当前位置: 代写一篇论文多少钱 > 计算机论文 > 一种新的针对SDN的隐藏DoS攻击探析

一种新的针对SDN的隐藏DoS攻击探析

时间:2018-04-13 09:47作者:羽沫
本文导读:这是一篇关于一种新的针对SDN的隐藏DoS攻击探析的文章,本文讨论了SDN网络中传统Do S攻击方法, 并指出了其会暴露攻击值位置信息的不足。针对该不足, 我们提出了隐藏Do S攻击, 可以在保证攻击效率的前提下, 隐藏攻击者的位置, 甚至绕过现有的防御措施。
  

        摘要:在软件定义网络中, 控制平面和数据平面间的通信开销可以被攻击者利用, 发动Do S攻击来阻塞平面间的通信及消耗控制平面资源, 进而使整个网络瘫痪。针对传统在SDN中的Do S攻击不足进行了改进, 提出了新的隐藏Do S攻击, 在保证攻击效率的前提下, 使得攻击者的位置信息更加隐秘。

  关键词:软件定义网络; DoS攻击; 隐藏DoS攻击; SDN网络;

  软件定义网络被认为是下一代网络。SDN通过将传统网络中的控制平面与数据平面分离, 通过中心化的控制平面来操控整个网络的行为。这个中心化的结果提供了更好的可编程性和可控性。目前, SDN网络已经应用于数据中心等实际场景。

  虽然数据与控制平面的分离带来了众多好处, 但控制平面与数据平面之间的通信也给整个网络带来了额外的负担, 甚至可以被攻击者利用, 来攻击整个网络。

  目前, 已经存在针对SDN的Do S攻击, 其基本原理就是通过伪造数据包来诱发数据平面与控制平面的通信, 从而消耗两平面之间的带宽以及控制平面的计算资源。因为该攻击对攻击者的要求极低 (仅需要多个连接至SDN的计算机) , 容易实施, 所以该攻击得到人们的高度重视, 许多学者提出了众多解决方案。Flood Defender (FD) 通过收集交换机中每个端口的流量来定位攻击者, 并在严重攻击时对高频端口加以控制。

  本文针对SDN的Do S攻击的不足, 容易暴露攻击者位置的弱点加以了改进, 提出了一种新的针对SDN的隐藏Do S攻击。隐藏Do S攻击可以在保证攻击效率的前提下, 隐藏攻击者所在的位置信息, 从而绕过FD等防御机制。

  1 SDN工作机制及Do S攻击

  1.1 SDN工作机制

  在SDN中, 控制平面操控整个网络的各种行为。当一个新的数据包传到数据平面时, 因为该数据包无法与交换机流表中流规则相匹配, 该数据包会被当做未匹配成功包被交换机缓存。为了得到处理该数据包的方案, 交换机会将该数据包包头封装在Packet In (入数据包) 中, 传递至控制器。控制器通过网络管理员在控制器上安装的APP的逻辑来得到处理该数据包的方案, 并且将方案通过Packet Out数据包传回交换机。交换机可以根据控制器所返回的方案来处理所缓存的数据包。此外, 控制器还能通过向交换机添加流规则, 让交换机在下次收到与该数据包属于相同的流的数据包时, 直接处理而不需要询问控制器。

  目前, 应用最为广泛的提供网络转发功能的APP是二层学习APP和三层学习APP, 其原理为:当交换机的端口X收到一个新的数据包时, 如果其流表中不存在目的地址为B的流规则, 就无法了解如何处理该数据包, 并需要向控制器汇报。控制器在收到该数据包对应的入包后, 会“记住”A是在端口X上。控制器会向交换机添加流规则使得所有目的地址为A的流, 都通过端口X转发。同时, 控制器将泛洪作为之前的包的处理方案回复给交换机。

