Ryu контроллер struct.error при добавлении новой таблицы потока - PullRequest
0 голосов
/ 06 марта 2019

Я пишу приложение Ryu a L4 swtich и пытаюсь сделать следующее: когда пакет TCP / UDP идентифицирован, приложение проверяет локальную базу данных, чтобы определить, получены ли параметры пакета от известного злоумышленника (источникаIP, IP-адрес назначения и порт назначения).

Если пакет соответствует одному, зарегистрированному в базе данных злоумышленника, к коммутатору добавляется поток для отбрасывания определенного пакета (этот поток имеет продолжительность 2 часа), если пакет не соответствует потоку, добавленномудля пересылки на определенный порт коммутатора (этот поток имеет продолжительность 5 минут).

Проблема в том, что когда контроллер отправляет новый поток в коммутатор / тракт данных, я получаю следующую ошибку:

SimpleSwitch13: Exception occurred during handler processing. Backtrace from offending handler [_packet_in_handler] servicing event [EventOFPPacketIn] follows.
Traceback (most recent call last):
File "/root/SecAPI/Code/lib/python3.5/site-packages/ryu/base/app_manager.py", line 290, in _event_loop
handler(ev)
File "/root/SecAPI/Flasks/Code/SDN/switchL3.py", line 237, in _packet_in_handler
self.add_security_flow(datapath, 1, match, actions)
File "/root/SecAPI/Flasks/Code/SDN/switchL3.py", line 109, in add_security_flow
datapath.send_msg(mod)
File "/root/SecAPI/Code/lib/python3.5/site-packages/ryu/controller/controller.py", line 423, in send_msg
msg.serialize()
File "/root/SecAPI/Code/lib/python3.5/site-packages/ryu/ofproto/ofproto_parser.py", line 270, in serialize
self._serialize_body()
File "/root/SecAPI/Code/lib/python3.5/site-packages/ryu/ofproto/ofproto_v1_3_parser.py", line 2738, in _serialize_body
self.out_group, self.flags)
File "/root/SecAPI/Code/lib/python3.5/site-packages/ryu/lib/pack_utils.py", line 25, in msg_pack_into
struct.pack_into(fmt, buf, offset, *args)
struct.error: 'H' format requires 0 <= number <= 65535

вот мой полный код:

from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER
from ryu.controller.handler import set_ev_cls
from ryu.ofproto import ofproto_v1_3
from ryu.lib.packet import packet
from ryu.lib.packet import ethernet
from ryu.lib.packet import ether_types
from ryu.lib.packet import ipv4
from ryu.lib.packet import tcp
from ryu.lib.packet import udp
from ryu.lib.packet import in_proto
import sqlite3

class SimpleSwitch13(app_manager.RyuApp):
OFP_VERSIONS = [ofproto_v1_3.OFP_VERSION]

def __init__(self, *args, **kwargs):
    super(SimpleSwitch13, self).__init__(*args, **kwargs)
    self.mac_to_port = {}
    self.initial = True
    self.security_alert = False

@set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)
def switch_features_handler(self, ev):
    datapath = ev.msg.datapath
    ofproto = datapath.ofproto
    parser = datapath.ofproto_parser


    match = parser.OFPMatch()
    self.initial = True
    actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER,
                                      ofproto.OFPCML_NO_BUFFER)]
    self.add_flow(datapath, 0, match, actions)
    self.initial = False

# Adds a flow into a specific datapath, with a hard_timeout of 5 minutes.
# Meaning that a certain packet flow ceases existing after 5 minutes.
def add_flow(self, datapath, priority, match, actions, buffer_id=None):
    ofproto = datapath.ofproto
    parser = datapath.ofproto_parser

    inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS,
                                         actions)]
    if buffer_id:
        if self.initial == True:
            mod = parser.OFPFlowMod(datapath=datapath, buffer_id=buffer_id,
                                    priority=priority, match=match,
                                    instructions=inst)
        elif self.initial == False:
            mod = parser.OFPFlowMod(datapath=datapath, buffer_id=buffer_id,
                                    priority=priority, match=match,
                                    instructions=inst,hard_timeout=300)
    else:
        if self.initial == True:
            mod = parser.OFPFlowMod(datapath=datapath, priority=priority,
                                    match=match, instructions=inst)

        elif self.initial == False:
            mod = parser.OFPFlowMod(datapath=datapath, priority=priority,
                                    match=match, instructions=inst,
                                    hard_timeout=300)
    datapath.send_msg(mod)

