項(xiàng)保持在緩存隊(duì)列的后面。但是,流表項(xiàng)維護(hù)過(guò)程存在差異。

    FIFO算法的性質(zhì)確保流表項(xiàng)的位置僅取決于插入它們的時(shí)間。與后面插入的流條目相比,前面插入的流條目肯定更接近緩存隊(duì)列的前端。但是在LRU算法中,流表項(xiàng)的位置不僅取決于插入它們的時(shí)間,而且還取決于最后訪問(wèn)它們的時(shí)間。為了使流表項(xiàng)保持在緩存隊(duì)列的后面,需要不斷地訪問(wèn)先前插入的流表項(xiàng)。在維護(hù)過(guò)程中,每次插入一個(gè)新的流條目時(shí),都需要訪問(wèn)所有先前插入的流條目一次,以將它們“提升”到緩存隊(duì)列的后面。作者將這種過(guò)程稱(chēng)之為“滾動(dòng)”維護(hù)過(guò)程。

    LRU算法的可行性和誤差分析與FIFO算法相似。由于忽略了其他用戶(hù)在實(shí)驗(yàn)過(guò)程中插入的流項(xiàng),所以推斷出的流表使用和推斷出的流表容量都略小于實(shí)際值。

    5 結(jié)束語(yǔ)

    本文通過(guò)對(duì)SDN網(wǎng)絡(luò)類(lèi)型探測(cè)、SDN流表規(guī)則探測(cè)、SDN流表容量探測(cè)進(jìn)行詳細(xì)的技術(shù)綜述,來(lái)對(duì)目前的SDN探測(cè)技術(shù)做一個(gè)整理。面向SDN網(wǎng)絡(luò)的探測(cè)技術(shù)才剛剛起步,之前的研究做了有益的探索,但仍然存在部分局限性,如何打破上述局限性,高效、準(zhǔn)確、精細(xì)地探測(cè)SDN網(wǎng)絡(luò)是未來(lái)的一個(gè)重要的研究方向。

    猜你喜歡
    流表表項(xiàng)IP地址
    一種改進(jìn)的TCAM路由表項(xiàng)管理算法及實(shí)現(xiàn)
    基于時(shí)序與集合的SDN流表更新策略
    基于ARMA模型預(yù)測(cè)的交換機(jī)流表更新算法
    鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
    基于緩存策略的OpenFlow流表存儲(chǔ)優(yōu)化方案研究
    簡(jiǎn)析yangUI流表控制
    軟件定義網(wǎng)絡(luò)中一種兩步式多級(jí)流表構(gòu)建算法
    SDN數(shù)據(jù)中心網(wǎng)絡(luò)基于流表項(xiàng)轉(zhuǎn)換的流表調(diào)度優(yōu)化
    基于SNMP的IP地址管理系統(tǒng)開(kāi)發(fā)與應(yīng)用
    黑龍江電力(2017年1期)2017-05-17 04:25:16
    通過(guò)QQ郵件查看好友IP地址
