一種檢測交換機信息泄露的方法及裝置制造方法及圖紙

本發明專利技術公開了一種檢測交換機信息泄露的方法和裝置，該方法包括：獲取目標交換機的流表項的Hard-Timeout和Idle-Timeout；根據Hard-Timeout和Idle-Timeout向目標交換機的流表中插入測試流表項，并記錄每個測試流表項插入流表的RTT；根據各個測試流表項插入流表的RTT和插入的測試流表項的狀態，確定目標交換機的流表容量的測量值N1，或者測試流表項插入之前所述流表已有的流表項數量的測量值N2；當N1與目標交換機的標配參數中的流表容量的差值在預設范圍內，或者N2與目標交換機的標配參數中的用戶占用的流表項數量的差值在預設范圍內時，確定目標交換機存在信息泄露的漏洞。采用本發明專利技術能夠提高交換機信息的保密性，增強網絡的安全。

【技術實現步驟摘要】

本專利技術涉及通訊
，尤其涉及一種檢測交換機信息泄露的方法及裝置。
技術介紹
軟件定義網絡(Software-DefinedNetwork，SDN)是一種新型網絡架構，通過將各個網絡設備的控制功能從物理設備中抽取出來，形成邏輯上集中的控制器，全網流量由控制器統一管理。控制器確定所有轉發節點的流表(flowtable)，并通過OpenFlow(即SDN網絡中用于控制器與交換機之間通信的標準協議)等協議向交換機(即OpenFlow交換機)發送與該交換機對應的流表。交換機的硬件參數是數據中心一項重要參數，該硬件參數一旦泄露，將會成為攻擊者對目標網絡進行攻擊的重要信息，對數據中心的安全造成威脅。為了防止該硬件參數泄露，SDN網絡需要預先對硬件參數是否可能存在泄露進行檢測。現有技術中的有一種測試SDN攻擊的方法，該方法包括：測試方獲取待測試的SDN中對外提供服務的服務器的IP(InternetProtocol，互聯網協議)地址，以及該服務器提供服務的端口號；測試方根據服務器的IP地址以及服務器提供服務的端口號構造第一測試報文和第二測試報文，并將第一測試報文及第二測試報文先后發送給服務器；當測試方沒有收到所述服務器對第二測試報文的應答時，等待一隨機時間段再將第二測試報文發送給服務器。該測試方法能夠在SDN網絡難以察覺到異常的境況下，持續不斷的通過刷新流表中的攻擊類流表項進行網絡攻擊測試，使得交換機的攻擊類流表項一直處于合法的生存周期內，不能被刪除，從而不能接收新的合法的流表項，導致交換機不能進行正常的數據轉發工作。從上可知，上述現有技術雖然能夠實現對于目標SDN網絡的交換機流表溢出攻擊的測試，但是該種攻擊測試僅僅可以使得交換機的攻擊類流表項一直處于合法的生存周期內，不能被刪除，對于構建安全可靠的SDN數據中心網絡應用價值較為有限。
技術實現思路
本專利技術實施例提供一種檢測交換機信息泄露的方法及裝置，可對交換機信息泄露的漏洞進行檢測，提高交換機信息的保密性，增強網絡安全性。本專利技術實施例第一方面提供了一種檢測交換機信息泄露的方法，所述方法包括：獲取目標交換機的流表項的硬件老化時間Hard-Timeout和軟件老化時間Idle-Timeout，其中，所述Hard-Timeout為所述流表項在流表中存儲的時長，所述Idle-Timeout為所述流表項最后一次被數據包匹配的時間點至所述流表項被刪除的時間點之間的時長；根據所述Hard-Timeout和所述Idle-Timeout向所述目標交換機的流表中插入測試流表項，并記錄每個所述測試流表項插入所述流表的往返時延RTT；根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，或者確定測試流表項插入之前所述流表已有的流表項數量的測量值N2；當所述N1與所述目標交換機的標準配置參數中的流表容量的差值在第一預設范圍內，或者所述N2與所述目標交換機的標識配置參數中的用戶占用的流表項數量的差值在第二預設范圍內時，確定所述目標交換機存在信息泄露的漏洞。