基于軟件定義網絡的反嗅探攻擊方法

張傳浩，谷學匯，孟彩霞

(鐵道警察學院 圖像與網絡偵查系，鄭州 450053)(*通信作者電子郵箱zhangchuanhao@rpc.edu.cn)

0 引言

網絡嗅探是一種捕獲網絡通信數據并進行分析的攻擊手段。攻擊者能夠在網絡拓撲的某些節點或者鏈路上竊聽通信數據、監視網絡狀態、竊取用戶賬號密碼等敏感數據。傳統網絡靜態的網絡配置，如通信端信息配置、路由配置等給網絡嗅探攻擊提供了便利，穩定的路由配置和靜態的端信息便于攻擊者獲取通信數據以及對數據進行分析。網絡嗅探在攻擊時的靜默特點使得防御方無法獲取攻擊特征，從而防御難度較大。通信加密是防御網絡嗅探的傳統方法，將通信數據加密傳輸，使得嗅探攻擊者難以破解通信內容，然而該方法在實際應用中存在一些局限性：首先，通信加密需要通信雙方都支持加密協議，否則通信無法正常進行；其次，一些已經被廣泛應用的協議本身并沒有采用加密手段，如HTTP(HyperText Transfer Protocol)、 FTP(File Transfer Protocol)、Telent和SMTP(Simple Mail Transfer Protocol)等，這給基于這些協議的通信造成嚴重的安全隱患；再者，一些加密協議存在著安全缺陷，攻擊者可通過靜態的網絡配置獲取完整的通信數據，并利用這些缺陷破解通信數據。

另一種防御嗅探攻擊的思路是從網絡數據獲取完整性入手，采用移動目標防御(Moving Target Defense, MTD)[1-2]思想，在通信中引入周期路徑跳變機制，利用多個不同的路徑傳輸通信數據，并在網絡中將多個用戶的數據混雜，使得攻擊者“難以收集全，難以分離好”各個用戶的數據，增加攻擊者準確獲取數據的難度，提高網絡抵抗嗅探攻擊的能力。

1 相關工作

跳變通信是基于移動目標防御(MTD)的動態性、隨機性思想的一類主動網絡防御方法，旨在打破攻擊者對網絡靜態配置的假設，變被動防御為主動防御。早在軟件定義網絡(Software Defined Network, SDN)[3]出現之前，就有利用跳變技術進行安全傳輸的相關研究，主要包括通信地址跳變與路徑跳變。

地址跳變又可以劃分為通信端口跳變與網絡地址跳變：Atighetchi等[4]提出了一種虛假的端口地址跳變方法，在數據傳輸中使用偽地址和端口迷惑攻擊者；Sifalakis等[5]提出了一種基于地址跳變的信息隱藏技術，通過網絡地址跳變將數據流分散到多個端到端的連接進行傳播，提高點到點數據傳輸的安全性；Dunlop等[6]提出MT6D(Moving Target IPv6 Defense)，利用地址空間巨大的IPv6實現了魯棒的IP跳變策略，該方法采用隧道技術將數據包封裝，反復變換隧道源和目的IP地址，使攻擊者難以嗅探到完整的通信流量。受限于分布式網絡的控制方式，端口跳變一直存在協同難、規模受限的問題，上述方法實現跳變通信均需要在終端部署軟件或在網絡中增加硬件設備，這使得跳變通信難以部署; 并且這些方法僅對端信息進行跳變，而網絡中的路由/路徑不變，攻擊者容易在關鍵節點上獲得完整的通信數據。

路徑跳變技術則是隨著SDN技術的發展而逐漸被關注，在傳統網絡中，分布式管理的路由協議使得通信路徑難以快速協同跳變，而SDN技術的集中化網絡管理方式為路徑跳變的系統協同提供了支撐。路徑跳變研究主要包含路徑隨機跳變[7]和多路徑隨機選擇[8]兩類：路徑隨機跳變是預先獲取所有符合要求的節點，構建跳變節點集合，從中隨機選取下一跳節點進行數據轉發的跳變技術。多路徑隨機選擇是預先獲得盡可能多的中間節點不重復的路徑，構建跳變路徑集合，從而在每次跳變時隨機選取不同轉發路徑的跳變技術；在SDN架構下，Jafarian等[9]提出了靈活的、對終端透明的IP跳變方法OF-RHM(OpenFlow Random Host Mutation)，該方法實現了終端透明的節點IP地址跳變，降低了掃描攻擊的有效性，但該方法需要在一次連續通信中保持虛擬IP不變，攻擊者容易在一臺交換機上獲取某次通信的全部數據； Duan等[8]基于SDN框架，提出一種動態隨機路徑突變方法(Random Route Mutation, RRM)，多條數據流的路徑能夠同時進行隨機變化，但這種方法需要在源/目的地址間預先保留多條冗余的路徑，在實際條件下滿足該需求造成的網絡拓撲代價較大。

