魚 清，胡曦明,2*，李 鵬,2

(1.陜西師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，陜西 西安 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710119)

0 引 言

軟件定義網(wǎng)絡(luò)(SDN)是從最初美國(guó)斯坦福大學(xué)Clean Slate課程組提出的學(xué)術(shù)性新概念[1]，以技術(shù)創(chuàng)新驅(qū)動(dòng)發(fā)展演變成為涵蓋技術(shù)標(biāo)準(zhǔn)、設(shè)備產(chǎn)品、網(wǎng)絡(luò)建設(shè)和商用運(yùn)營(yíng)等上下游各方的高新技術(shù)產(chǎn)業(yè)，受到包括互聯(lián)網(wǎng)工程任務(wù)組(IETF)等國(guó)際標(biāo)準(zhǔn)化組織、思科等設(shè)備制造商、谷歌等互聯(lián)網(wǎng)公司和德國(guó)電信等網(wǎng)絡(luò)運(yùn)營(yíng)商的持續(xù)高度關(guān)注與高投入。SDN是基于數(shù)據(jù)層面與控制層面分離的架構(gòu)，向下將基礎(chǔ)設(shè)施虛擬化為底層服務(wù)資源的同時(shí)向上將分散而異構(gòu)的管理控制功能抽象為可編程可開(kāi)發(fā)的軟件平臺(tái)[2]，使得信息網(wǎng)絡(luò)從互聯(lián)互通基礎(chǔ)設(shè)施升級(jí)轉(zhuǎn)化為業(yè)務(wù)響應(yīng)服務(wù)系統(tǒng)。在SDN技術(shù)創(chuàng)新的強(qiáng)勁驅(qū)動(dòng)下，軟件定義光網(wǎng)絡(luò)SDON[3]、Google數(shù)據(jù)中心廣域網(wǎng)B4[4]、開(kāi)放網(wǎng)絡(luò)操作系統(tǒng)ONOS[5]、SDN/NFV統(tǒng)一編排平臺(tái)ECOMP[6]等新模式新業(yè)務(wù)新系統(tǒng)蓬勃發(fā)展，進(jìn)一步推動(dòng)SDN向更廣領(lǐng)域、更高層次和更深程度融合創(chuàng)新，可以說(shuō)SDN已成為面向未來(lái)實(shí)施創(chuàng)新驅(qū)動(dòng)發(fā)展的戰(zhàn)略性熱點(diǎn)之一。

面對(duì)SDN創(chuàng)新驅(qū)動(dòng)要求產(chǎn)學(xué)研用協(xié)同實(shí)現(xiàn)高質(zhì)量發(fā)展的內(nèi)在需求進(jìn)一步突顯，軟件定義網(wǎng)絡(luò)仿真技術(shù)如何以高校學(xué)科發(fā)展和專業(yè)教學(xué)改革為引領(lǐng)，探索SDN相關(guān)仿真技術(shù)和教學(xué)應(yīng)用，主動(dòng)適應(yīng)SDN科技創(chuàng)新和產(chǎn)業(yè)變革對(duì)復(fù)合型拔尖創(chuàng)新人才培養(yǎng)的需求，成為當(dāng)前高校面向“新工科”建設(shè)開(kāi)展仿真技術(shù)創(chuàng)新和實(shí)驗(yàn)教學(xué)改革富有時(shí)代性、前瞻性和教育價(jià)值性的新課題。

1 軟件定義網(wǎng)絡(luò)仿真技術(shù)發(fā)展現(xiàn)狀與趨勢(shì)

以中國(guó)知網(wǎng)(CNKI)收錄的中文期刊為文獻(xiàn)統(tǒng)計(jì)源，分別以關(guān)鍵詞“軟件定義網(wǎng)絡(luò)”或“SDN”并含“仿真技術(shù)”或“實(shí)驗(yàn)教學(xué)”，在“全部期刊”中精確檢索，再對(duì)檢索所得文獻(xiàn)集合進(jìn)行篩選，剔除檢索詞條匹配但內(nèi)容與學(xué)術(shù)研究無(wú)關(guān)的文獻(xiàn)后得到27篇論文(如表1所示)，通過(guò)文獻(xiàn)調(diào)查法和主題聚類分析SDN仿真技術(shù)與教學(xué)應(yīng)用發(fā)展現(xiàn)狀與趨勢(shì)。