結合第一方面，在第一種可能的實現方式中，所述獲取目標交換機的流表項的Hard-Timeout和Idle-Timeout，包括：按照第一時間間隔向所述目標交換機發送第一測試數據包，并根據獲取到的所述第一測試數據包的RTT確定所述目標交換機的流表項的Hard-Timeout；按照第二時間間隔向所述目標交換機發送第二測試數據包，根據獲取到的所述第二測試數據包的RTT調整發送所述第二測試數據包的時間間隔，并根據調整后的時間間隔發送的所述第二測試數據包的RTT確定所述目標交換機的流表項的Idle-Timeout。結合第一方面第一種可能的實現方式，在第二種可能的實現方式中，所述按照第一時間間隔向所述目標交換機發送第一測試數據包，并根據獲取到的所述第一測試數據包的RTT確定所述目標交換機的流表項的Hard-Timeout，包括：在第一時間節點發送所述第一測試數據包給目標交換機，并將本次發送的所述第一測試數據包的RTT記錄為T1；在第二時間節點上向所述目標交換機發送所述第一測試數據包，所述第二時間節點和所述第一時間節點的時間間隔為所述第一時間間隔；當所述第二時間節點發送的所述第一測試數據包的RTT小于T1時，將本次發送的所述第一測試數據包的RTT記錄為T0，并根據所述第一時間間隔繼續向所述目標交換機發送所述第一測試數據包，獲取每次向所述目標交換機發送的每個所述第一測試數據包的RTT；當第N次發送給所述目標交換機的所述第一測試數據包的RTT恢復為T1時，計算所述第N次發送所述第一測試數據包給所述目標交換機的時間節點與所述第一時間節點的目標時間間隔，并將所述目標時間間隔確定為所述目標交換機的流表項的Hard-Timeout；其中，所述T1大于所述T0，所述N為自然數。結合第一方面第一種可能的實現方式或第一方面第二種可能的實現方式，在第三種可能的實現方式中，所述按照第二時間間隔向所述目標交換機發送第二測試數據包，根據獲取到的所述第二測試數據包的RTT調整發送所述第二測試數據包的時間間隔，包括：在第三時間節點發送所述第二測試數據包給目標交換機，并將本次發送的所述第二測試數據包的RTT記錄為T11；在第四時間節點上向所述目標交換機發送所述第二測試數據包，所述第四時間節點和所述第三時間節點的時間間隔為所述第二時間間隔；當所述第四時間節點發送的所述第二測試數據包的RTT小于T11時，將本次發送的所述第二測試數據包的RTT記錄為T01，并加大向所述目標交換機發送所述第二測試數據的時間間隔，以按照調整后的時間間隔繼續向所述目標交換機發送所述第二測試數據包。結合第一方面第三種可能的實現方式，在第四種可能的實現方式中，所述根據調整后的時間間隔發送的所述第二測試數據包的RTT確定所述目標交換機的流表項的Idle-Timeout，包括：根據調整后的時間間隔發送所述第二測試數據包給所述目標交換機；當所述第二測試數據包的RTT從小于T11恢復為T11時，將本次向所述目標交換機發送所述第二測試數據包的時間間隔確定為第三時間間隔，并將所述第三時間間隔確定為所述目標交換機的流表項的Idle-Timeout。結合第一方面至第一方面第四種可能的實現方式中任一種，在第五種可能的實現方式中，所述根據所述Hard-Timeout和所述Idle-Timeout向所述目標交換機的流表中插入測試流表項，包括：根據所述Hard-Timeout和所述Idle-Timeout，確定將測試流表項插入所述流表的插入時間間隔；按照所述插入時間間隔生成用于插入所述目標交換機的流表的測試流表項，并將所述測試流表項插入所述目標交換機的流表中。結合第一方面至第一方面第五種可能的實現方式中任一種，在第六種可能的實現方式中，所述插入的所述測試流表項的狀態包括：所述測試流表項在所述流表中的存活狀態，和所述測試流表項的數量；所述根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，包括：將每一個所述測試流表項的RTT與時延值T12進行匹配，當獲取得到插入所述流表的某個測試流表項的RTT大于本文檔來自技高網...

