Software-Defined Networking (SDN) greatly simplifies middlebox policy enforcement. Middleboxes need tag packet headers to avoid forwarding ambiguity on SDN switches. In this paper, we present a new attack, called middlebox-bypass attack, to breach SDN-based middlebox policy enforcement. Such an attack manipulates a compromised switch to locally tag attacking packets without handing them over to the attached middlebox for inspection. Existing SDN security solutions, however, cannot detect the middlebox-bypass attack under practical constraints of efficiency, robustness, and applicability. We design and implement FlowCloak, the first protocol for per-packet real-time detection and prevention of middlebox-bypass attacks. FlowCloak enables middleboxes to generate tags that are probabilistically unknown to an attacker and confines it to only random guessing. We propose a multi-tag verification technique to address the tradeoff between FlowCloak robustness and TCAM usage by tag verification rules on the egress switch. Experiment results show that dozens of verification rules can confine the attacking probability under 0.1%. We further explore implementation techniques of packet looping and field swapping that can enable a flow table pipeline on a single TCAM and mitigate packet correlation, respectively. FlowCloak imposes only a 0.01 ms packet processing delay on middleboxes and no obvious delay on the egress switch.

软件定义网络（SDN）大大简化了中间盒策略的实施。中间盒需要标签数据包头，以避免在SDN交换机上转发歧义。在本文中，我们提出了一种新的攻击，称为Middlebox-bypass攻击，旨在破坏基于SDN的Middlebox策略实施。此类攻击会操纵受损的交换机以本地标记攻击数据包，而无需将其移交给连接的中间盒进行检查。但是，现有的SDN安全解决方案在效率，健壮性和适用性的实际约束下无法检测到中间箱旁路攻击。我们设计并实现了FlowCloak，这是第一个用于每包实时检测和防止中间箱旁路攻击的协议。FlowCloak使中间盒能够生成攻击者概率未知的标记，并将其限制为仅是随机猜测。我们提出了一种多标签验证技术，以通过出口交换机上的标签验证规则解决FlowCloak鲁棒性与TCAM使用之间的折衷。实验结果表明，数十种验证规则可以将攻击概率限制在0.1％以下。我们将进一步探讨数据包循环和字段交换的实现技术，这些技术可以分别在单个TCAM上启用流表管道并减轻数据包相关性。FlowCloak在中间盒上仅施加0.01 ms的数据包处理延迟，而在出口交换机上没有明显的延迟。我们提出了一种多标签验证技术，以通过出口交换机上的标签验证规则解决FlowCloak鲁棒性与TCAM使用之间的折衷。实验结果表明，数十种验证规则可以将攻击概率限制在0.1％以下。我们将进一步探讨数据包循环和字段交换的实现技术，这些技术可以分别在单个TCAM上启用流表管道并减轻数据包相关性。FlowCloak在中间盒上仅施加0.01 ms的数据包处理延迟，而在出口交换机上没有明显的延迟。我们提出了一种多标签验证技术，以通过出口交换机上的标签验证规则解决FlowCloak鲁棒性与TCAM使用之间的折衷。实验结果表明，数十种验证规则可以将攻击概率限制在0.1％以下。我们将进一步探讨数据包循环和字段交换的实现技术，这些技术可以分别在单个TCAM上启用流表管道并减轻数据包相关性。FlowCloak在中间盒上仅施加0.01 ms的数据包处理延迟，而在出口交换机上没有明显的延迟。我们将进一步探讨数据包循环和字段交换的实现技术，这些技术可以分别在单个TCAM上启用流表管道并减轻数据包相关性。FlowCloak在中间盒上仅施加0.01 ms的数据包处理延迟，而在出口交换机上没有明显的延迟。我们将进一步探讨数据包循环和字段交换的实现技术，这些技术可以分别在单个TCAM上启用流表管道并减轻数据包相关性。FlowCloak在中间盒上仅施加0.01 ms的数据包处理延迟，而在出口交换机上没有明显的延迟。