    深爱激情五月婷婷| 日韩欧美精品v在线| 老女人水多毛片| 亚洲性久久影院| 永久网站在线| 亚洲av免费在线观看| 欧美成人a在线观看| 99久国产av精品| 久久久欧美国产精品| 一级毛片黄色毛片免费观看视频| 亚洲精品乱久久久久久| 69av精品久久久久久| 亚洲一区高清亚洲精品| 免费看光身美女| 汤姆久久久久久久影院中文字幕 | 亚洲国产精品成人综合色| 色视频www国产| 国产淫语在线视频| 国产成人精品久久久久久| 男女下面进入的视频免费午夜| 免费看美女性在线毛片视频| 国产精品伦人一区二区| 黄色配什么色好看| 婷婷六月久久综合丁香| 一本久久精品| 午夜久久久久精精品| 成年版毛片免费区| 久久久久久久久大av| 一个人观看的视频www高清免费观看| 久久草成人影院| 国产精品人妻久久久久久| 国产一级毛片七仙女欲春2| 久久久久久伊人网av| 六月丁香七月| 成年av动漫网址| 欧美变态另类bdsm刘玥| 亚洲激情五月婷婷啪啪| 久久久久久久午夜电影| 免费看av在线观看网站| 岛国毛片在线播放| 黄片wwwwww| 啦啦啦中文免费视频观看日本| 啦啦啦啦在线视频资源| 免费大片黄手机在线观看| 国产真实伦视频高清在线观看| 听说在线观看完整版免费高清| 99热全是精品| 亚洲最大成人中文| 美女国产视频在线观看| 国产老妇伦熟女老妇高清| 一级爰片在线观看| 国产高潮美女av| 高清av免费在线| 麻豆成人午夜福利视频| 赤兔流量卡办理| 久久精品人妻少妇| 免费大片18禁| 精品久久久久久成人av| 一级毛片黄色毛片免费观看视频| 2018国产大陆天天弄谢| 国产精品一二三区在线看| 18+在线观看网站| 久久久午夜欧美精品| a级毛片免费高清观看在线播放| 熟女人妻精品中文字幕| 亚洲精品一二三| 国产极品天堂在线| 国产综合精华液| 美女高潮的动态| 91狼人影院| 街头女战士在线观看网站| 国产精品爽爽va在线观看网站| 狂野欧美白嫩少妇大欣赏| 日韩欧美一区视频在线观看 | 国产精品一二三区在线看| 久久久久免费精品人妻一区二区| 美女大奶头视频| 久久精品久久精品一区二区三区| 国产久久久一区二区三区| 亚洲av二区三区四区| 日韩制服骚丝袜av| 精品一区二区三区视频在线| 在线播放无遮挡| 国产精品福利在线免费观看| 久久韩国三级中文字幕| 国产乱人偷精品视频| 精品不卡国产一区二区三区| 日韩大片免费观看网站| 最近的中文字幕免费完整| 国产午夜精品一二区理论片| 精华霜和精华液先用哪个| 国精品久久久久久国模美| 午夜精品国产一区二区电影 | 两个人的视频大全免费| 日韩av免费高清视频| 国产黄色视频一区二区在线观看| 搞女人的毛片| 欧美bdsm另类| 国产亚洲精品久久久com| 国产成人a区在线观看| 纵有疾风起免费观看全集完整版 | 中文在线观看免费www的网站| 九九在线视频观看精品| 亚洲av成人av| 国产精品伦人一区二区| 波野结衣二区三区在线| 日本猛色少妇xxxxx猛交久久| 久久精品夜色国产| av在线亚洲专区| 亚洲精品成人久久久久久| 国产免费视频播放在线视频 | 国国产精品蜜臀av免费| 久久99热6这里只有精品| 亚洲,欧美,日韩| 婷婷色综合大香蕉| 亚洲高清免费不卡视频| 久久这里有精品视频免费| 午夜日本视频在线| 欧美成人a在线观看| 久久久a久久爽久久v久久| 永久免费av网站大全| 欧美另类一区| 狠狠精品人妻久久久久久综合| 老司机影院毛片| 亚州av有码| 国产人妻一区二区三区在| 久久久欧美国产精品| 亚洲精品日韩av片在线观看| 国产亚洲av嫩草精品影院| 美女被艹到高潮喷水动态| freevideosex欧美| videossex国产| 国产日韩欧美在线精品| 2021天堂中文幕一二区在线观| 日本av手机在线免费观看| 