【技術保護點】
一種檢測交換機信息泄露的方法，其特征在于，包括：獲取目標交換機的流表項的硬件老化時間Hard?Timeout和軟件老化時間Idle?Timeout，其中，所述Hard?Timeout為所述流表項在流表中存儲的時長，所述Idle?Timeout為所述流表項最后一次被數據包匹配的時間點至所述流表項被刪除的時間點之間的時長；根據所述Hard?Timeout和所述Idle?Timeout向所述目標交換機的流表中插入測試流表項，并記錄每個所述測試流表項插入所述流表的往返時延RTT；根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，或者確定測試流表項插入之前所述流表已有的流表項數量的測量值N2；當所述N1與所述目標交換機的標準配置參數中的流表容量的差值在第一預設范圍內，或者所述N2與所述目標交換機的標識配置參數中的用戶占用的流表項數量的差值在第二預設范圍內時，確定所述目標交換機存在信息泄露的漏洞。

【技術特征摘要】
1.一種檢測交換機信息泄露的方法，其特征在于，包括：獲取目標交換機的流表項的硬件老化時間Hard-Timeout和軟件老化時間Idle-Timeout，其中，所述Hard-Timeout為所述流表項在流表中存儲的時長，所述Idle-Timeout為所述流表項最后一次被數據包匹配的時間點至所述流表項被刪除的時間點之間的時長；根據所述Hard-Timeout和所述Idle-Timeout向所述目標交換機的流表中插入測試流表項，并記錄每個所述測試流表項插入所述流表的往返時延RTT；根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，或者確定測試流表項插入之前所述流表已有的流表項數量的測量值N2；當所述N1與所述目標交換機的標準配置參數中的流表容量的差值在第一預設范圍內，或者所述N2與所述目標交換機的標識配置參數中的用戶占用的流表項數量的差值在第二預設范圍內時，確定所述目標交換機存在信息泄露的漏洞。2.如權利要求1所述的方法，其特征在于，所述獲取目標交換機的流表項的Hard-Timeout和Idle-Timeout，包括：按照第一時間間隔向所述目標交換機發送第一測試數據包，并根據獲取到的所述第一測試數據包的RTT確定所述目標交換機的流表項的Hard-Timeout；按照第二時間間隔向所述目標交換機發送第二測試數據包，根據獲取到的所述第二測試數據包的RTT調整發送所述第二測試數據包的時間間隔，并根據調整后的時間間隔發送的所述第二測試數據包的RTT確定所述目標交換機的流表項的Idle-Timeout。3.如權利要求2所述的方法，其特征在于，所述按照第一時間間隔向所述目標交換機發送第一測試數據包，并根據獲取到的所述第一測試數據包的RTT確定所述目標交換機的流表項的Hard-Timeout，包括：在第一時間節點發送所述第一測試數據包給目標交換機，并將本次發送的
\t所述第一測試數據包的RTT記錄為T1；在第二時間節點上向所述目標交換機發送所述第一測試數據包，所述第二時間節點和所述第一時間節點的時間間隔為所述第一時間間隔；當所述第二時間節點發送的所述第一測試數據包的RTT小于T1時，將本次發送的所述第一測試數據包的RTT記錄為T0，并根據所述第一時間間隔繼續向所述目標交換機發送所述第一測試數據包，獲取每次向所述目標交換機發送的每個所述第一測試數據包的RTT；當第N次發送給所述目標交換機的所述第一測試數據包的RTT恢復為T1時，計算所述第N次發送所述第一測試數據包給所述目標交換機的時間節點與所述第一時間節點的目標時間間隔，并將所述目標時間間隔確定為所述目標交換機的流表項的Hard-Timeout；其中，所述T1大于所述T0，所述N為自然數。4.如權利要求2或3所述的方法，其特征在于，所述按照第二時間間隔向所述目標交換機發送第二測試數據包，根據獲取到的所述第二測試數據包的RTT調整發送所述第二測試數據包的時間間隔，包括：在第三時間節點發送所述第二測試數據包給目標交換機，并將本次發送的所述第二測試數據包的RTT記錄為T11；在第四時間節點上向所述目標交換機發送所述第二測試數據包，所述第四時間節點和所述第三時間節點的時間間隔為所述第二時間間隔；當所述第四時間節點發送的所述第二測試數據包的RTT小于T11時，將本次發送的所述第二測試數據包的RTT記錄為T01，并加大向所述目標交換機發送所述第二測試數據的時間間隔，以按照調整后的時間間隔繼續向所述目標交換機發送所述第二測試數據包。5.如權利要求4所述的方法，其特征在于，所述根據調整后的時間間隔發送的所述第二測試數據包的RTT確定所述目標交換機的流表項的Idle-Timeout，包括：根據調整后的時間間隔發送所述第二測試數據包給所述目標交換機；當所述第二測試數據包的RTT從小于T11恢復為T11時，將本次向所述目
