基于OpenFlow交換機洗牌的DDoS攻擊動態防御方法

武澤慧 魏 強 任開磊 王清賢

?

基于OpenFlow交換機洗牌的DDoS攻擊動態防御方法

武澤慧*魏 強 任開磊 王清賢

(解放軍信息工程大學網絡空間安全學院 鄭州 450001) (數學工程與先進計算國家重點實驗室 鄭州 450001)

網絡資源的有限性和網絡管理的分散性是傳統網絡難以解決分布式拒絕服務攻擊問題的重要原因。當前的防御方法存在靜態性、滯后性的不足，并且難以定位攻擊者。針對上述問題，該文提出一種動態防御的方法。利用軟件定義網絡(SDN)集中控制和動態管理的特性構建OpenFlow交換機洗牌模型，使用貪心算法實現用戶-交換機連接的動態映射，通過多輪洗牌區分出用戶群中的攻擊者和合法用戶，對合法用戶提供低延遲不間斷服務。在開源SDN控制器Ryu上實現原型系統，并在SDN環境下進行測試。性能測試結果表明采用該方法可以通過有限次的洗牌篩選出攻擊者，降低DDoS攻擊對合法訪問的影響；能力測試結果則說明了在由一個控制器組成的環形拓撲結構下該方法的防御效果與攻擊流的大小無關，而是僅與攻擊者的數目有關。

網絡安全；軟件定義網絡；分布式拒絕服務攻擊；動態防御

1 引言

分布式拒絕服務(Distributed Denial of Service, DDoS)攻擊是一種由拒絕服務(Denial of Service, DoS)攻擊衍生出的攻擊技術[1]。攻擊者借助大量受控主機向目標發起攻擊，將拒絕服務攻擊的一對一攻擊方式擴展為多對一，因此危害更大且更難防范[2]。2015年第1季度，全球范圍內發生的DDoS攻擊比2014年同期增長了100%。游戲、軟件等行業被攻擊情況嚴重，平均每次攻擊會造成約50萬美元的損失，攻擊者甚至會要求受害者支付贖金以停止攻擊[3]。

傳統網絡中DDoS攻擊難以消除的根源在其設計缺陷[1,4]。網絡設計初衷是保證端到端的通信，關注的是通過發送端和接收端來實現QoS(Quality of Service)、穩定傳輸、安全保證等，導致網絡兩端很復雜，而網絡本身相對簡單，僅僅負責數據轉發。因此，網絡兩端的任何一端出現惡意行為，都會給對方造成損害，網絡本身不具備流量管理的任務和能力。

軟件定義網絡(SDN)的控制與轉發分離，集中控制，動態可編程，細粒度流量審查，以及動態流規則更新的特征使其在分布式拒絕服務攻擊的檢測和防御上具備一定的優勢。現有關于SDN拒絕服務攻擊的研究多是將傳統流量審查、分析方法應用到SDN中，或者利用SDN集中管理的特性提高流量審查的效率和準確度。Braga等人[5]于2010年率先在NOX控制器上實現檢測分布式拒絕服務攻擊的安全應用程序。控制器從網絡流量中提取需要的信息，并從中提取DDoS特征。將提取到的特征輸入到自組織圖(Self-Organizing Map, SOM)中，使用SOM配合機器學習算法檢測DDoS攻擊的數據流。該方法具有較高的檢測能力和較低的誤報。但是受限于特征提取和機器學習算法的效率，在控制器上部署該系統后會降低控制器的處理效率。2012年Yeganeh等人[6]提出降低控制器負載的Kandoo框架，該框架不僅可以緩解DDoS攻擊，也有助于增強網絡的魯棒性。Kandoo采用兩層控制器結構，包括底層控制器平面和頂層控制器平面，其中底層控制器平面負責單一區域內高頻度的事件處理，頂層控制器平面負責管控整個SDN，處理底層控制器無法處理的事件。采用上述方法可以在一定程度上緩解控制器DDoS的攻擊流，但是該方法僅能降低負載，無法識別DDoS攻擊流，不能從根本上解決DDoS攻擊的問題。2013年11月， Shin等人[7]提出AVANT-GUARD技術。AVANT-GUARD通過包含Connection Migration和Actuating Triggers兩項技術對數據平面以及數據到控制平面的安全性能進行了強化，Connection Migration用以防止數據平面的飽和攻擊；Actuating Triggers通過給SDN交換機提供條件觸發器提高了交換機的響應速度。AVANT-GUARD可以防御TCP-SYN洪泛攻擊，但是其代價是犧牲了很大的系統系能，并且無法抵御應用程序層的DoS攻擊，也無法防御應用層使用UDP或者ICMP協議的攻擊。

