CN107438066A - 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 - Google Patents
一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 Download PDFInfo
- Publication number
- CN107438066A CN107438066A CN201710478208.8A CN201710478208A CN107438066A CN 107438066 A CN107438066 A CN 107438066A CN 201710478208 A CN201710478208 A CN 201710478208A CN 107438066 A CN107438066 A CN 107438066A
- Authority
- CN
- China
- Prior art keywords
- packet
- dos
- module
- flow table
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了一种基于SDN控制器的DoS/DDoS攻击防御模块及方法,该DoS/DDoS攻击防御模块维护一个计数器,其记录了过去n秒钟里SDN控制器收到的数据包的数量,并设置了两个阈值,即一级阈值和二级阈值,二级阈值大于一级阈值,当计数器小于一级阈值时,数据包会被传递给默认的处理模块处理,而当计数器超过一级阈值时,则意味者DoS/DDoS攻击的发生,则数据包首先经过DoS/DDoS攻击防御模块进行过滤,此时控制器进入防御模式;当每秒钟接收数据包的数量超过二级阈值时,则意味着发生了更强的DoS/DDoS攻击。该模块可以有效过滤恶意攻击数据包,并保证正常数据包的通信,使得该模块可以在一定程度上抵御针对SDN控制器的DoS/DDoS攻击。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于SDN控制器的DoS/DDoS攻击防御模块及方法。
背景技术
SDN作为一种新的技术,在其快速发展的同时也面临着很多安全问题。正因为SDN架构、体系和协议等方面的设计还不够成熟,安全问题日益突出,DoS/DDoS攻击作为一种传统的攻击手段,对SDN网络的攻击也成为新的威胁。
OpenFlow作为SDN南向协议的一种,在安全方面存在一定的问题,容易造成数据面到控制面之间的DoS/DDoS攻击。攻击者可以生成大量的不规则数据包发送给交换机,而交换机中没有能与这些数据包匹配的流表,这时交换机会发送大量的packet_in消息给控制器。这种DoS/DDoS攻击既消耗了控制器和交换机的缓存空间,又占用了数据面和控制面之间的网络带宽。如果采用多分布式主机进行发送就会产生危害更大的分布式拒绝服务攻击。所以对于SDN环境中的DoS/DDoS攻击进行检测和防御是非常重要的。
发明内容
本发明的目的是克服现有技术的不足,提出一种基于SDN控制器DoS/DDoS攻击防御技术。
本发明解决技术问题所采用的技术方案如下:一种基于SDN控制器的DoS/DDoS攻击防御模块,将SDN控制器中的数据包处理模块设置成DoS/DDoS攻击防御模块,使得所有即将交给数据包处理模块的数据包都会先经过DoS/DDoS攻击防御模块防御模块;DoS/DDoS攻击防御模块维护一个计数器,其记录了过去n秒钟里SDN控制器收到的数据包的数量,n为1-10的正整数,并设置了两个阈值,即一级阈值和二级阈值,二级阈值大于一级阈值,当计数器小于一级阈值时,数据包会被传递给默认的处理模块处理,而当计数器超过一级阈值时,则意味者DoS/DDoS攻击的发生,则数据包首先经过DoS/DDoS攻击防御模块进行过滤,此时控制器进入防御模式;当每秒钟接收数据包的数量超过二级阈值时,则意味着发生了更强的DoS/DDoS攻击。
进一步的,所述DoS/DDoS攻击防御模块部署在SDN控制器中或单独部署。
本发明的另一目的是提供一种基于SDN控制器的DoS/DDoS攻击防御方法,该方法具体步骤如下:
1)防御模块维护一个计数器,其记录了过去n秒钟里SDN控制器收到的数据包的数量,n为1-10的正整数,并设置了一级阈值和二级阈值,二级阈值大于一级阈值。
2)当计数器小于一级阈值时,此时认为没有Dos/DDoS攻击产生,数据包会被传递给默认的处理模块处理。
3)若计数器超过一级阈值,但是没有超过二级阈值时,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则下发Timeout值为之前值两倍的流表;如果不存在,则下发初始Timeout的流表。下发新的流表后,均将这些流表项加入本地缓存,并在B秒后删除。
4)若计数器超过二级阈值时,针对每一个数据包,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则重复步骤3);如果不存在本地缓存,则DoS/DDoS攻击防御模块首先转发数据包,然后下放流表,其给数据包加上了HardTimeout值,记为A秒,所以A秒之后,该流表项将被交换机丢弃;同时,在本地缓存中记录下了该数据包的特征,并设置了B秒的超时时间,这里B要大于A。
5)对于处于DoS/DDoS攻击发生时的正常数据包,通讯将维持一段时间,在A秒之后,流表项被丢弃,数据包再次被传递给控制器,因为本地缓存中该数据包的记录尚未超时,DoS/DDoS攻击防御模块发现该数据包对应的特征已在本地缓存中,所以认定该数据包为合法数据包,下发流表项,此时进一步将流表项的HardTimeout值设置为A*2秒;下次再接收该数据包则进一步增加HardTimeout值,直到某次设置为永久流表项。此时,如果是攻击数据包,在第一个A秒的区间中,会有一次或者多次的相同数据包通过,此时只会有一个流表项,攻击者马上就丢掉了这个随机值,在A秒之后,流表项随即被丢弃,保证交换机中不会出现流表项的堆积溢满,并且在B秒之后,防御模块的本地缓存也会丢弃掉该数据包的特征,保证控制器本身同样不会因为攻击而造成内存的使用溢满。
