UDM:基于NFV的防止DDoS攻击SDN控制器的机制

广泛存在的分布式拒绝服务(DDoS)攻击对于软件定义网络(SDN)的控制器形成了致命威胁,至今还没有一种安全机制能够防御。将SDN和网络功能虚拟化(NFV)结合,提出了一种新颖的防范DDoS攻击SDN控制器的前置检测中间盒(UDM)机制,在SDN交换机端口与用户主机之间分布式部署UDM以检测并拒止DDoS攻击报文。此外,还提出了一种基于NFV的前置中间盒的实现方法,使这种UDM机制更为经济和有效,实现了基于该机制的原型系统,并对其进行大量测试。实验结果表明,基于NFV的UDM机制能够实时有效地检测和防止对控制器的DDoS攻击。

基于NFV的防范SDN控制器中UDP控制分组冗余的机制

尽管软件定义网络(Software Defined Networking,SDN)的安全性得到了极大的关注,但SDN控制器受大流UDP冗余分组威胁的问题并没有得到有效解决。对此,基于SDN和网络功能虚拟化(Network Function Virtualization,NFV)技术的特点,结合SDN控制器处理UDP和TCP两种数据流时的负载状况,首先提出了一种新型的基于NFV的防范SDN控制器中UDP冗余分组的机制,前置于OpenFlow交换机口的检测中间盒能够有效地检测并滤除UDP流冗余分组;其次,提出了一种经济有效的基于NFV的检测中间盒的实现方法,使用Linux容器实现检测中间盒,在SDN控制器下发流表之前只允许UDP流首分组通过中间盒,保证后续UDP流分组在到达OpenFlow交换机时已经有相关的流表项存在;最后,在Linux服务器中实现了基于该机制的原型系统并进行实验。结果表明,当非首分组的时延 t 大于或等于控制器处理单个分组的时间时,该方法能够有效地解除UDP冗余分组的威胁。