原文

1.DoS攻击

DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源、网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务。在SDN网络的集中式架构中,控制器是天然的网络中心,负责整个网络的管理和控制工作,很容易成为DoS攻击的目标。

1.1 SDN 网络下的 DoS 攻击

在OpenFlow网络架构中,控制器是网络的核心,承担了整个网络的控制管理工作;控制器需要对整个网络进行不同粒度的管理,网络本身的数据传输需求会对控制层面造成不小的压力;尤其当存在恶意攻击时,控制层面甚至可能无法对合法用户的请求做出响应,形成DoS攻击。虽然目前已有流表合并技术等研究方向能够缓解转发规则过细带来的压力,但是恶意攻击者只需修改数据包头部,增
加流表合并难度,仍会对整个网络造成严重影响。

1.2 饱和攻击

在众多DoS攻击中,有一种攻击为SDN网络所特有;Seungwon Shin将其命名为数据层到控制层的饱和攻击,简称为饱和攻击。该攻击的理论依据及造成的危害具体如下。
当新的流请求到达OpenFlow交换机后,交换机会将该数据流的第一个报文信息与交换机内部的转发规则进行匹配。当所有的流表都不存在与该数据流相匹配的转发规则且交换机设置为reactive模式时,数据包会被交换机封装到Packet-In消息中,并上发给控制器;由控制器进行路由计算并通过Packet_Out消息向交换机下发新的转发规则。当攻击者同时通过不同的交换机,持续地向网络中发送大量交换机无法匹配的数据流,会造成控制器与交换机同时忙于处理攻击者发送的非法数据流,造成无法满足正常用户的合法请求,从而导致DoS攻击。Seungwon Shin提出,在这种机制下,会产生两种攻击效果;首先是由于同时请求的报文过多,大量消耗控制器资源,导致正常数据流的请求无法得到服务或者服务受到影响;其次,由于攻击者伪造了大量的数据流,控制器会向转发层面的交换机发送大量无用的转发规则,导致交换机无法存储正常数据流的流表信息。除此之外,大量报文会占用连接控制器的链路,进一步令正常服务请求难以得到响应。此攻击利用了SDN网络的集中式架构,实施难度小,攻击者只要产生大量无法匹配流表的报文,就能达到同时消耗控制层面资源与数据层面资源的目的。上述方案常见的具体实施方法有两种,一是利用ARP协议,由于OpenFlow交换机只具有简单的转发功能,交换机在收到ARP请求后,会向控制器转发询问,攻击者可以向交换机发送大量伪造的ARP请求实现对控制器的攻击。另一种是利用ICMP报文,当攻击者不断修改自身IP地址,并向网络发送大量ICMP报文,会形成大量新的数据流,导致交换机不断向控制器发送报文,形成DoS攻击。以上两种方式属于利用OpenFlow协议的特点对SDN网络实施攻击的范例。

1.3常见DoS攻击检测方案

主要包括异常流量检测与数据分析检测。

异常流量检测是最常见的一类攻击检测方式。针对DoS攻击的异常流量检测方案可以分为两类**