本发明专利技术提供一种SDN网络访问方法及系统。所述SDN网络访问方法包括:控制器接收到SYN报文;控制器保存所述SYN报文,并将所述SYN报文发送给所述服务器;控制器接收到所述服务器发送的所述SYN报文的响应报文,保存所述响应报文,发送所述响应报文给所述客户端,并开始在预设的时间内计时;如果在计时结束前,控制器收到所述响应报文的ACK回应报文,则结束所述计时,将所述ACK回应报文发送给所述服务器;如果直到计时结束,控制器也没有收到所述响应报文的ACK回应报文,则控制器利用保存的报文,构造RST报文,将所述RST报文发送给所述服务器。本发明专利技术的方案能够防御SYNFlood攻击。
【技术实现步骤摘要】
一种SDN网络访问方法及系统
本专利技术涉及一种计算机网络技术,特别是涉及一种SDN网络访问方法及系统。
技术介绍
SYNFlood(也可称为SYN洪泛,或同步泛滥)是一种DoS(DenialofServices,拒绝服务攻击)与DDoS(DistributedDenialofServices,分布式拒绝攻击)的方式之一,它利用了TCP/IP协议实现上的一个缺陷,通过伪造大量的SYN报文向服务器发起连接,由于这些SYN报文的源地址是不存在的地址,服务器无法收到其相应的应答报文,只有等待SYN超时才能释放相应的资源,从而使得服务器系统资源耗尽,导致正常用户无法访问。目前,计算机网络中针对SYNFlood的防御方法有以下几种:一是服务器主机防御的方法,通过增加连接缓冲队列长度和缩短SYN超时时间来提高对攻击报文的处理能力。SYN超时时间是从接收到SYN报文到确定该报文无效并丢弃该连接的时间,缩短SYN超时时间,可以成倍的降低服务器的负荷。但如果攻击者发送足够多的SYN-Flood攻击报文,很容易使服务器达到服役极限,影响合法用户访问。二是规则过滤的方法,使用规则过滤掉被认为地址伪装的包,这会有效的遏制攻击流量。但该方式完全依赖于规则的定义,如果攻击者所伪造的地址是本子网的合法地址,它就不适用了;此外使用访问控制列表会带来额外的负荷。三是防火墙的TCPproxy方法,在SYN请求连接到真正的服务器之前,使用防火墙TCPproxy来测试其合法性。防火墙TCPproxy会先跟客户端建立TCP三次握手,如果成功,证明是合法用户,防火墙TCPproxy再跟服务器建立TCP三次握手。由于防火墙TCPproxy会跟客户端和服务器分别建立TCP连接,它们的TCPsequence是不一致的,需要防火墙TCPproxy在传输数据的时候,进行TCPsequence转换,当系统访问量较大时,防火墙自身的负荷会较高。SDN(SoftwareDefinedNetworking,软件定义网络)是一种新兴的基于软件的网络架构及技术,其核心技术为OpenFlow技术。SDN的核心技术通过控制器(Controller)和OpenFlow交换机(Switcher)将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。随着SDN的发展,如何在SDN网络中,更好的防御或抵御SYNFlood攻击也成为本领域技术人员亟待解决的问题。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目的在于提供一种SDN网络访问方法及系统,用于解决现有技术中不能很好的防御或抵御SYNFlood攻击的问题。为实现上述目的及其他相关目的,本专利技术提供一种SDN网络访问方法,所述SDN网络访问方法包括:控制器接收到SYN报文,所述SYN报文的源地址为客户端地址,所述SYN报文的目的地址端为服务器地址;所述控制器保存所述SYN报文,并将所述SYN报文发送给所述服务器;所述控制器接收到所述服务器发送的所述SYN报文的响应报文,保存所述响应报文,发送所述响应报文给所述客户端,并开始在预设的时间内计时;如果在计时结束前,所述控制器收到所述客户端发送的所述响应报文的ACK回应报文,则结束所述计时,将所述ACK回应报文发送给所述服务器;如果在计时结束时,所述控制器没有收到所述客户端发送的所述响应报文的ACK回应报文,则所述控制器利用保存的所述SYN报文以及响应报文构造RST报文,并将所述RST报文发送给所述服务器。可选地,所述SDN网络访问方法还包括:当OpenFlow交换机接收到SYN报文且在所述OpenFlow交换机的流表中没有找到于所述SYN报文匹配的流表项时,所述OpenFlow交换机将所述SYN报文转发给所述控制器。可选地,所述SDN网络访问方法还包括:如果在计时结束前,所述控制器收到所述客户端发送的所述响应报文的ACK回应报文,则所述控制器下发相应的流表项到相应的OpenFlow交换机。可选地,所述相应的流表项包括:处理从所述客户端发送到所述服务器的报文的流表项以及处理从所述服务器发送到所述客户端的报文的流表项。可选地,所述SDN网络访问方法还包括:当所述服务器接收到所述SYN报文时,分配TCP连接资源,并发送所述SYN报文的响应报文;当所述服务器接收到所述ACK回应报文时,建立TCP连接;当所述服务器接收到所述RST报文时,释放所述TCP连接资源。