本文工作是在項目組之前提出一種基于SDN的節點/路徑雙重跳變通信(Double Hopping Communication, DHC)機制[10]基礎上進行的改進，DHC方法實現了終端和路徑在有限網絡規模下終端IP地址與通信路徑的跳變。本文將主要關注路徑跳變，在DHC方法基礎上提出一種改進的路徑跳變機制。

2 問題定義

2.1 基本準則

計算機網絡通信就是在源節點和目的節點之間建立一條滿足所有約束的通信鏈路。由于網絡拓撲的物理條件限制，這條鏈路(或者稱為路徑)一般將通過一個或者多個特定的節點，這些特定節點擁有較高的節點度，能夠滿足網絡嗅探攻擊利益最大化需求，所以，網絡嗅探攻擊就是要找到并攻陷網絡通信路徑上節點度較高的節點，實現嗅探攻擊的部署。

在現有的靜態配置網絡通信中，通信雙方在建立連接后，所有數據包在通信過程中均不改變通信鏈路信息，這一特點容易被攻擊者利用，在傳輸路徑上捕獲目標節點從而獲取全部或者大量通信數據。本文從網絡通信的實際應用情況出發，在SDN框架下提出一種動態路徑跳變(Dynamic Path Hopping, DPH)機制用以應對攻擊者完全靜默狀態下的網絡嗅探攻擊。在該DPH中，通信雙方建立的路徑能夠周期性遷移，增強了通信的不可預測性，同時考慮數據傳輸可靠性。DPH在宏觀上將一次通信過程建立在多條通信信道上，即便不同于無線通信的多徑傳輸協議，也能夠倍增在單點進行竊聽攻擊的難度。DPH機制在通信初始態的路徑由運行在SDN控制器上的傳統的IP路由協議建立和維持，控制器上DPH模塊對路徑通過的節點進行識別，并按照計算實施動態路徑遷移。路徑遷移空間和遷移通信協議是DPH的兩個關鍵子模塊。

2.2 路徑遷移機制相關定義

1)路徑最大距離約束。主機H1與H2間的所有非環路路徑長度均小于該依據該網絡拓撲構建的路徑集合PathSetH1→H2中的最大路徑長度L。

網絡可以使用無向圖模型G=〈V,E〉來描述，其中V表示節點，而E表示節點間的連接或邊。節點度N是指和該節點相關聯的邊的條數，又稱關聯度。可以將路徑選擇條件形式化定義為路徑權重，作為選擇該路徑的概率。定義路徑權重表達式為:

Weight(Pathk) =

(1)

考慮到Pathi權重分布得不均衡，如果僅考慮空間擾動，導致部分具有較大權重的路徑被選中的可能性比較大，而攻擊者可能在探測到某些關鍵路徑后，在該路徑上通過串并接、攻擊路徑節點等方式部署了嗅探探針，而這些路徑Pathi在連續的跳變周期中如果被重復選中就增加了被竊聽探針捕獲的數據量，造成防御機制失效。本文為Pathi設定一個隨機計數器β，規定Pathi最近兩次被選中為傳輸路徑的間隔周期；用tPathi表示當前Pathi被選中的迭代周期，則(t+1)-tPathi>β成為Pathi被再次選擇為傳輸路徑的必要條件(t為遞增變量，表示跳變周期)。設bi是一個布爾變量，則時間繞動表達式為(2)所示，如果bi為真，則表示Pathi當前滿足時間擾動約束，可以作為待選路徑。從全局角度看，這使得各個路徑被選中為跳變路徑的概率均勻，增加了攻擊者對跳變路徑的預測難度。

(2)

通過定義上述1)～3)約束條件，兩個特定網絡節點的大部分通信流量都經過某個單獨節點(除了源/目的節點)的概率大大降低。

3 DPH的體系結構與實現流程

3.1 跳變路徑選擇算法

算法1 WRPIS算法。

1)

WeightRamdomPathInterleavedSelect((Path1,Path2,…,Pathn),(b1,b2,…,bn),(w1,w2,…,wn),(tPath1,tPath2,…,tPathn),t,RP,β)

2)

sum = 0

3)

foriin (1,2,…,n)

