【技术实现步骤摘要】
一种基于多SDN协同机制的DDoS攻击防御系统及方法
本专利技术涉及计算机网络安全
,尤其涉及一种基于多SDN协同机制的DDoS攻击防御系统及方法。
技术介绍
拒绝服务(DenialofService,DoS)攻击,是指故意攻击网络协议实现的缺陷或直接耗尽被攻击对象的资源,让目标计算机或网络无法提供正常的服务或资源访问的行为。DDoS则是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击是目前网络环境下最严重的威胁之一。而在传统网络环境下,难以从攻击源头对DDoS攻击进行防御。SDN是一种新型的数据和控制层面分离的灵活的网络架构。在控制层面,通过控制器监控整个网络,并实现对各种协议的部署和转发规则的分发;在数据转发层面,交换机只需要根据已有的转发规则,对数据包进行匹配转发。这种新型的网络架构由于其可控性,能有效地获取整个网络中的流量,并控制网络中的流量走向,从而解决从源头防御DDoS攻击的问题。对等网络(Peer-to-peernetworking,P2P),是指参与者共享他们所拥有的一部分硬件资源,这些共享资源通过网络提供服务和内容,能被其它对等节点直接访问而无需经过中间实体的网络。相对于传统的客户端/服务器网络,P2P的主要特点为去中心化,网络中的资源和服务分散在所有节点上,信息的传输和服务的实现都直接在节点之间进行,无需中心服务器的介入,具有负载均衡、健壮性好、扩展性强等优势,更适用于作为本专利技术中多个SDN之间的通信网络结构。用户数据报协议(UserDa ...
【技术保护点】
1.一种基于多SDN协同机制的DDoS攻击防御系统,其特征在于,包括多个不同的SDN控制器、一个基于P2P的控制器网络、自定义的控制器网络通信协议以及DDoS攻击数据交互协议;所述多个不同的SDN控制器构成所述基于P2P的控制器网络,所述多个不同的SDN控制器之间通过所述控制器网络通信协议以及所述DDoS攻击数据交互协议进行通信,以合作完成对DDoS攻击的防御。
【技术特征摘要】
1.一种基于多SDN协同机制的DDoS攻击防御系统,其特征在于,包括多个不同的SDN控制器、一个基于P2P的控制器网络、自定义的控制器网络通信协议以及DDoS攻击数据交互协议;所述多个不同的SDN控制器构成所述基于P2P的控制器网络,所述多个不同的SDN控制器之间通过所述控制器网络通信协议以及所述DDoS攻击数据交互协议进行通信,以合作完成对DDoS攻击的防御。2.如权利要求1所述的基于多SDN协同机制的DDoS攻击防御系统,其特征在于,所述控制器包括流表下发模块、数据包收发模块、P2P网络通信模块和DDoS攻击防御模块;所述流表下发模块被配置为实现所述控制器基础的流表控制功能;所述数据包收发模块被配置为实现所述控制器网络中的数据包收发功能,并提供UDP数据包确认机制;所述P2P网络通信模块被配置为实现所述控制器网络通信协议,用于构建并维护所述基于P2P的控制器网络;所述DDoS攻击防御模块被配置为实现所述DDoS攻击数据交互协议,用于防御DDoS攻击。3.如权利要求1所述的基于多SDN协同机制的DDoS攻击防御系统,其特征在于,所述基于P2P的控制器网络采用Chord算法的思想实现,每个所述控制器被配置成为所述基于P2P的控制器网络中的一个节点,全部所述节点分布于一个容量为2n的环上,每个所述节点通过哈希函数生成一个表明其在网络中的位置的ID,每个所述节点维护一张具有n个表项的指向表,依次记录位于该节点后20、21、...、2n-1个位置处的后继节点,其中,n为所述控制器节点编号的位数。4.一种基于多SDN协同机制的DDoS攻击防御方法,其特征在于,包括以下步骤:步骤1、执行UDP数据包确认机制;步骤2、执行控制器网络构建及维护;步骤3、执行DDoS攻击防御。5.如权利要求4所述的基于多SDN协同机制的DDoS攻击防御方法,其特征在于,所述步骤1中的UDP数据包确认机制由所述数据包收发模块提供;所述步骤2中的控制器网络构建及维护由所述P2P网络通信模块实现;所述步骤3中的DDoS攻击防御由所述DDoS攻击防御模块实现。6.如权利要求4所述的基于多SDN协同机制的DDoS攻击防御方法,其特征在于,所述步骤1还包含如下步骤:步骤101、第一控制器发送数据包a到第二控制器,同时将所述数据包a、确认码ACK和计时器t1作为一组数据,存入所述第一控制器的发包缓存区;步骤102、所述第二控制器收到所述数据包a,发送回复包m到所述第一控制器,同时将所述回复包m、所述确认码ACK和计时器t2作为一组数据,存入所述第二控制器的回复包缓存区;步骤103、若所述第一控制器收到所述回复包m,则通过所述确认码ACK找到所述第一控制器的发包缓存区中数据包a的对应记录,删除该记录,确认送达所述数据包a;步骤104、若所述第一控制器未收到所述回复包m,则遍历所述第一控制器的发包缓存区,如果所述数据包a对应记录的所述计时器t1超过阈值T1,则重发所述数据包a,并更新所述计时器t1;步骤105、所述第二控制器收到重发的所述数据包a,遍历所述回复包缓存区,如果所述回复包m匹配所述确认码ACK成功,则丢弃该数据包a,并更新对应记录的所述计时器t2;步骤106、所述第二控制器遍历所述回复包缓存区,如果所述回复包m对应记录的所述计时器t2...
【专利技术属性】
技术研发人员:邹福泰,贺博仁,刘东明,吴越,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。