【技术实现步骤摘要】
本专利技术涉及SDN安全领域,尤其涉及一种防范SDN拒绝服务攻击的方法、交换机和系统。
技术介绍
SDN(软件定义网络)是一种新型网络架构和技术体系,将传统紧耦合的网络架构分拆成应用、控制、转发三层分离的架构,上层应用和底层转发设施被抽象成多个逻辑实体,具有开放可编程的特点。在SDN架构下,通过集中控制器对分布式交换机进行编程,定义路由规则,上层应用的策略通过控制器下发给交换机执行。OpenFlow作为SDN的典型解决方案,定义了集中控制器与数据转发平面进行交互的协议,控制平面通过流规则控制流量转发。当OpenFlow交换机接收主机连接请求时,首先检查本地流表,若流表中没有匹配项,则向控制器发送请求,控制器处理该请求并下发相应流规则,交换机根据该流规则转发主机通信流量,并将流规则存储到本地流表。在这种机制下,黑客可以通过控制僵尸网络发起大量新的半开连接请求,OpenFlow交换机查找本地流表,对这些连接请求均查不到匹配项,则向控制器发送请求,大量请求可能导致控制器资源饱和,从而产生拒绝服务;同时交换机在等待控制器下发流规则时,缓存初始流的资源也有限,可能导致无法响应正常连接请求。
技术实现思路
本专利技术要解决的是基于OpenFlow的SDN架构下由于交换机与控制器间大量请求导致控制器资源饱和引起的拒绝服务攻击的技术问题。根据本专利技术一方面,提出一种防范SDN拒绝服务攻击的方法,包括:在接收到源设备发送的TCP数据包后,判断本地流表中是否具有与所述TCP数据包相匹配的流规则;若本地流表中没有与所述TCP数据包相匹配的流规则,则对所述TCP数 ...
【技术保护点】
一种防范SDN拒绝服务攻击的方法,其特征在于,包括:在接收到源设备发送的TCP数据包后,判断本地流表中是否具有与所述TCP数据包相匹配的流规则;若本地流表中没有与所述TCP数据包相匹配的流规则,则对所述TCP数据包进行分类,以判断所述TCP数据包是否正常;若所述TCP数据包正常,则向控制装置发送成功报告,以便所述控制装置提供相应的流规则;利用所述控制装置提供的流规则对所述源设备后续发送的TCP数据包进行转发处理。
【技术特征摘要】
1.一种防范SDN拒绝服务攻击的方法,其特征在于,包括:在接收到源设备发送的TCP数据包后,判断本地流表中是否具有与所述TCP数据包相匹配的流规则;若本地流表中没有与所述TCP数据包相匹配的流规则,则对所述TCP数据包进行分类,以判断所述TCP数据包是否正常;若所述TCP数据包正常,则向控制装置发送成功报告,以便所述控制装置提供相应的流规则;利用所述控制装置提供的流规则对所述源设备后续发送的TCP数据包进行转发处理。2.根据权利要求1所述的方法,其特征在于,若所述TCP数据包异常,则丢弃所述TCP数据包并结束异常会话。3.根据权利要求2所述的方法,其特征在于,对所述TCP数据包进行分类,以判断所述TCP数据包是否正常的步骤包括:判断所述TCP数据包是否为SYN包;若所述TCP数据包为SYN包,则生成cookie,向所述源设备返回SYNACK包,并将与所述TCP数据包的源地址相关联的访问次数加1;若所述TCP数据包不是SYN包,则进一步判断是否为TCPACK包;若所述TCP数据包为TCPACK包,则检查cookie值是否匹配;若cookie值匹配,则确定所述TCP数据包正常;若cookie值不匹配,则确定所述TCP数据包异常。4.根据权利要求3所述的方法,其特征在于,若所述TCP数据包不是TCPACK包,则确定所述TCP数据包异常,并向所述源设备返回RST包或丢弃所述TCP数据包。5.根据权利要求4所述的方法,其特征在于,还包括:若所述TCP数据包异常,则将与所述TCP数据包的源地址相关联的访问次数加1;判断所述访问次数在指定时间范围内是否超过预定阈值;若所述访问次数在指定时间范围内超过预定阈值,则拒绝来自所述源地址的数据包。6.根据权利要求1-5中任一项所述的方法,其特征在于,利用所述控制装置提供的流规则对所述TCP数据包进行转发处理的步骤包括:利用所述控制装置提供的流规则,与相应的目标设备建立TCP连接;若与目标设备连接成功,则向所述控制装置发送连接成功报告,以便由所述控制装置决定是否转发所述TCP数据包;若接收到所述控制装置发送的转发指示,则将所述源设备后续发送的TCP数据包转发给所述目标设备,以便在源设备和相应的目标设备之间中继TCP流量。7.根据权利要求6所述的方法,其特征在于,成功报告包括所述TCP数据包的头部信息,其中所述头部信息包括源IP、目的IP、源端口号和目的端口号;连接成功报告包括交换机的IP和端口号以及目标设备的IP和端口号。8.一种防范SDN拒绝服务攻击的交换机,其特征在于,包括:接收单元,用于接收到源设备发送的TCP数据包;流表查询单元,用于在接收单元接收到源设备发送的TCP数据包后,判断本地流表中是否具有与所述...
【专利技术属性】
技术研发人员:王帅,金华敏,沈军,汪来富,刘东鑫,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。