• Information Security
软件定义网络中DDoS攻击研究综述
文/高晓楠
摘 击要本文中,我们介绍了DDoS攻击的新趋势和特征,并归纳了使用SDN防御DDoS攻击的防御机制。本文有助于了解如何充分利用SDN的优势来抵御DDoS攻击,以及如何防止SDN本身成为DDoS攻击的受害者,这对SDN避免遭受DDoS攻击至关重要。【关键词】软件定义网络 分布式拒绝服务攻
图1:DDoS攻击流程
近年来随着网络需求的不断增长以及流量模式的不断变化,传统网络体系已经不再适用,SDN架构做为一种新的网络体系产生。在SDN中,控制和数据平面是分离的,网络信息和状态在逻辑上是由控制器集中控制的,应用程序可以实现对底层网络基础设施的抽象。SDN体系结构以其集中监控和资源调配、
安全策略等基本功能增强了网络的安全性,而这些功能在传统网络体系中并不存在。这些特性为SDN在抵御DDoS攻击提供了新的机会。在当下网络环境中,高可用性至关重要,而拒绝服务(DoS)攻击和分布式服务(DDoS)泛洪攻击是破坏网络可用性的主要方法。DoS
攻击或DDoS攻击是企图使其目标用户无法使用网络资源。由于DoS攻击可以被视为一种特殊类型的DDoS攻击,因此在本文的其余部分中,我们只使用术语DDoS攻击来指示DoS和DDoS攻击。虽然SDN的功能(例如,基于软件的流量分析,逻辑上的集中控制,网
<<上接146页
系链接起来(如图1)为自身企业的未来发展和经济实力的提升提供一定的基础,企业成功运用该标准后,也会对企业本身的影响力有一定的提升。增强产品的总体竞争力,不断的创造利润。
2.3 培养自动化技术维护人才
随着我国的经济水平持续向前的提升以
对于电力系统自动化的应用,不仅需要一套科学合理的标准方案,更需要相关的技术人员进行人工管理和控制。因此,电力企业需要招纳一些有着较好的业务能力和相关职业素养的工作人员,并且这些人员不可原地不动,而是需要进行定期的学习,公司要定期对这些人员进行相关知识的培训,使其增强对于各种新型技术等信息的了解和掌握,不断提升自身的各方面的素养和才能,努力跟上时代的进程。企业可以通过定期开展一些有奖类知识竞赛以及其他培训以及交流会等活动,使相关工作人员的工作兴趣提升,激发其学习热情。另外,相关企业还可以进行工作环境的装修和改善,使其能够更加温馨,这会使工作人员具有一定的归属感,愿意将工作岗位当做自己的另一个
及社会的不断进步,我国的各行各业都在不断发展和壮大,其中电力行业就是较为明显的发展企业,而更加快速的发展就为该行业相关企业带来了一定压力和更高的要求。因此,相关的企业要采取适当的措施加强自身企业的综合实力,例如要建立健全相关的电力自动化标准加强自身企业的管理,积极采取较为科学的技术手段,招纳具有一定专业素养和工作能力的企业人才,并且提高企业自身的管理能力,努力使企业自身符合时代发展的速度和要求。通过以上多种手段,提升电力企业自身的综合实力,为国家电网贡献一份力量。
家,并且愿意在此工作为其奋斗,这样一来,员工的工作热情带动其工作的效率和质量,为企业带来更好的发展动力,大大提升了企业的运作效率。
安全问题分析[J].建筑工程技术与设计,2017(24):183-183.
[2] 周晓林.电力系统及其自动化技术的
安全问题分析[J].建筑工程技术与设计,2018(30):4007.
[3]王波.电力系统及其自动化技术的安全问
题分析[J].商品与质量,2017(25):154.[4]范凯.电力系统及其自动化技术的安全问
题分析[J].科技风,2018(31):160,166. [5]俞飞,武永欣.电力系统及其自动化技术
的安全控制问题及策略[J].百科论坛电子杂志,2018(12):534.
