随着人们生产生活对网络服务的依赖性增加,网络业务类型日渐丰富,流量与规模急剧增长,传统的分布式网络架构显得过于复杂和臃肿,难以管理与扩展开发。为解决这些问题,Nick McKeown等人提出SDN这一新型网络架构。SDN以其集中式控制和可编程性等优势得到学术界与商业界的极大肯定,有关SDN的科研成果和商业应用层出不穷。然而,SDN技术在推动网络发展的同时,也显露出诸多安全问题。由于SDN改变的只是上层网络架构,接入主机之间仍然遵循TCP/IP协议规则进行通信,传统的ARP攻击依然能够发生。并且SDN网络中的ARP攻击可以欺骗控制器建立错误的网络拓扑,从而造成更加严重的攻击影响。传统网络中的ARP攻击解决方案都是由目的主机对收到的ARP数据包做信息校验,但在SDN网络中,控制器将先于目的主机接收到ARP数据包。因此,传统网络中的ARP攻击解决方案并不适用于SDN网络。SDN中已有的攻击检测方法都不是针对ARP攻击设计的,因而不能准确地识别ARP攻击。针对以上问题,本文提出了一种SDN网络的ARP攻击解决方案。方案要求主机接入网络之前先与控制器共享一条哈希链,控制器在主机申请IP地址阶段,为主机建立配置信息表项,记录主机的MAC、IP地址和初始接入位置。处理ARP数据包时,控制器可以根据配置信息表中的信息、与主机共享的哈希链信息甚至借助DHCP服务器,来检测ARP数据包中源主机的MAC-IP映射关系和MAC地址的真实性,从而准确检测出每一个欺骗性ARP数据包,保证SDN网络不受ARP攻击影响。本文主要工作包括:1、提出了一种适用于SDN网络的ARP攻击解决方案。该方案可作为控制器上的一个网络应用,使得控制器在处理ARP数据包时,能够检测ARP数据包中源主机的MAC-IP映射,以及MAC地址的真实性,从而识别并丢弃欺骗性ARP数据包。2、借助Mininet仿真平台搭建SDN网络,验证了方案的有效性和时间性能。在一个较小规模的SDN网络中,通过对比在相同的攻击条件下,运行本文方案前后的网络状态,验证了本文方案能够有效检测每一种ARP攻击。在几种较大规模的SDN网络中,分别测试了运行方案前后的10轮ARP交互时间。数据表明本文方案没有影响主机间的正常通信,并且由于运行本文方案避免了大量的ARP广播通信,从而减少了主机间的ARP交互时间。