表1 SDN仿真技術(shù)與教學(xué)應(yīng)用文獻(xiàn)調(diào)查與研究主題聚類分析(統(tǒng)計(jì)來(lái)源：2010～2020年中國(guó)知網(wǎng)CNKI收錄期刊)

(1)仿真技術(shù)以基于Mininet平臺(tái)成為主流路徑。

從功能上講，能夠用于SDN仿真的實(shí)驗(yàn)平臺(tái)類型多樣，如美國(guó)斯坦福大學(xué)Mininet[7]、臺(tái)灣思銳科技EstiNet[8]、美國(guó)華盛頓大學(xué)NS-3[9]以及美國(guó)國(guó)家航空航天局和Rackspace合作研發(fā)的OpenStack[10]，但是通過(guò)對(duì)SDN仿真技術(shù)文獻(xiàn)調(diào)查分析發(fā)現(xiàn)，基于Mininet的仿真技術(shù)文獻(xiàn)占比高達(dá)80%。中南大學(xué)[11-13]、華北電力大學(xué)[14]等多所“雙一流”大學(xué)和西安思源學(xué)院[15]、浙江農(nóng)林大學(xué)暨陽(yáng)學(xué)院[16]等地方民辦院校均以Mininet作為平臺(tái)開(kāi)展仿真實(shí)驗(yàn)教學(xué)。Mininet具有輕量級(jí)的仿真環(huán)境和友好、便捷的可開(kāi)發(fā)性，事實(shí)上已成為將SDN快速引入高校課堂的主流路徑。

(2)仿真主題從組網(wǎng)類向安全類升級(jí)成為新需求。

通過(guò)對(duì)SDN仿真技術(shù)文獻(xiàn)的研究主題聚類分析發(fā)現(xiàn)，現(xiàn)有以SDN組網(wǎng)為仿真主題的文獻(xiàn)占比達(dá)75%，仿真科目聚焦SDN控制器部署、交換設(shè)備控制數(shù)據(jù)轉(zhuǎn)發(fā)等SDN組網(wǎng)的基礎(chǔ)配置與操作，教學(xué)模式以教師指令下的SDN組網(wǎng)驗(yàn)證性仿真實(shí)驗(yàn)為主，例如，廣西大學(xué)葉進(jìn)以O(shè)penDayLight為SDN控制器開(kāi)展控制數(shù)據(jù)轉(zhuǎn)發(fā)與可視化表項(xiàng)方面的實(shí)驗(yàn)教學(xué)[17]。

網(wǎng)絡(luò)空間安全作為重要組成部分被納入中國(guó)特色國(guó)家安全能力建設(shè)總體布局，2015年國(guó)務(wù)院學(xué)位委員會(huì)、教育部聯(lián)合發(fā)布通知，正式增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科[18]。在國(guó)家戰(zhàn)略和學(xué)科發(fā)展的雙重推動(dòng)下，SDN仿真主題從組網(wǎng)類向安全類升級(jí)成為增強(qiáng)學(xué)科教學(xué)服務(wù)高質(zhì)量發(fā)展能力的時(shí)代性需求[19]，也成為專業(yè)教學(xué)改革新的著力點(diǎn)。從文獻(xiàn)調(diào)查來(lái)看，中南大學(xué)黃家瑋從前期關(guān)注測(cè)試驗(yàn)證Mininet平臺(tái)開(kāi)展SDN仿真的可行性、高效性與便捷性[11]和以O(shè)penDayLight的Web UI控制轉(zhuǎn)發(fā)表項(xiàng)為例開(kāi)展交換機(jī)控制數(shù)據(jù)轉(zhuǎn)發(fā)仿真實(shí)驗(yàn)[12]，轉(zhuǎn)而聚焦SDN架構(gòu)下網(wǎng)絡(luò)空間安全的BGP路徑挾持攻擊和ARP攻擊與防御仿真技術(shù)[13]；南京郵電大學(xué)費(fèi)寧構(gòu)建SDN下高擴(kuò)展性防火墻仿真平臺(tái)，支撐網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)新需求[20]。

