随着智能手机、电子产品、手持设备的普及，网络流量正以指数速度增长。这种不断增长的流量需要开发用于视频流的新协议和服务、提高服务质量(QoS)、处理移动性等。然而，当前的IP网络具有静态架构。数据包的控制和转发规则嵌入在包转发设备中。现有网络的这一特性使其难以合并新的更改，因为任何更新都必须在每个转发设备上单独完成。除此之外，在现有的网络基础设施中，从构思一个新思路到设计、仿真、测试、实施，最后在实际场景中部署所耗费的时间是非常大的。

为了支持不同应用的动态需求，网络应该易于配置和适应。软件定义网络(SDN)为网络提供了灵活性。SDN将数据平面(DP)和控制平面(CP)分开。这一特性使得SDN有别于传统网络中决策和转发能力在转发设备中耦合在一起。CP有一个管理网络的控制器。DP由路由器和交换机组成。控制器负责做出转发决定并将其传播到路由器、交换机。路由器、交换机是哑的，只剩下转发能力。分离使网络易于维护和重新配置。例如，如果必须引入新政策，则仅需要在CP中进行修改。任何更新都不需要更改DP。

1、SDN架构简介

SDN架构分为数据转发层、控制层和应用层。SDN的分层架构如图1.1所示。下面讨论每一层的功能：

1.1 数据转发层

它由相互连接的分组交换机组成。分组交换的基本功能是将到达的分组转发到下一跳。每个交换机都包含一个流表来做出转发决策。流表中的条目具有一组标头字段值、一组计数器和一组操作。标题由11个字段组成，如图所示。与路由器只关心数据报的IP报头的传统网络不同，在开放流匹配的情况下，来自三层的选定字段用于匹配。也就是说，在传统网络的情况下，链路层帧包含网络层数据报作为其有效载荷，而网络层数据报又包含传输层段作为其有效载荷。

中间设备工作在相应的层次。但是，启用开放流的设备既可以作为转发数据的路由器，也可以作为转发帧的交换机，因为来自上三层的某些字段对开放流交换机是可见的。此外，并非IP头中的所有字段都需要匹配。例如，OpenFlow(OF)不允许基于TTL字段或数据报长度字段进行匹配。如果传入数据包的字段值与流表中的条目匹配，则可以将数据包转发到特定的物理端口、广播到所有端口或通过一组选定的端口进行多播。

1.1 SDN层架构

1.2 控制层

控制层被称为“SDN的大脑”。控制器管理整个网络。控制器中的软件为每个数据包决定要遵循的路由，并将其传播到数据包交换机。控制器和分组交换机之间的通信是通过OF协议的南向接口(SBI)完成的。两个控制器通过东西向API进行通信。

1.3 应用层

该抽象层定义了网络管理所需的部署在SDN控制器(SDN-C)上的一组应用程序。此类应用的示例包括安全实施、流量监控、负载平衡、网络虚拟化等。控制器通过其“北向”接口与应用层通信。

2、SDN中DDoS攻击的目标点

SDN与传统网络不同的一个重要特征是数据和CP的解耦。此功能能够以更灵活和更有效的方式保护网络。控制器知道整个网络。跟踪网络中发生的异常活动变得非常容易。此外，如果检测到恶意活动，可以改变网络的行为。然而，同样的可编程特性被恶意用户视为具有吸引力的蜜罐。任何有权访问托管软件的服务器的程序员都可以控制网络。我们重点介绍了可作为漏洞在SDN中进行DDoS攻击的目标。图2.1展示了对SDN基础设施的DDoS攻击的目标点。

2.1 SDN交换机

开放式流量开关的存储能力有限。恶意用户可能会通过不断发送数据包来轰炸交换机。对于恶意数据包，相应的条目在流表中将不可用。交换机会不断地将数据包发送到控制器。但是，由于交换机内存有限，无法在短时间内处理完所有的数据包，导致溢出。因此，真正的请求会受到影响。

2.2 SDN控制器和交换机之间的通信链路

在流表中没有找到对应匹配的数据包被转发到SDN-C。控制器通过SBI以数据包的形式发回新流。控制器和交换机之间的链路很可能受到损害。这可能导致篡改流规则并最终导致数据包的错误方向。

2.1 DDoS攻击的目标点

2.3 两个控制器之间的通信链路

东西向接口用于两个控制器之间的通信。与SDN-C和交换机之间的通信链路漏洞类似，控制器之间的链路也容易受到中间人（MITM）攻击。

2.4 SDN交换机之间的通信链路

流数据包从一个交换机遍历到下一个交换机。通常，流没有加密，因此很容易受到攻击。

2.5 SDN控制器

这是迄今为止对SDN基础设施的最大威胁。控制器是SDN的大脑，控制着整个网络的功能。任何类型的攻击，例如DDoS攻击或控制服务器的恶意尝试都可能使整个网络瘫痪。这是因为OF?开关只执行控制器给出的命令。正在执行的逻辑对于开关来说是抽象的。

2.6 应用

SDN-C实现了负载均衡、流量监控、路由等各种应用。这些应用一般都是由一些第三方服务商实现的，不关心安全需求。当SDN-C通过北向接口(NBI)调用这些服务时，恶意条目可能会被注入SDN-C。

