本发明专利技术公开了一种SDN数据中心中防御DDoS攻击的方法,包括流量带宽检测与反馈机制、流量清洗平台攻击流量与合法访问流量分离机制、蜜罐节点攻击流量特征提取与反馈禁止流表机制;本发明专利技术能保证数据中心内的服务器在遭到DDoS攻击时,及时检测出并将发往DDoS攻击目标的所有流量牵引至流量清洗平台;经过清洗后合法访问的包被重新注入网络中,而攻击包被发送至蜜罐节点进行分析并得出访问控制列表对攻击包进行丢弃,从而保证服务器的正常运行、提供服务;本发明专利技术充分发挥SDN的优势,利用全网视图对交接机进行集中控制,动态控制流量的转发与丢弃,在保证防御DDoS攻击的同时还能保证正常用户对服务器的访问,并对攻击者造成DDoS攻击已经成功,服务已瘫痪的假象。
【技术实现步骤摘要】
一种SDN数据中心中防御DDoS攻击的方法
本专利技术涉及一种SDN数据中心中防御DDoS攻击的方法,属于DDoS检测领域。
技术介绍
分布式拒绝服务攻击(DDoS)是传统的拒绝服务攻击(DoS)的升级版本,通过控制多台电脑或智能设备同时对目标发起拒绝服务攻击,使得目标服务器的计算资源或网络资源耗尽,丧失对正常用户的服务能力。如何防御DDoS攻击是网络安全研究中的热点问题,随着电脑及智能设备的普及、网络带宽的不断增加,攻击者可以控制更多的僵尸主机发动DDoS攻击。近年来,DDoS攻击的次数与攻击规模不断增大,攻击的峰值带宽屡创新高。除了提醒用户及时更新系统,安装补丁及安全软件外,在服务器端做好防御DDoS攻击的准备也是很有必要的。软件定义网络(SDN)将控制面与转发面分离,对网络进行集中式管控,其拥有的动态流控、全网视图并能集中控制、网络编程能力和简化的数据平面等特点,能为防御DDoS攻击提供有力的帮助。随着IT技术的快速发展,传统网络的弊端日渐凸显,SDN是未来网络的一个发展方向。现在的SDN研究多集中在网络服务质量(QoS)、抽象资源管控等方面,而在SDN大规模部署的过程中,安全问题也是不得不考虑的重中之重。针对SDN环境的数据中心,我们提出了一种防御DDoS攻击的方法,能够较好的缓解DDoS攻击的影响。防御DDoS攻击主要存在2方面的问题:1)如何实现快速的DDoS攻击检测;2)如何减轻攻击的影响。我们的研究针对上述两个问题提出了一个完整的解决方案。
技术实现思路
本专利技术所要解决的技术问题:采用某些机制保证在服务器遭到DDoS攻击时,系统能及时检测到并采取相关措施在减轻攻击影响的情况下保证正常访问的用户能得到服务。本专利技术所采用的技术方案:一种SDN数据中心中防御DDoS攻击的方法,包括如下步骤:(1)流量带宽检测与反馈:流量信息收集服务器作为旁路设备外挂于SDN网络的核心层,各SDN交换机定时将转发至不同目的服务器的流量信息发送至流量信息收集服务器,由流量信息收集服务器汇总出某一时刻发往每台服务器的流量信息;当发现发往某台服务器的流量大小超过阈值时,则认为这台服务器遭到了DDoS攻击,立即通知控制器;(2)流量清洗平台攻击流量与合法访问流量分离(2.1)控制器接收到某台服务器遭到DDoS攻击的消息后,向交换机下发流表,将转发至攻击目标的所有流量牵引至流量清洗平台;(2.2)流量清洗平台对包进行深度检测,将正常访问的数据包分离出来并重新发往目标服务器,最后将正常访问的数据包与DDoS攻击数据包分开送往蜜罐节点;(3)蜜罐节点攻击流量特征提取、反馈禁止流表:蜜罐节点对正常访问的数据包和DDoS攻击数据包进行对比并提取攻击流的特征,根据特征生成访问控制列表并发送至控制器;控制器根据收到的访问控制列表生成新的流表并下发至交换机,使得DDoS攻击数据包在进入交换机后被丢弃,从而达到减轻DDoS攻击,减轻服务器、流量清洗平台和蜜罐节点压力的效果。