(3)仿真體系從IPv4向IPv6延伸成為新熱點(diǎn)。

隨著互聯(lián)網(wǎng)+、人工智能和大數(shù)據(jù)等國(guó)家戰(zhàn)略的深入推進(jìn)，IPv4地址資源枯竭和技術(shù)體系受制于人的格局給國(guó)家信息安全帶來(lái)的隱患和威脅愈加突出，2017年11月中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》，強(qiáng)調(diào)必須加快部署IPv6網(wǎng)絡(luò)，構(gòu)建高性能下一代互聯(lián)網(wǎng)[21]。SDN作為面向未來(lái)網(wǎng)絡(luò)空間架構(gòu)的關(guān)鍵技術(shù)也必將加快向IPv6體系演進(jìn)，由此帶動(dòng)SDN仿真體系從IPv4向IPv6延伸，成為近年來(lái)仿真技術(shù)研究的新熱點(diǎn)。例如，2017年北京郵電大學(xué)陳蔚瀚提出新的IPv4/IPv6過(guò)渡技術(shù)的流量調(diào)度優(yōu)化模型并基于Mininet開(kāi)展SDN環(huán)境下的仿真測(cè)試[22]；2018年北京工業(yè)大學(xué)李丹基于Mininet平臺(tái)提出SDN下的IPv6組播機(jī)制并完成了仿真[23]。

2 “Python+Mininet”軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)

基于上述對(duì)國(guó)內(nèi)軟件定義網(wǎng)絡(luò)仿真技術(shù)與教學(xué)應(yīng)用發(fā)展現(xiàn)狀與趨勢(shì)的系統(tǒng)梳理，可以說(shuō)以Mininet為平臺(tái)聚焦軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)研究是高校承接國(guó)家網(wǎng)絡(luò)安全與信息化發(fā)展戰(zhàn)略對(duì)卓越信息安全工程師培養(yǎng)需求的新著力點(diǎn)。在此基礎(chǔ)上，該文基于“Python+Mininet”提出輕量級(jí)和可開(kāi)發(fā)的軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)，旨在以軟件定義為核心打造個(gè)性化學(xué)習(xí)實(shí)驗(yàn)系統(tǒng)，以仿真技術(shù)創(chuàng)新賦能軟件定義網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)提質(zhì)升級(jí)。

2.1 總體設(shè)計(jì)

(1)技術(shù)架構(gòu)。

將SDN仿真平臺(tái)Mininet與Python開(kāi)發(fā)相結(jié)合，提出“Python+Mininet”的軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)架構(gòu)，總體設(shè)計(jì)如圖1所示。

圖1 “Python+Mininet”軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)架構(gòu)

從仿真技術(shù)和教學(xué)應(yīng)用來(lái)看，“Python+Mininet”的模塊化設(shè)計(jì)具有以下優(yōu)點(diǎn)：模塊之間相互獨(dú)立，靈活而易于實(shí)現(xiàn)，適用于開(kāi)展分組合作式實(shí)驗(yàn)和協(xié)作學(xué)習(xí)；支持Python開(kāi)發(fā)，滿足個(gè)性化和定制化的仿真需求；數(shù)據(jù)測(cè)量與可視化適用于對(duì)仿真進(jìn)行過(guò)程性分析和精細(xì)化管理。

①Python開(kāi)發(fā)模塊。

負(fù)責(zé)仿真策略的生成，通過(guò)Python開(kāi)發(fā)在數(shù)據(jù)層面生成可編程數(shù)據(jù)源與路由跟蹤等網(wǎng)絡(luò)行為，在控制層面生成實(shí)驗(yàn)環(huán)境配置、數(shù)據(jù)處理控制邏輯和網(wǎng)絡(luò)服務(wù)管理，經(jīng)過(guò)Python第三方開(kāi)發(fā)套件API實(shí)現(xiàn)與實(shí)驗(yàn)運(yùn)行模塊的交互，從而起到策動(dòng)仿真的作用。

