基于数据包回溯的软件定义网络中的故障排除

doi:10.3969/j.issn.1671-1122.2016.03.012

信息网络安全 ›› 2016, Vol. 16 ›› Issue (3): 71-76.doi: 10.3969/j.issn.1671-1122.2016.03.012

基于数据包回溯的软件定义网络中的故障排除

蒋宽(), 杨鹏

南京邮电大学,江苏南京210000

收稿日期:2015-12-15 出版日期:2016-03-25 发布日期:2020-05-13
作者简介:
作者简介: 蒋宽(1990--),男,山东,硕士研究生,主要研究方向为软件定义网络架构与安全应用;杨鹏(1993--),男,江苏,硕士研究生,主要研究方向为软件定义网络架构与安全应用.
基金资助:
国家自然科学基金[61272422]

Troubleshooting Based on Packet Traceback in Software-defined Networks

Kuan JIANG(), Peng YANG

Nangjing University of Posts and Telecommunications, Nanjing Jiangsu 210000, China

Received:2015-12-15 Online:2016-03-25 Published:2020-05-13

摘要/Abstract

摘要：

面对日益严重的网络安全问题,网络管理员主要使用解决特定问题的工具,如ping,traceroute,SNMP,tcpdump等,能否找到故障位置关键靠网络管理员的经验和能力.文章介绍了基于来源回溯的故障排除方案,并从数据包回溯角度完善了方案的不足.来源回溯适用于流规则冲突方面的检测,直接使用图论方法进行分析,得到错误原因,但是面对如规则丢失这类的问题,并没有很好的解决方案.文章提出一种基于数据包回溯的故障排除方案,能够有效检测流规则冲突和规则丢失这两类事件,扩大故障排除的范围,是对来源回溯方案的重要补充.通过程序构造特定源地址的数据包,按照逆向策略进行运算得到故障位置.整个回溯过程并不需要用户进行人为的干预,具有实时性和自动化的特点.

关键词: 软件定义网络, 来源回溯, 故障排除

Abstract:

With the increasingly numbers of serious problems of network security, network operators solve specific problems mainly use the tools such as ping, traceroute, SNMP, tcpdump and so on. Their experience and ability is crucial to find the position of the fault. This paper describes the troubleshooting way based on provenance traceback and improves it with packets traceback. Provenance traceback is used in detection of rule conflicts, which using graph theory to locate the root cause, but not used widely in the detection of rule loss. This paper presents a troubleshooting solution that based on packet traceback, which can effectively detect the rule conflicts and rules loss and expand the scope, which is an important complement to the provenance traceback. Constructing packets by specific source IP addresses, using back policy to get the fault location. The whole process does not require the user to back human intervention, with real-time and automated features.

Key words: software-defined networks, provenance traceback, troubleshooting

中图分类号:

TP309

蒋宽, 杨鹏. 基于数据包回溯的软件定义网络中的故障排除[J]. 信息网络安全, 2016, 16(3): 71-76.

Kuan JIANG, Peng YANG. Troubleshooting Based on Packet Traceback in Software-defined Networks[J]. Netinfo Security, 2016, 16(3): 71-76.

图/表 4

参考文献 6

[1]	GHEORGHE G, AVANESOV T, PALATTELLA M R, et al.SDN-RADAR: Network troubleshooting combining user experience and SDN Capabilities[C]//IEEE. Network Softwarization, 2015 1st IEEE Conference onSoftware-Defined Infrastructures (SDI) for Networks, Clouds and Services. IEEE, 2015:1-5.
[2]	卿斯汉.关键基础设施安全防护[J]. 信息网络安全,2015(2):1-6.
[3]	ZHANG H, REICH J, REXFORD. Packet Traceback for Software-defined Networks[R].Princeton:Princeton University, TR-978-15, 2015.
[4]	文伟平,郭荣华,孟正,等.信息安全风险评估关键技术研究与实现[J]. 信息网络安全,2015(2):7-14.
[5]	HANDIGOL N, HELLER B, JEYAKUMAR V, et al.I Know What Your Packet Did Last Hop: Using packet Histories to Troubleshoot Networks[C]//USENIX.11th USENIX Symposium on Networked Systems Design and Implementation, April 2-4, 2014,Seattle, WA, USA. Seattle:USENIX Association, 2014: 71-85.
[6]	王学强,雷灵光,王跃武. 移动互联网安全威胁研究[J]. 信息网络安全,2014(9):30-33.

[1]	周亚球, 任勇毛, 李琢, 周旭. 基于SDN的科学DMZ研究与实现[J]. 信息网络安全, 2019, 19(9): 134-138.
[2]	赖成喆, 王文娟. 面向车队的安全且具备隐私保护的移动性管理框架[J]. 信息网络安全, 2018, 18(7): 36-46.
[3]	石悦, 李相龙, 戴方芳. 一种基于属性基加密的增强型软件定义网络安全框架[J]. 信息网络安全, 2018, 18(1): 15-22.
[4]	李剑锋, 刘渊, 张浩, 王晓锋. 面向IaaS云平台的路由转发优化研究与实现[J]. 信息网络安全, 2017, 17(9): 10-15.
[5]	徐洋, 陈燚, 何锐, 谢晓尧. SDN中DDoS检测及多层防御方法研究[J]. 信息网络安全, 2017, 17(12): 22-28.
[6]	齐宇. SDN安全研究[J]. 信息网络安全, 2016, 16(9): 69-72.
[7]	陈颖聪, 陈广清, 陈智明, 万能. 面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J]. 信息网络安全, 2016, 16(7): 35-39.
[8]	武泽慧, 魏强. 基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法[J]. 信息网络安全, 2016, 16(12): 13-18.
[9]	王刚. 一种基于SDN技术的多区域安全云计算架构研究[J]. 信息网络安全, 2015, 15(9): 20-24.
[10]	周益周, 王斌, 谢小权. 云环境下软件定义入侵检测系统设计[J]. 信息网络安全, 2015, 15(9): 191-195.
[11]	左青云, 张海粟. 基于OpenFlow的SDN网络安全分析与研究[J]. 信息网络安全, 2015, 15(2): 26-32.
[12]	刘琦,陈云芳,张伟. 软件定义网络下状态防火墙的设计与实现[J]. 信息网络安全, 2015, 15(11): 47-52.
[13]	齐忠厚，谢旭东，张乃斌. 浅议SDN发展对网络安全的影响[J]. 信息网络安全, 2014, 14(9): 95-97.
[14]	郭春梅;张如辉;毕学尧. SDN网络技术及其安全性研究[J]. , 2012, 12(8): 0-0.

基于数据包回溯的软件定义网络中的故障排除

Troubleshooting Based on Packet Traceback in Software-defined Networks

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 6

相关文章 14

编辑推荐

Metrics

本文评价