基于 SDN架构下 DDoS攻击检测与防御方法的研究

赵佳慧 刘莉

山东协和学院 山东济南 250200

摘要：近年来，得益于网络、云计算和5G的不断发展，互联网给极大地便利了我们的生活。与此同时，网络安全问题也变得越来越复杂和严重。黑客攻击和计算机病毒传输，特别是DDoS（Distributed Denial of Service,分布式拒绝服务攻击）攻击，作为将大量流量传输到互联网或其周围环境的恶意企图，中断目标服务器或网络正常流量的基础设施。SDN（Software Defined Network，软件定义网络）成为一种得到广泛应用的新型网络架构。SDN的主要特点是数据传输和控制分离，还有网络虚拟化和开放接口的特点。其主要目的是简化网络的配置和管理，促进网络向动态灵活的方向发展。

关键词：SDN、DDoS、攻击检测、攻击溯源

1. SDN网络架构的介绍及意义

   1. 1. 背景

由于网络的飞速发展，如今传统的网络架构充满了危机，主要挑战是部署和管理传统网络的复杂性、分布式架构的瓶颈、执行流量控制的复杂性以及硬件的非可编程性。网络设备间，大多使用路由交换协议等网络协议来交换信息。大多数网络采用典型的分布式网络架构：设备和设备交换路由信息，然后根据这些信息创建拓扑信息数据库，并根据特定的路由算法计算路径。传统的网管软件只能监控故障，无法检测整个网络的连接状态。常规流量控制软件只能提供区域流量控制和区域流量可视化。而正是这些问题催生了SDN。

1. 2. 介绍

SDN是斯坦福大学Clean Slate研究小组提出的一种新型网络化创新架构，其核心理念是希望应用软件能够参与网络的监控和管理，满足上层业务的需求，通过业务的自动部署，简化网络的运维。SDN是具有集中式软件控制和开放网络的三层架构。应用层忽略网络服务和网络模型的表示；控制层实现网络操作系统的功能，集中管理网络资源；传输层实现分组交换功能。提升全网资源利用率是SDN带来的最大价值，增强网络虚拟化能力，加速网络创新。同时，它还具有自动应用快速部署、按需应用交付和大规模迁移、资源灵活性和支付速度更高、利用率更高的优势。集中部署的控制平面可以完成资源统计、拓扑管理、开通配置、路由计算等功能，获取构建资源利用的网络，隔离不同用户之间的虚拟网络。SDN可以提供一个集中式可编程网络，其中包括一个SDN控制器、北向和南向API。

2. SDN网络架构相关技术

   1. SDN架构

SDN是一种数据管理分离和软件编程的新型网络架构。它使用集中式控制平面和分布式传输平面，这两个平面彼此分开，控制平面使用传输平面上的控制传输接口，网络设备集中管理。这部分控制信令流量发生在控制器和网络设备之间，网络设备在接收到控制信令后生成转发表，并据此确定数据流量的处理，SDN可以通过编写软件灵活调整网络设备的转发性能。它是一种包含多种接口协议的网络架构，其中，南向接口协议用于SDN控制器与SDN控制器之间的通信，北向API用于业务应用与SDN控制器之间的通信。

1. 2. ONF定义的SDN架构

ONF定义的架构由四个平面组成，分别是控制平面、数据平面、应用平面和右侧的控制管理平面。每个平面之间的通信使用不同的接口协议。ONF网络架构实现了传输抽象、分布式状态抽象和配置抽象。

1. 3. OpenFlow协议

开放协议方案（OpenFlow Switch Specification）是目前SDN中实现的开源解决方案。该类方案基于开放的网络协议，实现了控制平面和传输平面的分离，支持控制全球化，行业支持度最高。2008年，SDN和OpenFlow在斯坦福大学一起诞生。SDN架构的核心组件是控制器，在OpenFlow协议运行环境中，所有与控制器通信的网络设备都必须支持OpenFlow协议。如今，SDN控制器已经采用了OpenFlow网络协议，并将OpenFlow网络协议视为他们的标准通信规范。