99久久人妻综合| 寂寞人妻少妇视频99o| 国国产精品蜜臀av免费| 国产久久久一区二区三区| 免费观看av网站的网址| 午夜亚洲福利在线播放| 免费观看精品视频网站| 亚洲av国产av综合av卡| 好男人视频免费观看在线| 亚洲av成人精品一区久久| 日韩av在线免费看完整版不卡| 青青草视频在线视频观看| 欧美成人午夜免费资源| 国内少妇人妻偷人精品xxx网站| 深爱激情五月婷婷| 成人美女网站在线观看视频| 深夜a级毛片| videossex国产| 成年女人在线观看亚洲视频 | 国产综合精华液| 日本三级黄在线观看| 日本黄大片高清| 偷拍熟女少妇极品色| 九九爱精品视频在线观看| 国产成人精品久久久久久| 嫩草影院精品99| 中文字幕制服av| av.在线天堂| 男女国产视频网站| 国产大屁股一区二区在线视频| 精品一区二区三区人妻视频| av在线播放精品| videos熟女内射| 午夜福利高清视频| 欧美xxxx黑人xx丫x性爽| 啦啦啦韩国在线观看视频| 自拍偷自拍亚洲精品老妇| 在线免费十八禁| 国产日韩欧美在线精品| 看非洲黑人一级黄片| 午夜福利视频1000在线观看| 在线播放无遮挡| 热99在线观看视频| 99热6这里只有精品| 色综合色国产| 日韩强制内射视频| 久久精品国产鲁丝片午夜精品| 国产成人精品久久二区二区91 | 王馨瑶露胸无遮挡在线观看| 欧美老熟妇乱子伦牲交| 日日撸夜夜添| 18禁动态无遮挡网站| 制服丝袜香蕉在线| 午夜福利视频精品| 宅男免费午夜| av片东京热男人的天堂| 国产成人欧美| 亚洲一区二区三区欧美精品| 午夜日韩欧美国产| 欧美老熟妇乱子伦牲交| av网站在线播放免费| 久热久热在线精品观看| 久久人妻熟女aⅴ| 9色porny在线观看| h视频一区二区三区| 欧美日韩精品成人综合77777| 99久久精品国产国产毛片| 国产成人一区二区在线| 久久久国产一区二区| 如何舔出高潮| 日韩av在线免费看完整版不卡| 国产成人a∨麻豆精品| 国产av一区二区精品久久| 日韩精品有码人妻一区| 欧美成人午夜精品| 男女下面插进去视频免费观看| av国产精品久久久久影院| 久久狼人影院| 日韩一卡2卡3卡4卡2021年| 一级黄片播放器| 午夜福利在线免费观看网站| 在线观看美女被高潮喷水网站| 老女人水多毛片| 黄片无遮挡物在线观看| 亚洲欧美中文字幕日韩二区| 欧美日韩综合久久久久久| 成人影院久久| 精品国产一区二区三区四区第35| 欧美bdsm另类| 亚洲精品在线美女| 男女啪啪激烈高潮av片| 欧美 亚洲 国产 日韩一| 深夜精品福利| 国产激情久久老熟女| 狠狠精品人妻久久久久久综合| 一级片免费观看大全| 美女福利国产在线| 精品人妻熟女毛片av久久网站| 日韩中文字幕视频在线看片| 日韩制服丝袜自拍偷拍| 男人操女人黄网站| 一边摸一边做爽爽视频免费| 边亲边吃奶的免费视频| 毛片一级片免费看久久久久| 深夜精品福利| 搡老乐熟女国产| av在线app专区| 欧美精品一区二区免费开放| 最近的中文字幕免费完整| 久久久久久久久久人人人人人人| 久久精品久久精品一区二区三区| 午夜免费男女啪啪视频观看| 一级片'在线观看视频| 纯流量卡能插随身wifi吗| 母亲3免费完整高清在线观看 | 老汉色av国产亚洲站长工具| 久久影院123| 午夜影院在线不卡| 国产97色在线日韩免费| 老熟女久久久| 国产欧美日韩综合在线一区二区| 