1.一种基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,包括以下步骤:
步骤1,控制器收到溯源请求者提出的溯源请求,请求内容中包含溯源起点交换机在SDN中的DPID、要求溯源的IP数据包的样本集,以及相邻到达的被溯源数据包间的平均间隔时间;
步骤2,控制器将溯源起点交换机的DPID加入溯源交换机队列,并构建被溯源数据包特征集和探测流表项;
步骤3,设置溯源交换机队列中的队尾交换机为当前交换机;
步骤4,控制器向与当前交换机相邻的且不在溯源交换机队列的交换机添加探测流表项,重置计时器;
步骤5,控制器监听新添加的探测流表项的触发情况,所述触发情况即在添加了探测流表项的交换机上被溯源的数据包触发的Packet-in消息;
步骤6,若监听到相应的Packet-in消息,控制器查看发送该消息的交换机的流表,若流表中有转发被溯源数据包至当前交换机的流表项,控制器记录该Packet-in消息中的in_port值,并将发送该消息的交换机的DPID插入到溯源交换机队列尾部,即为前一跳交换机,删除下发的探测流表项,然后返回步骤3;若没监听到相应的Packet-in消息,继续等待直至计时器超时,然后进入步骤7;
步骤7,若计时器超时,最后加入溯源交换机队列的交换机就是被溯源数据包的入口交换机,该入口交换机记录的端口即最后记录的in_port值连接的主机就是发送被溯源数据包的源主机,溯源交换机队列中记录的交换机从队尾到队头,就是被溯源数据包依次经过的交换机。
2.根据权利要求1所述的基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,步骤1中所述的起点交换机为提出溯源请求的SDN主机所直接连接的被溯源数据包的来源交换机,或者是提出溯源请求的SDN交换机。
3.根据权利要求1所述的基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,步骤2所述构建被溯源数据包特征集,即根据溯源数据包的样本集构造特征集,构造方法是:在Openflow1.0中,称流表项匹配域的12元组为匹配项,若样本集中与匹配项对应的值是唯一的,该值作为特征集中的元素。
4.根据权利要求1所述的基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,步骤2所述探测流表项的匹配域是特征集,具有最高优先级,动作是发送Packet-in消息给控制器。
5.根据权利要求1所述的基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,步骤6所述相应的Packet-in消息,是指通过溯源数据包的特征集判断该Packet-in消息由被溯源数据包触发。
6.根据权利要求1所述的基于SDN的IP欺骗数据包的动态溯源方法,其特征在于,步骤6所述计时器超时,是指若计时器记录的时间超过溯源数据包间平均间隔时间的2倍,即为超时。