进一步地,所述步骤(2.2)具体为:流量清洗平台根据其自身数据库中存储的畸形攻击包特征,对转发来的数据包进行匹配,对于畸形的攻击包进行丢弃并将攻击包的信息发送至蜜罐节点;对于经过第一轮过滤剩下的包,将其分为TCP和UDP两类;针对TCP连接,流量清洗平台代替服务器进行响应回复,但并不为连接请求分配内存和CPU资源,若能收到客户端再次发来的ACK确认,则认为此连接是由正常用户发起的,并将连接转交至真正的服务器,同时将正常用户信息发送至蜜罐节点;若超时仍然无法收到客户端的ACK确认,则认为此连接是由DDoS攻击者发起的虚假连接请求,随后将攻击包的信息发送至蜜罐节点并删除连接;对于UDP类型的包,流量清洗平台对其进行报文分析,当发现有大量的包内容很长或是相似度很高甚至相同,则认为这些包是DDoS攻击的包,随后将这些包的特征及正常UDP信息发送至蜜罐节点并将这些包丢弃,正常的UDP包发送至目标服务器。本专利技术的有益效果是:1、本专利技术作为一种SDN环境下的数据中心中防御DDoS攻击的方法,与传统的防御DDoS攻击的方法不同。充分发挥了SDN的优势,利用全网视图对交接机进行集中控制,动态控制流量的转发与丢弃。从而较好地实现对DDoS攻击的检测与减轻。2、本专利技术的突出优点是在保证防御DDoS攻击的同时还能保证正常用户对服务器的访问,并对攻击者造成DDoS攻击已经成功,服务已瘫痪的假象。附图说明图1为流量带宽检测与反馈流程示意图;图2为流量清洗平台攻击流量与合法访问流量分离流程示意图;图3为蜜罐节点攻击流量特征提取与反馈禁止流表流程示意图;图4为SDN数据中心中防御DDoS攻击方法的整体流程示意图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步详细说明。如图1中所示,流量信息收集服务器作为旁路设备外挂于网络的核心层,各SDN交换机每隔一个固定周期将转发至不同目的服务器的流量信息发送至流量信息收集服务器,由流量信息收集服务器汇总出某一时刻发往每台服务器的流量信息。当发现发往某台服务器的流量大小超过一定的阈值,则认为这台服务器遭到了DDoS攻击,随后通知控制器进行流量牵引。如图2所示,控制器收到某台服务器遭到DDoS攻击的消息后,向交换机下发流表,从而将转发至攻击目标的所有流量牵引至流量清洗平台。流量清洗平台对包进行深度检测,将正常访问的数据包分离出来并重新发往目标服务器,最后将正常访问的数据包与DDoS攻击数据包分开送往蜜罐节点。如图3所示,蜜罐节点对正常访问的数据包和DDoS攻击数据包进行对比并提取攻击流的特征,根据特征生成访问控制列表并发送至控制器。控制器根据收到的访问控制列表生成新的流表并下发至交换机,使得DDoS攻击数据包在进入交换机后被丢弃,从而达到减轻DDoS攻击的效果。实施例1:如图4所示,本实施例的工作流程需要经过以下几个步骤。首先,对流量采用同步定时采样机制。转发面各个交换机节点根据流表将各个流的大小信息发送至流量信息收集服务器进行汇总,生成全局流量信息。当某台服务器遭到了DDoS攻击,转发至其的流量必然增加,如流量信息收集服务器检测到转发至某台服务器(假设地址为10.20.0.1)的流量速率大于500Mbps(该数值的选择可根据服务器的性能、提供的业务及历史访问流量大小而定,可以修改大小),则判定该服务器遭到了DDoS攻击,并立即通知控制器。控制器向转发面设备下发流表,将目的地址为10.20.0.1的包全部转发至流量清洗平台。流量清洗平台根据其自身数据库中存储的畸形攻击包特征,对转发来的数据包进行匹配,对于畸形的攻击包(如:Land、Pingofdeath、Teardrop、WinNuke、TCPFlag等)进行丢弃并将攻击包的信息发送至蜜罐系统。对于经过第一轮过滤剩下的包,将其分为TCP和UDP两类。针对TCP连接,流量清洗平台代替服务器进行响应回复,但并不为连接请求分配内存和CPU等资源,若能收到客户端再次发来的ACK确认,则认为此连接是由正常用户发起的,并将连接转交至真正的服务器,同时将正常用户信息发送至蜜罐系统;若超时仍然无法收到客户端的ACK确认,则认为此连接是由DDoS攻击者发起的虚假连接请求,随后将攻击包的信息发送至蜜罐系统并删除连接。此方本文档来自技高网...