3 结语
作者简介
刘江(1983-),男,山西省阳泉市人。2011年1月毕业于兰州理工大学电气工程及其自动化专业,现电气助理工程师,从事电气运行方面工作。
作者单位
参考文献
[1]陈凤朝.电力系统及其自动化技术的
山西西山热电有限责任公司 山西省太原市 030022
214 •电子技术与软件工程Electronic Technology & Software Engineering
络的全局视图以及转发规则的动态更新)使得检测和响应DDoS攻击变得容易,但是SDN中数据平面与控制平面的分离也增加了新的攻击机会。 SDN控制层本身可能成为某些攻击的目标,并且SDN平台上可能存在潜在的DDoS漏洞。例如,攻击者可以利用SDN的特性对SDN的控制层,基础设施层平面和应用层发起DDoS攻击。
1 软件定义网络的特征
1.1 动态流量控制
将网络控制和数据平面解耦,可以方便地设计和执行网络流量控制算法,从而使网络流量控制更加高效。
用此功能,我们可以动态地将恶意网络流与良性网络流分开,而无需像在传统网络上那样安装防火墙。例如,基于IEEE802.1X标准(EAPOL中的EAPOL)扩展的FlowNAC[1],实现了基于流的网络访问控制,并用于评估和分类来自用户的传入帧。1.2 集中控制和网络全局视图
SDN实现了逻辑上的集中控制,这使得使SDN能够及时接收所有网络状态信息,以便监控和提供网络中的任何威胁。CloudWatcher[2]便是利用此功能在基于SDN的云环境上进行安全监控的框架之一。1.3 可编程网络
SDN通过应用程序编程接口(API)提供控制平面可编程性。有了这个特性,网络管理员可以很容易地为安全应用程序制作一个简单的应用程序或算法。Fresco[3]就是一个在SDN的应用层面编写安全应用的例子,FRESCO 部署在开源控制器 NOX 之上,由应用层和安全执行内核两部分组成。同时,它提供了由 Python 脚本语言编写的 API 接口,使得研究人员可以自己编写具有安全监控和威胁检测功能的 Module 安全模块。1.4 数据平面
SDN中数据平面设备只进行分组转发即可,所有指令由控制层下发。数据平面的扩展有AVANT-GUARD[4],通过引入连接迁移和执行触发器模块,当新的数据包到达 SDN 的交换机时,交换机首先检测流表中是否存在与该数据包匹配的流表项。若流表中包含与该数
Information Security •
信息安全
据包匹配的流表项,则交换机按照相应的流表2.2 SDN中的DDoS攻击
项转发该数据包。否则,AVANT-GUARD 便启动连接迁移功能,将相关的数据包信息迁移至(1)在应用层,SDN的北向接口开放性连接迁移模块。
使得恶意代码植入成为了可能。
(2)在控制层,攻击者可以通过发送大2 DDoS攻击概述
量新流,使逻辑集中的控制器带宽资源耗尽,如上文所述,DDoS通过从多个来源发送造成单点失效。
大量的虚假数据包,使服务器变得不可用。早(3)在数据层,攻击方式类似于传统网期DoS攻击属于点对点攻击,只有一个源攻络,通过发送大量数据包阻塞数据传输链路,击者和单个受害者。随着时间的推移,它的攻或者利用协议漏洞造成系统拒绝服务。
击方式逐渐演变为通过控制网络中大量分布式3 DDoS防御技术分析
的傀儡主机同时向受害者发起攻击。即使现在,DDoS攻击也很容易执行,DDoS攻击流程如通常来讲阻止受害者服务器与互联网或图1所示。 主服务器的连接是抵御DDOS攻击的唯一方法。然而阻止源是最困难的方式,因为攻击者2.1 DDoS攻击分类
通过DDoS攻击从大量分布式僵尸主机发起攻DDoS大体可以分为两种类型。击,因此防御是一个具有挑战性的问题。本节,2.1.1 网络层和传输层的DDoS攻击
我们将介绍各种现有的DDOS攻击检测和防攻击者操纵攻击源向目标网络发送大量御方法。
的垃圾流量,致使其可用带宽急剧降低,从而DaMask[5]提出了两个模块:DaMask-D导致目标主机无法与外界进行正常通信,常是基于异常的检测模块,DaMask-M是具见的攻击方法有UDP Flood和ICMP Flood。 有策略选择和日志生成功能的防御模块。UDP Flood攻击使用大量的UDP数据包(随DAMASK-D检测模块采用概率图模型,解机或同一端口)来攻击受害者,而ICMP 决了数据集移位问题。当DaMask-M收到Flood使用ICMP的回显请求数据包来干扰到DaMask-D的警报时,DaMask-M匹配不同攻达受害者的合法流量。击的合适对策,并在网络控制器上为新类型2.1.2 应用层的DDoS攻击
的攻击(未记录在日志数据库中)注册一个即主机资源耗尽型攻击,利用目标主机新的对策策略。T Chin等人提出了类似的方提供的网络服务或者网络协议中的某种特性发法[6]。针对SYN洪水攻击,使用Monitors送超出目标主机处理能力的虚假请求,大量占和Correlators协作来防范。Monitors与用诸如内存、CPU等系统资源。例如SYN泛DaMask-D具有相同的作用,而Correlators与洪攻击,发送大量伪造的TCP连接请求,从DaMask-M具有相同的作用。
而使得被攻击方资源耗尽。
VAVE[7]是对 Source Address Validation Improvements(SAVI)的改进,用于对抗IP
Electronic Technology & Software Engineering 电子技术与软件工程• 215
信息安全
• Information Security
欺骗。VAVE采用OpenFlow协议以全局视角层面。然而这些新特性也增加了新的攻击机解决源地址验证问题,它可以分析网络上的所会,之前针对传统网络的安全工作无法适用于有流量,并动态更新防止IP欺骗的规则。
SDN中,这其中最为显著的威胁就是DDoSCPRecovery[8]提供了SDN控制器的主备攻击。本文有助于了解如何充分利用SDN的份复制方法,可用于从发生故障的主控制器平优势来抵御DDoS攻击,以及如何防止SDN滑过渡到另一个辅助(备份)控制器(复制阶本身成为DDoS攻击的受害者,这对SDN避段),反之亦然(恢复阶段)。这个转换由非免遭受DDoS攻击至关重要。
活动探测器通过状态更新消息进行标记,状态更新消息在两个控制器上交换。这种方法可以参考文献
防止SDN在遭受DDoS攻击时造成单点失效。
[1]J. Matias, J. Garay, A. Mendiola,
FlowTrApp[9]提出了一种流量分析框架,N. Toledo, and E. Jacob, “FlowNAC: 通过对流的速率和流持续时间的统计来识别攻Flow-based network access control,” 击流量。在第一次检测到异常时不会阻止攻击Proc. - 2014 3rd Eur. Work. Software-者,当攻击者频繁发送与合法流量模式不匹配Defined Networks, EWSDN 2014, pp. 的恶意流量时,才会进行阻止。
79–84, 2014.