本发明的有益效果是:本发明提出一种基于SDN控制器的DoS/DDoS攻击防御模块。通过对SDN中上传到控制器的数据包进行有效过滤,剔除恶意攻击数据包,并保证正常数据包的通信,从而在一定程度上抵御SDN环境下的DoS/DDoS攻击。另外,本发明对于不同强度的DoS/DDoS攻击,设置两种不同的阈值,这样设计可以最大化数据包的处理效率,保证网络的正常通信。同时,能够保证处于DoS/DDoS攻击时的正常数据包的通信不受影响,本发明在实现了安全性的同时也提高了保证了有效性。
附图说明
图1为基于SDN控制器DoS/DDoS防御模块工作流程图。
具体实施方式
下面根据附图和实施例详细描述本发明,使本发明的目的和效果将变得更加明显。
本发明提供一种基于SDN控制器的DoS/DDoS攻击防御模块,将SDN控制器中的数据包处理模块设置成DoS/DDoS攻击防御模块,使得所有即将交给数据包处理模块的数据包都会先经过DoS/DDoS攻击防御模块防御模块;DoS/DDoS攻击防御模块维护一个计数器,其记录了过去1秒钟里SDN控制器收到的数据包的数量,并设置了两个阈值,即一级阈值和二级阈值,二级阈值大于一级阈值,当计数器小于一级阈值时,数据包会被传递给默认的处理模块处理,而当计数器超过一级阈值时,则意味者DoS/DDoS攻击的发生,则数据包首先经过DoS/DDoS攻击防御模块进行过滤,此时控制器进入防御模式;当每秒钟接收数据包的数量超过二级阈值时,则意味着发生了更强的DoS/DDoS攻击。本发明的DoS/DDoS攻击防御模块部署在SDN控制器中或单独部署。
如图1所示,本发明的另一目的是提供一种基于SDN控制器的DoS/DDoS攻击防御方法,该方法具体步骤如下:
1)防御模块维护一个计数器,其记录了过去1秒钟里SDN控制器收到的数据包的数量,并设置了一级阈值和二级阈值,二级阈值大于一级阈值。设置多级阈值的目的在于对于不同数量级别的数据包,控制器会采用不同的防御模式。当控制器只接收到数量较少的数据包时,不需要采取复杂的防御措施,以提高控制器处理数据包的效率。
2)当计数器小于一级阈值时,此时认为没有Dos/DDoS攻击产生,数据包会被传递给默认的处理模块处理。
3)若计数器超过一级阈值,但是没有超过二级阈值时,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则下发Timeout值为之前值两倍的流表;如果不存在,则下发初始Timeout的流表。下发新的流表后,均将这些流表项加入本地缓存,并在8秒后删除。
4)若计数器超过二级阈值时,针对每一个数据包,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则重复步骤3),如果不存在本地缓存,则DoS/DDoS攻击防御模块首先转发数据包,然后下放流表,其给数据包加上了HardTimeout值,记为A秒,所以A秒之后,该流表项将被交换机丢弃。同时,其在本地缓存中记录下了该数据包的特征,并设置了B秒的超时时间。这里B要大于A,A一般取1-5之间的正整数,B一般取6-10之间的正整数。
5)对于处于DoS/DDoS攻击发生时的正常数据包,通讯将维持一段时间,所以在A秒之后,因为流表项被丢弃,数据包再次被传递给控制器,因为本地缓存中该数据包的记录尚未超时,DoS/DDoS攻击防御模块发现该数据包对应的特征已在本地缓存中,所以认定该数据包为合法数据包,下发流表项,此时进一步将流表项的HardTimeout值设置为A*2秒;下次再接收该数据包则进一步增加HardTimeout值,直到某次设置为永久流表项。此时,如果是攻击数据包,在第一个A秒的区间中,会有一次或者多次的相同数据包通过,此时只会有一个流表项,攻击者马上就丢掉了这个随机值,在A秒之后,流表项随即被丢弃,保证交换机中不会出现流表项的堆积溢满,并且在B秒之后,防御模块的本地缓存也会丢弃掉该数据包的特征,保证控制器本身同样不会因为攻击而造成内存的使用溢满。
防御模块中设置了另一个更高的阈值,即二级阈值。当此阈值被触发,防御模块将在第一次收到数据包时只进行转发操作,而不下发流表项,同时将数据包的特征如同第一级别一样保存在本地缓存中,并维护一个Timeout值。当该数据包在本地缓存失效前再次被请求,则根据第一级别的处理再下发流表项。此举对于正常数据包只是一个数据包的延时影响。对于攻击数据包,攻击者如果持续攻击,一般情况下不会重复发送数据包,如果缓存后攻击,则时间区间远大于此Timeout值,由此可以过滤掉一部分的攻击数据包。如上两重防御机制,可以在很大程度上保障网络的正常运行。
Claims (3)
1.一种基于SDN控制器的DoS/DDoS攻击防御模块,其特征在于,将SDN控制器中的数据包处理模块设置成DoS/DDoS攻击防御模块,使得所有即将交给数据包处理模块的数据包都会先经过DoS/DDoS攻击防御模块防御模块;DoS/DDoS攻击防御模块维护一个计数器,其记录了过去n秒钟里SDN控制器收到的数据包的数量,n为1-10的正整数,并设置了两个阈值,即一级阈值和二级阈值,二级阈值大于一级阈值,当计数器小于一级阈值时,数据包会被传递给默认的处理模块处理,而当计数器超过一级阈值时,则意味者DoS/DDoS攻击的发生,则数据包首先经过DoS/DDoS攻击防御模块进行过滤,此时控制器进入防御模式;当每秒钟接收数据包的数量超过二级阈值时,则意味着发生了更强的DoS/DDoS攻击。
2.根据权利要求1所述的一种基于SDN控制器的DoS/DDoS攻击防御模块,其特征在于,所述DoS/DDoS攻击防御模块部署在SDN控制器中或单独部署。
3.一种基于SDN控制器的DoS/DDoS攻击防御模块的防御方法,其特征在于,该方法具体步骤如下:
