软件定义网络中的DDoS安全研究综述
网络安全中的DDoS攻击防御策略研究
网络安全中的DDoS攻击防御策略研究随着互联网的发展和普及,网络安全问题已经成为人们十分关注的一个领域。
而DDoS攻击则是当前网络安全领域中的一个非常严峻的问题。
DDoS攻击(分布式拒绝服务攻击)是指攻击者通过利用大量的计算机攻击目标服务器或网络,以致目标服务器或网络无法正常工作或处理合法用户的请求。
DDoS攻击造成的影响十分严重,不仅会导致网络崩溃,还可能导致企业的业务停滞,财产损失等一系列问题。
网络安全中的DDoS攻击防御策略研究是目前互联网发展过程中需重点考虑的一个问题。
在当前互联网的环境下,DDoS攻击防御策略缺乏有效的理论支撑和系统化的研究,需要进一步加强研究和理论积累。
一、对DDoS攻击的认识一般认为DDoS攻击是指攻击者通过多个计算机同时对目标服务器或网络发起攻击,以导致目标服务器或网络无法正常工作或处理正常用户请求的一种攻击方式。
根据攻击方式的不同,DDoS攻击分为以下几种:1. 资源消耗类DDoS攻击:这种攻击最为典型的攻击方式是泛洪攻击,即攻击者利用众多的控制计算机,同时向目标服务器发送大量的无意义数据包或请求,以至目标服务器过载,无法提供正常服务。
2. 漏洞利用类DDoS攻击:这种类型的攻击主要是通过攻击目标系统的漏洞,将目标服务器或网络拒之门外,从而达到攻击目标的目的。
3. 伪装类DDoS攻击:攻击者利用众多的计算机控制源地址进行伪装,使得目标服务器无法找到真实的攻击源。
4. 功耗类DDoS攻击:通过对目标服务器进行强制计算等方式,将目标服务器的系统资源耗尽。
二、如何防御DDoS攻击由于DDoS攻击本质上是一种涉及到多个计算机协同攻击的攻击方式,针对这种攻击方式,需要采取一些特殊的防御措施。
以下是一些常用的DDoS攻击防御措施。
1. 网络隔离技术网络隔离技术是一种常见的DDoS攻击防御技术,其原理是通过将目标网络与外界进行隔离,从而防止攻击者攻击目标网络。
这种技术可以有效地避免攻击者通过攻击外部网络对目标网络进行攻击,但是也会对目标网络的商业活动造成一定的冲击。
网络安全中的DDoS攻击检测技术研究
网络安全中的DDoS攻击检测技术研究随着互联网技术的不断发展,网络攻击的威胁越来越大。
特别是DDoS攻击,其打击面广阔,影响范围极广。
因此,网络安全界一直在探索和研究DDoS攻击检测技术,以便更好地保护网络安全。
一、DDoS攻击的概念和特点DDoS攻击是指利用大量的计算机向目标服务器发送请求,从而造成网络拥塞,并使服务器无法正常运行。
DDoS攻击具有以下几个特点:1.攻击强度大。
由于攻击者可以利用大量的计算机来发起攻击,因此DDoS攻击的强度非常大。
2.攻击形式多样。
DDoS攻击可以采用多种方式进行,如HTTP请求攻击、UDP flood攻击、ICMP flood攻击等。
3.攻击目标广泛。
DDoS攻击可以针对任何一个网络节点进行攻击,如Web服务器、路由器等。
二、DDoS攻击检测技术的研究现状目前,网络安全界针对DDoS攻击提出了多种检测技术。
其中,基于主机的DDoS攻击检测技术是比较常见的一种。
基于主机的DDoS攻击检测技术是采用主机上的软件进行检测,主要包括以下几种:1.流量监控技术。
通过监控流量,发现异常流量,从而检测DDoS攻击。
2.入侵检测技术。
通过检测网络中的入侵事件,发现异常情况,从而检测DDoS攻击。
3.异常行为检测技术。
通过对网络中用户的行为进行分析,发现异常行为,从而判断是否存在DDoS攻击。
此外,还有一些基于网络的DDoS攻击检测技术,如基于SNMP监控的检测技术、基于ICMP的检测技术等。
三、DDoS攻击检测技术的发展趋势针对当前DDoS攻击检测技术存在的问题,网络安全界正在研究和开发更加高效、准确、可靠的检测技术。