3. DDoS攻击概述

   1. DDoS攻击介绍

随着网络技术的发展，网络安全问题变得越来越重要。随着互联网的飞速发展，DDoS攻击越来越普遍。DDOS攻击由于实施容易、防范跟踪困难，已成为最棘手的网络安全问题之一，给网络社会造成了很大的危害。同时，DDoS攻击也将成为未来信息战的主要手段之一。 DDoS攻击需要攻击者控制计算机网络才能进行攻击。计算机感染了恶意软件，使每台计算机都变成了僵尸，然后攻击者可以远程控制一组称为僵尸网络的机器人。一旦安装了僵尸网络，攻击者就会向每个机器人发送更新的指令以驱动远程控制。当受害者的IP地址被用作僵尸网络的目标时，每个僵尸程序都会通过向目标发送请求来响应，这可能会淹没目标服务器或网络，从而导致对正常流量的拒绝服务。由于每个机器人都是合法的互联网设备，因此很难将攻击流量与常规流量分开。

1. 2. DDoS攻击分类

DDoS攻击主要分为三种类型：基于流量的攻击、基于连接的攻击和特殊协议缺陷。

1. 1. 1. SYN Flood攻击

这种攻击是最经典的DDoS攻击之一,它首次出现在 1999 年左右。SYN Flood攻击利用TCP三向握手漏洞，以相对较低的成本导致目标服务器无响应且难以跟踪。首先，客户端发送一个包含SYN的TCP报文，该报文将指示客户端使用的端口和TCP连接的起始序列号。然后，服务器一收到客户端的SYN报文,就会返回SYN + ACK报文，这意味着客户端的请求已被接受。最后，客户端也向服务器发回ACK，TCP序列号也加1，经过这三步，TCP连接就建立起来了。为了获得可靠的传输，TCP在三向握手过程中实现了异常处理机制。

1. 1. 2. UDP Flood攻击

UDP Flood 是一种越来越常见的基于流量的DDoS攻击，常见的情况是使用大量UDP报文攻击DNS服务器、Radius认证服务器、流媒体服务器。由于UDP是无连接协议，在UDP Flood 攻击期间，攻击者可以发送大量带有欺骗性源IP地址的小型UDP数据包。但是，由于在UDP端口打开以提供相关服务的情况下未连接UDP，因此可能会攻击相关服务。

1. 1. 3. ICMP Flood攻击

ICMP是TCP/IP协议族的子协议，用于在IP主机和路由器之间传输控制消息。ICMP Flood攻击是一种常见的攻击，需要大量的带宽。该攻击在短时间内向目标主机发送大量ping包，消耗主机资源，当主机的资源耗尽时，它会被损坏，导致受害者无法接受来自合法用户的请求。

4. SDN构架下的DDoS攻击检测方法研究

   1. SDN防御DDoS攻击的优势

由于SDN架构具有强大的集中化、逻辑化管控能力，可以实现快速部署和灵活调度，当攻击发生时，它可以监控网络并动态调度资源来分析流量，并轻松实施防御策略以应对DDoS攻击。可见，围绕DDoS攻击对SDN的优势可以提出一套实用、简单、有效的全局解决方案。此外，随着攻击越来越复杂，识别度高的检测方法意味着更复杂的识别分析算法和更完整的分析模式，以及更完整的数据流采样，而对数据流更为全面采样并不意味着对采样的长度不去限制,所以权衡采样的细节和传输采样结果需要的带宽很有必要。

1. 2. 基于SDN的DDoS自适应防御模型

针对当前网络安全状况，结合SDN架构和实时计算环境，提出了一种基于自适应SDN的DDoS防御模型，以提高攻击检测和防护的速度。该模型分为三层：控制层、网络层和分析层。该模型以DDoS攻击整体流量的某些特征为初始条件，对流量进行自适应采样，调用分析算法识别网络异常，并根据攻击类型自适应生成防护策略。

参考文献：

[1]史淼. 基于SDN的DDoS攻击自适应防御技术研究[D].青岛科技大学，2017.

[2]刘鹏程. 软件定义物联网环境下的DDoS攻击检测与防御方法研究[D].安徽理工大学，2020.

[3]张越. SDN下DDoS攻击检测与防护方法研究[D].长春工业大学，2020.

[4]陈莉. 基于SDN的DDoS攻击检测与防御方法的应用研究[D].西安科技大学，2020.

作者简介：

赵佳慧，女，山东协和学院，网络工程19-01班学生。

刘莉，女，山东协和学院，副教授。

基金项目：山东协和学院2021年实验室开放项目《基于SDN的DDoS攻击检测与防御方法的实验研究》，项目编号2021SYKF41。