\t標交換機發送所述第二測試數據包的時間間隔確定為第三時間間隔，并將所述第三時間間隔確定為所述目標交換機的流表項的Idle-Timeout。6.如權利要求1-5任一項所述的方法，其特征在于，所述根據所述Hard-Timeout和所述Idle-Timeout向所述目標交換機的流表中插入測試流表項，包括：根據所述Hard-Timeout和所述Idle-Timeout，確定將測試流表項插入所述流表的插入時間間隔；按照所述插入時間間隔生成用于插入所述目標交換機的流表的測試流表項，并將所述測試流表項插入所述目標交換機的流表中。7.如權利要求1-6任一項所述的方法，其特征在于，所述插入的所述測試流表項的狀態包括：所述測試流表項在所述流表中的存活狀態，和所述測試流表項的數量；所述根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，包括：將每一個所述測試流表項的RTT與時延值T12進行匹配，當獲取得到插入所述流表的某個測試流表項的RTT大于或者等于所述T12時，確定所述流表已滿，并記錄已插入所述流表的測試流表項的數量M1；記錄所述M1個測試流表項插入所述流表之后繼續插入所述流表的測試流表項的數量，并檢測所述M1個所述測試流表項在所述流表中的存活狀態；當檢測得到所述M1個測試流表項中第一個插入所述流表的目標測試流表項已從所述流表中刪除時，將當前已插入所述流表的測試流表項的總數量M2確定為所述目標交換機的流表容量的測量值N1。8.如權利要求1-6任一項所述的方法，其特征在于，所述插入的所述測試流表項的狀態包括：所述測試流表項在所述流表中的存活狀態，和所述測試流表項的數量；所述根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定測試流表項插入之前所述流表已有的流表項數量的測量值N2，
\t包括：將每一個所述測試流表項的RTT與時延值T12進行匹配，當獲取得到插入所述流表的某個測試流表項的RTT大于或者等于所述T12時，確定所述流表已滿，并記錄已插入所述流表的測試流表項的數量M1；記錄所述M1個測試流表項插入所述流表之后繼續插入所述流表的測試流表項的數量，并檢測所述M1個所述測試流表項在所述流表中的存活狀態；當檢測得到所述M1個測試流表項中第一個插入所述流表的目標測試流表項已從所述流表中刪除時，記錄當前已插入所述流表的測試流表項的總數量M2，并將所述M2與所述M1的數量差標記為所述流表已有的流表項數量的測量值N2。9.如權利要求1-6任一項所述的方法，其特征在于，所述插入的所述測試流表項的狀態包括：所述測試流表項在所述流表中的存活狀態，和所述測試流表項的數量；所述根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定所述目標交換機的流表容量的測量值N1，包括：在所述測試流表項的插入過程中，保持對已插入的各個所述測試流表項的訪問，以防止所述測試流表項因為預設時間內未被訪問而被刪除；將每一個所述測試流表項的RTT與時延值T13進行匹配，當獲取得到插入所述流表的某個測試流表項的RTT大于或者等于所述T13時，確定所述流表已滿，并記錄已插入所述流表的測試流表項的數量M3；記錄所述M3個測試流表項插入所述流表之后繼續插入所述流表的測試流表的數量，并檢測所述M3個所述測試流表項在所述流表中的存活狀態；當檢測得到所述M3個測試流表項中第一個插入所述流表的目標測試流表項已從所述流表中刪除時，將當前已插入所述流表的測試流表項的總數量M4確定為所述目標交換機的流表容量的測量值N1。10.如權利要求1-6任一項所述的方法，其特征在于，所述插入的所述測試流表項的狀態包括：所述測試流表項在所述流表中的存活狀態，和所述測試流表項的數量；所述根據各個所述測試流表項插入所述流表的RTT和插入的所述測試流表項的狀態，確定測試流表項插入之前所述流表已有的流表項數量的測量值N2，包括：在所述測試流表項的插入過程中，保持對已插入的各個所述測試流表項的訪問，以防止所述測試流表項因為預設時間內未被訪問而被刪除；將每一個所述測試流表項的RTT與時延值T13進行匹配，當獲取得到插入所述流表的某個測試流表項的RTT大于或者等于所述T13時，確定所述流表已滿，并記錄已插入所述流...

【專利技術屬性】
技術研發人員：王東暉，胡成臣，王換招，
申請(專利權)人：華為技術有限公司，
類型：發明
國別省市：廣東;44