其中,以下几个方向值得关注:1.机器学习技术在DDoS攻击检测中的应用。
机器学习技术可以通过对历史数据的学习,发现DDoS攻击的规律。
这种技术可以大大提高DDoS攻击检测的准确度和效率。
2.基于云计算的DDoS攻击检测技术。
云计算的出现为DDoS攻击检测技术的发展带来了新的机遇。
计算机网络中的DDoS攻击与防范研究
计算机网络中的DDoS攻击与防范研究随着计算机网络的快速发展和广泛应用,网络安全问题变得愈发突出。
其中,分布式拒绝服务(DDoS)攻击被认为是当前网络威胁的主要形式之一。
DDoS攻击针对网络服务、应用或服务器进行大流量的恶意请求,使其超过承受能力而无法正常工作。
本文将就DDoS攻击与防范进行研究,探究其工作原理和常见防范手段。
一、DDoS攻击的工作原理DDoS攻击主要利用大量的恶意流量淹没目标服务器或网络资源,使其不堪重负而无法正常响应合法用户的请求。
攻击者通常通过控制多个“僵尸”主机或计算机网络的一部分(比如感染的僵尸网络)来发动攻击。
这些僵尸主机或者由于被感染的原因变成了攻击者的“军队”,或者被伪装成合法用户向目标系统发送诸如HTTP请求、SYN Flood请求等。
攻击者利用大量的假冒请求将目标系统的网络带宽、计算资源或处理能力耗尽,导致正常用户无法正常访问或使用被攻击目标。
二、DDoS攻击的类型1. 带宽攻击(Bandwidth Attack):攻击者通过大量的UDP或ICMP包(User Datagram Protocol或Internet Control Message Protocol)淹没目标网络,耗尽其可用带宽,使合法用户无法近乎正常访问。
2. 消耗攻击(Resource Consumption Attack):攻击者通过发送占用大量系统资源的请求(如服务器资源、数据库查询等),耗尽目标系统的计算资源,使其无法响应合法用户的请求。
3. 连接攻击(Connection Attack):攻击者通过创建大量的TCP连接并保持不释放,耗尽目标系统的最大连接数,从而导致合法用户无法建立新的连接。
4. 应用层攻击(Application Layer Attack):攻击者通过发送合法但恶意的应用层请求,如HTTP请求、DNS请求等,使目标服务器的应用程序崩溃或资源耗尽。
三、DDoS攻击的防范手段1. 流量过滤:使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)来监测和过滤入站和出站流量,可以减少恶意流量对网络的影响。
网络安全中的DDoS攻防技术研究
网络安全中的DDoS攻防技术研究随着互联网的普及,网络攻击事件层出不穷,其中最常见的就是DDoS攻击。
DDoS攻击(分布式拒绝服务攻击)是利用多台计算机共同攻击某一目标,目的是使该目标的服务器或网络资源瘫痪。
在互联网的发展中,DDoS攻击成为了网络安全领域的一个重要研究方向。
本文将探讨网络安全中的DDoS攻防技术研究。
一、DDoS攻击原理及类型DDoS攻击的本质是消耗目标资源,使其无法正常服务。
而攻击者通过使用大量虚假的请求来占用目标服务的网络带宽和服务器资源,达到拒绝服务的目的。
DDoS攻击的主要类型包括:1. SYN Flood攻击:利用TCP协议中的SYN连接请求和ACK确认应答占据服务器资源,以达到拒绝服务的目的。
2. UDP Flood攻击:利用UDP协议的数据包不需要建立连接的特性,向目标服务器发送大量数据包,占据其网络带宽和服务器CPU的资源,达到拒绝服务的目的。
3. ICMP Flood攻击:通过发送大量的ICMP协议的请求到目标服务器,使其消耗资源,也是典型的DDoS攻击方式之一。
4. HTTP Flood攻击:在HTTP请求中携带大量数据,使服务器无法处理请求,消耗网络带宽和服务器资源,达到拒绝服务的目的。
二、DDoS攻防技术研究现状1. 备份机制备份机制是一种将目标服务器流量全部转移到备份服务器上的方法,以达到保护目标服务器的目的。