韩国高清视频一区二区三区| 国产成人精品无人区| 啦啦啦在线免费观看视频4| 欧美av亚洲av综合av国产av | 国产成人a∨麻豆精品| 亚洲欧美成人精品一区二区| 99热网站在线观看| 久久久久久人妻| 18在线观看网站| 夜夜骑夜夜射夜夜干| 老汉色av国产亚洲站长工具| 丰满乱子伦码专区| 美女午夜性视频免费| 免费播放大片免费观看视频在线观看| 亚洲精品在线美女| 免费高清在线观看视频在线观看| 亚洲av免费高清在线观看| 国产成人精品福利久久| 国产成人av激情在线播放| 青春草视频在线免费观看| 性少妇av在线| 蜜桃国产av成人99| 亚洲精品久久久久久婷婷小说| 亚洲四区av| 国产成人精品在线电影| 日日爽夜夜爽网站| 看免费成人av毛片| 啦啦啦中文免费视频观看日本| 久久毛片免费看一区二区三区| 日韩三级伦理在线观看| 日本91视频免费播放| 99热国产这里只有精品6| 一级黄片播放器| 满18在线观看网站| 午夜福利影视在线免费观看| 国产成人精品在线电影| 毛片一级片免费看久久久久| 看十八女毛片水多多多| 久久97久久精品| 亚洲欧美成人精品一区二区| 久久ye,这里只有精品| 日韩电影二区| 熟女少妇亚洲综合色aaa.| av在线app专区| 看非洲黑人一级黄片| 久久久精品区二区三区| 只有这里有精品99| 侵犯人妻中文字幕一二三四区| 亚洲欧美精品自产自拍| 夜夜骑夜夜射夜夜干| 久久精品人人爽人人爽视色| 高清不卡的av网站| 日韩,欧美,国产一区二区三区| 中文字幕最新亚洲高清| 午夜福利一区二区在线看| 日韩中文字幕视频在线看片| 在线观看一区二区三区激情| 国产精品亚洲av一区麻豆 | 国产高清不卡午夜福利| 男男h啪啪无遮挡| 精品少妇黑人巨大在线播放| 观看美女的网站| 另类亚洲欧美激情| 亚洲精品国产色婷婷电影| 免费少妇av软件| 精品久久久久久电影网| 高清在线视频一区二区三区| av片东京热男人的天堂| 午夜福利视频在线观看免费| 色吧在线观看| 午夜福利视频在线观看免费| 少妇的丰满在线观看| 男女午夜视频在线观看| 成人国语在线视频| 国产精品麻豆人妻色哟哟久久| 精品久久久久久电影网| 十八禁高潮呻吟视频| av福利片在线| 伊人久久大香线蕉亚洲五| 欧美日韩精品成人综合77777| 超碰97精品在线观看| 免费高清在线观看视频在线观看| 一区二区三区激情视频| 如日韩欧美国产精品一区二区三区| 亚洲欧美日韩另类电影网站| 日产精品乱码卡一卡2卡三| 欧美日韩精品网址| 成人毛片a级毛片在线播放| 免费在线观看视频国产中文字幕亚洲 | 成人毛片60女人毛片免费| 美国免费a级毛片| 国产白丝娇喘喷水9色精品| 天美传媒精品一区二区| 久久鲁丝午夜福利片| 久久99热这里只频精品6学生| 人人妻人人爽人人添夜夜欢视频| 人人妻人人添人人爽欧美一区卜| 久久鲁丝午夜福利片| 精品少妇久久久久久888优播| 亚洲国产精品999| 久久久久人妻精品一区果冻| 深夜精品福利| 久久97久久精品| 在线天堂中文资源库| 久久99热这里只频精品6学生| 国产精品二区激情视频| 校园人妻丝袜中文字幕| 黄色配什么色好看| 午夜日韩欧美国产| 精品国产乱码久久久久久男人| 性色avwww在线观看| 90打野战视频偷拍视频| 午夜福利影视在线免费观看| 肉色欧美久久久久久久蜜桃| 国产精品熟女久久久久浪| 亚洲第一区二区三区不卡| 午夜福利影视在线免费观看| 