# Adds a security flow into the controlled device, a secured flow differs from a normal
# flow in it's duration, a security flow has a duration of 2 hours.
def add_security_flow(self, datapath, priority, match, actions, buffer_id=None):
    ofproto = datapath.ofproto
    parser = datapath.ofproto_parser

    #inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS,
    #                                     actions)]
    inst = [parser.OFPInstructionActions(ofproto.OFPIT_CLEAR_ACTIONS, [])]

    if buffer_id:
        mod = parser.OFPFlowMod(datapath=datapath, buffer_id=buffer_id,
                                priority=priority,match=match,command=ofproto.OFPFC_ADD,
                                instructions=inst, hard_timeout=432000)
    else:
        mod = parser.OFPFlowMod(datapath=datapath, priority=priority,
                                match=match, instructions=inst, command=ofproto.OFPFC_ADD,
                                hard_timeout=432000)

    datapath.send_msg(mod)

# Deletes a already existing flow that matches has a given packet match.
def del_flow(self, datapath, priority, match, actions, buffer_id=None):
    ofproto = datapath.ofproto
    parser = datapath.ofproto_parser

    inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS,
                                         actions)]
    if buffer_id:
        mod = parser.OFPFlowMod(datapath=datapath,buffer_id=buffer_id,
                                priority=priority,match=match,instruction=inst,
                                command=ofproto.OFPFC_DELETE)
    else:
        mod = parser.OFPFlowMod(datapath=datapath, priority=priority,
                                match=match, instructions=inst,
                                command=ofproto.OFPFC_DELETE)

    datapath.send_msg(mod)

@set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)
def _packet_in_handler(self, ev):
    # If you hit this you might want to increase
    # the "miss_send_length" of your switch
    if ev.msg.msg_len < ev.msg.total_len:
        self.logger.debug("packet truncated: only %s of %s bytes",
                          ev.msg.msg_len, ev.msg.total_len)
    msg = ev.msg
    datapath = msg.datapath
    ofproto = datapath.ofproto
    parser = datapath.ofproto_parser
    in_port = msg.match['in_port']

    pkt = packet.Packet(msg.data)
    eth = pkt.get_protocols(ethernet.ethernet)[0]

    if eth.ethertype == ether_types.ETH_TYPE_LLDP:
        # ignore lldp packet
        return
    dst = eth.dst
    src = eth.src

    dpid = datapath.id
    self.mac_to_port.setdefault(dpid, {})

    self.logger.info("packet in %s %s %s %s", dpid, src, dst, in_port)

    # learn a mac address to avoid FLOOD next time.
    self.mac_to_port[dpid][src] = in_port

    if dst in self.mac_to_port[dpid]:
        out_port = self.mac_to_port[dpid][dst]
    else:
        out_port = ofproto.OFPP_FLOOD

    actions = [parser.OFPActionOutput(out_port)]

    # install a flow to avoid packet_in next time
    if out_port != ofproto.OFPP_FLOOD:
        #match = parser.OFPMatch(in_port=in_port, eth_dst=dst, eth_src=src)
        # check IP Protocol and create a match for IP
        if eth.ethertype == ether_types.ETH_TYPE_IP:
            conn = sqlite3.connect("database/sdnDatabase.db")
            cursor = conn.cursor()
            ip = pkt.get_protocol(ipv4.ipv4)
            srcip = ip.src
            dstip = ip.dst
            #match = parser.OFPMatch(eth_type=ether_types.ETH_TYPE_IP,ipv4_src=srcip,ipv4_dst=dstip)
            protocol = ip.proto

