[发明专利]一种针对软件定义网络的攻击测试装置

说明书

技术领域

本发明涉及计算机网络安全，尤其涉及一种针对软件定义网络的攻击测试系统。

背景技术

软件定义网络(SDN)是一种有别于传统网络的创新型的网络体系。在SDN网络中，由控制器(Controller)对网络进行集中控制，也即控制器利用OpenFlow协议(一种开放的标准协议)对所有交换机进行控制，所有交换机只需要负责对接收到的数据报文进行转发。

具体的，当交换机接收到一个数据报文时，提取报文的报头信息(包括源地址、目的地址等)，并将报头信息在流表中(Flow Table，类似于传统路由器的路由表)进行匹配。若匹配成功，直接将报文从匹配规则中指定的交换机输出端口进行转发；若匹配失败，交换机利用OpenFlow协议将相关信息发给控制器，由控制器产生新的流表项并通过OpenFlow协议将此流表项添加到交换机的流表中，交换机按照新产生的流表项对报文进行转发。

由此可见，交换机的数据转发功能完全依赖于流表。

由于内存大小的限制，交换机流表的表项规模不会很大，一般为千项左右。为了有效地管理流表，流表中的每个表项都有一个生存周期。当表项空闲的时间超过生存周期，该表项就会被删除，从而腾出占用的空间。

这种基于生存周期的流表管理方法，能够有效地、动态地调整流表的大小。

但是，目前的软件定义网络还不成熟，其性能也还有待于进行测试并验证。

发明内容

本发明所要解决的技术问题是为软件定义网络提供一种攻击测试装置，以对软件定义网络进行攻击测试，提高软件定义网络的实际使用性能。

为了解决上述技术问题，本发明提供了一种针对软件定义网络的攻击测试装置，应用于软件定义网络，该装置包括：

获取模块，设置为测试方获取待测试的软件定义网络中对外提供服务的服务器的IP地址，以及所述服务器提供服务的端口号；

构造模块，设置为根据所述服务器的IP地址以及所述服务器提供服务的端口号构造第一测试报文和第二测试报文；

接收模决，设置为接收所述服务器对所述第二测试报文的应答；

发送模块，设置为将所述第一测试报文及第二测试报文先后发送给所述服务器，并在所述接收模块没有收到所述服务器对所述第二测试报文的应答时，等待一随机时间段再将所述第二测试报文发送给所述服务器。

优选地，该装置包括：

所述构造模块设置为所述接收模块收到所述服务器对所述第二测试报文的应答时，继续构造所述第一测试报文；

所述发送模块将所述构造模块多次构造的所有第一测试报文一起发送给所述服务器，并再次将所述第二测试报文发送给所述服务器。

优选地，所述获取模块设置为通过所述软件定义网络的域名解释功能获取所述服务器的IP地址。

优选地，所述获取模块设置为从所述服务器提供服务的类型获取所述端口号。

优选地，所述构造模块设置为根据所述软件定义网络流表项的规模确定所述第一测试报文的数量。

优选地，所述构造模块设置为构造数量大于等于所述软件定义网络流表项规模的所述第一测试报文。

优选地，所述发送模块设置为所述接收模块没有收到所述服务器对所述第二测试报文的应答时，等待小于等于所述软件定义网络流表项的最大生存时间的所述随机时间段，再将所述第二测试报文发送给所述报务器。

优选地，所述构造模块设置为构造源地址为随机IP地址、源端口号为随机端口号、目的地址为所述服务器的IP地址、目的端口号为所述服务器提供服务的端口号的所述第一测试报文。

优选地，所述构造模块设置为构造源地址为所述测试方的IP地址、源端口号随机端口号、目的地址为所述服务器的IP地址、目的端口号为所述服务器提供服务的端口号的所述第二测试报文。

优选地，所述构造模块设置为构造基于传输控制协议的所述第二测试报文。

与现有技术相比，本申请的实施例能够在SDN网络难以觉察到异常的境况下，持续不断地刷新流表中的攻击类流表项进行网络攻击测试，使得交换机的攻击类流表项一直处于合法的生存周期内，不能被删除，从而不能接收新的合法的流表项，导致交换机不能进行正常的数据转发工作，完成攻击测试工作。

附图说明

图1为本申请实施例的网络攻击测试方法的流程示意图。

图2为本申请实施例的针对软件定义网络的攻击测试装置的构造示意图。

具体实施方式