亚洲国产精品一区二区三区在线| 久久午夜福利片| 久久久国产精品麻豆| 日日爽夜夜爽网站| 久久久久久久久久人人人人人人| 欧美人与性动交α欧美软件| 天天操日日干夜夜撸| 人妻少妇偷人精品九色| 国产精品国产三级专区第一集| 99热全是精品| 亚洲天堂av无毛| 18禁动态无遮挡网站| 久久久久精品久久久久真实原创| 亚洲少妇的诱惑av| av免费在线看不卡| 午夜影院在线不卡| 欧美少妇被猛烈插入视频| 欧美变态另类bdsm刘玥| 久久人人爽av亚洲精品天堂| 国产成人精品福利久久| 天天躁日日躁夜夜躁夜夜| 大陆偷拍与自拍| 一本久久精品| 欧美精品一区二区大全| 亚洲五月色婷婷综合| 国产精品国产三级专区第一集| 一区二区三区激情视频| 最黄视频免费看| 熟妇人妻不卡中文字幕| 色吧在线观看| 国产又爽黄色视频| 午夜激情久久久久久久| 精品一品国产午夜福利视频| 成人漫画全彩无遮挡| 国产成人一区二区在线| 少妇猛男粗大的猛烈进出视频| 免费高清在线观看日韩| 又黄又粗又硬又大视频| 边亲边吃奶的免费视频| 国产精品国产三级国产专区5o| 91国产中文字幕| 飞空精品影院首页| 久久久久久伊人网av| 天天躁狠狠躁夜夜躁狠狠躁| 免费av中文字幕在线| 欧美老熟妇乱子伦牲交| 中文字幕av电影在线播放| 久久精品人人爽人人爽视色| 不卡av一区二区三区| 亚洲精品aⅴ在线观看| 午夜激情av网站| 免费高清在线观看视频在线观看| 中文字幕亚洲精品专区| 中国三级夫妇交换| 日韩一区二区视频免费看| 久久久精品94久久精品| 久久久久精品人妻al黑| 天天躁日日躁夜夜躁夜夜| 最近最新中文字幕大全免费视频 | 午夜福利影视在线免费观看| 中文天堂在线官网| 久久精品久久久久久久性| 99香蕉大伊视频| 老熟女久久久| 高清av免费在线| 久久久欧美国产精品| 黄色怎么调成土黄色| 国产精品.久久久| 一区二区三区乱码不卡18| 最近最新中文字幕大全免费视频 | 五月天丁香电影| 亚洲一区二区三区欧美精品| 18禁动态无遮挡网站| 久久久久久伊人网av| 亚洲国产看品久久| 久久人人爽av亚洲精品天堂| 亚洲人成77777在线视频| 超碰成人久久| 丝袜人妻中文字幕| 免费黄网站久久成人精品| 亚洲成国产人片在线观看| 精品视频人人做人人爽| 我的亚洲天堂| 精品国产露脸久久av麻豆| 欧美日韩av久久| 中文欧美无线码| 亚洲图色成人| av网站在线播放免费| 熟女av电影| 啦啦啦视频在线资源免费观看| 精品国产露脸久久av麻豆| 下体分泌物呈黄色| 一区在线观看完整版| 国产日韩欧美亚洲二区| 有码 亚洲区| 成人午夜精彩视频在线观看| 91在线精品国自产拍蜜月| 丝袜美腿诱惑在线| 一二三四在线观看免费中文在| 伦理电影免费视频| 高清视频免费观看一区二区| 99九九在线精品视频| 欧美精品一区二区大全| 亚洲国产欧美日韩在线播放| 各种免费的搞黄视频| 久热这里只有精品99| 日本爱情动作片www.