SDN 网络防 DDOS攻击案例分析与研究

摘要：互联网及SDN迅速发展的同时，网络安全问题日益成为人们关注的 焦点，恶意攻击、非法访问等都容易影响网络的正常运行。网络流量监控是一种分析网络状况的有效方法，通过实时收集和监视网络数据包的流量信息，来检查是否有违反安全策略的行为和网络工作异常的迹象，并为优化网络性能提供参考。

本文通过利用SDN网络数控分离的特点在控制平面安装sFlowCollector， 数据平面安装sFlowAgent实现流量监控，通过阈值设置，当监测到的流量超过 这个阈值时即判断为ddos，sflow-rt调用预制的OpenDaylight脚本：odl.js 来调用OpenDaylightRESTfulAPI下发匹配DDoS攻击包流表，并进行丢弃操作， 完成模拟DDOS防御攻击。

关键词：SDN sFlow DDoS攻击防御  一、DDoS原理

DDoS（Distributed Denial of Service）即分布式拒绝服务攻击，指借助 于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标 发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个 偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将 与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。

二、sFlow简介

sFlow技术是一种以设备端口为基本单元的数据流随机采样的流量监控技 术，不仅可以提供完整的第二层到第四层甚至全网范围内的实时流量信息，而且可以适应超大网络流量（如大于10Gbit/s）环境下的流量分析，让用户详细、 实时地分析网络传输流的性能、趋势和存在的问题。sFlow监控工具由sFlow Agent和sFlow Collector两部分组成。Agent作为客户端，一般内嵌于网络转 发设备（如交换机、路由器），通过获取本设备上的接口统计信息和数据信息，将信息封装成sFlow报文，当sFlow报文缓冲区满或是在sFlow报文缓存时间（缓存时间为1秒）超时后，sFlowAgent会将sFlow报文发送到指定的Collector。 Collector作为远端服务器，负责对sFlow报文分析、汇总、生成流量报告。

三、模拟DDOS防御攻击原理

sFlow可以提供周期性的网络接口统计采样和数据包采样，能够提供各接口 的流量信息，且几乎不会对被统计设备造成任何负担，管理成本极低。sFlow的 部署分为两部分：sFlowagent和sFlowcollector。sFlowagent内嵌入网络 设备中获取设备的实时信息并封装成sFlow报文发送给sFlowcollector，如图 1所示。

此处的sFlow软件选择sFlow-rt，sFlow-rt可统计到每个接口的流量信息，我们通过sFlow-rt的restapi获取json数据并对json数据进行解析获得。对 解析到的数据进行判断分析后即可实施策略。

通过对sflow-rt进行配置，设定metric=ddos，并设定它的阈值，当监测 到的流量超过这个阈值时即判断为ddos。sflow-rt调用预制的OpenDaylight 脚本：odl.js来调用OpenDaylightRESTfulAPI下发匹配DDoS攻击包包流表， 并进行丢弃操作，完成模拟DDOS防御攻击。

四、SDN网络防御DDOS攻击实现过程

在理解sFlow-rt的基本配置与操作的前提下，配置硬件交换机中sFlow agent，最后通过OpenDaylight进行DDoS防御。

在mininet（SDN网络模拟器）中实现步骤如下：

（1）安装sFlow。

（2）部署sflow-agent。

（3）验证任务

可以看出当开启DDOS防御时，泛洪包迅速被丢弃，当停止DDOS攻击防御时， 流量迅速增大如图2所示。

五、结语

本文通过对DDOS、sflow、SDN网络的介绍，对SDN网络中对DDOS共计的防 御做了案例实验和探讨，并得到了较好的结论。未来，将对SDN网络安全做更深 入的研究思考和探讨，对各种网络攻击做更多的基于 SDN网络的防御研究，以适 应未来网络发展的新的安全需求。

参考文献：

时瑞鹏. SDN 基础及项目实践.中国铁道出版社，2021.

郭春梅.  第27次全国计算机安全学会交流会论文集.北京：2012