針對DDoS利用僵尸網絡進行攻擊的問題，Lim等人[8]提出DBA(DDoS Blocking Application)的僵尸網絡阻斷方法。DBA作為SDN控制器應用軟件安裝在控制器之上，負責監控網絡中的每個流量。當檢測到DDoS攻擊時，合法流量會被重定向到另一個備用服務器上，而攻擊流則會被當前控制器阻斷。由于該方法需要對每個數據流都進行監控，因此大規模應用受限；其次SDN中流規則是主動式安裝，對控制器負載要求較高。

通過上述介紹可知，當前針利用SDN防御拒絕服務攻擊主要集中在流量遷移中，利用SDN路由動態更新的策略實現攻擊流的負載均衡，降低攻擊對網絡的影響。與當前研究不同，本文提出一種動態防御的方法，其核心是利用SDN的特性實現交換機洗牌，通過多輪洗牌區分出用戶群中的攻擊者和合法用戶定位出攻擊者，當攻擊者被隔離后，攻擊流也不會再對網絡造成影響。

具體來說本文的貢獻如下：

(1)提出一種OpenFlow交換機洗牌模型，可以實現DDoS攻擊的防御和定位。

當前DDoS防御方法負載過高，靈活性較差。對此，本文通過交換機輪換的方式實現對攻擊流的分向轉發，通過交換機洗牌的方法實現攻擊者的快速定位，靈活性高，負載增加有限。

(2)基于SDN集中控制和動態管理的特性提出一種服務不間斷的DDoS防御方法。

本文方法利用SDN集中控制和動態管理的特性，使用控制器控制交換機輪換提供不間斷服務，可以實現在DDoS攻擊環境下對從攻擊流中分離出的合法訪問者繼續提供服務。

(3)在開源SDN控制器Ryu上實現原型系統，并在具體SDN環境下進行測試。

論文組織結構：第2節概述本文DDoS攻擊動態防御的原理和過程；第3節結合OpenFlow協議，提出交換機洗牌方法，并對該方法的復雜度、準確性進行分析介紹；第4節對方法進行仿真實驗，通過多個對比結果闡述本文方法的可行性，并對性能進行測試評估；第5節對全文進行總結。

2 DDoS動態防御系統

DDoS動態防御方法使用SDN實現動態防御，通過控制器動態管理配置OpenFlow[1]交換機(以下簡稱交換機)，使用交換機洗牌方法完成攻擊流的分離與攻擊者的定位，下面對動態防御方法的體系結構進行概述。

圖1所示為DDoS動態防御方法的框架圖，用戶的網絡流量通過SDN轉發至被保護的Web Server中。正常狀態下，用戶通過Web Server的DNS域名對其進行訪問，SDN控制器通過安全通道對交換機進行配置，確定一條轉發路由，由交換機負責數據包的轉發。本文在交換機上部署流量吞吐率檢測器，吞吐率的閾值由控制器設定。由于在用戶群中潛藏攻擊者，攻擊者發動DDoS攻擊會導致交換機的吞吐率劇增，交換機一旦檢測到吞吐率大于閾值，即認為攻擊者發動了DDoS攻擊，SDN進入被攻擊狀態。SDN控制器啟用交換機洗牌算法對交換機進行動態調度，該算法從所有用戶中分離出合法用戶，并調度交換機繼續為其提供不間斷服務，同時分離出攻擊者并對其進行隔離定位。本文方法適用于使用SDN防御傳統網絡的DDoS攻擊的場景，而針對SDN的DDoS攻擊，除了傳統的流量攻擊，也存在如拓撲欺騙攻擊等方式，本文方法如果應用在該場景中，則僅能防御基于流量的DDoS攻擊，對于拓撲欺騙類型的攻擊無效。