            # ICMP Protocol
            if protocol == in_proto.IPPROTO_ICMP:
                print("WARN - We have a ICMP packet")
                cursor.execute('select id from knownAttackers where srcaddr =  \"{0}\" and dstaddr = \"{1}\" and protocol = "icmp";'.format(srcip, dstip))
                result = cursor.fetchall()
                match = parser.OFPMatch(eth_type=ether_types.ETH_TYPE_IP, ipv4_src=srcip, ipv4_dst=dstip,
                                        ip_proto=protocol)
                if len(result) == 0:
                    self.security_alert = False
                else:
                    self.security_alert = True

            # TCP Protocol
            elif protocol == in_proto.IPPROTO_TCP:
                print("WARN - We have a TCP packet")
                t = pkt.get_protocol(tcp.tcp)
                cursor.execute('select id from knownAttackers where srcaddr =  \"{0}\" and dstaddr = \"{1}\" and dstport = \"{2}\" and protocol = "tcp";'.format(srcip, dstip, t.dst_port))
                result = cursor.fetchall()
                match = parser.OFPMatch(eth_type=ether_types.ETH_TYPE_IP, ipv4_src=srcip, ipv4_dst=dstip,
                                        ip_proto=protocol, tcp_dst=t.dst_port)
                if len(result) == 0:
                    self.security_alert = False
                else:
                    print("We have a register in the database for this specific packet: {0}".format(result))
                    self.security_alert = True

            # UDP Protocol
            elif protocol == in_proto.IPPROTO_UDP:
                print("WARN - We have a UDP packet")
                u = pkt.get_protocol(udp.udp)
                cursor.execute('select id from knownAttackers where srcaddr =  \"{0}\" and dstaddr = \"{1}\" and dstport = \"{2}\" and protocol = "udp";'.format(srcip, dstip, u.dst_port))
                result = cursor.fetchall()
                match = parser.OFPMatch(eth_type=ether_types.ETH_TYPE_IP, ipv4_src=srcip, ipv4_dst=dstip,
                                        ip_proto=protocol, udp_dst=u.dst_port)
                if len(result) == 0:
                    self.security_alert = False
                else:
                    self.security_alert = True

            else:
                self.security_alert = False
                match = parser.OFPMatch(in_port=in_port, eth_dst=dst, eth_src=src)

            # verify if we have a valid buffer_id, if yes avoid to send both
            # flow_mod & packet_out
            if self.security_alert == False:
                if msg.buffer_id != ofproto.OFP_NO_BUFFER:
                    self.add_flow(datapath, 1, match, actions, msg.buffer_id)
                    return
                else:
                    self.add_flow(datapath, 1, match, actions)

            elif self.security_alert == True:
                if msg.buffer_id != ofproto.OFP_NO_BUFFER:
                    self.add_security_flow(datapath, 1, match, actions, msg.buffer_id)
                    return
                else:
                    self.add_security_flow(datapath, 1, match, actions)


    data = None
    if msg.buffer_id == ofproto.OFP_NO_BUFFER:
        data = msg.data

    if self.security_alert == False:
        out = parser.OFPPacketOut(datapath=datapath, buffer_id=msg.buffer_id,
                              in_port=in_port, actions=actions, data=data)
        datapath.send_msg(out)

вышеупомянутая ошибка появляется в конце метода класса add_security_flow (), когда я пытаюсь установить TCP-соединение, которое идентифицируется как известный злоумышленник, когдаон пытается отправить модификацию потока (datapath.send_msg (mod)) в switch / datapath.

Что я делаю не так?Я пропускаю какую-то переменную?

1 Ответ

0 голосов
/ 07 марта 2019

В списке рассылки контроллера Ryu пользователь по имени IWAMOTO сказал мне, что мои значения hard_timeout были слишком большими для упаковки структуры (2 часа - 7200 секунд, я не знаю, где моя голова, чтобы найти 432000 хаха), после сокращения hard_timeout до 7200 секунд все работало просто отлично.

Всегда проверяйте размер значений, которые вы пытаетесь отправить в канал данных, посмотрите, не превышает ли он 65535.

...