在线观看| 国产高清不卡午夜福利| 一二三四在线观看免费中文在| 哪个播放器可以免费观看大片| 亚洲图色成人| 夫妻午夜视频| 国产成人精品福利久久| 在线 av 中文字幕| 亚洲天堂av无毛| 老女人水多毛片| 伦理电影免费视频| 90打野战视频偷拍视频| 水蜜桃什么品种好| 久久久久精品久久久久真实原创| 亚洲国产看品久久| 久久精品久久精品一区二区三区| 久久人妻熟女aⅴ| 黄网站色视频无遮挡免费观看| 一区二区av电影网| 秋霞伦理黄片| 久久国产亚洲av麻豆专区| 国产成人精品久久久久久| 国产精品一二三区在线看| 亚洲伊人久久精品综合| 久久久欧美国产精品| 午夜福利视频精品| 电影成人av| 在线亚洲精品国产二区图片欧美| 又粗又硬又长又爽又黄的视频| 午夜福利,免费看| 一级毛片我不卡| 国产黄色免费在线视频| 黑人巨大精品欧美一区二区蜜桃| 亚洲欧洲日产国产| 伦理电影大哥的女人| 亚洲国产色片| 欧美日韩精品成人综合77777| 国产成人精品一,二区| 欧美日韩视频高清一区二区三区二| 叶爱在线成人免费视频播放| 人妻系列 视频| 国产一区二区在线观看av| 两个人免费观看高清视频| 日日摸夜夜添夜夜爱| 边亲边吃奶的免费视频| 狠狠精品人妻久久久久久综合| 又粗又硬又长又爽又黄的视频| 十八禁网站网址无遮挡| 亚洲精品日本国产第一区| 日本午夜av视频| 久久久久久久亚洲中文字幕| 人人妻人人添人人爽欧美一区卜| 午夜福利在线观看免费完整高清在| 天堂俺去俺来也www色官网| 精品一区二区免费观看| 国产成人午夜福利电影在线观看| videossex国产| 汤姆久久久久久久影院中文字幕| 国产在线一区二区三区精| 国产视频首页在线观看| 国产成人精品在线电影| 亚洲精品成人av观看孕妇| 美女国产视频在线观看| 尾随美女入室| 亚洲四区av| 日本午夜av视频| 国产淫语在线视频| 久久国产亚洲av麻豆专区| 久久免费观看电影| 国产乱人偷精品视频| 制服人妻中文乱码| 肉色欧美久久久久久久蜜桃| 999精品在线视频| 欧美精品国产亚洲| 美女高潮到喷水免费观看| 欧美日韩av久久| 亚洲av成人精品一二三区| 午夜免费观看性视频| 精品少妇内射三级| 国产精品国产三级专区第一集| 国产亚洲精品第一综合不卡| 欧美日韩视频高清一区二区三区二| 亚洲第一区二区三区不卡| 国产精品久久久久久久久免| 免费久久久久久久精品成人欧美视频| 美女高潮到喷水免费观看| 国产精品免费视频内射| 亚洲av.av天堂| 熟女av电影| 不卡av一区二区三区| 最黄视频免费看| av视频免费观看在线观看| 亚洲国产最新在线播放| 成人手机av| 欧美在线黄色| 毛片一级片免费看久久久久| 国产精品国产三级专区第一集| 天天躁狠狠躁夜夜躁狠狠躁| av在线播放精品| 一级,二级,三级黄色视频| 新久久久久国产一级毛片| 人人妻人人添人人爽欧美一区卜| 国产成人精品无人区| 九九爱精品视频在线观看| 久久影院123| 亚洲欧美一区二区三区黑人 | 欧美日韩亚洲国产一区二区在线观看 | 国产在视频线精品| 日本av免费视频播放| 青春草视频在线免费观看| 丝袜美足系列| 青草久久国产| 国产淫语在线视频| 好男人视频免费观看在线| 成人手机av| 在线观看免费视频网站a站| 久久精品国产综合久久久| 中文欧美无线码| h视频一区二区三区| 天天躁日日躁夜夜躁夜夜| 日本色播在线视频| 两个人免费观看高清视频| 婷婷色综合www| 两性夫妻黄色片| 精品视频人人做人人爽| 久久精品国产综合久久久| 波多野结衣一区麻豆| 亚洲人成网站在线观看播放| 欧美人与性动交α欧美软件| 最新中文字幕久久久久| 国产不卡av网站在线观看| www日本在线高清视频| 日韩不卡一区二区三区视频在线| 黄片小视频在线播放| 中文乱码字字幕精品一区二区三区| 又大又黄又爽视频免费|