[发明专利]一种基于SDN的IP欺骗数据包的动态溯源方法

摘要

本发明提供了一种基于SDN的IP欺骗数据包的动态溯源方法，步骤为：在软件定义网络(SDN)框架下通过控制器向网络中相关的SDN交换机中添加探测流表项；探测流表项与被溯源数据包匹配，具有最高优先级，动作是发送Packet‑in消息给控制器；当被溯源数据包到达添加了探测流表项的交换机时，该交换机会向控制器发送Packet‑in消息，控制器通过该消息得知被溯源数据包经过该交换机。本发明解决了由于SDN交换机中流表项的匹配精度不高，无法仅通过流表项准确推测出发送数据包的源主机或入口交换机的问题，且不会影响网络中其它的正常数据流的转发。

主权项

1.一种基于SDN的IP欺骗数据包的动态溯源方法，其特征在于，包括以下步骤：步骤1，控制器收到溯源请求者提出的溯源请求，请求内容中包含溯源起点交换机在SDN中的DPID、要求溯源的IP数据包的样本集，以及相邻到达的被溯源数据包间的平均间隔时间；步骤2，控制器将溯源起点交换机的DPID加入溯源交换机队列，并构建被溯源数据包特征集和探测流表项；步骤3，设置溯源交换机队列中的队尾交换机为当前交换机；步骤4，控制器向与当前交换机相邻的且不在溯源交换机队列的交换机添加探测流表项，重置计时器；步骤5，控制器监听新添加的探测流表项的触发情况，所述触发情况即在添加了探测流表项的交换机上被溯源的数据包触发的Packet‑in消息；步骤6，若监听到相应的Packet‑in消息，控制器查看发送该消息的交换机的流表，若流表中有转发被溯源数据包至当前交换机的流表项，控制器记录该Packet‑in消息中的in_port值，并将发送该消息的交换机的DPID插入到溯源交换机队列尾部，即为前一跳交换机，删除下发的探测流表项，然后返回步骤3；若没监听到相应的Packet‑in消息，继续等待直至计时器超时，然后进入步骤7；步骤7，若计时器超时，最后加入溯源交换机队列的交换机就是被溯源数据包的入口交换机，该入口交换机记录的端口即最后记录的in_port值连接的主机就是发送被溯源数据包的源主机，溯源交换机队列中记录的交换机从队尾到队头，就是被溯源数据包依次经过的交换机。