一种用于SDN网络的洪泛攻击防御方法技术

本发明专利技术提供了网络安全防护技术领域的一种用于SDN网络的洪泛攻击防御方法，包括：步骤S10、设置OpenFlow交换机的CHECKED_TCP表、CHECKING_TCP表、UNCHECK_TCP表、INGRESS_FILTERING表、FORWARDING表；步骤S20、利用INGRESS_FILTERING表对报文进行过滤；步骤S30、基于CHECKED_TCP表、过滤后的报文，对发送报文的客户端是否为正常流量设备进行校验；步骤S40、基于CHECKING_TCP表更新CHECKED_TCP表；步骤S50、基于UNCHECK_TCP表对报文是否为洪泛攻击的攻击流进行校验；步骤S60、通过FORWARDING表将报文转发给服务器。本发明专利技术的优点在于：在保证轻量化的前提下，极大的提升了洪泛攻击的防御效果。洪泛攻击的防御效果。洪泛攻击的防御效果。

【技术实现步骤摘要】
一种用于SDN网络的洪泛攻击防御方法


[0001]本专利技术涉及网络安全防护
，特别指一种用于SDN网络的洪泛攻击防御方法。

技术介绍

[0002]网络攻击对于现在的互联网基础设施而言，是一个严重的社会问题。网络攻击存在多种类型，其中的拒绝服务(DoS)是一种通过发送大量网络报文来损耗服务器CPU处理能力与网络性能的网络攻击；而分布式拒绝服务(DDoS)则是通过网络上的多个主机，同时进行DoS攻击使站点崩溃的网络攻击；洪泛攻击(TCPSYNFlood)是一种充分利用TCP连接握手机制的DoS攻击，攻击者发送大量SYN报文，并在发起连接后无视服务器后续发来的SYN+ACK报文，使得服务器为了保留不完整的TCP连接而不得不占用内存与TCP协议栈内部的数据结构，从而无法接受新的、正常的TCP连接。
[0003]虽然目前有许多网络安全设备可以用于防御洪泛攻击，如防火墙、IDS、IPS，但这些网络安全设备通常都非常昂贵，功耗巨大，仅对单点进行强力防护，而在如今的移动互联网云时代，由于发起攻击的来源更加多样化，使得传统的单点强力防护模式已难以应对。
[0004]因此，如何提供一种用于SDN网络的洪泛攻击防御方法，实现在保证轻量化的前提下，提升洪泛攻击的防御效果，成为一个亟待解决的技术问题。