【技术保护点】
一种SDN数据中心中防御DDoS攻击的方法,其特征在于,包括如下步骤:(1)流量带宽检测与反馈:流量信息收集服务器作为旁路设备外挂于SDN网络的核心层,各SDN交换机定时将转发至不同目的服务器的流量信息发送至流量信息收集服务器,由流量信息收集服务器汇总出某一时刻发往每台服务器的流量信息;当发现发往某台服务器的流量大小超过阈值时,则认为这台服务器遭到了DDoS攻击,立即通知控制器;(2)流量清洗平台攻击流量与合法访问流量分离(2.1)控制器接收到某台服务器遭到DDoS攻击的消息后,向交换机下发流表,将转发至攻击目标的所有流量牵引至流量清洗平台;(2.2)流量清洗平台对包进行深度检测,将正常访问的数据包分离出来并重新发往目标服务器,最后将正常访问的数据包与DDoS攻击数据包分开送往蜜罐节点;(3)蜜罐节点攻击流量特征提取、反馈禁止流表:蜜罐节点对正常访问的数据包和DDoS攻击数据包进行对比并提取攻击流的特征,根据特征生成访问控制列表并发送至控制器;控制器根据收到的访问控制列表生成新的流表并下发至交换机,使得DDoS攻击数据包在进入交换机后被丢弃,从而达到减轻DDoS攻击,减轻服务器、流量清洗平台和蜜罐节点压力的效果。...
【技术特征摘要】
1.一种SDN数据中心中防御DDoS攻击的方法,其特征在于,包括如下步骤:(1)流量带宽检测与反馈:流量信息收集服务器作为旁路设备外挂于SDN网络的核心层,各SDN交换机定时将转发至不同目的服务器的流量信息发送至流量信息收集服务器,由流量信息收集服务器汇总出某一时刻发往每台服务器的流量信息;当发现发往某台服务器的流量大小超过阈值时,则认为这台服务器遭到了DDoS攻击,立即通知控制器;(2)流量清洗平台攻击流量与合法访问流量分离(2.1)控制器接收到某台服务器遭到DDoS攻击的消息后,向交换机下发流表,将转发至攻击目标的所有流量牵引至流量清洗平台;(2.2)流量清洗平台对包进行深度检测,将正常访问的数据包分离出来并重新发往目标服务器,最后将正常访问的数据包与DDoS攻击数据包分开送往蜜罐节点;(3)蜜罐节点攻击流量特征提取、反馈禁止流表:蜜罐节点对正常访问的数据包和DDoS攻击数据包进行对比并提取攻击流的特征,根据特征生成访问控制列表并发送至控制器;控制器根据收到的访问控制列表生成新的流表并下发至交换机,使得DDoS攻击数据包在进入交换机后...
【专利技术属性】
技术研发人员:吴晓春,张之阳,王伟明,王钰,
申请(专利权)人:浙江工商大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。