备份机制可以采用主-从机制或者等价多活机制,其中主-从机制通常是在主机崩溃后才启动备份从机;而等价多活机制则是多台服务器共同组成一组集群,通过负载均衡技术将请求分配到不同的服务器上进行处理。
2. 流量限制流量限制是一种通过限制流量的方法防止DDoS攻击的方式。
流量限制可以采用流量整形、流量过滤、流量隔离等技术手段限制流量,达到保护目标服务器的目的。
3. 检测和过滤检测和过滤是一种通过识别攻击流量来过滤DDoS攻击的方式。
通过对流量进行分析和分类,识别DDoS攻击流量,并将其过滤掉,从而达到防御DDoS攻击的目的。
计算机网络中的DDoS攻击与防御技术研究
计算机网络中的DDoS攻击与防御技术研究随着计算机技术的不断进步和发展,网络已经成为现代社会的重要基础设施。
无论是企业还是个人都需要通过网络进行信息传输和数据交互。
但是,网络安全问题也因此愈加重要。
其中,DDoS攻击是网络安全领域中最严重的一种攻击方式之一,本文将重点探讨DDoS攻击及其防御技术。
一、DDoS攻击简介DDoS攻击是分布式拒绝服务攻击(Distributed Denial of Service Attack)的缩写。
其原理是利用大量的计算机(或者物联网设备)形成网络并协同发起攻击。
攻击者可以通过多种手段获得这些计算机的控制权,例如通过恶意软件感染、漏洞利用等方式。
一旦攻击者获得控制权,他们就会利用这些计算机的计算资源和带宽,对目标服务器或网络进行大规模的攻击,导致目标系统或网络崩溃,从而阻止正常的服务请求和响应传输。
DDoS攻击的危害非常大,其主要表现在以下几个方面:1. 网络延迟或不可用:由于DDoS攻击涉及大量的网络流量和攻击请求,一旦目标服务器或网络被攻击,就会导致网络延迟或者完全不可用,严重影响正常的网络服务。
2. 数据泄露或破坏:一些DDoS攻击主要用来实施数据泄露或破坏。
攻击者可以通过漏洞入侵、密码破解或者其他方式获取目标服务器或数据库中的敏感信息,并进行非法使用或销售。
3. 合法用户受到牵连: 由于DDoS攻击会导致目标服务器或网络不可用,合法用户可能受到攻击的影响,而无法正常地使用服务。
二、DDoS防御技术由于DDoS攻击的威胁性极大,各大互联网公司和网络安全企业都开始专门研究DDoS防御技术。
下面将介绍一些常见的DDoS防御技术:1. 流量清洗:流量清洗是一种应对DDoS攻击的最基本和常用的方法。
它通过识别非法流量和正常流量的差异,拦截所有的非法流量,同时确保正常流量能够正常流动。
2. 防火墙和IP黑名单:防火墙和IP黑名单可以帮助目标系统确定哪些IP来自非法源头,从而根据实时威胁情况采取适当的安全措施。
计算机网络安全中的DDoS攻击及防御机制研究
计算机网络安全中的DDoS攻击及防御机制研究随着计算机技术和网络技术的不断发展,计算机网络安全问题也越来越受到人们的关注。
而其中一种最为常见且危害最大的攻击方式是DDoS攻击。
本文就将以此为主题,探讨DDoS攻击的概念、原理和防御机制。
一、DDoS攻击的概念DDoS攻击即分布式拒绝服务攻击(Distributed Denial of Service),是指攻击者通过利用大量的分布在不同地区的“僵尸”主机对目标服务器进行大规模的攻击,从而导致目标服务器的服务瘫痪或无法正常提供服务的一种网络攻击方式。
DDoS攻击由于具有攻击面广、攻击强度大、攻击危害明显等特点,已经成为了当前互联网领域中最为猖獗的一种安全威胁。
二、DDoS攻击的原理DDoS攻击原理的核心即利用分布在不同地区的控制主机(Command and Control, C&C)对多个“僵尸”主机下发攻击指令,从而使得目标服务器的服务能力逐渐降低,直至服务停止或系统崩溃。