本专利技术提供一种SDN网络访问系统,所述SDN网络访问系统包括:控制器,所述控制器包括:连接报文处理模块,用于接收SYN报文,所述SYN报文的源地址为客户端地址,所述SYN报文的目的地址端为服务器地址;保存所述SYN报文,并将所述SYN报文发送给所述服务器;响应报文处理模块,与所述连接报文处理模块相连,用于接收所述服务器发送的所述SYN报文的响应报文,保存所述响应报文,发送所述响应报文给所述客户端,并开始在预设的时间内计时;如果所述响应报文处理模块在计时结束前,收到所述响应报文的ACK回应报文,则结束所述计时,将所述ACK回应报文发送给所述服务器;如果直到计时结束,所述响应报文处理模块也没有收到所述响应报文的ACK回应报文,则所述响应报文处理模块利用保存的所述SYN报文以及响应报文,构造RST报文,将所述RST报文发送给所述服务器。可选地,所述SDN网络访问系统还包括:OpenFlow交换机,用于当接收到SYN报文且在所述OpenFlow交换机的流表中没有找到于所述SYN报文匹配的流表项时,所述OpenFlow交换机将所述SYN报文转发给所述控制器。可选地,如果所述响应报文处理模块在计时结束前,收到所述响应报文的ACK回应报文,则所述控制器下发相应的流表项到所述OpenFlow交换机。可选地,所述相应的流表项包括处理从所述客户端发送到所述服务器的报文的流表项以及处理从所述服务器发送到所述客户端的报文的流表项。可选地,所述SDN网络访问系统还包括:服务器,所述服务器包括TCP连接初始化模块,用于接收到所述SYN报文,分配TCP连接资源,生成并发送所述SYN报文的响应报文;TCP连接建立模块,与所述TCP连接初始化模块相连,用于接收所述ACK回应报文,建立TCP连接;TCP连接终止模块,用于接收所述RST报文,释放所述TCP连接资源。如上所述,本专利技术的一种SDN网络访问方法及系统,具有以下有益效果:利用SDN控制器中继TCP三次握手,由于TCP三次握手建立在客户端和服务器之间,数据传输时无须进行TCPsequence转换,提高了传输效率;而且流表下发在TCP三次握手成功之后,避免浪费硬件流表资源;如果SDN控制器没有收到客户端的TCPACK应答,则主动构造TCPRST报文,发送给服务器,以关闭TCP半连接,防御SYN-FLOOD攻击。附图说明图1显示为本专利技术的SDN网络访问方法的一实施例的流程示意图。图2显示为本专利技术的SDN网络访问方法的一实施例的流程示意图。图3显示为本专利技术的SDN网络访问方法的一实施例的交互示意图。图4显示为本专利技术的SDN网络访问系统的一实施例的结构示意图。元件标号说明1SDN网络访问系统11控制器111连接报文处理模块112响应报文处理模块12服务器121TCP连接初始化模块122TCP连接建立模本文档来自技高网...
【技术保护点】
一种SDN网络访问方法,其特征在于,所述SDN网络访问方法包括:控制器接收到SYN报文,所述SYN报文的源地址为客户端地址,所述SYN报文的目的地址端为服务器地址;所述控制器保存所述SYN报文,并将所述SYN报文发送给所述服务器;所述控制器接收到所述服务器发送的所述SYN报文的响应报文,保存所述响应报文,发送所述响应报文给所述客户端,并开始在预设的时间内计时;如果在计时结束前,所述控制器收到所述客户端发送的所述响应报文的ACK回应报文,则结束所述计时,将所述ACK回应报文发送给所述服务器;如果在计时结束后,所述控制器没有收到所述客户端发送的所述响应报文的ACK回应报文,则所述控制器利用保存的所述SYN报文以及响应报文构造RST报文,并将所述RST报文发送给所述服务器。
【技术特征摘要】
1.一种SDN网络访问方法,其特征在于,所述SDN网络访问方法包括:控制器接收到SYN报文,所述SYN报文的源地址为客户端地址,所述SYN报文的目的地址端为服务器地址;所述控制器保存所述SYN报文,并将所述SYN报文发送给所述服务器;所述控制器接收到所述服务器发送的所述SYN报文的响应报文,保存所述响应报文,发送所述响应报文给所述客户端,并开始在预设的时间内计时;如果在计时结束前,所述控制器收到所述客户端发送的所述响应报文的ACK回应报文,则所述控制器下发相应的流表项到相应的OpenFlow交换机,结束所述计时,将所述ACK回应报文发送给所述服务器;如果在计时结束后,所述控制器没有收到所述客户端发送的所述响应报文的ACK回应报文,则所述控制器利用保存的所述SYN报文以及响应报文构造RST报文,并将所述RST报文发送给所述服务器;当所述服务器接收到所述SYN报文时,分配TCP连接资源,并发送所述SYN报文的响应报文;当所述服务器接收到所述ACK回应报文时,建立TCP连接;当所述服务器接收到所述RST报文时,释放所述TCP连接资源。2.根据权利要求1所述的SDN网络访问方法,其特征在于:所述SDN网络访问方法还包括:当OpenFlow交换机接收到SYN报文且在所述OpenFlow交换机的流表中没有找到于所述SYN报文匹配的流表项时,所述OpenFlow交换机将所述SYN报文转发给所述控制器。3.根据权利要求1所述的SDN网络访问方法,其特征在于:所述相应的流表项包括:处理从所述客户端发送到所述服务器的报文的流表项以及处理从所述服务器发送到所述客户端的报文的流表项。4.一种SDN网络访问系统,其特征在于:所述SDN网络访问系统包括:控制器,...
【专利技术属性】
技术研发人员:王超,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。