4)

if (bi==true) and ((t+1)-tPathi>β)

5)

//時間擾動約束

6)

new_sum=sum+wi

7)

ifsum

8)

//空間擾動約束

9)

tPathi=t

10)

returntPathi，Pathi

11)

elsesum=new_sum

12)

endif

13)

else

14)

continue

15)

endif

16)

endfor

3.2 通信路徑配置流程

在軟件定義網絡體系機構下，所有交換節點(OF switch)的轉發表(Route table)都統一由控制器(Controller)配置。依據DPH的運行機制，每次跳變迭代周期在源目的通信節點間都會產生新的路徑，網絡控制器則根據系統選擇的路徑信息動態更新交換節點的流表項(Flow Entry)。

圖1 通信配置流程實例

鏈路上節點轉發配置步驟如下所示：

1)由H1初始化通信鏈路的端節點信息為EI=(IP1,P1,IP2,P2)，其中P1和P2分別對應Port1和Port2，這時通信鏈路的端節點信息在整個網絡中就被確定了。第一個含有端節點信息EI的包由H1送到數據鏈路中，鏈路交換節點(OF swtich)S1收到使用OpenFlow協議[11]將該包封裝為PACKET-IN消息，送到控制器中，如圖1中虛線①所示。

3)滿足路徑跳轉間隔時間后，控制器根據WRPIS算法及時間擾動約束的約定，計算并選擇一條新的路徑Path2(S1?S4?S5?S3)，下發對應的流表表項到交換機(S1,S4,S5,S3)，配置路徑為圖1中虛線③所示。這時新老路徑配置信息更新過程完成。

3.3 通信數據遷移流程

完成通信路徑配置后，還要對通信數據流進行遷移，數據流遷移不應影響當前源/目的節點的通信，即新路徑上交換節點中的數據轉發流表項應能保證當前的通信過程不中斷，兩個端節點間的并發數據流可能不止一條，這需要控制器能夠感知當前處于空閑狀態的流表項(還未老化)并將其遷移到新路徑對應的交換節點上，同時保持正處于數據包命中(Hit標志)狀態的流表項不變，待其完成數據傳輸后再進行遷移，從而確保不發生丟包現象。該機制在其他軟件定義網絡的可靠性相關研究中有進展[12-13]，這里只對空閑表項的遷移進行描述。

圖2展示了一次路徑跳變中數據表項遷移的過程。端節點H1與端節點H2之間在路徑(H1,S1,S2,S3,H2)上進行通信。假設路徑跳變由(H1,S1,S2,S3,H2)向(H1,S1,S4,S5,S3,H2)，數據流遷移步驟如下：

1)在通信初始化階段，控制器在(S1,S2,S3)安裝對應的轉發表項，同時，根據通信路徑配置流程，在新的路徑(S1,S4,S5,S3)上也安裝了對應轉發表項。此時S1和S3有兩條對應含有EI包頭信息的流表項，可以通過設置表項優先級實現對實際生效轉發路徑的控制。

2)修改S1和S3中的表項優先級，將數據包轉發到節點交換機新端口，即在S1上修改為把含EI信息的數據包路徑從①改到②，同理，反向在S3上修改為把含EI信息的數據包路徑從③改到④。注意這里S1和S3的角色在跳變中與路徑上其他節點不一樣，類似于交換網絡中的網關(Gateway)或路徑切換的邊緣節點(Edge node)，根據流表項的變化修改發往新路徑的數據包二層封裝信息。需要說明的是，對S1和S3中流表項的修改，對同一通信過程的后續包傳輸過程會引入一定的包亂序現象，但在一定程度上都能夠被網絡上層協議進行糾正。

3)在最大延遲時間(可以在路徑跳變機制中定義)后刪除在原路徑(S1,S2,S3)中對應的表項信息，或待其自動老化。

圖2 通信數據遷移示意圖

由上述通信數據遷移方法描述可知，該機制能夠避免路徑更新期間的數據包丟失。

4 實驗仿真

4.1 實驗環境

實驗環境是在Mininet[14]中創建了一個由16個支持OpenFlow1.0協議交換機(內核是Open vSwitch)組成的網絡，網絡的路由信息由控制器POX[15](圖中C0)進行管理，網絡拓撲采用文獻[16]中的拓撲結構，其中通信主機節點為H1和H2,設定最長轉發路徑L為32，即最多通過32個交換機，如圖3所示。