1)防御模块维护一个计数器,其记录了过去n秒钟里SDN控制器收到的数据包的数量,n为1-10的正整数,并设置了一级阈值和二级阈值,二级阈值大于一级阈值。
2)当计数器小于一级阈值时,此时认为没有Dos/DDoS攻击产生,数据包会被传递给默认的处理模块处理。
3)若计数器超过一级阈值,但是没有超过二级阈值时,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则下发Timeout值为之前值两倍的流表;如果不存在,则下发初始Timeout的流表。下发新的流表后,均将这些流表项加入本地缓存,并在B秒后删除。
4)若计数器超过二级阈值时,针对每一个数据包,首先控制器会判断本地是否存在与该数据包相关的流表缓存,如果存在本地缓存,则重复步骤3);如果不存在本地缓存,则DoS/DDoS攻击防御模块首先转发数据包,然后下放流表,其给数据包加上了HardTimeout值,记为A秒,所以A秒之后,该流表项将被交换机丢弃;同时,在本地缓存中记录下了该数据包的特征,并设置了B秒的超时时间,这里B要大于A。
5)对于处于DoS/DDoS攻击发生时的正常数据包,通讯将维持一段时间,在A秒之后,流表项被丢弃,数据包再次被传递给控制器,因为本地缓存中该数据包的记录尚未超时,DoS/DDoS攻击防御模块发现该数据包对应的特征已在本地缓存中,所以认定该数据包为合法数据包,下发流表项,此时进一步将流表项的HardTimeout值设置为A*2秒;下次再接收该数据包则进一步增加HardTimeout值,直到某次设置为永久流表项。此时,如果是攻击数据包,在第一个A秒的区间中,会有一次或者多次的相同数据包通过,此时只会有一个流表项,攻击者马上就丢掉了这个随机值,在A秒之后,流表项随即被丢弃,保证交换机中不会出现流表项的堆积溢满,并且在B秒之后,防御模块的本地缓存也会丢弃掉该数据包的特征,保证控制器本身同样不会因为攻击而造成内存的使用溢满。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710478208.8A CN107438066B (zh) | 2017-06-21 | 2017-06-21 | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710478208.8A CN107438066B (zh) | 2017-06-21 | 2017-06-21 | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107438066A true CN107438066A (zh) | 2017-12-05 |
CN107438066B CN107438066B (zh) | 2020-04-17 |
Family
ID=60458991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710478208.8A Active CN107438066B (zh) | 2017-06-21 | 2017-06-21 | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107438066B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
WO2019148576A1 (zh) * | 2018-02-05 | 2019-08-08 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN110519301A (zh) * | 2019-09-25 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击检测方法及装置 |
CN111614610A (zh) * | 2020-03-31 | 2020-09-01 | 华南理工大学 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
CN112532961A (zh) * | 2020-12-04 | 2021-03-19 | 上海影创信息科技有限公司 | Vr眼镜的延时检测安全提示方法和系统及其vr眼镜 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
US20160036839A1 (en) * | 2014-08-04 | 2016-02-04 | Fujitsu Limited | Controller for software defined networking and method of detecting attacker |
CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
-
2017
- 2017-06-21 CN CN201710478208.8A patent/CN107438066B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160036839A1 (en) * | 2014-08-04 | 2016-02-04 | Fujitsu Limited | Controller for software defined networking and method of detecting attacker |
CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
Non-Patent Citations (2)
Title |
---|
LOBNA DRIDI等: "《SDN-Guard: DoS Attacks Mitigation in SDN Networks》", 《2016 5TH IEEE INTERNATIONAL CONFERENCE ON CLOUD NETWORKING (CLOUDNET)》 * |
