针对SDN基础设施的拒绝服务攻击防护框架
为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.
软件定义网络 拒绝服务攻击 源地址验证 数据包监控
张梦豪 毕军 白家松 王旸旸
清华大学网络科学与网络空间研究院,北京100084;清华大学计算机科学与技术系,北京100084;清华信息科学与技术国家实验室,北京100084 清华大学网络科学与网络空间研究院,北京100084;清华信息科学与技术国家实验室,北京100084
国内会议
济南
中文
1-8
2017-11-19(万方平台首次上网日期,不代表论文的发表时间)