  1.2 针对SDN的Do S攻击

  SDN中数据平面与控制平面的分离虽然提供了极强的可操控性和可编程性, 但是两平面间的通信会给网络造成额外开销, 甚至被攻击者利用来实施Do S攻击, 进而损坏整个网络。其通过生成大量未匹配包来消耗网络资源的攻击。攻击者通过随机生成原地址和目的地址以及数据包中的其他域, 从而保证该数据包有极低的概率可以与交换机流表中的流规则匹配成功。因此, 该数据包会被交换机当作未匹配包, 通过将其包头封装至入包的方式递交给控制器。因此, 当攻击值在短时间内生成大量的未匹配包传至交换机时, 由未匹配包引发的大量入包包会将交换机与控制器之间的带宽耗尽;同时, 因为控制器需要处理每一个收到的入包, 其计算资源也会被大量消耗。该Do S攻击可以瘫痪整个SDN网络, 相比传统网络中针对服务器的Do S攻击, 其危害更大。然而, 当攻击者随机生成未匹配包时, 交换机可以根据其端口的未匹配包频率来准确、快速地确定攻击者位置。因此, 攻击者的身份也极易暴露。

  1.3 现有SDN中针对Do S的防御措施

  根据上节中提到的Do S攻击的不足, 国内外学者提出多种防范机制来降低攻击危害, 比如FD。其中, FD通过将未匹配包数据包转移到其他交换机中, 保护被攻击的交换机的带宽不被大幅消耗。同时, 使用了两步过滤方法, 来确保控制器处理入包的效率, 并且当遭受严重攻击时, 跳转至Block状态来丢弃高频未匹配包端口的未匹配包数据包。然而, 因为该防御措施针对传统Do S攻击来定位攻击者所连接的端口, 所以, 当攻击者的位置信息被隐藏时, 该防御机制无法在严重攻击时保护网络的安全。

  2 隐藏Do S攻击

  针对传统SDN中Do S攻击容易暴露攻击者位置信息的问题, 我们提出了新的隐藏Do S攻击来隐藏攻击者位置, 进而绕过现有的防御机制, 比如FD。在描述新攻击前, 先分析二层/三层学习APP的特点。

  综上所述, 我们可以发现, 交换机转发所根据的流规则与控制器向交换机添加的流规则并不是同一流。数据包A→B同时属于流1 (原地址为A) 和流2 (目的地址为B) 。其引发条件是流1不存在于流表中, 而转发规则应按照流2进行。然而, 学习的过程并不是添加流2, 而是学习流1的性质, 进而添加流3 (目的地址为A) , 从而保证所有向A发送的数据包可以按照流3进行转发。

  根据二层/三层学习APP中触发流和转发流不同的特点, 我们提出了新的隐藏Do S攻击, 在保证攻击效率的前提下, 可以隐藏攻击者的位置信息。在攻击者随机产生数据包时, 攻击者仅伪造可靠连接协议中的源地址域, 而将目的地址域填写已存在的主机信息。因为目的地址很可能存在于交换机的现有流表中, 该数据包不会被当作未匹配包处理, 而是直接按照流表规则发送给目的主机。但当目的主机收到该数据包并产生应答时, 因为应答包的目的地址为随机产生, 该应答包会被认定为未匹配包, 而被传递至控制器。因此, 当攻击者发送大量的源伪造数据包时, 所触发的大量的应答包同样可以消耗数据-控制平面带宽。同时, 因为是应答包是未匹配包, 控制器无法定位攻击者的位置。在FD中, 因为正常主机产生了过量的应答包, FD会认为该正常主机B是攻击者, 而忽略真正攻击者。同时, B会因为防御机制而遭受巨大影响。此外, 攻击者还可以通过选取多个正常主机作为目的地址, 保证每个主机的应答包维持较低的速率来绕过防御机制。

  3 结束语

  本文讨论了SDN网络中传统Do S攻击方法, 并指出了其会暴露攻击值位置信息的不足。针对该不足, 我们提出了隐藏Do S攻击, 可以在保证攻击效率的前提下, 隐藏攻击者的位置, 甚至绕过现有的防御措施。

  参考文献

  [1]S.Gao, Z.Peng, B.Xiao, et al.Flood Defender:Protecting Data and Control Plane Resources under SDN-aimed Do S Attacks[C]in Proc.of the IEEE International Conference on Computer Communications (INFOCOM) , 2017

 

相关文章
联系我们
  • 写作QQ:78307562
  • 发表QQ:78303642
  • 服务电话:18930620780
  • 售后电话:18930493766
  • 邮箱:lunwen021@163.com
  • 微信号:13701839868
    微信二维码
范文范例
网站地图 | 网站介绍 | 联系我们 | 服务承诺| 服务报价| 论文要求 | 期刊发表 | 服务流程