张世轩等: "《基于SDN架构的DoS/DDoS攻击检测与防御体系》", 《电子技术应用》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019148576A1 (zh) * | 2018-02-05 | 2019-08-08 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
US11483341B2 (en) | 2018-02-05 | 2022-10-25 | Chongqing University Of Posts And Telecommunications | DDOS attack detection and mitigation method for industrial SDN network |
CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
CN110519301A (zh) * | 2019-09-25 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击检测方法及装置 |
CN111614610A (zh) * | 2020-03-31 | 2020-09-01 | 华南理工大学 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
CN112532961A (zh) * | 2020-12-04 | 2021-03-19 | 上海影创信息科技有限公司 | Vr眼镜的延时检测安全提示方法和系统及其vr眼镜 |
Also Published As
Publication number | Publication date |
---|---|
CN107438066B (zh) | 2020-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107438066A (zh) | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 | |
Zhijun et al. | Low-rate DoS attacks, detection, defense, and challenges: a survey | |
US7043759B2 (en) | Architecture to thwart denial of service attacks | |
US7398317B2 (en) | Thwarting connection-based denial of service attacks | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
CN103916387B (zh) | 一种防护ddos攻击的方法及系统 | |
Foroushani et al. | TDFA: traceback-based defense against DDoS flooding attacks | |
CA2540802A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
CN110166408B (zh) | 防御泛洪攻击的方法、装置和系统 | |
Maheshwari et al. | Defending network system against IP spoofing based distributed DoS attacks using DPHCF-RTT packet filtering technique | |
CN102026199B (zh) | 一种WiMAX系统及其防御DDoS攻击的装置和方法 | |
KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
CN108199898A (zh) | 一种增强LDoS攻击效能的方法 | |
CN103475657B (zh) | 防syn泛洪攻击的处理方法和装置 | |
CN104506559B (zh) | 一种基于Android系统的DDoS防御系统和方法 | |
CN107800711A (zh) | 一种OpenFlow控制器抵御DDoS攻击的方法 | |
Patil et al. | A rate limiting mechanism for defending against flooding based distributed denial of service attack | |
Khanna et al. | Adaptive selective verification | |
CN113765849A (zh) | 一种异常网络流量检测方法和装置 | |
Luo et al. | Optimizing the pulsing denial-of-service attacks | |
CN105592055A (zh) | 一种用于tcp syn flood的防攻击方法和装置 | |
Maheshwari et al. | Mitigation of ddos attacks using probability based distributed hop count filtering and round trip time | |
CN109688136A (zh) | 一种伪造ip攻击行为的检测方法、系统及相关组件 | |
CN104158803A (zh) | 一种针对DDoS攻击的模块化防护检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |