SDN網(wǎng)絡DDoS泛洪攻擊的被動防御措施研究

廖小群?黃華東

摘? 要：分布式拒絕服務DDoS攻擊是當前網(wǎng)絡中主要的黑客攻擊方式，嚴重危害高職院校網(wǎng)絡安全，給學校帶來不少損失。SDN（軟件定義網(wǎng)絡）是一種將數(shù)據(jù)平面和控制平面分離的新的網(wǎng)絡體系結構，普遍應用于云計算環(huán)境中。SDN網(wǎng)絡的控制和決策完全集中在控制器上，這使其容易受到DDoS攻擊。文章先是分析SDN網(wǎng)絡架構的原理和特征，然后創(chuàng)建一個SDN仿真實驗環(huán)境來模擬網(wǎng)絡主機遭受泛洪式DDoS攻擊的情況，最后提出了有效的檢測和防御方法。

關鍵詞：高校;SDN;DDoS;網(wǎng)絡安全;泛洪攻擊

中圖分類號：TP391.9? ? ? ? ?文獻標識碼：A文章編號：2096-4706（2022）06-0097-04

Research on Passive Defense Measures of DDoS Flood Attack in SDN Network

LIAO Xiaoqun， HUANG Huadong

（Guangxi Vocational and Technical College of International Business， Nanning? 530007， China ）

Abstract： Distributed denial of service DDoS attack is the main hacker attack mode in the current network， which seriously endangers the network security of higher vocational colleges and brings a lot of losses to the school. SDN （Software Defined Network） is a new network system architecture that separates data plane and control plane. It is widely used in cloud computing environment. The control and decision-making of SDN network are completely concentrated on the controller， which makes it vulnerable to DDoS attacks. This paper first analyzes the principle and characteristics of SDN network architecture， then creates an SDN simulation experiment environment to simulate the situation of network host suffering from flood DDoS attack， and finally puts forward effective detection and defense methods.

Keywords： colleges and universities; SDN; DDoS; network security; flood attack

0? 引? 言

軟件定義網(wǎng)絡（Software Defined Network， SDN）是由美國斯坦福大學Clean-Slate課題研究組提出的一種新型網(wǎng)絡創(chuàng)新架構，是網(wǎng)絡虛擬化的一種實現(xiàn)方式。其核心技術OpenFlow通過將網(wǎng)絡設備的控制面與數(shù)據(jù)面分離開來，從而實現(xiàn)了網(wǎng)絡流量的靈活控制，使網(wǎng)絡作為管道變得更加智能，為核心網(wǎng)絡及應用的創(chuàng)新提供了良好的平臺。SDN基于控制層和轉發(fā)層的分離架構提高了網(wǎng)絡的全局管理，大大提高了網(wǎng)絡控制的集中性和靈活性，但也隨之產(chǎn)生新的安全問題。控制層開放大量可編程接口給上層應用訪問，北向接口連接建立的控制層與應用層之間的信任關系更加脆弱，使得DDoS攻擊成為可能。

常見的DDoS攻擊防御方法包括主動防御和被動防御。主動防御的方法是，網(wǎng)絡技術人員在DDoS攻擊發(fā)生之前，通過監(jiān)測網(wǎng)絡狀態(tài)采取調(diào)度措施對DDoS攻擊行為事先進行干擾。被動防御的方法是，網(wǎng)絡技術人員檢測到DDoS攻擊時，立刻采取手段對攻擊流量的數(shù)據(jù)進行流量清理和流量過濾。

1? SDN網(wǎng)絡架構

SDN是將網(wǎng)絡分為了三層，即控制層、轉發(fā)層和應用層，如圖1所示。控制層相當于傳統(tǒng)網(wǎng)絡中加了一層，用來實現(xiàn)代碼控制轉發(fā)層，同時留有北向接口面向外部應用。控制器是SDN中的應用程序，實際上是一種網(wǎng)絡操作系統(tǒng)，是網(wǎng)絡的中樞神經(jīng)。控制器通過統(tǒng)一的指令來集中管理轉發(fā)路徑上的所有設備。SDN控制器包括OpenDaylight、Ryu、Floodlight等， 通過編寫代碼實現(xiàn)對轉發(fā)層的控制，如通過Python程序對Open VSwitch交換機的轉發(fā)規(guī)則進行定義。

轉發(fā)層相當于交換機，傳統(tǒng)網(wǎng)絡的交換機，在傳統(tǒng)的網(wǎng)絡中，當主機之間轉發(fā)數(shù)據(jù)時，交換機如何轉發(fā)會根據(jù)轉發(fā)表。轉發(fā)表是通過一種自發(fā)學習的方式來實現(xiàn)，即當主機1連接主機2時，初始狀態(tài)下，轉發(fā)表為空，此時交換機不知道如何轉發(fā)數(shù)據(jù)，就會進行泛洪發(fā)送，主機2收到消息后，轉發(fā)表就會寫入主機1到主機2的轉發(fā)路徑，以此類推就會構建一個完整的轉發(fā)表。而對于SDN的轉發(fā)層，主要功能相當于交換機，但是不同的是，初始轉發(fā)層會有一個默認流表（轉發(fā)表），優(yōu)先級為0，表示當有數(shù)據(jù)轉發(fā)時，由于流表并不知道轉發(fā)方式，0代表交由控制器處理，控制器會進行泛洪，同時流表記錄路徑，最后下發(fā)流表到轉發(fā)層，之后的轉發(fā)根據(jù)流表進行。1DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2

應用層主要是完成用戶意圖的各種上層應用程序，通過連接控制器提供的北向接口進行流表編寫，實現(xiàn)對轉發(fā)層的控制。

2? OpenFlow協(xié)議

OpenFlow是一種新型的網(wǎng)絡協(xié)議，它是控制器和交換機之間的標準協(xié)議。OpenFlow協(xié)議先后經(jīng)歷了1.0到1.4的升級過程。目前1.0和1.3版本的使用最為廣泛。OpenFlow1.3增加了數(shù)據(jù)包處理的動作類型，增加了對多控制器的支持、增加了多級流表、組表、度量等。每個流表是多個流表項的集合，每個流表項主要由匹配域、優(yōu)先級、計數(shù)器、指令、Timeouts、Cookie、Flags組成。

OpenFlow協(xié)議中定義了流水線式的報文處理流程。數(shù)據(jù)包進入交換機后，必須從最小的流表（編號為0）開始按順序匹配。在流水線中，流表只能按編號從小到大向后傳遞，不能回頭。當數(shù)據(jù)包成功匹配到流表中的某一條流表項時，它將首先更新該流表項對應的統(tǒng)計信息（如成功匹配的數(shù)據(jù)包總數(shù)和字節(jié)總數(shù)等），然后是直接執(zhí)行流表項中的動作（action），或者是轉到另外一個流表中（使用GOTO指令）進行匹配，此時跳轉的流表編號必須比原流表要大。當數(shù)據(jù)包在最后一個流表中時，將執(zhí)行對應動作集中的所有動作，包括轉發(fā)到某個端口，修改數(shù)據(jù)包的某個字段、丟棄數(shù)據(jù)包等。當一條數(shù)據(jù)沒有在流水線中匹配成功，這就是一個table-miss，未匹配成功的數(shù)據(jù)包由流表中的table-miss流表項進行處置，可以是：丟棄、傳到另外一個流表或者通過packet-in消息傳給控制器。

3? 泛洪DDoS攻擊

DDoS是英文Distributed Denial of Service的縮寫，中文名叫分布式拒絕服務攻擊，俗稱洪水攻擊。是指多個攻擊者同時攻擊一個或多個目標，或者通過非法手段控制兩臺或兩臺以上的主機，并通過這些傀儡主機發(fā)送命令對特定目標一起實施“拒絕服務”攻擊，發(fā)送大量數(shù)據(jù)包，搶占網(wǎng)絡帶寬，消耗系統(tǒng)資源，使得被攻擊目標無法處理正常的數(shù)據(jù)包，甚至會中斷正常的服務。

