一种防御SDN路由欺骗攻击的轻量级解决方案
发布时间:2021-08-22 01:16
针对现有技术对某些特定分布式拒绝服务(Distributed Denial of Service, DDoS)攻击检测精度不够的问题,提出了一种防御软件定义网络(Software Defined Network, SDN)中路由欺骗(Route Spoofing, RS)攻击的轻量级解决方案.该方案通过分析路由欺骗产生的原因,在数据平面OpenFlow交换机上设计了选择性阻塞扩展模块,一旦检测器发现RS攻击,交换机将生成的报警包发送给控制器,控制器通过发送转发规则阻止攻击者节点恶意使用其他用户的活动通信路由.仿真结果表明,本文方法可以有效地检测出SDN中的DDoS攻击,相关指标也充分显示了解决方案的可行性和正确性.
【文章来源】:西南师范大学学报(自然科学版). 2020,45(11)北大核心
【文章页数】:6 页
【部分图文】:
基于OpenFlow的SDN体系结构示意图
图2和表1给出了RS攻击的一个实例. 从表1可以看出, 控制器安装的规则是: 源和目标IP分别为192.168.1.1和192.168.1.4的端口1将接收到的所有数据包转发到输出端口3, 源和目标IP分别为192.168.1.2和192.168.1.3的端口2将接收到的所有数据包转发到输出端口4. 假设主机2是一个攻击节点, 根据表1中的条目, 攻击者只能向主机3发送数据. 由于主机1、 2都连接到交换机, 交换机连接到S1的端口1上, 因此主机2可以伪造主机1的IP地址, 向主机3发送数据, 从而可能导致数据平面资源耗尽攻击.表1 S1交换机中的转发表 P_in 端口1 端口2 … SRC_MAC * * … DST_MAC * * … SRC_IP 192.168.1.1 192.168.1.2 … DST_IP 192.168.1.4 192.168.1.3 … … … … … Actions 端口3 端口4 …
本文采用选择性阻塞模块来应对RS的攻击, 该模块由2个检测单元(IP和MAC欺骗检测器)组成, 如图3所示. 从图3中可以看到, 在接收到新消息时, IP欺骗检测器会检查IP欺骗攻击, 如果未检测到IP欺骗, 则将消息转发到MAC欺骗检测器来完成后续检测. 如果IP或MAC欺骗检测器检测出攻击, 则通知控制器采取进一步的措施, 若两者都没检测到欺骗, 就由交换机处理数据包.IP欺骗检测器在检测过程中创建一个表, 该表存储当前活动流的IP和MAC地址, 如表2所示. 对应表中每个条目都包含唯一的〈IP, MAC〉对. 假设在任何时间内单个IP地址仅与一个MAC地址绑定, 因此对应表中〈IP, MAC〉对的每个条目都满足一一对应的映射关系R: IPi→MACi. 当OF交换机接收到数据包时, 运行在其上的IP检测器将从数据包中提取出〈IP, MAC〉对, 并在对应表中检查其关系R. 如果网络表中不存在该对, 则将其添加. 但是, 如果对应表中存在与多个不同的MAC地址相关联的IP地址时, 则可断定存在欺骗攻击.
【参考文献】:
期刊论文
[1]SDN中基于条件熵和GHSOM的DDoS攻击检测方法[J]. 田俊峰,齐鎏岭. 通信学报. 2018(08)
[2]基于博弈论的SDN主控制器重选机制[J]. 樊自甫,周凯恒,姚杰. 计算机应用. 2018(03)
[3]SGuard:A Lightweight SDN Safe-Guard Architecture for DoS Attacks[J]. Tao Wang,Hongchang Chen. 中国通信. 2017(06)
本文编号:3356706
【文章来源】:西南师范大学学报(自然科学版). 2020,45(11)北大核心
【文章页数】:6 页
【部分图文】:
基于OpenFlow的SDN体系结构示意图
图2和表1给出了RS攻击的一个实例. 从表1可以看出, 控制器安装的规则是: 源和目标IP分别为192.168.1.1和192.168.1.4的端口1将接收到的所有数据包转发到输出端口3, 源和目标IP分别为192.168.1.2和192.168.1.3的端口2将接收到的所有数据包转发到输出端口4. 假设主机2是一个攻击节点, 根据表1中的条目, 攻击者只能向主机3发送数据. 由于主机1、 2都连接到交换机, 交换机连接到S1的端口1上, 因此主机2可以伪造主机1的IP地址, 向主机3发送数据, 从而可能导致数据平面资源耗尽攻击.表1 S1交换机中的转发表 P_in 端口1 端口2 … SRC_MAC * * … DST_MAC * * … SRC_IP 192.168.1.1 192.168.1.2 … DST_IP 192.168.1.4 192.168.1.3 … … … … … Actions 端口3 端口4 …
本文采用选择性阻塞模块来应对RS的攻击, 该模块由2个检测单元(IP和MAC欺骗检测器)组成, 如图3所示. 从图3中可以看到, 在接收到新消息时, IP欺骗检测器会检查IP欺骗攻击, 如果未检测到IP欺骗, 则将消息转发到MAC欺骗检测器来完成后续检测. 如果IP或MAC欺骗检测器检测出攻击, 则通知控制器采取进一步的措施, 若两者都没检测到欺骗, 就由交换机处理数据包.IP欺骗检测器在检测过程中创建一个表, 该表存储当前活动流的IP和MAC地址, 如表2所示. 对应表中每个条目都包含唯一的〈IP, MAC〉对. 假设在任何时间内单个IP地址仅与一个MAC地址绑定, 因此对应表中〈IP, MAC〉对的每个条目都满足一一对应的映射关系R: IPi→MACi. 当OF交换机接收到数据包时, 运行在其上的IP检测器将从数据包中提取出〈IP, MAC〉对, 并在对应表中检查其关系R. 如果网络表中不存在该对, 则将其添加. 但是, 如果对应表中存在与多个不同的MAC地址相关联的IP地址时, 则可断定存在欺骗攻击.
【参考文献】:
期刊论文
[1]SDN中基于条件熵和GHSOM的DDoS攻击检测方法[J]. 田俊峰,齐鎏岭. 通信学报. 2018(08)
[2]基于博弈论的SDN主控制器重选机制[J]. 樊自甫,周凯恒,姚杰. 计算机应用. 2018(03)
[3]SGuard:A Lightweight SDN Safe-Guard Architecture for DoS Attacks[J]. Tao Wang,Hongchang Chen. 中国通信. 2017(06)
本文编号:3356706
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3356706.html