圖1 DDoS動態防御方法框架圖

2.1 交換機分層

DDoS動態防御方法使用交換機對DDoS流量進行分離，并通過交換機的洗牌算法實現攻擊定位。為實現上述目標，并提高系統效率，首先需要對交換機進行分層處理。本文將交換機分為兩層：代理層交換機(proxy switches)和隱藏層交換機(hidden switches)，如圖2所示。

圖2 交換機分層模型圖

其中代理層的交換機是直接面向用戶端的，負責對來自用戶的網絡流量進行轉發的第1層交換機。隱藏層交換機負責篩選后的流量轉發。

2.2 交換機洗牌

本文利用SDN集中控制和動態管理的特性實現交換機洗牌算法。其實現原理如圖3所示。圖中7個用戶(用戶1至用戶7，用戶3和用戶5是潛藏的攻擊者)分別通過3個代理層交換機(S1, S2, S3)完成數據轉發，其中，用戶1, 2, 3由S1轉發，用戶4, 5由S2轉發，用戶6, 7由S3轉發。

攻擊產生時交換機S1和S2處于被攻擊狀態，控制器啟用洗牌算法調度其它代理交換機為用戶1, 2, 3, 4, 5提供服務，進入第1輪洗牌，用戶1, 3, 5由S4轉發，用戶2, 4由S5負責轉發。此時由于S5連接用戶2, 4，并且S5未處于被攻擊狀態，因此可以判定用戶2, 4不是攻擊者，S4仍然處于被攻擊狀態，因此用戶1, 3, 5均有可能是攻擊者。經過下一輪的洗牌，用戶2, 5即可被識別處理。從中可以看出在洗牌過程中，代理層交換機存在4種狀態：Normal(N), Attacked(A), Suspected(Su), Saved (Sa)。正常狀態下，當攻擊產生時，狀態遷移到Suspected，通過洗牌后，得到兩種狀態：Saved和Attacked，其中Saved狀態經過路由重定向后進入Normal狀態，Normal狀態的交換機負責數據包的轉發直至完成所有轉發任務，Attacked狀態的交換機將待轉發的數據包丟棄，完成對DDoS攻擊數據包的處理。

圖3 交換機洗牌示例圖

3 交換機洗牌模型

3.1 問題定義

為保證每輪洗牌中更快速地分離出攻擊者和合法用戶，需要實現一個高效的洗牌算法，本節對算法描述中需要的符號和問題進行定義，如表1所示。

表1 符號描述

易得

(2)

3.2 攻擊者數目似然估計

(4)

3.3 交換機貪心洗牌算法

顯然，當代理層每個交換機連接較少的用戶時，代理層交換機被攻擊的概率會降低，但是此時每輪洗牌后，被Saved的用戶數目也會降低，因此需要選擇一種提高每輪被Saved用戶的算法，即滿足

算法1描述了使用貪心算法實現的交換機洗牌過程。算法在以下3種情況下退出：(1)代理層交換機比用戶多，每個用戶可以分配一個代理層的交換機，二者之間可以實現一一對應，無需洗牌即可實現定位；(2)僅剩一個代理層交換機，剩下所有的用戶均被分到該代理層交換機；(3)攻擊者的值為0，此時無需進行洗牌。

表2的GreedyShuffle算法是一個遞歸算法，調用MS()函數得到滿足式(5)的分配方案，表示一個代理層交換機連接的用戶數目。表示按照值進行分配時需要的代理層交換機的數目。,,均表示剩余的代理層交換機數目。算法1是一個遞歸算法，并且容易得到其時間復雜度，當和較大時，復雜度太高，計算量太大。對此，本文使用Eger[10]提出的Stirling近似等式，化簡后可得。因此算法1的MS函數中的循環可以省去，該函數復雜度將為1，算法1的時間復雜度降低為。