DDoS攻击方式一般有以下几种:1.流量攻击(Traffic Attack)此类攻击方式的核心在于利用DNS解析或端口扫描等技术,对目标服务器进行大量的数据请求,使得服务器无法同时响应如此大规模的请求量。
2.普通攻击(Normal Attack)此类攻击方式的核心是利用HTTP协议中的漏洞或者缺陷,利用攻击代码或Ewilwinel等网络蠕虫对目标服务器发起攻击,使其服务能力降低,最终产生拒绝服务或系统崩溃。
3.应用层攻击(Application Layer Attack)此类攻击方式的核心在于利用协议或者编码漏洞,对目标服务器的特定应用程序模块进行攻击,从而导致目标服务器无法响应请求或者产生错误响应,最终瘫痪。
三、DDoS攻击的防御机制1.流量清洗技术对于流量攻击方式进行防御,应用流量清洗技术最为有效。
流量清洗技术通过采用分布式平台、多层次攻击检测、海量数据统计分析等多种技术手段,实现高效、准确的攻击检测和目标流量过滤,从而保证网络通信的快速、畅通和安全。
DDoS攻击研究综述
(3)基于反射器的DDoS
DoS防御方法
Ingress 过滤 traceback pushback 自动化模型(控制器-代理模型) 基于代理网络的解决方案
DOS问题的起因
面向目的地址进行路由 Internet的无状态性 Internet缺乏身份鉴别机制 Internet协议的可预测性(例如,
TCP连接建立过程和拥塞控制)
DoS攻击原理
(1)DoS Degrade the service quality or completely disable the
单的概念。当IP数据包经过Internet路由器,路 由器为数据包增加追溯信息。一旦受害者检测 到攻击,受害者从攻击数据包中提取追溯信息, 使用这些信息重建攻击数据包所经过的路径。 因此,基于数据包标记的IP追溯方案通常由两 个算法组成。一个是运行在Internet路由器上的 包标记算法。另一个是受害者发起的追溯算法, 这个算法使用在接收到的攻击数据包里发现的 标记信息追溯攻击者。
通过代理网络间接地访问应用程序能够提高性能:减 少响应时间,增加可利用的带宽。间接地访问降低性 能的直觉是不正确的。
代理网络能有效地减轻大规模DDoS攻击所造成的影响, 从而证明了代理网络方法的有效性。
代理网络提供了可扩展的DoS-弹性——弹性能被扩展 以应对更大的攻击,从而保持应用程序的性能。弹性 与代理网络的大小成正比例关系,也就是说,在保持 应用程序性能的前提下,一个给定代理网络所能承受 的攻击流量随代理网络的大小线性增长。
国内外研究的现状
1) DHS , NFS在2004年资助几个大学和 公司启动了 DETER(Defense Technology Experimental Research )。这个项目的一 个研究重点就是防御DDoS攻击。 2)信息产业部在2005年公开向产业界招 标防御DDoS攻击系统的设计方案
SDN网络环境下DDoS攻击检测研究
SDN网络环境下DDoS攻击检测研究SDN网络环境下DDoS攻击检测研究随着互联网的普及和网络规模的扩大,网络安全问题日益凸显。
特别是分布式拒绝服务(DDoS)攻击的威胁不断增加,给网络运营商和企业带来了巨大的损失。
传统基于硬件设备的网络结构难以应对这种高强度的攻击。
而软件定义网络(SDN)作为一种新兴的网络架构,通过将网络控制平面与数据平面解耦,提供了更加灵活和可编程的网络管理方式。
在SDN网络环境下,如何有效地检测和缓解DDoS攻击成为了一个迫切需要解决的问题。
一、SDN网络环境下的DDoS攻击DDoS攻击是指攻击者通过多个源发起大量的请求或数据包,造成目标主机或网络资源过载而无法正常工作。
在传统网络中,对于大流量的DDoS攻击,常常需要依靠硬件设备的转发能力和流量过滤功能来检测和缓解攻击。
然而,由于DDoS攻击的特点是具有高强度的流量并且攻击源多样性较大,这种方法往往无法满足实际需求。