Ping Flood泛洪攻擊的基本原理是向受害主機（服務器）發(fā)送大量ICMP數(shù)據(jù)包請求。攻擊者持續(xù)發(fā)送ping命令，并使用ICMP echo請求數(shù)據(jù)包來淹沒目標，使目標主機無法正常訪問流量。此時，從普通用戶的角度來看，主機運行將非常卡頓，甚至沒有響應，嚴重將導致系統(tǒng)癱瘓。

4? SDN環(huán)境模擬仿真實驗

4.1? 實驗相關軟件

由于設備和場地限制，在實際網(wǎng)絡中很難進行SDN相關的實驗，所以SDN的學習就特別需要一個仿真器。Mininet是一個能創(chuàng)建OVS交換機、網(wǎng)絡主機和控制器的網(wǎng)絡仿真器，借助它可以很容易地模擬實際環(huán)境中的網(wǎng)絡控制和結構。在Mininet里利用mn命令就可以快速創(chuàng)建一個SDN網(wǎng)絡，還可以根據(jù)實驗需要選擇不同的控制器（NOX＼POX＼ryu＼Floodlight＼ OpenDaylight等）。同時，Mininet系統(tǒng)兼容性強，可以在不同操作系統(tǒng)上運行。

Ryu控制器是一款完全由Python開發(fā)的開源控制器，支持各種版本的OpenFlow協(xié)議，用戶可以用Python語言在控制器上開發(fā)自己的應用。

開源軟件sFlow-trend能顯示實時的網(wǎng)絡流量趨勢圖，每秒鐘更新一次，軟件的“定義流”描述了如何根據(jù)不同的流量屬性（地址、端口、VLAN、協(xié)議、國家、DNS名稱等）來劃分流量。本次仿真實驗涉及到的軟件都已經(jīng)提前安裝調(diào)試。

4.2? 實驗環(huán)境信息

本次實驗包括一臺物理機及兩臺虛擬機，詳細信息如表1所示。

4.3? 實驗操作步驟

（1）在虛擬機A上切換到Ryu的APP目錄下，通過輸入如命令：ryu-manager ofctl_rest.py simple_switch.py，啟動Ryu控制器。其中simple_switch.py模塊是一個簡單的OpenFlow交換機，ofctl_rest.py是為了打開控制器的北向接口供postman連接使用。

（2）在Mininet仿真器上構建網(wǎng)絡拓撲如圖2所示，并設置控制器為遠程控制器虛擬機A。輸入命令如下：

mn --topo=single，3 --controller=remote，ip=192.168.9.23，port=6633

（3）配置 sFlow-trend。 在虛擬機B上運行sFlow-trend：sudo docker run -p 6343：6343/udp -p 8008：8008 sflow/flow-trend。然后配置sFlow-trend，這樣才能收集到流量信息進行分析和呈現(xiàn)，輸入命令：sudo ovs-vsctl -- --id=@sflow create sflow agent=s1-eth0 target=＼"127.0.0.1：6343＼" sampling=10 polling=20 -- -- set bridge s1 sflow=@sflow，其中是s1-eth0是連接網(wǎng)絡主機h1的網(wǎng)卡接口。然后在物理機U1上的edge瀏覽器打開網(wǎng)址：192.168.9.18：8008/app/ flow-trend/html/ index.html，然后在Keys輸入：ipsource， ，在Value列輸入bps ，然后點擊右面的 Submit提交，將自動轉到圖形化流量監(jiān)控頁面。此時看到流量的速度是正常的。

（4）在物理機U1上運行postman，利用get操作可以獲得已有的流表，所以訪問網(wǎng)址填寫：http：//192.168.9.23：8080/stats/flow/1，功能選擇get方式，點擊send后，如果成功發(fā)送回返回200OK，并且在Body里面顯示出流表，得到dpid、priority、timeout、cookie、port等字段的值。1DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2