表2 GreedyShuffle算法

4 仿真測試

本節對上述基于OpenFlow交換機洗牌算法的性能以及使用該方法進行DDoS防御的能力進行測試。前者使用MATLAB對算法進行模擬，在算法中模擬了一定數目的用戶、攻擊者、代理層交換機，為方便比較，在模擬中將上述變量設置為固定值；后者在開源SDN控制器Ryu和開源OpenFlow交換機Open vSwitch上實現DDoS動態防御模塊，作為Ryu控制器的一個模塊加載啟動。

4.1 算法性能測試

在模擬中用戶和攻擊者的選取根據Matsumoto[11]提出的Mersenne-Twiste模型隨機產生。攻擊者攻擊所有與之相連接的代理層交換機，并且假設攻擊者具有足夠的帶寬和資源來進行攻擊。

圖4描述了洗牌輪數、攻擊者數目、代理交換機數目三者之間的關系。其中實線代表的是使用算法1隔離80%和95%的攻擊者時，洗牌輪數、攻擊者數目，以及代理交換機數目三者之間的變化關系；虛線代表的是隔離80%和95%的攻擊者時的理論上界(根據式(5)計算得到)。與預期結果相似，當隔離攻擊者的百分比恒定時，攻擊者數目越多，需要洗牌的輪數也越多，代理交換機的數目也越多。圖4(a)和圖4(b)中，用戶數目和代理交換機的值是固定的，攻擊者的數目從10遞增至500。圖4(c)和圖4(d)中用戶數目與圖4(a)和圖4(b)相同，攻擊者的數目固定為100，代理交換機的數據從40遞增至500。每輪模擬執行10次，取其均值。根據圖4可知，算法1的執行結果接近理論上界，可以認為是近似最優的。從圖4(a)和圖4(b)也可以看出當隔離攻擊者的比例確定時，需要洗牌的輪數與攻擊者數目之間呈現近似線性增長的關系。圖4(c)和圖4(d)則說明當代理層交換機數目增加時，需要洗牌的輪數會減少，并且當代理交換機數目小于攻擊者數目時，變化極為明顯，而當代理交換機數目大于攻擊者數目時，變化趨向平緩。

4.2 DDoS動態防御能力測試

本文對基于交換機洗牌的DDoS動態防御方法進行了原型系統實現，使用Python語言開發，作為開源控制器Ryu v3.6的應用軟件隨Ryu控制器同時啟動。使用的OpenFlow協議版本為1.1.0，代理交換機使用虛擬交換機Open vSwitch v2.3.1(拓撲圖中簡稱OVS)完成。原型系統實現共計約3000行Python代碼。

使用圖5所示的拓撲結構進行測試，其中OVS- 1至OVS-5表示代理層交換機，其余表示轉發層交換機；使用Ryu對交換機進行管理和配置，Ryu安裝在Intel Xeon CPU、主頻2.13 GHz和64 GB內存的物理主機上，并在Ryu上部署流量監測程序定時獲取網絡中的流量分布情況；使用5個Kali虛擬機模擬3種類型的流量，其中Agg1至Agg4表示合法流量，Agg5表示攻擊流量，攻擊流使用TCP SYN方式實現。

(1)抗DDoS攻擊能力： 圖6描述了不使用本文方法(圖6(a))和使用本文方法(圖6(b))時流量的帶寬占用率和數據包丟失率的分布情況。數據流發送速率從時開始增加，到時開始下降。從圖6(a1)可以看出，在不使用本文方法時，高帶寬的數據流會耗盡幾乎所有的網絡帶寬。圖6(a2)代表了正常通信的數據包的丟失率，當Agg5的速率增大時，正常網絡數據包的丟失率也開始增大。圖6(b1)和圖6(b2)展示了在使用本文方法后的模擬結果。當Agg5的速率開始增大時，丟包率也開始增大，但是當丟包率增大到設定的閾值10%時，本文方法檢測到Agg5的異常，啟動交換機洗牌方法對Agg5進行流量控制重定向，篩選攻擊者，轉發正常網絡數據包。從圖6(b1)和(b2)可以看出，部署本文方法后，攻擊流量的持續時間顯著變短，對帶寬的占用率和丟包率均減小。