而在SDN网络中,控制平面与数据平面的分离使得网络流量的监测和管理更为灵活和可编程。
通过集中管理网络流量和路由,可以更加准确地检测和限制DDoS攻击。
例如,通过在SDN控制器中引入入侵检测系统(IDS),可以实时监测网络流量并识别潜在的DDoS攻击。
此外,SDN网络中的控制平面可以根据监测到的攻击流量,动态地调整路径和资源分配,以减小攻击对网络的影响。
二、SDN网络环境下的DDoS攻击检测方法在SDN网络中,有多种方法可以用于检测DDoS攻击,下面介绍几种常见的方法:1. 流量特征分析:通过对网络流量的统计特征进行分析,可以识别出与正常流量不符的异常流量。
例如,可以使用SDN控制器收集网络流量的包头信息,分析流量的大小、源IP地址、目的IP地址、协议类型等特征,并与正常流量的特征进行对比。
当异常流量的特征超过预定的阈值时,可以判断为可能的DDoS攻击。
2. 基于机器学习的检测方法:机器学习在网络安全领域被广泛应用于异常检测和威胁分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Software Engineering and Applications 软件工程与应用, 2020, 9(1), 1-6Published Online February 2020 in Hans. /journal/seahttps:///10.12677/sea.2020.91001Review of DDoS Security inSoftware-Defined NetworksZhou Deng, Yangyu ZhangCollege of Software, SiChuan University, Chengdu SichuanReceived: Dec. 17th, 2019; accepted: Dec. 30th, 2019; published: Jan. 6th, 2020AbstractSoftware-defined network (SDN) provides a new network architecture that provides flexibility, scalability, and additional security. The control plane is separated from the data plane, the for-warding logic is handled by the switch, and the control logic is deployed in the centralized con-troller. Centralized control of the network can solve many security vulnerabilities and problems, but also brings new problems. This paper firstly introduces the architecture of SDN and the prin-ciple and characteristics of DDoS attack, analyzes and summarizes the characteristics of DDoS at-tack in each layer of SDN, and finally analyzes the existing detection scheme, and proposes the fu-ture research direction according to its shortcomings.KeywordsSDN, DDoS, Network Security软件定义网络中的DDoS安全研究综述邓宙,张扬玉四川大学软件学院,四川成都收稿日期:2019年12月17日;录用日期:2019年12月30日;发布日期:2020年1月6日摘要软件定义网络(SDN)提供了新型的网络体系结构,该体系结构提供了灵活性,可伸缩性和附加的安全性。