②實(shí)驗(yàn)運(yùn)行模塊。

負(fù)責(zé)網(wǎng)絡(luò)仿真的運(yùn)行，基于Mininet平臺(tái)輸入Python開(kāi)發(fā)模塊生成的數(shù)據(jù)層面和控制層面的仿真策略，模擬軟件定義網(wǎng)絡(luò)架構(gòu)下的網(wǎng)絡(luò)行為與工作過(guò)程，經(jīng)過(guò)Python第三方開(kāi)發(fā)套件API向Python開(kāi)發(fā)模塊實(shí)時(shí)反饋運(yùn)行狀態(tài)，并通過(guò)Data Interface向測(cè)量與分析模塊輸出運(yùn)行數(shù)據(jù)。

③測(cè)量與分析模塊。

負(fù)責(zé)對(duì)仿真數(shù)據(jù)與結(jié)果進(jìn)行可視化分析，通過(guò)Data Interface實(shí)時(shí)采集實(shí)驗(yàn)運(yùn)行模塊虛擬網(wǎng)卡輸入輸出的數(shù)據(jù)，使用常用協(xié)議分析工具實(shí)現(xiàn)對(duì)仿真過(guò)程與結(jié)果的可視化分析。

(2)仿真流程。

基于“Python+Mininet”開(kāi)展軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)的流程，如圖2所示。

2.2 關(guān)鍵技術(shù)

(1)數(shù)據(jù)源開(kāi)發(fā)。

一方面可通過(guò)Python自主開(kāi)發(fā)數(shù)據(jù)包構(gòu)造和發(fā)包工具，另一方面也可采用Python第三方開(kāi)發(fā)套件作為Mininet平臺(tái)插件。綜合考慮開(kāi)發(fā)成本和教學(xué)應(yīng)用需求，該文采用協(xié)議報(bào)文數(shù)據(jù)處理軟件Scapy作為Python開(kāi)發(fā)模塊的數(shù)據(jù)源開(kāi)發(fā)工具，通過(guò)Scapy可以實(shí)現(xiàn)網(wǎng)絡(luò)掃描、協(xié)議報(bào)文構(gòu)造與解析和數(shù)據(jù)包嗅探等多種功能，并且利用Scapy為TCP/IP協(xié)議棧提供的開(kāi)發(fā)類，可以開(kāi)發(fā)更加綜合性的數(shù)據(jù)服務(wù)功能。

圖2 “Python+Mininet”軟件定義網(wǎng)絡(luò)IPv6

(2)網(wǎng)絡(luò)行為管理。

作為軟件定義網(wǎng)絡(luò)的核心，控制器負(fù)責(zé)在控制層面上對(duì)網(wǎng)絡(luò)行為進(jìn)行集中式控制與管理，由此也就成為開(kāi)展軟件定義網(wǎng)絡(luò)IPv6安全仿真的關(guān)鍵。該文針對(duì)“Python+Mininet”的仿真技術(shù)架構(gòu)，以基于Python的Ryu或POX作為控制器，通過(guò)充分利用其自身具有的豐富Python API，針對(duì)個(gè)性化定制化的仿真需求開(kāi)發(fā)不同的網(wǎng)絡(luò)行為管理策略，通過(guò)以可編程的模式從整體上實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)規(guī)則的定義、下發(fā)等網(wǎng)絡(luò)行為管理。

(3)數(shù)據(jù)測(cè)量接口。

仿真實(shí)驗(yàn)在Mininet平臺(tái)中運(yùn)行，需要通過(guò)數(shù)據(jù)測(cè)量接口從Mininet平臺(tái)中采集實(shí)驗(yàn)數(shù)據(jù)才能開(kāi)展后續(xù)的測(cè)量與分析。該文在VMware Workstation虛擬機(jī)上安裝Ubuntu作為Mininet的系統(tǒng)環(huán)境，通過(guò)虛擬機(jī)向Mininet平臺(tái)橋接虛擬網(wǎng)卡，然后采用Wireshark、tcpdump等協(xié)議分析工具監(jiān)聽(tīng)虛擬網(wǎng)卡從而獲得實(shí)驗(yàn)數(shù)據(jù)。Wireshark提供良好的交互界面，可以實(shí)時(shí)捕獲經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)包；tcpdump通過(guò)系統(tǒng)命令對(duì)數(shù)據(jù)包及時(shí)可視化顯示，操作靈活便捷。

