Software defined networking (SDN) presents opportunities for improving network management, mainly thanks to the centralized controller separated from forwarding devices. On the other hand, security in SDN is a complicated issue: SDN both inherits vulnerabilities from traditional networks through common protocols and introduces new problems due to the risks associated with softwarization. Dynamic host configuration protocol (DHCP) is an essential protocol in SDNs as well and the security risks of DHCP also menace SDNs. In this study, we have analyzed the security of the built-in DHCP services on three popular SDN controllers: POX, ONOS and Floodlight. Our results indicate that they are vulnerable to starvation attacks, and DHCP discovery message floods can also be used to launch denial-of-service attacks, slowing down networks and overloading controllers. To counter these issues, we examined state-of-the-art DHCP security methodologies and assessed their applicability to the built-in DHCP servers of SDN controllers. Considering our assessment, we have designed and implemented a DHCP security module on the POX controller, DHCPguard, utilizing DHCP snooping, rate limiting, and IP pool recovery functions. Our findings show that DHCPguard successfully blocks malicious DHCP messages, recovers the IP address pool, and alleviates the negative effects of DHCP related attacks on the network without significant overhead. DHCPguard is able to increase throughput by up to 94% and decrease CPU usage by up to 92% compared to plain POX under DHCP attack scenarios performed on simple and complex topologies.

软件定义网络 (SDN) 为改进网络管理提供了机会，这主要归功于与转发设备分离的集中控制器。另一方面，SDN 的安全性是一个复杂的问题：SDN 既通过通用协议继承了传统网络的漏洞，又由于与软件化相关的风险而引入了新问题。动态主机配置协议（DHCP）也是SDN中必不可少的协议，DHCP的安全风险也威胁着SDN。在本研究中，我们分析了三种流行的 SDN 控制器上的内置 DHCP 服务的安全性：POX、ONOS 和 Floodlight。我们的结果表明它们容易受到饥饿攻击，并且 DHCP 发现消息泛洪也​​可用于发起拒绝服务攻击，减慢网络速度并使控制器过载。为了解决这些问题，我们研究了最先进的 DHCP 安全方法并评估了它们对 SDN 控制器的内置 DHCP 服务器的适用性。考虑到我们的评估，我们在 POX 控制器 DHCPguard 上设计并实现了 DHCP 安全模块，利用 DHCP 侦听、速率限制和 IP 池恢复功能。我们的研究结果表明，DHCPguard 成功阻止了恶意 DHCP 消息，恢复了 IP 地址池，并在没有显着开销的情况下减轻了 DHCP 相关攻击对网络的负面影响。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。我们研究了最先进的 DHCP 安全方法，并评估了它们对 SDN 控制器的内置 DHCP 服务器的适用性。考虑到我们的评估，我们在 POX 控制器 DHCPguard 上设计并实现了 DHCP 安全模块，利用 DHCP 侦听、速率限制和 IP 池恢复功能。我们的研究结果表明，DHCPguard 成功阻止了恶意 DHCP 消息，恢复了 IP 地址池，并在没有显着开销的情况下减轻了 DHCP 相关攻击对网络的负面影响。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。我们研究了最先进的 DHCP 安全方法，并评估了它们对 SDN 控制器的内置 DHCP 服务器的适用性。考虑到我们的评估，我们在 POX 控制器 DHCPguard 上设计并实现了 DHCP 安全模块，利用 DHCP 侦听、速率限制和 IP 池恢复功能。我们的研究结果表明，DHCPguard 成功阻止了恶意 DHCP 消息，恢复了 IP 地址池，并在没有显着开销的情况下减轻了 DHCP 相关攻击对网络的负面影响。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。考虑到我们的评估，我们在 POX 控制器 DHCPguard 上设计并实施了 DHCP 安全模块，利用 DHCP 侦听、速率限制和 IP 池恢复功能。我们的研究结果表明，DHCPguard 成功阻止了恶意 DHCP 消息，恢复了 IP 地址池，并在没有显着开销的情况下减轻了 DHCP 相关攻击对网络的负面影响。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。考虑到我们的评估，我们在 POX 控制器 DHCPguard 上设计并实现了 DHCP 安全模块，利用 DHCP 侦听、速率限制和 IP 池恢复功能。我们的研究结果表明，DHCPguard 成功阻止了恶意 DHCP 消息，恢复了 IP 地址池，并在没有显着开销的情况下减轻了 DHCP 相关攻击对网络的负面影响。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。恢复IP地址池，减轻DHCP相关攻击对网络的负面影响，且无显着开销。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。恢复IP地址池，减轻DHCP相关攻击对网络的负面影响，且无显着开销。与在简单和复杂拓扑上执行的 DHCP 攻击场景下的普通 POX 相比，DHCPguard 能够将吞吐量提高多达 94%，并将 CPU 使用率降低多达 92%。