技术实现思路

[0005]本专利技术要解决的技术问题，在于提供一种用于SDN网络的洪泛攻击防御方法，实现在保证轻量化的前提下，提升洪泛攻击的防御效果。
[0006]本专利技术是这样实现的：一种用于SDN网络的洪泛攻击防御方法，包括如下步骤：
[0007]步骤S10、通过OpenFlow控制器设置OpenFlow交换机的CHECKED_TCP表、CHECKING_TCP表、UNCHECK_TCP表、INGRESS_FILTERING表以及FORWARDING表；
[0008]步骤S20、OpenFlow交换机利用所述INGRESS_FILTERING表对接收的报文进行过滤；
[0009]步骤S30、OpenFlow交换机基于所述CHECKED_TCP表以及过滤后的报文，对发送报文的客户端是否为正常流量设备进行校验；
[0010]步骤S40、OpenFlow交换机基于所述CHECKING_TCP表更新CHECKED_TCP表；
[0011]步骤S50、OpenFlow交换机基于所述UNCHECK_TCP表对报文是否为洪泛攻击的攻击流进行校验；
[0012]步骤S60、OpenFlow交换机通过所述FORWARDING表将报文转发给服务器。
[0013]进一步地，所述步骤S10中，所述CHECKED_TCP表用于保存经过认证为正常流量设备的客户端；所述CHECKING_TCP表用于保存正在进行TCPSYN认证的客户端；所述UNCHECK_TCP表用于对报文是否为洪泛攻击的攻击流进行认证；所述INGRESS_FILTERING表用于对非TCP报文进行过滤；所述FORWARDING表用于将报文路由至指定地址。
[0014]进一步地，所述步骤S20具体为：
[0015]OpenFlow交换机利用所述INGRESS_FILTERING表判断接收的报文是否为TCP报文，若是，则进入步骤S30；若否，则基于所述FORWARDING表对报文进行路由。
[0016]进一步地，所述步骤S30具体为：
[0017]OpenFlow交换机解析过滤后的报文，获取发送所述报文的客户端，判断所述客户端是否记录在CHECKED_TCP表内，若是，说明发送所述报文的客户端为正常流量设备，并进入步骤S60；若否，说明发送所述报文的客户端不为正常流量设备，OpenFlow交换机通过OpenFlow控制器进行TCPSYN认证，并进入步骤S40。
[0018]进一步地，所述OpenFlow交换机通过OpenFlow控制器进行TCPSYN认证具体为：
[0019]OpenFlow交换机与OpenFlow控制器进行TCP连接的一次握手后，OpenFlow控制器与OpenFlow交换机进行TCP连接的二次握手，OpenFlow交换机向客户端发送一错误ACK值，判断客户端是否返回RST报文以结束连接，若是，说明客户端为正常流量设备；若否，说明客户端不为正常流量设备。
[0020]进一步地，所述步骤S40具体为：
[0021]OpenFlow交换机判断发送所述报文的客户端是否记录在CHECKING_TCP表中，所述报文是否为TCPRST，若是，则通过OpenFlowPacket
‑
In消息通知OpenFlow控制器客户端状态正常，OpenFlow控制器使用Flow
‑
Mod消息指示OpenFlow交换机将客户端的源地址、源端口、目标地址与目标端口添加到CHECKED_TCP表中；若否，则进入步骤S50。
[0022]进一步地，所述步骤S50具体为：
[0023]OpenFlow交换机基于所述UNCHECK_TCP表对报文是否为洪泛攻击的攻击流进行校验，若是，则丢弃所述报文；若否，则进入步骤S60。
[0024]本专利技术的优点在于：
[0025]通过设置OpenFlow交换机的CHECKED_TCP表、CHECKING_TCP表、UNCHECK_TCP表、INGRESS_FILTERING表以及FORWARDING表，OpenFlow交换机利用INGRESS_FILTERING表对接收的报文进行过滤，基于CHECKED_TCP表以及过滤后的报文，对发送报文的客户端是否为正常流量设备进行校验；基于CHECKING_TCP表更新CHECKED_TCP表，基于UNCHECK_TCP表对报文是否为洪泛攻击的攻击流进行校验，通过FORWARDING表将报文转发给服务器，即通过设置五张流表来指引OpenFlow交换机如何处理报文，丢弃存在洪泛攻击的报文，使网络中的所有OpenFlow交换机都能参与到洪泛攻击的防御中来，将防御的负担分散到整个网络中，无需像传统上采用昂贵且功耗巨大的网络安全设备，最终实现在保证轻量化的前提下，极大的提升了洪泛攻击的防御效果。
附图说明
[0026]下面参照附图结合实施例对本专利技术作进一步的说明。
[0027]图1是本专利技术一种用于SDN网络的洪泛攻击防御方法的流程图。
[0028]图2是本专利技术TCPSYN认证的信令图。
具体实施方式
[0029]本申请实施例中的技术方案，总体思路如下：通过设置五张流表(CHECKED_TCP表、
CHECKING_TCP表、UNCHECK_TCP表、INGRESS_FILTERING表以及FORWARDING表)来指引OpenFlow交换机如何处理报文，丢弃存在洪泛攻击的报文，将防御的负担分散到整个网络中的各OpenFlow交换机，无需像传统上采用昂贵且功耗巨大的网络安全设备，以实现在保证轻量化的前提下，提升洪泛本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于SDN网络的洪泛攻击防御方法，其特征在于：包括如下步骤：步骤S10、通过OpenFlow控制器设置OpenFlow交换机的CHECKED_TCP表、CHECKING_TCP表、UNCHECK_TCP表、INGRESS_FILTERING表以及FORWARDING表；步骤S20、OpenFlow交换机利用所述INGRESS_FILTERING表对接收的报文进行过滤；步骤S30、OpenFlow交换机基于所述CHECKED_TCP表以及过滤后的报文，对发送报文的客户端是否为正常流量设备进行校验；步骤S40、OpenFlow交换机基于所述CHECKING_TCP表更新CHECKED_TCP表；步骤S50、OpenFlow交换机基于所述UNCHECK_TCP表对报文是否为洪泛攻击的攻击流进行校验；步骤S60、OpenFlow交换机通过所述FORWARDING表将报文转发给服务器。2.如权利要求1所述的一种用于SDN网络的洪泛攻击防御方法，其特征在于：所述步骤S10中，所述CHECKED_TCP表用于保存经过认证为正常流量设备的客户端；所述CHECKING_TCP表用于保存正在进行TCP SYN认证的客户端；所述UNCHECK_TCP表用于对报文是否为洪泛攻击的攻击流进行认证；所述INGRESS_FILTERING表用于对非TCP报文进行过滤；所述FORWARDING表用于将报文路由至指定地址。3.如权利要求1所述的一种用于SDN网络的洪泛攻击防御方法，其特征在于：所述步骤S20具体为：OpenFlow交换机利用所述INGRESS_FILTERING表判断接收的报文是否为TCP报文，若是，则进入步骤S30；若否，则基于所述FORWARDING表对报文进行路由。4.如权利要求1所述的一种用于SDN网络的洪泛攻击防御方法，其特征在于：所述步骤S30具...

【专利技术属性】
技术研发人员：赵泽钧，袁苇，
申请(专利权)人：福建新大陆通信科技股份有限公司，
类型：发明
国别省市：