3 軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)的教學(xué)應(yīng)用

3.1 拓?fù)洵h(huán)境

將上述“Python+Mininet”軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)應(yīng)用于高校課堂，首先搭建仿真拓?fù)洵h(huán)境，如圖3所示。

圖3 “Python+Mininet”軟件定義網(wǎng)絡(luò)IPv6安全仿真拓?fù)?/p>

從拓?fù)浣Y(jié)構(gòu)的連接關(guān)系來(lái)看，c0為SDN控制器，在控制器c0下連接交換機(jī)s1和s2；交換機(jī)s1連接主機(jī)h1，交換機(jī)s2連接主機(jī)h2和h3。

從攻擊與被攻擊的交互關(guān)系上，主機(jī)h3作為攻擊方，主機(jī)h1或h2作為被攻擊方，當(dāng)h1與h2進(jìn)行通信過(guò)程中，攻擊方h3基于Python開(kāi)發(fā)偽造報(bào)文，攻擊主機(jī)h1與h2從而竊取h1與h2之間的通信信息，整個(gè)攻擊過(guò)程通過(guò)測(cè)量分析模塊實(shí)時(shí)進(jìn)行數(shù)據(jù)采集、測(cè)量與可視化分析。

3.2 配置與操作

具體仿真實(shí)驗(yàn)步驟以及對(duì)應(yīng)的配置與操作過(guò)程，如圖4所示。

圖4 配置與操作

(1)拓?fù)淠_本。

使用Mininet提供的Python API，創(chuàng)建拓?fù)淠_本。

from mininet.topo import Topo

class MyTopo(Topo):

def __init__(self):

# initialize topology

Topo.__init__(self)

# add switches and hosts

s1=self.addSwitch('s1')

s2=self.addSwitch('s2')

h1=self.addHost('h1',mac="00:00:00:00:00:01")

h2=self.addHost('h2',mac="00:00:00:00:00:02")

h3=self.addHost('h3',mac="00:00:00:00:00:03")

# add links

self.addLink(h1,s1)

self.addLink(h2,s2)

self.addLink(h3,s2)

self.addLink(s1,s2)

topos={'myTopo':(lambda:SdnTopo())}

在網(wǎng)絡(luò)拓?fù)淠_本中，首先導(dǎo)入Mininet中的Topo模塊，然后創(chuàng)建自定義網(wǎng)絡(luò)拓?fù)漕怣yTopo，依次添加交換機(jī)(s1和s2)、主機(jī)(h1、h2和h3)和網(wǎng)絡(luò)鏈路(h1-s1、h2-s2、h3-s2以及s1-s2)。在添加主機(jī)時(shí)，自定義該主機(jī)網(wǎng)卡MAC地址；如未自定義MAC地址，系統(tǒng)會(huì)默認(rèn)分配。

(2)SDN組網(wǎng)。

①搭建拓?fù)洵h(huán)境。

首先開(kāi)啟控制器Ryu，生成并下發(fā)SDN交換機(jī)流規(guī)則，以讓拓?fù)淠_本所描述的網(wǎng)絡(luò)拓?fù)湓贛ininet平臺(tái)上運(yùn)行起來(lái)。通過(guò)源碼方式安裝Ryu，從終端進(jìn)入ryu/ryu/app目錄，執(zhí)行ryu-manager命令運(yùn)行Ryu控制器默認(rèn)的simple_switch_13.py文件，從而定義交換機(jī)功能。

獲取運(yùn)行Mininet的虛擬機(jī)本地IP地址，作為Mininet連接控制器的IP地址，然后以超級(jí)管理員運(yùn)行拓?fù)淠_本，讓Mininet在虛擬機(jī)中生成相應(yīng)的網(wǎng)絡(luò)，具體命令為：mn --custom script-directory --topo topo-name [--switch ovsk,protocol=OpenFlow13] --controller=remote,ip=ip_adderss,port=port_number 。

命令中參數(shù)的含義分別為：custom(創(chuàng)建的腳本文件目錄)；topo(拓?fù)淠_本中定義拓?fù)浣Y(jié)構(gòu)的類)；switch(指定交換機(jī)類型與通信協(xié)議類型)；controller(指定控制器)。

