1.一种基于软件定义网络SDN的防地址扫描攻击的系统,其特征在于:包括SDN控制器和SDN交换机, SDN控制器具有未匹配流表报文接收模块、地址扫描报文判断模块、流表下发模块;其中,所述未匹配流表报文接收模块用于接收来自SDN交换机的未匹配流表的报文;
所述地址扫描报文判断模块用于判断所述未匹配流表报文接收模块接收的未匹配流表的报文是否为地址扫描攻击报文;
所述流表下发模块用于向SDN交换机下发流表,若确定未匹配流表的报文为地址扫描攻击报文则下发流表以防止后续报文进行地址扫描攻击;
所述未匹配流表的报文包括源IP信息、目的IP信息;
SDN控制 器还具有交换机端口IP地址获取模块、IP地址表生成模块、直连网段判断模块;其中,所述交换机端口IP地址获取模块用于从SDN交换机获取交换机端口IP地址;
所述IP地址表生成模块用于通过从SDN交换机获取交换机端口IP地址生成基于SDN网络的IP地址表;
所述直连网段判断模块用于通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果是直连网段, SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,SDN控制器根据目的IP计算转发路径并下发流表以转发,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文,SDN控制器向入口交换机下发流表以防止后续报文进行地址扫描攻击。
2.根据权利要求1所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:所述IP 地址表包括IP地址、IP地址掩码、交换机id、交换机端口;其中,所述IP地址用于表明SDN交换机的接口IP地址;
所述IP地址掩码用于表明SDN交换机的接口IP地址掩码;
所述交换机id用于表明SDN交换机的id;
所述交换机端口用于表明SDN交换机的端口。
3.根据权利要求2所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:所述交换机端口IP地址获取模块获取SDN交换机启动后上报的所有端口的IP地址。
4.根据权利要求1所述的一种基于SDN的防地址扫描攻击的系统,其特征在于:SDN控制器支持基于SDN的防地址扫描攻击配置任务序列并包括基于SDN的防地址扫描攻击功能打开或关闭。
5.一种基于软件定义网络SDN的防地址扫描攻击的方法,其特征在于:按如下步骤进行:步骤1,SDN交换机上报SDN控制器未匹配流表的报文;
步骤2,SDN控制器判断所述未匹配流表的报文的是否为地址扫描攻击报文;
步骤3,若步骤2确定未匹配流表的报文为地址扫描攻击报文则SDN控制器下发流表以 防止后续报文进行地址扫描攻击,若步骤2确定未匹配流表的报文不是地址扫描攻击报文 则SDN控制器下发流表以转发;在步骤1 之前,SDN交换机启动后上报所有端口的IP地址给SDN控制器并生成基于SDN网络的IP地址表;
在步骤2 的过程中,SDN控制器从SDN交换机接收未匹配流表的报文,提取源IP、目的IP并通过查询所述IP地址表判断目的IP是否为直连网段,如果不是直连网段,则未匹配流表的报文不是地址扫描攻击报文,如果是直连网段,则SDN控制器向转发路径的出口交换机发送ARP请求并判断是否有回应,如果有回应,则未匹配流表的报文不是地址扫描攻击报文,如果没有回应,则所述未匹配流表的报文为地址扫描攻击报文。
6.根据权利要求5所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:从SDN交换机到SDN控制器的私有扩展Experimenter报文type值为1。
7.根据权利要求6所述的一种基于SDN的防地址扫描攻击的方法,其特征在于:私有扩展Experimenter报文由SDN交换机上报给SDN控制器。