（5）模擬發(fā)起泛洪式 DDoS 攻擊。在mininet終端下，將h1（IP地址：10.0.0.1）作為攻擊者向h3（IP地址：10.0.0.3）進行ping flood攻擊，用來模擬DDoS泛洪式攻擊。在mininet終端下，輸入命令h1 ping -f h3，-f的意思就是泛洪攻擊。從圖3可以看出當，命令執(zhí)行后，監(jiān)測s1-eth0的傳輸流量劇增。

（6）在物理機U1上使用Postman下發(fā)流表抵抗DDoS攻擊。為了抑制攻擊流，我們通過下發(fā)流表以控制從交換機的端口1經(jīng)過的流量，首先在postman中，訪問網(wǎng)址為192.168.9.23：8080/stats/flowentry/add，功能選擇post方式，在Body中選擇raw進行流表的編寫，代碼見圖4。

dpid代表交換機的編號，priority表示優(yōu)先級，優(yōu)先級數(shù)字越大表示越優(yōu)先處理，在match寫入的in_port代表交換機輸入端口為1的端口，在本實驗中也就是交換機連接H1的端口，actions中為空，表示交換機對于H1的流量不作任何處理。在抑制ICMP的流量同時，為了確保http服務的正常運行，加上dl_type字段和nw_proto字段，其中，dl_type字段代表IP協(xié)議，其中2048代表IPv4協(xié)議，nw_proto代表IP協(xié)議上搭載的協(xié)議類型，其中1代表ICMP協(xié)議。編寫完成后，點擊send進行流表下發(fā)，如果發(fā)送成功會返回200OK。通過postman進行流表下發(fā)之后，再次進行測試，從圖5發(fā)現(xiàn)H1對H3的ping泛洪攻擊失效，而H1對H3的正常的http訪問沒有受到影響。

5? 結? 論

本文在SDN 網(wǎng)絡仿真實驗環(huán)境中，結合使用Ryu控制器、Postman和sFlow-trend流量監(jiān)控等軟件，展示了拓撲創(chuàng)建、DDoS泛洪攻擊、流量監(jiān)測、流表下發(fā)等過程。利用sFlow-trend軟件對網(wǎng)絡流量情況進行了實時的檢測和圖像顯示，最后通過下發(fā)流表到交換機的方式來抵御DDoS攻擊，效果明顯，對真實網(wǎng)絡安全防御具有一定的參考意義。

參考文獻：

[1] “科普中國”科學百科.軟件定義網(wǎng)絡 [EB/OL].[2022-01-10].https：//baike.baidu.com/item/軟件定義網(wǎng)絡/9117977.

[2] 錢振勇.基于mininet平臺模擬SDN架構對DDoS的研究 [J].電腦與電信，2021（7）：60-63.

[3] 陳飛.SDN中的DDoS攻擊防御方法研究 [J].信息與電腦（理論版），2018（12）：216-217.

[4] 陳鐳，楊章靜，黃璞.軟件定義網(wǎng)絡環(huán)境下DoS攻防實驗設計 [J].實驗技術與管理，2021，38（2）：53-57.

[5] 龔冉.基于SDN的負載均衡和DDOS攻擊檢測技術的研究 [D].合肥：安徽大學，2016.

[6] 萬凡. SDN環(huán)境下的DDoS攻擊檢測技術與防護機制研究 [D].成都：西南交通大學，2018.

作者簡介：廖小群（1983—），男，漢族，廣西全州人，講師，網(wǎng)絡工程師，碩士，研究方向：高職教育信息化、計算機網(wǎng)絡安全技術;黃華東（1978—），男，壯族，廣西巴馬人，工程師，本科，研究方向：計算機網(wǎng)絡技術及信息安全。

收稿日期：2022-02-20

基金項目：2021年度廣西高校中青年教師科研基礎能力提升項目（2021KY1251）1DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2