Mininet運(yùn)行網(wǎng)絡(luò)拓?fù)淠_本的過(guò)程，可以通過(guò)控制器Ryu來(lái)監(jiān)視。當(dāng)Mininet生成網(wǎng)絡(luò)拓?fù)鋾r(shí)，Ryu會(huì)收到由網(wǎng)絡(luò)中交換機(jī)發(fā)往Ryu的大量packet in消息，說(shuō)明Mininet與控制器Ryu連接成功并且網(wǎng)絡(luò)拓?fù)浯罱ㄍ瓿伞?/p>

②配置IPv6環(huán)境。

使用拓?fù)淠_本搭建的網(wǎng)絡(luò)環(huán)境默認(rèn)為IPv4，需在此基礎(chǔ)上進(jìn)一步配置IPv6網(wǎng)絡(luò)環(huán)境，本次仿真需配置主機(jī)IPv6 地址。配置主機(jī)IPv6地址，首先需要通過(guò)net命令查詢到主機(jī)模擬網(wǎng)卡的名稱，本次仿真net命令查詢結(jié)果為：主機(jī)h1(h1-eth0)、主機(jī)h2(h2-eth0)和主機(jī)h3(h3-eth0)。

根據(jù)查詢到的主機(jī)網(wǎng)卡名，對(duì)拓?fù)渲械娜_(tái)主機(jī)逐個(gè)配置IPv6地址，配置命令如表2所示。

為主機(jī)配置IPv6地址之后，可以使用ping6命令依次測(cè)試IPv6環(huán)境下各主機(jī)之間的連通性，從而完成IPv6仿真環(huán)境搭建。

表2 配置主機(jī)IPv6地址

(3)協(xié)議分析。

在虛擬機(jī)中安裝Scapy，然后在Mininet平臺(tái)上運(yùn)行的主機(jī)h1中引入Scapy，以Scapy提供的Python API構(gòu)造IPv6網(wǎng)絡(luò)ping6數(shù)據(jù)包，分析ICMPv6協(xié)議工作過(guò)程，關(guān)鍵開(kāi)發(fā)代碼如表3所示。

表3 基于Python開(kāi)發(fā)構(gòu)造IPv6網(wǎng)絡(luò)ping6數(shù)據(jù)包

通過(guò)在虛擬機(jī)上運(yùn)行Wireshark對(duì)流經(jīng)主機(jī)h2網(wǎng)卡的數(shù)據(jù)包進(jìn)行分析。在此次ping6報(bào)文的交互過(guò)程中，主機(jī)h1向主機(jī)h2發(fā)出ping6請(qǐng)求數(shù)據(jù)包，主機(jī)h2及時(shí)響應(yīng)，發(fā)出ping6回復(fù)數(shù)據(jù)包給主機(jī)h1。

(4)網(wǎng)絡(luò)攻擊。

①主機(jī)h1與主機(jī)h2正常通信。

使用ping6命令模擬主機(jī)h1與h2之間的正常通信。在主機(jī)h1中以命令“h1 ping6 -c 3 fc00::2”給主機(jī)h2發(fā)送3個(gè)ping6請(qǐng)求數(shù)據(jù)包，同時(shí)主機(jī)h2給主機(jī)h1及時(shí)回復(fù)3個(gè)ping6回復(fù)數(shù)據(jù)包。

②攻擊方h3發(fā)起攻擊。

攻擊方h3開(kāi)啟虛擬終端啟動(dòng)Scapy，通過(guò)Python開(kāi)發(fā)偽造NS報(bào)文,欺騙主機(jī)h2。偽造報(bào)文中源IPv6地址是主機(jī)h1的IPv6地址(fc00::1)，目的IPv6地址是主機(jī)h2的IPv6地址(fc00::2)，而源MAC地址是攻擊方h3的MAC地址(00:00:00:00:00:03)。關(guān)鍵步驟如表4所示。

③主機(jī)h1與主機(jī)h2通信中斷。

主機(jī)h3發(fā)起攻擊，此時(shí)主機(jī)h1再以命令“h1 ping6 -c 3 fc00::2”給主機(jī)h2發(fā)送3個(gè)ping6請(qǐng)求數(shù)據(jù)包，發(fā)現(xiàn)它不會(huì)再收到主機(jī)h2的響應(yīng)。主機(jī)h1與h2的正常通信中斷。

