问软件定义网络中的未知单播洪泛攻击

EN

简单地说，这是软件定义的:-)

让我们解开你的问题。透明桥接网络中未知的Unicast是不知道目标MAC地址的。在透明的桥接中，我们淹没了所有的接口。该地址将到达感兴趣的MAC地址(假设它存在)，当计算机响应时，我们将在以太网帧的源地址中看到该MAC地址，并可以记录所看到的端口。

重要的是，未知的Unicast MAC地址需要在交换机的TCAM中输入一个条目。

一种未知的单播攻击是，当我们发送如此多前所未见的MAC地址时，交换机的TCAM中未知的Unicast部分充满了这些垃圾地址，而当TCAM淘汰出真正的MAC地址时，那些真正的MAC地址正在与恢复的几率作斗争。

当然，我们可以在一个转变中对此采取措施。例如，选择TCAM中建立的MAC地址条目。

现在，如果我们使用SDN来实现透明的以太网桥接，那么问题仍然存在。控制器仍然有一个MAC地址表，我们正在用大量的垃圾(匹配，动作)规则填充OpenFlow开关。此外，从交换机到控制器的OpenFlow通信量以及(匹配、操作)规则的变化速度可能会开始成为一个问题。

但是我们不必使用SDN来实现透明的以太网桥接。我们可以在不使用相同机制的情况下实现具有相同效果的东西。作为一个非常简单的例子，配置系统可以用每个MAC地址的位置来配置SDN控制器。然后根本就没有未知的Unicast处理，因为所有未知的Unicast都是无效的，并且可以立即删除。或者我们可以完全取消MAC地址，只需将IP地址的较低字节配置到以太网接口的MAC地址中。SDN控制器应用程序将基本路由，没有ARP。

或者，为了解决一个广域问题，如果我们正在提供城域以太网服务，那么我们可以简单地将接收到的数据包封装在面向A端的接口上，使用我们自己的MAC地址将其通过我们的网络传送到面向B端的客户端接口，并传输数据包。根本不调查客户的MAC地址。您可以看到，这种方法也可以在数据中心联网中使用，并且有各种各样的“隧道化”方案。这种隧道意味着无论主机声称其MAC地址是无关的，网络都使用它自己的地址，而主机不能影响它。所以未知的单播攻击是没有意义的。

最后，一个重要的实际考虑是SDN控制器可以嘲笑ISO的分层。如果有人正在进行攻击，并且可以从上层(例如，通过入侵检测系统)检测到该攻击，那么可以告诉OpenFlow控制器阻止这类流被交换。正是这些“整体网络协同效应”使得SDN比简单地重新实现透明以太网桥接更有趣。到目前为止，利益的协同作用一直是数据中心的提供，但在互联网网络中显然还有很多未开发的范围。