控制平面和数据平面分离,转发逻辑由交换机处理,而控制逻辑则部署在集中式控制器中。
网络的集中控制可以解决许多安全漏洞和问题,同时也带来了新的问题。
本文首先介绍了SDN的架构及DDoS攻击原邓宙,张扬玉理和特征,从SDN本身的结构发生DDoS攻击时的特点进行了分析归纳,最后对现有的防御方案进行了分析,针对其不足提出未来的研究方向。
关键词SDN,DDoS,网络安全Copyright © 2020 by author(s) and Hans Publishers Inc.This work is licensed under the Creative Commons Attribution International License (CC BY)./licenses/by/4.0/1. 引言软件定义网络(SDN)在学术界和行业中都越来越流行,通过将控制逻辑与转发设备分离,SDN可以抽象底层基础结构,并为管理员提供虚拟网络层操作系统,以更好地利用和控制其网络。
因此,SDN正在成为数据中心等大规模网络的领先技术,尽管SDN为网络带来了各种迷人的功能和巨大的希望,但它也引入了严重的潜在漏洞和威胁性,在SDN技术暴露的众所周知的漏洞中,分布式拒绝服务(DDoS)攻击是由集中控制逻辑引起的主要威胁,随着越来越多的企业将其应用程序转移到SDN,可以肯定的是,SDN 将遭受传统和新型SDN专用DDoS攻击的热潮。
面对这种不可避免的趋势,有必要对SDN各层中的DDoS 攻击进行全面的分析研究。
本文首先对软件定义网络的主要特点和架构以及OpenFlow的特点进行了说明,然后指出了DDoS 的特点以及在SDN中发送DDoS所体现的特征,并进一步分析并归纳了在SDN中防御DDoS的典型方法的优劣性,最后对未来的研究方向的趋势做出了展望。
2. 软件定义网络定义概述2.1. 软件定义网络在传统的IP网络中,用于协议计算的控制平面与报文数据转发的数据平面同处在同一台设备中,它必须同时操作5000多种分布式协议来促使整个网络变得智能化,一旦加入了一种新的网络协议,那么所有的网络设备必须同时做出相应的变化,而实际上,一种新的协议的落实需定义网络(SDN)就应运而生了。
软件定义网络(SDN)的起源最初是在2006年由Clean State团队作为学术实验开始的,在2008年,由Mckeown教授正式提出了SDN的概念,SDN作为一种新兴起的网络体系结构[1],它的控制平面和数据平面是分离的,网络智能和状态在逻辑上是集中地,底层网络基础结构则是从应用程序中抽象出来的[2],而这样做的好处是使得整个网络根据不断变得流量需求来进行配置和部署,这恰恰是当前网络所不存在的。
根据ONF的定义,SDN可分为三层结构,图1展示了它的体系结构。
应用层:处于SDN体系结构的顶层,为软件开发者提供了开放性可编程的接口,让其可以根据用户的特定需求,进行软件的私有化定制,并且可以让网络管理者通过配置来更灵活地掌控并配置网络。
控制层:SDN的核心层,它的核心组件是由集中式控制器组成,这些控制器负责管理整个业务流,通过编程来对路由、流、数据包做出转发丢弃决策。
基础设施层:也被称为数据平面,该层主要由交换机和路由器等转发设备组成,按照控制层下发的流的转发策略来对流进行转发。
邓宙,张扬玉Figure 1. Basic SDN architecture图1. SDN结构图2.2. OpenFlowOpenFlow协议作为一种规范,实现了SDN的南向接口[2][3][4]。
该协议构成的要素有OpenFlow 控制器、交换机、交换机与控制器之间通道建立的链接,以及交换机中的流表,如图2所示。