圖4 攻擊者、洗牌輪數和代理交換機之間的變化關系圖

圖5 能力測試拓撲結構圖

圖6 動態防御方法使用前、后的網絡流量分布圖

圖7(a)所示是在上述測試拓撲結構下，攻擊流大小與動態防御方法恢復網絡正常所需時間的關系。測試中使用多個攻擊者構造不同大小的攻擊流對拓撲結構中的代理交換機進行攻擊。從中可以看出二者近似呈現對數關系，當攻擊者被隔離后，攻擊者實施攻擊時產生攻擊流的大小對防御的影響不大，根據圖7(a)可推斷在1200 s時，攻擊者幾乎被全部隔離出，后續盡管攻擊流繼續增大，但對網絡幾乎不造成影響。

(2)與已有工具的對比測試： 與傳統網絡中DDoS防御工具Ice-Shield防火墻(試用版)、開源防御工具DDoS Deflate進行對比測試。其中防火墻和開源防御工具部署在Server中，采用圖5所示拓撲進行測試。測試結果如圖7(b)所示，橫坐標是時間軸，縱坐標表示網絡中總流量的變化，分別在20 s和200 s時啟動攻擊腳本。從圖7(b)中可得到：(1)在80 s時，黑線即開始下降，表示本文方法的攻擊流篩選能力相較其他兩種工具較強；(2)在200~250 s之間，其余兩條曲線的最低點比黑線低，并且低于0 s時刻的值，說明另外兩種工具存在一定的誤報，且比本文方法要高；(3)在200 s后，黑線基本保持不變，說明攻擊者隔離后，再次啟動攻擊，對網絡不會造成影響，而其它兩個工具由于無法隔離攻擊者，在攻擊再次發生時，無法產生該防御效果。

(3)對網絡負載的影響： 在控制器和交換機上實現該動態防御方法會增加數據包轉發的時延，下面對其時延開銷進行測試。通過測試數據包由用戶發送到Web服務器的往返時間測試系統的負載開銷。選擇10個地理位置相距較遠的用戶節點組成5對測試對象。RTT根據5對節點的TCP消息往返時間確定，取100次結果的均值。吞吐率測試中的數據由10個Iperf會話組成。從表3和表4可以看出，引入采用本文方法后，節點之間的通信時延通常低于30%，而對吞吐率的影響較大。吞吐率的變化主要是由于控制器動態更新交換機流表所致，而不是算法本身的問題，建立控制器與代理層交換機之間的專用通道可提高吞吐率。

表3 代理交換機的引入對網絡負載的影響

表4 代理交換機的引入對吞吐率的影響(MB/s)

圖7 壓力測試及對比測試的結果圖

5 結束語

DDoS攻擊始終是網絡安全中懸而未決的難題，許多網站運行商選擇內容分發網絡(CDN)，或者部署在云環境中來緩解DDoS攻擊。但是這種防御方法是攻防雙方資源的對抗，不能有效解決DDoS攻擊問題。本文提出的DDoS動態防御方法利用SDN集中控制和動態管理的特性，通過交換機洗牌的方法，不僅可以有效防御DDoS攻擊，同時能夠對攻擊者進行篩選定位。但是隨著DDoS攻擊技術的發展，動態防御的方法也要隨之改進，未來可以考慮將利用SDN實現的動態防御方法與云環境配合使用，實現多維立體的攻擊防護。

[1] PRAS A, SANTANNA J, and STEINBERGER J. DDoS 3.0-How Terrorists Bring Down the Internet[M]. New York: Springer, 2016: 1-4. doi: 10.1007/978-3-319-31559-1_1.

[2] YADAV V K, TRIVEDI C, and MEHTRE M. DDA: an approach to handle DDoS (Ping Flood) attack[C]. International Conference on ICT for Sustainable Development, Singapore, 2016: 11-23. doi: rg/10.1007/978- 981-10-0129-1_2.