Belyaev[10]等人引入了新的负载均衡方[2]S. Shin and G. Gu, “CloudWatcher-法,成功增加了DDoS攻击成本。当服务器上NPSec12.”
发生攻击时,负载均衡算法开始重写路由表,[3]S. W. Shin, P. Porras, V. Yegneswara,
使用Bellman-Ford算法定义到端点服务器的最M. Fong, G. Gu, and M. Tyson, “Fresco: 短路径,以分散攻击流量。
Modular composable security services SHDA[11]提出了一种应用层防御机制,for software-defined networks,” 可以检测和防御与合法用户具有类似流量模式20th Annu. Netw. Distrib. Syst. 的慢速HTTP DDOS攻击。SHDA一旦通过检Secur. Symp., vol. 2, no. 1, 2013.测算法发现有不完整的HTTP请求,便会通过[4]S. Shin, V. Yegneswaran, P. Porras,
控制器更新流规则。
and G. Gu, “AVANT-GUARD: Scalable 4 总结与展望
and Vigilant Switch Flow Management in Software-Defined Networks,” SDN网络架构以其集中的网络监控和资Proc. 2013 ACM Conf. Comput. Commun. 源调配、集中的规则控制等功能增强了网络安Secur., pp. 413–424, 2013.
全性,将网络发展推向动态、经济、高效的新
[5]B. Wang, Y. Zheng, W. Lou, and Y. T.
216 •电子技术与软件工程Electronic Technology & Software Engineering
Hou, “DDoS attack protection in the era of cloud computing and Software-Defined Networking,” Comput. Networks, vol. 81, pp. 308–319, 2015.
[6]T. Chin, X. Mountrouidou, X. Li,
and K. Xiong, “An SDN-supported collaborative approach for DDoS
flooding detection and containment,” Proc. - IEEE Mil. Commun. Conf. MILCOM, vol. 2015–December, pp. 659–664, 2015.
[7]G. Yao, J. Bi, and P. Xiao, “Source
address validation solution with OpenFlow/NOX architecture,” Proc. - Int. Conf. Netw. Protoc. ICNP, pp. 7–12, 2011.
[8]P. Fonseca, R. Bennesby, E. Mota,
and A. Passito, “A replication component for resilient OpenFlow-based networking,” Proc. 2012 IEEE Netw. Oper. Manag. Symp. NOMS 2012, pp. 933–939, 2012.
[9]C. Buragohain and N. Medhi,
“FlowTrApp: An SDN based architecture for DDoS attack detection and mitigation in data centers,” 3rd Int. Conf. Signal Process. Integr. Networks, SPIN 2016, pp. 519–524, 2016.
[10]M. Belyaev and S. Gaivoronski,
“Towards load balancing in SDN-networks during DDoS-Attacks,” SDN NFV Next Gener. Comput. Infrastruct. - 2014 Int. Sci. Technol. Conf. - Mod. Netw. Technol. Monet. 2014, Proc., pp. 1–6, 2014.
[11]K. Hong, Y. Kim, H. Choi, and J.
Park, “SDN-Assisted Slow HTTP DDoS Attack Defense Method,” IEEE Commun. Lett., vol. 22, no. 4, pp. 688–691, 2018.
作者简介
高晓楠,硕士研究生。研究方向为SDN安全。
作者单位
南京航空航天大学 江苏省南京市 211106
因篇幅问题不能全部显示,请点此查看更多更全内容