針對(duì)現(xiàn)有技術(shù)對(duì)某些特定分布式拒絕服務(wù)（Distributed Denial of Service, DDoS）攻擊檢測(cè)精度不夠的問題,提出了一種防御軟件定義網(wǎng)絡(luò)（Software Defined Network, SDN）中路由欺騙（Route Spoofing, RS）攻擊的輕量級(jí)解決方案.該方案通過分析路由欺騙產(chǎn)生的原因,在數(shù)據(jù)平面OpenFlow交換機(jī)上設(shè)計(jì)了選擇性阻塞擴(kuò)展模塊,一旦檢測(cè)器發(fā)現(xiàn)RS攻擊,交換機(jī)將生成的報(bào)警包發(fā)送給控制器,控制器通過發(fā)送轉(zhuǎn)發(fā)規(guī)則阻止攻擊者節(jié)點(diǎn)惡意使用其他用戶的活動(dòng)通信路由.仿真結(jié)果表明,本文方法可以有效地檢測(cè)出SDN中的DDoS攻擊,相關(guān)指標(biāo)也充分顯示了解決方案的可行性和正確性. 

【文章來源】：西南師范大學(xué)學(xué)報(bào)(自然科學(xué)版). 2020,45(11)北大核心

【文章頁數(shù)】：6 頁

【部分圖文】：

基于OpenFlow的SDN體系結(jié)構(gòu)示意圖

圖2和表1給出了RS攻擊的一個(gè)實(shí)例. 從表1可以看出, 控制器安裝的規(guī)則是: 源和目標(biāo)IP分別為192.168.1.1和192.168.1.4的端口1將接收到的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到輸出端口3, 源和目標(biāo)IP分別為192.168.1.2和192.168.1.3的端口2將接收到的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到輸出端口4. 假設(shè)主機(jī)2是一個(gè)攻擊節(jié)點(diǎn), 根據(jù)表1中的條目, 攻擊者只能向主機(jī)3發(fā)送數(shù)據(jù). 由于主機(jī)1、 2都連接到交換機(jī), 交換機(jī)連接到S1的端口1上, 因此主機(jī)2可以偽造主機(jī)1的IP地址, 向主機(jī)3發(fā)送數(shù)據(jù), 從而可能導(dǎo)致數(shù)據(jù)平面資源耗盡攻擊.表1 S1交換機(jī)中的轉(zhuǎn)發(fā)表 P_in 端口1 端口2 … SRC_MAC * * … DST_MAC * * … SRC_IP 192.168.1.1 192.168.1.2 … DST_IP 192.168.1.4 192.168.1.3 … … … … … Actions 端口3 端口4 …

本文采用選擇性阻塞模塊來應(yīng)對(duì)RS的攻擊, 該模塊由2個(gè)檢測(cè)單元(IP和MAC欺騙檢測(cè)器)組成, 如圖3所示. 從圖3中可以看到, 在接收到新消息時(shí), IP欺騙檢測(cè)器會(huì)檢查IP欺騙攻擊, 如果未檢測(cè)到IP欺騙, 則將消息轉(zhuǎn)發(fā)到MAC欺騙檢測(cè)器來完成后續(xù)檢測(cè). 如果IP或MAC欺騙檢測(cè)器檢測(cè)出攻擊, 則通知控制器采取進(jìn)一步的措施, 若兩者都沒檢測(cè)到欺騙, 就由交換機(jī)處理數(shù)據(jù)包.IP欺騙檢測(cè)器在檢測(cè)過程中創(chuàng)建一個(gè)表, 該表存儲(chǔ)當(dāng)前活動(dòng)流的IP和MAC地址, 如表2所示. 對(duì)應(yīng)表中每個(gè)條目都包含唯一的〈IP, MAC〉對(duì). 假設(shè)在任何時(shí)間內(nèi)單個(gè)IP地址僅與一個(gè)MAC地址綁定, 因此對(duì)應(yīng)表中〈IP, MAC〉對(duì)的每個(gè)條目都滿足一一對(duì)應(yīng)的映射關(guān)系R: IPi→MACi. 當(dāng)OF交換機(jī)接收到數(shù)據(jù)包時(shí), 運(yùn)行在其上的IP檢測(cè)器將從數(shù)據(jù)包中提取出〈IP, MAC〉對(duì), 并在對(duì)應(yīng)表中檢查其關(guān)系R. 如果網(wǎng)絡(luò)表中不存在該對(duì), 則將其添加. 但是, 如果對(duì)應(yīng)表中存在與多個(gè)不同的MAC地址相關(guān)聯(lián)的IP地址時(shí), 則可斷定存在欺騙攻擊.

【參考文獻(xiàn)】：
期刊論文
[1]SDN中基于條件熵和GHSOM的DDoS攻擊檢測(cè)方法[J]. 田俊峰,齊鎏嶺.  通信學(xué)報(bào). 2018(08)
[2]基于博弈論的SDN主控制器重選機(jī)制[J]. 樊自甫,周凱恒,姚杰.  計(jì)算機(jī)應(yīng)用. 2018(03)
[3]SGuard:A Lightweight SDN Safe-Guard Architecture for DoS Attacks[J]. Tao Wang,Hongchang Chen.  中國通信. 2017(06)



本文編號(hào)：3356706