面向SDN拓撲發現的LDoS攻擊防禦技術研究

2021-10-08 16:16:04 字數 2806 閱讀 3635

低速率拒絕服務攻擊(low rate denial of service, ldos)利用網路協議中自適應機制所存在的安全漏洞, 通過傳送週期性的短脈衝資料流,使網路一直處於不穩定狀態。

sdn中ldos攻擊威脅:控制器通過下發封裝有lldp幀的pack_out訊息,通過相鄰交換機之間的鏈路傳遞lldp幀確認鏈路資訊。一旦在一段時間內未接收到經由某條鏈路轉 發的lldp幀報文,則認為該鏈路斷開。因此,利用該機制需要週期性傳送lldp幀的特點,攻擊者可以在探 測lldp幀週期的基礎上,對兩個openflow交換機之間鏈路發起ldos攻擊,造成lldp幀在該鏈路中連續 丟失,進而使得控制器誤以為該鏈路斷開.

控制器會對所有與之連線的交換 機下發匹配lldp幀的流表項。該流表項的優先順序為 100(高優先順序),動作為將匹配到的 lldp 幀封裝進 packet_in訊息中,並傳送給控制器。

控制 器會向與之連線的交換機通過安全通道下發封裝有 lldp幀且動作型別為泛洪的packet_out訊息。交換機 接收到控制器的packet_out訊息後,將封裝的lldp幀 通過其所有埠**出去。當對端交換機從某一埠 接收到乙個 lldp 幀後,根據安裝的匹配流表項,將 lldp幀封裝進packet_in訊息中,**給控制器。基於 該過程,控制器利用下發交換機和上傳交換機的id確 定了鏈路 ,的有效性。

odl控制器會周期性地向所有連線的交換機同時 下發封裝有lldp幀的packet_out訊息,預設週期為5 s,,為每次確認的鏈路設定了乙個到期 時間,若到期未再次確認則認為鏈路斷開,預設到期 時間設定為 15 s。

兩個階段:探測和發起攻擊。

探測

探測階段主要用於探測控制器下發lldp幀的週期t 。

通過連線在sdn交換機上的傀儡機 接收來自交換機**的lldp幀進行週期的計算

ti表示主機第 i 次接收到lldp幀,a 表示間隔抖 動之和的閾值。

其次,攻擊者還需要確定交換機**lldp幀的時間點ti 』

以使得攻擊脈衝能夠正好導致lldp幀在**過程中丟包。

考慮網路時延,主機接收到lldp幀的 時刻要略晚於交換機**lldp幀。

假設交換機s1到主機h1的時延為τ,那麼可以通過ping 另乙個主機得到往返時間d(h1,h2),除以4得到時延τ,所以交換機**lldp幀的時間點為:

除此之外,攻擊者可能通過iperf等工具對網路瓶頸頻寬b以及交換機佇列大小c進行探測,保證最小化攻擊包的傳送速率。

總結:攻擊者得到的引數

名稱符號

控制器下發lldp週期

t交換機**lldp時刻

t』網路瓶頸頻寬

b交換機佇列大小

c需要在 **前一段時間內將交換機的記憶體佔滿,假設時間為l

攻擊流的大小就是

假設共有n臺傀儡機,第一階段內,傳送rattack/n大小的攻擊流,這樣在交換機**lldp幀的時刻到來時,交換機的佇列被佔滿。

第二階段,傳送速率為b/n大小的攻擊流,保證lldp幀被交換機丟棄。

文中提到可以使用的防禦手段

(1)控制 器將下發lldp幀的週期性改為隨機性;

(2)網路管理者採用增加鏈路分流的方式減小交換機每個埠的負載;

(3)在控制器上部署ldos攻擊檢測和防禦模組,對控制器拓撲發現機制進行保護

文中提出了節提出了基於連續突發檢測和主動鏈路識別的防禦機制topoguard通過檢測控制器下發lldp幀時刻附近交換機各個埠的**速率,識別ldos攻擊。

設定乙個**速率閾值thre,如果高於閾值,記錄突發流量,如果m次都高於閾值,觸發警報,傳送資訊到防禦模組。

關於m的取值,控制器在連續link_expire時間內未收到lldp幀會認為鏈路中斷,所以m的取值可以為:

(1)中模組出發警報之後,由防禦模組進行處理。

下一次控制器下發lldp幀之前,防禦模組對受到攻擊的交換機封裝有lldp幀的packet_out訊息,使交換機接受後向收到攻擊的埠**,這樣控制器在鏈路資訊過期前重置計時器。

拓撲管理 拓撲發現 測試異常2

四台裝置成環形,將其中兩台ip設定為相同,檢視拓撲現象 任務 將10.0.51.85裝置的ip設定成10.0.51.86 修改ip時只能去機房設定,無法遠端控制 1 將裝置與電腦相連,裝置接console,連線到電腦後首先要先判定連線電腦的介面,方法如下 進入xshell 進入控制面板 裝置管理 埠...

實驗1 SDN拓撲實踐

能夠使用原始碼安裝mininet 能夠使用mininet的視覺化工具生成拓撲 能夠使用mininet的命令列生成特定拓撲 能夠使用mininet互動介面管理sdn拓撲 能夠使用python指令碼構建sdn拓撲。在虛擬機器中安裝ubuntu 20.04 desktop amd64 在ubuntu系統的...

實驗1 SDN拓撲實踐

實驗難度適中,對於想要快速了解到sdn拓撲簡單搭建的新手是乙個良好的開端。我個人第一次接觸這些還是感到有點小困難,但相信之後慢慢深入學習能對sdn這門課的難度有所改觀。1.對於相關命令 指令的了解程度很淺顯,每一步都要查詢對照學習,效率低。後通過多次反覆練習來記憶,以求達到學以致用。3.完成新增1臺...