[3] NAGPAL B, SHARMA P, and CHAUHAN N. DDoS tools: classification, analysis and comparison[C]. IEEE International Conference on Computing for Sustainable Global Development, New Delhi, India, 2015: 342-346.

[4] LIU Xia, YANG Xin, and XIA Yu. Netfence: preventing internet denial of service from inside out[C]. ACM Sigcomm Computer Communication Review, New York, NY, USA, 2010: 255-266. doi: 10.1145/1851182.1851214.

[5] BRAGA R, MOTA E, and PASSITO A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]. International Conference on Local Computer Networks, Washington, DC, USA, 2010: 408-415.doi: 10.1109/lcn. 2010.5735752.

[6] YEGANEH S and CANJALI Y. Kandoo: a framework for efficient and scalable offloading of control applications[C]. ACM Workshop on Hot Topics in Software Defined Networks, Helsinki, Finland, 2012: 19-24.doi: 10.1145/ 2342441. 2342446.

[7] SHIN S and PORRAS P. AVANT-GUARD: scalable and vigilant switch flow management in software-defined networks[C]. International Conference on Computer and Communications Security. Berlin, Germany, 2013: 413-424. doi: 10.1145 /2508859.2516684.

[8] LIM S, HA J, KIM H,. A SDN-oriented DDoS blocking scheme for botnet-based attacks[C]. International Conference on Ubiquitous and Future Networks, Shanghai, China, 2014: 63-68. doi: 10.1109/icufn.2014.6876752.

[9] JOHNSON N and KOTZ S. Urn models and their applications: an approach to modern discrete probability theory[J]., 1978, 20(4): 104-119. doi:10.2307/3617688.

[10] EGER S. Stirling’s approximation for central extended binomial coefficients[J]., 2014, 121(4): 344-349. doi: 10.4169/amer.math.monthly.121. 04.344.

[11] MATSUMOTO M and NISHIMURA T. Mersenne twister: a 623-dimensionally equidistributed uniform pseudo-random number generator[J],, 1998, 8(1): 3-30. doi: 10.1145/272991.272995.

Dynamic Defense for DDoS Attack Using OpenFlow-based Switch Shuffling Approach

WU Zehui WEI Qiang REN Kailei WANG Qingxian

(,,450001,) (,450001,)

The limitations of network resource and the dispersion of network management are the two major difficulties for traditional networks to address the Distributed Denial of Service (DDoS) attacks. However, current defense methods are static and hysteresis, which are unable to locate the attackers accurately. Therefore, a dynamic defense using the two pivotal features, centralized control and dynamic management, of Software Defined Networks (SDN) is proposed. An OpenFlow-based switch shuffling model is built which employs greedy algorithm to remap user-switch link dynamically. After several shuffling, attacker could be differentiated from legitimate users and provide the latter with low latency uninterrupted services. The proposed approach is implemented in Ryu, the open source SDN controller, and the prototype is tested in a real SDN. The results of performance test show that with this approach attackers in limited times of shuffling can be isolated and the effects of DDoS attacks on legal flows can be reduced. The outcomes of defense ability test demonstrate that the efficiency of the proposed dynamic approach has nothing to do with the size of attack flow, but is only related to the number of attackers in the ring topology structure which is composed of a single controller.

Cyber security; Software Defined Networks (SDN); Distributed Denial of Service (DDoS); Dynamic defense

TP393.08

A

1009-5896(2017)02-0397-08

10.11999/JEIT160449

2016-05-03；改回日期：2016-09-27；

2016-11-14

武澤慧 wuzehui2010@foxmail.com

國家863計劃項目(2012AA012902)，國家杰出青年科學基金(61402526)

The National 863 Program of China (2012AA012902), The National Science Fund for Distinguished Young Scholars (61402526)

武澤慧： 男，1988年生，博士，研究方向為網絡安全.

魏 強： 男，1979年生，副教授，碩士生導師，研究方向為工控網絡安全.

任開磊： 男，1992年生，碩士，研究方向為SDN安全.

王清賢： 男，1960年生，教授，博士生導師，研究方向為網絡與信息安全.