当交换机收的新的数据包时,首先会根据流表的顺序来进行匹配,如果匹配成功,就会执行流操作中的相关动作,如果匹配失败,则将消息(PacketIn)转发到控制器,以查询有关新流的信息。
控制平面会制定新的路径转发策略,并向交换机发送消息(PacketOut),以安装新流程的规则。
3. 分布式拒绝服务攻击(DDoS)概述3.1. DDoS攻击原理分布式拒绝服务攻击主要是攻击者利用数量较多的恶意用户来伪造大量的虚假请求来发送到受害端,使得受害端的网络或者系统资源被耗尽,从而无法为合法的用户提供正常的网络服务,导致正常用户的体验下降。
随着大数据的兴起,互联网的规模日益趋大,出于各种各样的利益目的,DDoS攻击发生的频率及规模也逐渐变大,并且DDoS的目标也不是单一的服务器,如图2所示。
Figure 2. Schematic of DDoS attack图2. DDoS攻击原理图邓宙,张扬玉3.2. DDoS攻击分类由于参照的标准不同,DDoS攻击划分的形式多种多样[5][6][7][8][9],本文则是根据带宽消耗和资源消耗来进行划分。
1) 带宽消耗类这这类攻击的特点是攻击者通常是利用协议的漏洞,然后针对漏洞形成畸形的数据包发送到主机,然后导致主机的CPU,I/O等系统资源被耗尽,从而导致其无法提供正常服务。
2) 资源消耗类这类攻击的重点通常都是利用TCP,UDP,ICMP和DNS协议数据包而发起的,特点是攻击者向主机在短时间内发送大量的数据包或者是恶意放大流量来耗尽链路的带宽,它可以分为洪泛攻击和放大攻击。
洪泛攻击包括UDPFLOOD和ICMPFLOOD等,而放大攻击包括DNS反射攻击。
3.3. SDN中的DDoS攻击3.3.1. OpenFlow流重载OpenFlow交换机的特点是在当收到未知数据包时,会想控制器发送请求信息,来获得新的流匹配规则。
但是每个流规则都是有自己严格的生命周期的,一旦超过,则会被另外的流规则所取代。
攻击者恰恰是利用这一特性,生成新的陌生数据包,控制器会为这些新的数据包下发新的流匹配规则,交换机存储流表项的空间有限,这些新的流匹配规则会取代旧的规则,这时,正常的数据包匹配的流规则由于没有空间存储,则会被丢弃。
目前,商用的交换机最多可以匹配2000个流规则。
3.3.2. OpenFlow通道拥塞OpenFlow交换机内部维护着一个较小的三态内容寻址内存器(TCAM),在数据包匹配流表规则的时候,一旦没有匹配到,交换机会将数据包的头部作为Packet-In消息发送到控制器,并将其剩下一部分存储到TCAM中,但是它的空间是有限的,一旦TCAM已满,交换机则会把整个数据包都当做Packet-In 消息发送,由于交换机与控制器之间的安全通道带宽是有限的,最终会导致整个通道拥塞,这样合法的用户数据也无法获得服务。
3.3.3. 控制器过载控制器作为SDN中的核心,有着集中控制的有点同时也容易造成单点故障,这恰恰是DDoS攻击的首选目标。
当大量的假流进入网络时,控制器就会收到许多虚假的“Packet-In”消息,控制器的有限资源将会被耗尽,从而导致整体架构性能降低,甚至瘫痪。
4. SDN中的DDoS防御DDoS对于网络安全的影响越来越大,在SDN环境中进行DDoS缓解正处于研究和探索阶段,大多数的研究都是在借鉴了传统网络中的检测防御方案的基础上,针对SDN的独有特性来进行一系列探索修改。
本节就是针对SDN中的DDoS攻击的防御机制做出介绍分析。
4.1. 流表重载防御Dao等人提出了一种基于源IP过滤的检测方案[10],该方法选取了源IP地址、地址统计计数器、用户平均连接数(k)、最小数据包统计数(n)等4个参数作为检测依据,来对正常流量和攻击流量进行一个分类,如果源IP地址建立的连接数小于k,并且每个连接发送的数据包小于n,那么它就认为该连接为DDoS 连接,然后控制平面会针对该地址下发丢弃规则策略到交换机。