圖3 實驗環境配置截圖

4.2 路徑跳變有效性評估

實驗采用總量為100 MB大小含多條數據流的UDP(User Datagram Protocol)數據包，以104包/秒的速率從主機H5發往主機H6，路徑跳變周期Thop為5 s。同時，使用SDN交換節點統計功能，統計途徑該節點的數據包數量。實驗使用僅考慮權重的路徑選擇方法與依據WRPIS算法的路徑選擇方法進行對比，同時與依據OSPF(Open Shortest Path First)路由信息的建立的傳統網絡通信方式進行比較。傳輸節點轉發包分布比較結果如圖4所示。

圖4 不同路徑選擇方法的節點轉發包比例

在傳統依據路由信息建立的靜態網絡中，在某些節點(如節點S7、S11和S12)上可以嗅探到源到目的主機節點間的所有通信數據，原因就是傳統路由協議(例如OSPF)主要考慮傳輸效率，而且建立好的路徑在鏈路沒有中斷的情況下一般不發生變化，導致嗅探攻擊成功率很高。同時，在動態路徑跳變條件下，僅考慮權重的路徑選擇方法會導致部分權重較大(依據2.2節權重定義，權重較大節點的節點度較低)節點所在鏈路被選中的概率較大，如圖4所示，有超過50%的數據包傳輸途徑節點S4、S8和S12，仍有被攻擊者從這些節點獲取較大量通信數據的風險。依據WRPIS算法的路徑選擇則通過跳變時間約束進一步將單個流的數據包在多條路徑上相對均勻分布，避免攻擊者的字典攻擊方式，增加了攻擊成本。

4.3 反嗅探攻擊有效性評估

實驗從節點1向節點16發送單條數據流，大小為100 MB數據，持續500 s，路徑跳變周期Thop仍為5 s，模擬攻擊者分別在節點集合N1={S6}，N2={S4,S6}，N3={S4,S6,S11},N4={S4,S6,S11,S12}上進行數據嗅探，節點集合選擇的依據在4.2節路徑跳變有效性評估中，S4、S6、S11、S12的節點度和收發包總量都比較大的，容易成為攻擊者作為嗅探攻擊的目標。傳統路由協議條件下，節點S5到節點S16的最短路徑為S5→S6→S11→S12→S16，圖5為N1、N2、N3、N4四個節點集合所監聽到的通信數據量。

圖5 不同路徑選擇方法在不同嗅探范圍下監測數據比較

如圖5所示，在傳統網絡中，監聽節點集合N1、N2、N3、N4都能夠獲取到全部通信數據，其原因是N1、N2、N3、N4集合都在最短路徑上有一個節點S6，在該節點能監聽到通信的全部數據。然而在DPH跳變通信中，由于采用了路徑跳變，監聽節點集合N1、N2、N3都不能獲取到全部通信數據。同時，N4節點集合下， 由于WRPIS加入路徑選擇時間間隔約束，使得單數據流傳輸在多條路徑下更為均衡，在最大程度上防御攻擊者在一定攻擊成本的條件下嗅探到全部數據。

4.4 性能評估

在對DPH機制的性能的評估實驗中，設置實驗網絡拓撲中的所有連接的鏈路速率為10 MB/s，跳變間隔為5 s。使用FTP在源/目的主機節點(H1和H2)間傳輸文件, 在無丟包的情況下測試傳輸時延。實驗結果顯示，與傳統路由協議網絡相比，使用WRPIS算法的路徑跳變未引入較大的時延，結果如圖6所示。可以看出，隨著傳輸數據量(體現在FTP傳輸文件的大小)的增加，動態路徑跳變網絡的時延比傳統路由協議網絡稍大，原因是路徑跳變會引入一定的路徑切換及控制開銷，而且路徑跳變往往不遵循傳統的最短路徑原則，但在實驗環境下，增加的時延都不超過10%。

圖6 傳統路由選擇與動態路徑跳變時延對比

5 結語

SDN的集中控制和可編程特點使得在一定范圍的網絡內部可以實現跳變通信。本文使用一種基于SDN的動態路徑跳變方案DPH，DPH使用WRPIS算法周期性地改變通信源/目的主機間的傳輸路徑，增加了嗅探攻擊者得到完整通信數據的難度。實驗表明該方案能夠有效抵御網絡嗅探攻擊，且不會中斷正在進行的通信，引入的開銷較小。此外，DPH完全依靠軟件實現，開銷較低且對終端完全透明。下一步工作將在真實網絡中測試DPH通信方案，擬從OSPF協議狀態機層面引入跳變機制，從而能更加適配當前的網絡協議體系。