(5)攻擊防御。

在上述攻擊仿真實(shí)驗(yàn)中，攻擊方h3通過(guò)不斷發(fā)送偽造報(bào)文，欺騙主機(jī)h2更新錯(cuò)誤的鄰居列表，從而達(dá)到中斷正常通信并截獲主機(jī)h1與h2的通信信息的攻擊效果。針對(duì)這種攻擊方式，可以通過(guò)給主機(jī)h2添加靜態(tài)鄰居表項(xiàng)進(jìn)行防御。

表4 攻擊腳本的關(guān)鍵步驟

通過(guò)命令“h2 ip neighbor add fc00::1 lladdr 00:00:00:00:00:01 nud permanent dev h2-eth0”，將主機(jī)h1的IPv6地址(fc00::1)與MAC地址(00:00:00:00:00:01)綁定在主機(jī)h2的鄰居列表中，可以達(dá)到防御NDP中間人攻擊的效果。當(dāng)添加靜態(tài)鄰居表項(xiàng)后，即使攻擊方h3發(fā)出大量偽造數(shù)據(jù)包，主機(jī)h2也不會(huì)更新自己的鄰居列表，攻擊方h3不能截獲通信信息。

3.3 可視化分析

當(dāng)攻擊方h3發(fā)起攻擊之后，對(duì)主機(jī)h1與h2的通信過(guò)程的數(shù)據(jù)包進(jìn)行可視化分析，如圖5所示。

圖5 NDP中間人攻擊可視化分析

對(duì)于主機(jī)h2而言，收到大量由fc00::1發(fā)出的數(shù)據(jù)包，并且告訴它，IPv6地址為fc00::1的主機(jī)的網(wǎng)卡地址為00:00:00:00:00:03，此時(shí)它將更新自己的鄰居列表。當(dāng)收到來(lái)自fc00::1的ping6請(qǐng)求數(shù)據(jù)包時(shí)，它必須對(duì)其響應(yīng)，發(fā)出回復(fù)數(shù)據(jù)包。要對(duì)fc00::1發(fā)回復(fù)數(shù)據(jù)包時(shí)，需要查看自己的鄰居列表，發(fā)現(xiàn)fc00::1對(duì)應(yīng)的網(wǎng)卡地址為00:00:00:00:00:03，于是對(duì)該網(wǎng)卡發(fā)出回復(fù)數(shù)據(jù)包。

對(duì)攻擊方h3而言，在發(fā)出大量偽造報(bào)文的同時(shí)，收到來(lái)自fc00::2的ping6回復(fù)數(shù)據(jù)包，即成功截獲到了主機(jī)h1與h2的通信信息。

4 結(jié)束語(yǔ)

面對(duì)軟件定義網(wǎng)絡(luò)以創(chuàng)新驅(qū)動(dòng)發(fā)展加快形成戰(zhàn)略性高技術(shù)產(chǎn)業(yè)的態(tài)勢(shì)，以“新工科”產(chǎn)教融合協(xié)同創(chuàng)新為引領(lǐng)開(kāi)展軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)探索既可有效促進(jìn)軟件定義網(wǎng)絡(luò)產(chǎn)業(yè)鏈與人才鏈更加緊密契合，又可通過(guò)仿真技術(shù)創(chuàng)新賦能學(xué)科專業(yè)主動(dòng)布局軟件定義網(wǎng)絡(luò)前沿發(fā)展。

該文針對(duì)軟件定義網(wǎng)絡(luò)IPv6體系下的安全仿真技術(shù)缺乏的現(xiàn)狀，提出了基于“Python+Mininet”的軟件定義網(wǎng)絡(luò)IPv6安全仿真技術(shù)，通過(guò)IPv6鄰居發(fā)現(xiàn)協(xié)議攻擊與防御及可視化分析的教學(xué)應(yīng)用表明該技術(shù)具有輕量級(jí)、可開(kāi)發(fā)和一體化等優(yōu)點(diǎn)，為高校面向未來(lái)網(wǎng)絡(luò)空間安全教學(xué)改革提供新的技術(shù)途徑。