3、防御SDN中的DDoS攻击

SDN容易受到多种类型的DDoS攻击。路由逻辑与转发的分离使得SDN容易受到不同的威胁。有多种方法可以检测和缓解SDN上的DDoS攻击。解决方案可以大致分为基于DP、基于CP和协作方法。

3.1 应对数据平面(DP)攻击的防御机制

DP由OF交换机组成，这些交换机容易受到DDoS攻击，特别是基于泛洪的攻击。这是因为，SDN交换机的TCAM有限。使用数据包连续爆炸交换机会减慢处理能力并最终停止提供的服务。在这方面已经提出了研究工作（Xuetal.,2017;Durneretal.,2017）。

所提出的工作（Xuetal.,2017）是基于这样的概念，即攻击者选择空位相对较少的交换机作为目标。攻击者更喜欢中间的开关而不是端点。作者使用了三种不同的流特征来检测攻击。一旦检测到攻击，就会在控制器中实施基于令牌桶的算法来减轻攻击。工作中讨论了检测和缓解策略。OpenDayLight(ODL)控制器和OpenvSwitch已用于模型的仿真。

提出的工作（Durner等人，2017年）还侧重于检测和缓解DoS攻击。检测方法基于流表中的头字段分析。控制器使用散列技术维护可疑标头列表。生成的新规则将可疑标头列表记入帐户。使用OMNeT++模拟检测。

3.2 应对SDN控制器(SDN-C)上的攻击的防御机制

CP是SDN的一个重要部分。控制器上的任何恶意活动都可能导致整个网络崩溃。SDN-C是单点故障，是DDoS攻击最方便的目标。因此，采取适当的措施来检测和缓解DDoS攻击变得至关重要。大多数研究工作（Mousavi和St-Hilaire，2015；Sahoo，2018；Wang，2018）都试图在DDoS攻击的情况下尽量减少控制器的资源饱和。

提出的研究工作（Mousavi和St-Hilaire，2015年）基于使用熵方法检测DDoS攻击。熵是窗口大小和阈值的函数。阈值由作者定义。如果熵超过某个阈值，则会生成警报。所提出的模型是为单控制器架构设计的。

Sahoo(2018)还提出了一种基于熵的方法来识别在控制器上进行的低速率攻击。来自flo表的统计特征用于检测DDoS攻击。所提出的工作使用熵和概率分布之间的信息距离来检测DDoS攻击。

提出的研究工作（Wang，2018）提出了一种称为SDNmanager的DDoS防御技术，它可以根据流量统计信息更新网络。所提出的模型分析流量统计信息，使用这些统计信息预测流量带宽并更新网络。所提出的模型针对各种类型的DDoS攻击进行了测试。还提出了一种针对多控制器环境的动态控制器调度（DCS）策略，该策略可以根据控制器负载进行自适应。该模型能够防止单个和多个控制器的故障。

还提出了减轻多控制器SDN场景中的DDoS攻击（Macedo等人，2016年）。作者提出了一种称为PATMOS的方法，它执行三个功能：搜索瓶颈、选择控制器和组合。该算法首先找到被淹没的控制器。在选定的控制器中，选择了一个领导者。最后，控制器集群以协作解决DDoS攻击。使用基于遗传算法的策略来寻找每个控制器中最多的控制器来处理溢出的流量Zhang(2016)使用多层公平排队策略来保护控制器处的资源饱和。控制器的资源通过队列共享。队列可以根据情况进行调整。例如，队列可以在受到攻击时扩展和收缩，在正常流量时再次收缩。

3.3 基于跨平面的防御机制

在SDN基础架构中，控制器负责管理网络。流规则由控制器决定并传播到交换机。此功能有其自身的好处，但最大的挑战是在检测攻击时引入了延迟。因此，有人建议（Han，2018；Kalkan，Gur和Alagoz，2017；Boite等，2017）恶意活动检测的责任应该是控制器和OF交换机之间的协作。

Han(2018)提出了一种基于跨平面的DDoS攻击防御策略，称为OverWatch。框架中已经解决了攻击检测和缓解问题。攻击检测系统分为两个部分。在第一部分中，DP层的传感器和执行器用于监控流量，在第二部分中，CP上的基于机器学习的分类器检测攻击。实验结果验证了在DP和CP之间划分工作负载可以减少SBI的通信开销。

另一种基于跨平面的检测方法已被应用（Kalkan、Gur和Alagoz，2017年）。OF开关被编程为做出决定。根据标题属性计算分数。将该分数与阈值进行比较，以做出转发或丢弃数据包的决定。

2017年Boite等人尝试使用OpenState规范（Kalkan、Gur和Alagoz，2017年）将智能嵌入到交换机中。这些开关显然比传统的OF开关更智能。DDoS攻击的监控和检测在DP级别完成，而缓解由控制器处理。作者使用sFlow来分析传入流量。基于熵的算法已被用于识别异常。

    

使用无须实名的阿里云国际版，添加 微信：ksuyun  备注：快速云！